「Takumi byGMO」、ソフトウェアサプライチェーン攻撃対策領域へ進出 – 開発環境のマルウェア感染防止と有事対応支援を実現

「Takumi byGMO」がソフトウェアサプライチェーン攻撃対策領域へ進出

GMO Flatt Security株式会社は、セキュリティAIエージェント「Takumi byGMO（以下、Takumi）」において、ソフトウェアサプライチェーン攻撃対策の新機能「Guard」と「Runner」の提供を2026年3月3日より開始しました。

これらの機能により、ソフトウェアサプライチェーンにおける開発環境や出荷されるソフトウェアへの攻撃から、開発組織を保護することが可能になります。どちらの機能も、エンジニアの作業手順を変更することなく、コマンド一つで導入できる点が特徴です。

セキュリティ診断AIエージェント「Takumi」とは

「Takumi」は、GMO Flatt Securityが開発したセキュリティ業務に特化したAIエージェントです。2025年3月のリリース以来、ブラックボックス診断（DAST／動的解析）、ホワイトボックス診断（SAST／静的解析）、脆弱性の自動修正機能を提供し、ソフトウェア開発組織における堅牢な実装を継続的に支援してきました。

「Takumi」の詳細については、以下のWebサイトで確認できます。
https://flatt.tech/takumi

機能開発の背景

1. ソフトウェアエンジニアを狙うマルウェアの急増

現代のソフトウェア開発では、オープンソースソフトウェア（OSS）ライブラリなどの「パッケージ」と自社のソースコードを組み合わせて利用することが一般的です。これらの外部パッケージの調達から実行ファイルの作成、ユーザーへの提供までの一連の流れは「ソフトウェアサプライチェーン」と呼ばれています。

一つのソフトウェアが数百から数千のパッケージを使用するケースもあり、JavaScriptの世界最大級のパッケージレジストリであるnpmには、約380万のパッケージが登録され、年間4.5兆回以上ダウンロードされていると報告されています。

近年、このソフトウェアサプライチェーンの構造を悪用した攻撃が顕著に増加しています。正規のパッケージに見せかけたマルウェアがレジストリに紛れ込まされ、エンジニアがインストールした瞬間に悪意あるコードが自動実行される手口です。npmにはパッケージインストール時に任意のプログラムを自動実行できる仕組みがあり、一度のインストール操作で数百のパッケージが潜在的にプログラムを実行する可能性があります。これにより、開発者の端末やCI/CDワークフローが気づかぬうちに侵害されるリスクが常にあるとされています。

ソフトウェアサプライチェーンマルウェアの件数は年々増加傾向にあります。米国のセキュリティ企業Sonatypeのレポートによると、2025年10月から12月の3ヶ月間で、オープンソース上で39万件以上の新たなマルウェアパッケージが特定され、同年1月から9月の累計と比較して476%増加している状況です。

関連情報は以下で確認できます。

• 

  Just a moment...

  

  www.npmjs.com
• 

  Sonatype 10th SSCR Report Reveals 156% Surge in OSS Malware

  Sonatype®, the end-to-end software supply chain security platform, today released its 10th Annual State of the Software ...

  

  www.sonatype.com
• 

  Open Source Malware Index Q4 2025: Automation Overwhelms Ecosystems

  Q4 2025 Open Source Malware Index reveals a 476% surge driven by automated npm attacks, self-replicating malware, and sh...

  

  www.sonatype.com

2. ソフトウェアサプライチェーンのリスクを知らしめた「Shai-Hulud」

2025年9月および11月に確認されたマルウェア「Shai-Hulud」は、ソフトウェアサプライチェーンにおける深刻なリスクを広く認識させることとなりました。「Shai-Hulud」はnpmパッケージのダウンロードを通じてエンジニアの端末やCI/CD環境に感染し、クラウドサービスや開発プラットフォームの認証情報を窃取します。その後、盗んだ情報の中にnpmパッケージ公開権限を持つ認証情報があった場合、その情報を用いて正規パッケージを改ざんし、悪意あるコードを埋め込んで公開します。この汚染されたパッケージが別の端末にダウンロードされることで、感染が連鎖的に拡大するワーム型の攻撃です。最終的に、796以上のnpmパッケージが侵害される被害が確認されました。「Shai-Hulud」は短期間で攻撃手法が高度化しており、今後も巧妙な手口が生まれることが想定されます。

関連情報は以下で確認できます。
https://securitylabs.datadoghq.com/articles/shai-hulud-2.0-npm-worm/

3. AIによるソフトウェア開発の高速化がリスクを増幅

コーディングエージェントの普及は、ソフトウェアサプライチェーンマルウェアのリスクをさらに増大させています。AIは能動的にパッケージをインストール・実行する一方で、その行動に責任を負う存在ではないため、本来最終的な責任を負うべき人間による検証プロセスに負荷がかかりがちです。

こうした状況を踏まえ、GMO Flatt Securityはエンジニアの検証負荷を抑えつつ開発の生産性を維持し、ソフトウェアサプライチェーンのリスクを低減する「Guard」機能と「Runner」機能の開発に至りました。

「Guard」機能：悪意あるパッケージをインストール前にブロック

1. 機能概要

「Takumi」の「Guard」機能は、npmレジストリとエンジニアの間に介在し、パッケージのダウンロード時に悪性の有無を検証します。悪性パッケージが検出された場合、ダウンロードをブロックします。導入はターミナルで特定のコマンドを一行実行するだけで完了し、既存のコードや作業手順の変更は不要です。

2. 機能詳細

「Guard」機能の中核には、GMO Flatt Securityが独自に構築・運用するブロックリストがあります。このブロックリストは、npmに公開されている全パッケージを対象とした検査により、常に更新され続けています。また、GMO Flatt Securityのリサーチチームが検査精度を継続的に検証・改善しています。

SBOM管理ツールをはじめとしたソフトウェアサプライチェーン領域の従来のツールの多くは、利用しているパッケージの中から既知の脆弱性情報をスキャンする仕組みがほとんどで、マルウェアの侵入そのものを防ぐことはできませんでした。一方、「Guard」機能はパッケージがインストールされる瞬間に検知を行うため、悪意あるコードの実行そのものを水際で防ぎます。

3. 料金について

「Guard」機能のうち、悪性パッケージのインストールをブロックする機能は、個人・法人を問わず無料で利用できます。

「Guard」機能の詳細については、以下のWebサイトで確認できます。
http://flatt.tech/takumi/features/guard

「Runner」機能：CI/CD環境の詳細ログ保全により、企業のインシデント対応を支援

1. 機能概要

「Takumi」の「Runner」機能は、CI/CD環境として用いられるワークフローの動作を可視化する実行基盤です。ジョブごとに隔離された仮想環境を起動し、ビルドやテスト中のあらゆる挙動を詳細に記録します。導入は設定ファイルの一行を書き換えるだけで完了し、ソフトウェア開発プラットフォーム「GitHub」が提供する自動実行サービス「GitHub Actions」との完全な互換性を保っており、既存の自動化設定をそのまま利用できます。

2. 機能詳細

一般的に、企業に勤めるエンジニアの端末にはEDR等のセキュリティソフトウェアが導入されており、マルウェアの検知・対処にEDRが用いられています。しかし、ビルドやテストを自動実行するCI/CD環境は多くの組織において管理の手が届いておらず、検知に足るログやテレメトリが取得されていない状態にあるのが現状です。

CI/CD環境は本番環境へのデプロイ権限を含む、極めて重要度の高い認証情報が集約される場所です。「Shai-Hulud」に代表されるソフトウェアサプライチェーン攻撃により環境が侵害された際、実行プロセスの挙動が取得されていなければ、被害範囲の特定や再発防止策の立案は極めて困難になります。

新機能の「Runner」は、プログラム実行、ファイルアクセス、外部通信を含む挙動を網羅的に記録し、有事の際の迅速な原因究明を可能にします。

3. 料金について

「Runner」機能は法人での利用を想定しています。すべての「Takumi」ユーザーは追加料金やプラン変更なしで一定の利用枠が付与されます。利用枠を超過した分については、「Runner」機能の実行時間に応じた従量課金となります。

「Runner」機能の詳細については、以下のWebページで確認できます。
http://flatt.tech/takumi/features/runner

今後の展望

「Guard」機能においては、現在対応しているnpmに加え、PyPI（Python）、crates.io（Rust）等の主要なパッケージレジストリへの対応を順次進めていく予定です。「Runner」機能についても、不審な通信先へのアクセスをブロックする機能の追加が予定されています。

GMO Flatt Securityは、「エンジニアの背中を預かる」というミッションのもと、AI時代のソフトウェアサプライチェーンを守るインフラとして、ソフトウェアエンジニアが安心して開発に専念できる環境の実現に取り組んでいくとしています。

GMO Flatt Security株式会社について

GMO Flatt Securityは、「エンジニアの背中を預かる」をミッションに、DX推進・ソフトウェア開発のセキュリティを支援する日本発のセキュリティプロフェッショナル企業です。セキュリティ製品の自社開発や様々な企業へのセキュリティ支援、ユーザーヒアリングを通じて得た知見を元に、顧客組織に寄り添った伴走型のセキュリティサービスを提供しています。

提供サービスには以下が含まれます。

• セキュリティエンジニアによる「脆弱性診断・ペネトレーションテスト」
  https://flatt.tech/assessment

• Web&クラウドまるごと脆弱性診断ツール「Shisho Cloud byGMO」
  https://shisho.dev/ja

• クラウド型セキュアコーディング学習プラットフォーム「KENRO byGMO」
  https://flatt.tech/kenro

GMO Flatt Security株式会社の詳細は以下で確認できます。
https://flatt.tech

GMOインターネットグループ株式会社について

GMOインターネットグループ株式会社は、インターネットインフラ事業、インターネットセキュリティ事業、インターネット広告・メディア事業、インターネット金融事業、暗号資産事業などを展開する持株会社です。

GMOインターネットグループ株式会社の詳細は以下で確認できます。
https://group.gmo/