FBI、TeamPCPのサプライチェーン 攻撃に緊急警戒情報-Trivy・KICS・LiteLLM侵害の全体像とIOC・対策

セキュリティニュース

投稿日時: 更新日時:

FBI、TeamPCPのサプライチェーン 攻撃に緊急警戒情報-Trivy・KICS・LiteLLM侵害の全体像とIOC・対策

米連邦捜査局(FBI)は2026年7月2日、サプライチェーン攻撃グループTeamPCPに関するFLASH(緊急警戒情報)FLASH-20260702-01を発出しました。

当サイトではこれまで、TeamPCPが自作ワームShai-Huludをオープンソースとして公開した件や、GitHubの内部リポジトリが不正アクセスを受けダークウェブで売りに出された件など、TeamPCPを巡る一連の動きを継続して追いかけてきましたが、今回はFBIという政府機関が同グループの手口を公式に整理し、侵害指標(IOC)と推奨対策を正式な文書として示した点に意味があります。捜査機関のFLASHは通常、業界の一部にのみ限定的に共有される性質の文書ですが、今回はTLP:CLEARという公開区分での発出であり、情報システム部門としても内容を正確に把握しておく価値があります。

サマリー

  • FBIは2026年7月2日、サプライチェーン攻撃グループTeamPCPに関するFLASH(FLASH-20260702-01、TLP:CLEAR)を発出した
  • TeamPCPは、コンテナ脆弱性スキャナーTrivy、IaC(Infrastructure as Code)スキャナーKICS、LLM API連携ライブラリLiteLLM、Telnyx Python SDKなど、開発・セキュリティの現場で広く使われるツールの配布経路そのものを侵害し、正規の更新を装ったマルウェアを配布してきた
  • FBIはTeamPCPが使用する主要なマルウェアとして、クラウド認証情報を狙うCanisterWorm、AWS認証情報やKubernetesトークンを狙うSANDCLOCK、npmとPyPIをまたいで自己増殖するMini Shai-Hulud、その亜種であるMiasmaの4種を挙げている
  • IOCとして、盗んだ認証情報のアップロード先として悪用されるtpcp-docs、docs-tpcpという名前のGitHubリポジトリのほか、複数のIPアドレス・ドメイン・ハッシュ値、CVE-2026-33634(CVSS 9.4)を含む4件のCVEが公開されている
  • FBIの発出と同じ7月2日、セキュリティ企業Sophosは、TeamPCPがランサムウェアグループVectと連携し、窃取した認証情報をそのままランサムウェア展開に転用する体制を構築しつつあると報告しており、被害の性質が情報窃取から二次的な恐喝へと広がりつつある
  • FBIはGitHub Actionsワークフローのコミットハッシュ固定、CI/CD関連シークレットの全面ローテーション、最小権限設定、フィッシング耐性のある多要素認証の必須化など、具体的な対策をリストとして提示している
項目 内容
発出日 2026年7月2日(FBI、FLASH-20260702-01、TLP:CLEAR)
対象グループ TeamPCP(別名PCPcat、ShellForce、DeadCatx3)
侵害されたツール Trivy、KICS(Checkmarx)、LiteLLM、Telnyx Python SDK 他
主なマルウェア CanisterWorm、SANDCLOCK、Mini Shai-Hulud、Miasma
関連CVE CVE-2026-33634(CVSS 9.4)、CVE-2026-48027、CVE-2026-45321、CVE-2025-55182
情報窃取先リポジトリ名 tpcp-docs、docs-tpcp
新たに確認された動き ランサムウェアグループVectとの連携(2026年7月2日、Sophos報告)
推定被害規模 SaaS環境1,000件超が影響を受け、5,000〜10,000件規模まで拡大する可能性(Mandiant推計)

何が起きたか

TeamPCPは2025年9月ごろから活動が確認されている脅威グループで、2025年12月にはReact2Shellの脆弱性(CVE-2025-55182)を悪用した大規模な攻撃キャンペーンで知名度を上げました。その後、2026年に入ってからは標的を変え、開発者やセキュリティチームが日常的に信頼して使っているツールそのものを侵害するという、より波及範囲の広い手口に軸足を移しています。当サイトで既報の通り、この一連の攻撃はTanStackやMistral AI関連のnpmパッケージを狙ったMini Shai-Hulud攻撃や、その後のAntVエコシステムを狙った新たな波ともつながっており、単発の事件ではなく、同じ攻撃者が手法を発展させながら継続している一連のキャンペーンとして捉える必要があります。

今回FBIが発出したFLASHは、こうした一連の活動をTeamPCPという単一の脅威グループに紐づけ、政府機関として正式に警戒を呼びかけたものです。FBIの文書によれば、TeamPCPは2026年に入り、正規のソフトウエア配布チャネルに悪意あるコードを注入することで、開発者に気づかれないままトロイの木馬化されたアップデートを配布し、認証情報窃取型マルウェアと永続的なバックドアを仕込んできたとされています。

侵害を受けたツールにはTrivy、KICS、LiteLLM、Telnyx Python SDKが含まれており、これらはいずれも企業のCI/CDパイプラインやクラウド基盤、セキュリティワークフローに広く組み込まれているものです。

FBIはさらに、TeamPCPが他の脅威グループとも連携しながら、被害組織名を公開のリークサイトに掲載したり、窃取したデータの公開を材料にした恐喝行為も行っていると指摘しています。

FBIが示したTeamPCPの脅威像とマルウェア一覧

FBIのFLASHで名前が挙げられているマルウェアは4種類です。

CanisterWormは、AWS・Google Cloud Platform・Microsoft Azureといった主要クラウドサービスに関連するアクセストークンや認証情報、APIキーなどの窃取を目的としたツールです。SANDCLOCKは、AWSの認証情報に加えてKubernetesのServiceAccountトークン、ローカルの環境変数、暗号資産ウォレットの情報まで対象にする認証情報窃取ツールとして説明されています。

Mini Shai-Huludは、npmとPyPIという異なるパッケージエコシステムをまたいで自己増殖する性質を持つワームで、その亜種であるMiasmaも同様にオープンソースのレジストリを横断しながら認証情報を窃取し、設定ファイルを汚染するとされています。

これらのマルウェアの多くは、当サイトで以前取り上げたTeamPCP自身がShai-HuludのソースコードをGitHub上でオープンソースとして公開した件とも重なる部分があり、攻撃者自身が手の内をある程度公開しながら模倣犯を誘発しかねない状況を作り出している点も、この攻撃グループの特異な性格を示しています。

FBIが公開したIOCと具体的な確認ポイント

FBIのFLASHには、侵害の痕跡を確認するための具体的な指標が添付されています。中でも実務上すぐに確認できるものとして分かりやすいのが、tpcp-docsおよびdocs-tpcpという名前のGitHubリポジトリです。これらはワーム型マルウェアが盗んだ認証情報を使って自動的に作成するリポジトリ名とされており、自社のGitHub組織内にこの名前のリポジトリが存在しないかを確認するだけでも、侵害の有無をある程度切り分けられます。このほかにもFLASHには、複数のIPアドレスやドメイン、マルウェアのハッシュ値が一覧として掲載されており、関連するCVEとしてCVE-2026-33634(CVSS 9.4の重大な深刻度)、CVE-2026-48027、CVE-2026-45321、CVE-2025-55182の4件が紐づけられています。これらのCVEのうち、CVE-2026-45321は当サイトでもTanStackのnpmパッケージ42件が侵害された事案として既報の通りです。FBIはこれらの指標について、あくまで自組織のセキュリティ状況全体を踏まえた上で評価すべきであり、IPアドレスなど変動しやすい指標については単独での判断材料にしないよう注意も添えています。

Vectランサムウェアとの提携が意味する脅威の変化

FBIのFLASHと同じ日、セキュリティ企業のSophosは別の角度からTeamPCPに関する報告を公表しています。それによると、TeamPCPはランサムウェアグループのVectと連携関係を築きつつあり、サプライチェーン攻撃を通じて大規模に窃取した認証情報を、そのままランサムウェア展開の足がかりとして活用する体制が構築されつつあるとのことです。Sophosはこの組み合わせを、産業化されたランサムウェアの新たなモデルという表現で説明しています。TeamPCPはこれまでにもLAPSUS$のような別の恐喝グループと協力してきた経緯がありますが、今回のVectとの連携は、認証情報の窃取という上流工程と、ランサムウェアによる金銭的な実害という下流工程が、異なる攻撃者グループの間で分業されて連動する構図を明確に示すものです。サプライチェーン攻撃によって認証情報を盗まれた組織は、情報漏えいそのものの被害にとどまらず、その情報が別のグループによるランサムウェア攻撃の入り口として時間差で悪用されるリスクを抱え続けることになります。FBIのFLASHが、窃取された認証情報を持続的なリスクとして扱うよう繰り返し強調しているのも、こうした背景を踏まえたものと考えられます。

FBIが推奨する対策

FBIがFLASHの中で挙げている対策は多岐にわたりますが、実務上の優先度が高いと考えられるものを整理すると次のようになります。まず、GitHub Actionsのワークフローについては、変動する可能性のあるバージョンタグやブランチ参照ではなく、検証済みのコミットSHAハッシュに固定することが求められています。次に、攻撃キャンペーンの期間中にアクセス可能だった状態にあったCI/CD関連のシークレット、公開用トークン、クラウド認証情報については、すべてローテーションすることが推奨されています。あわせて、CI/CD用のサービスアカウントやレジストリへの公開トークンには最小権限の原則を徹底し、トークンのスコープを適切に絞ることでリポジトリをまたいだ被害の拡大を防ぐことも挙げられています。

このほか、CI/CDランナープロセスからの想定外の外向き通信を検知するための挙動監視の導入、npmパッケージのメンテナーアカウントについて期限切れや放棄されたリカバリー用メールドメインがないかの棚卸し、コードリポジトリやパッケージレジストリへの公開権限を持つすべてのアカウントに対するフィッシング耐性のある多要素認証の必須化なども推奨事項に含まれています。さらに、パッケージを導入する際に一定の経過期間(例えば7日間)を設けることで、コミュニティによる不正発見より前に新しく公開された悪意あるバージョンを取り込んでしまうリスクを減らすという提案や、重要なリポジトリやパッケージのリリース成果物についてオフラインかつ改ざん不可能な形でバックアップを維持しておくことも盛り込まれています。

情報システム部門への示唆

今回のFBIによるFLASHは、これまで複数のセキュリティベンダーが個別に報告してきたTeamPCPの活動を、政府機関として横断的に整理し直したという点に価値があります。自組織がTrivy、KICS、LiteLLM、Telnyx Python SDKのいずれかを利用している場合はもちろんのこと、直接これらのツールを使っていない場合でも、npmやPyPIといったパッケージエコシステムを通じた依存関係の中に間接的に取り込んでいる可能性は否定できません。まずは自社のソフトウエア部品表(SBOM)を確認し、影響を受けたツールやその依存パッケージが含まれていないかを洗い出すことをお勧めします。

あわせて、今回FBIが示した推奨対策は、TeamPCP固有の対処というより、CI/CDパイプライン全般のセキュリティを底上げする内容になっています。GitHub Actionsのコミットハッシュ固定や最小権限の徹底、フィッシング耐性のあるMFAの導入は、当サイトで以前紹介したTanStackへのサプライチェーン攻撃npm・GitHubを狙う一連のShai-Hulud系攻撃への対策とも共通しています。個別のマルウェアやIOCへの対処だけにとどまらず、開発パイプライン全体の設計を見直す機会として今回のFLASHを活用することをお勧めします。

出典