サイバー攻撃から企業を守ることを事業の核心に置くセキュリティベンダーが、攻撃者の標的になる。その皮肉は、業界に繰り返し突きつけられてきた問いです。2026年5月2日、エンドポイントセキュリティや脅威インテリジェンスを提供する大手企業Trellixが、自社のソースコードリポジトリへの不正アクセスを公表しました。調査は現在も進行中であり、判明している事実は限られています。
エンタープライズ向けサイバーセキュリティ大手Trellixは2026年5月2日、同社のソースコードリポジトリの一部に不正アクセスがあったことを公式サイトで認めた。
Trellixは声明の中で、事態を把握した直後からフォレンジック専門家と連携して対応を開始し、法執行機関への通知も済ませたと説明した。現時点では、ソースコードのリリースや配布プロセスへの影響、およびソースコードが悪用された証拠はいずれも確認されていないとしている。不正アクセスの発生日時、侵入経路、攻撃者の素性、侵害されたソースコードの具体的な範囲はいずれも未公表だ。Trellixは調査完了後に追加情報を開示するとしており、本件は続報が見込まれる。
Trellixは2022年1月、McAfee EnterpriseとFireEyeの合併により設立されたSymphony Technology Group傘下の企業で、エンドポイント保護、データセキュリティ、ネットワーク検知・対応(NDR)、メールセキュリティ、脅威インテリジェンスなどのエンタープライズ向けセキュリティプロダクトを展開している。
From: 
Trellix Confirms Source Code Breach With Unauthorized Repository Access
【編集部解説】
「守る者が守られない」という構造問題
2022年12月、アイデンティティ管理の大手Oktaが自社のGitHubリポジトリから内部ソースコードを窃取されました。2023年9月末から10月にかけて同社の顧客サポートシステムが侵害され、最終的にサポートシステムを利用するほぼ全ての顧客の氏名とメールアドレスが流出したことが判明しています。
そして2026年3月23日、アプリケーションセキュリティ企業Checkmarxが、オープンソースの脆弱性スキャナーTrivyを通じたサプライチェーン攻撃の被害を受けました。攻撃者はそこから得た認証情報を使いCheckmarxのGitHubリポジトリへのアクセスを確立し、3月30日にデータを窃取、4月25日にはLAPSUS$がダークウェブ上に96GBのデータ(ソースコード、APIキー、データベース認証情報、従業員情報)を公開するに至っています。
そして今回のTrellix。セキュリティベンダーのソースコードリポジトリが狙われるという同じ構図が、また繰り返されました。
これは偶然の一致ではありません。
なぜセキュリティベンダーは狙われるのか
セキュリティ企業のソースコードは、攻撃者にとって特別な価値を持ちます。それは単なる企業情報ではなく、「防御の設計図」だからです。
エンドポイント保護ソフトウェアのソースコードを手に入れた攻撃者は、そのソフトウェアが何を検知して何を見逃すのかを知ることができます。脆弱性スキャナーのコードを入手すれば、そのスキャナーの盲点――つまり検出をすり抜けられる攻撃手法――を把握できます。ファイアウォールやNDR(ネットワーク検知・対応)製品であれば、どのようなトラフィックパターンがアラートをトリガーしないかが分かるかもしれません。
さらに重要なのは、セキュリティベンダーの製品が顧客環境の奥深くに食い込んでいるという点です。エンドポイントエージェント、メールフィルター、SIEMとの統合、CI/CDパイプラインへの組み込み……企業はセキュリティ製品を信頼するからこそ、その製品に高い権限を与えます。供給者側のコードや認証情報が侵害されれば、それはすなわち数千、数万の顧客組織への潜在的な入口になります。
これがセキュリティベンダーが繰り返し標的にされる理由です。攻撃者の視点では、個別の企業を一社ずつ狙うよりも、多くの企業が依存するセキュリティツールそのものを足場にする方が、費用対効果が高いのです。
ソースコードが「悪用されていない」は何を意味するか
Trellixは声明の中で、「ソースコードのリリースや配布プロセスへの影響、および悪用の証拠は確認されていない」と述べています。これは重要な事実ですが、リスクがゼロであることを意味するわけではありません。
Oktaも2022年のソースコード窃取時に「ソースコードの機密性にサービスの安全性は依存しない」と弁明しました。しかしその後、何者かが窃取したコードを深く分析し、2023年の一連の侵害(ひいては18,000社超の顧客全員の連絡先情報流出)に繋がった可能性を完全に排除することは、現在も誰にもできません。
ソースコードの窃取が即座に被害をもたらすことは稀です。しかし攻撃者はその設計図を精査し、数ヶ月、あるいは数年後に有効な攻撃手法を見つけ出すことができます。「悪用されていない」は、「永続的に安全である」とは異なります。
現時点で分からないこと
公開されている情報が極めて限られているため、現時点では確認できないことがいくつかあります。
不正アクセスがいつから存在していたのか、どのような侵入経路を使ったのか、どの製品・どの範囲のソースコードが閲覧・窃取されたのか、攻撃者は誰なのか――これらはすべて未公表です。Trellixは「調査完了後に情報を開示する」としていますが、セキュリティ侵害の全容開示は、往々にして数週間から数ヶ月を要します。
一方、複数のセキュリティメディアは、今回の侵害がCheckmarxやCisco、Aqua Security、Bitwardenを次々と標的にした「Trivyサプライチェーンキャンペーン」(TeamPCP/LAPSUS$関与)と関連している可能性を指摘しています。脆弱性スキャナーTrivyを起点に認証情報を窃取し、その情報を使って複数のセキュリティ企業のリポジトリへ侵入するという手口が、この一連のキャンペーンに共通して確認されています。ただし、Trellix自身はこの関連について現時点で一切言及しておらず、確定情報ではありません。調査の進展とともに、侵入経路の全容が明らかになることが期待されます。
Trellixを利用している企業にとって、一般的な対応として、Trellixからの公式通知を注視しつつ、同社製品が利用する認証情報やAPIキーに異常なアクセスがないかを確認しておくことが賢明でしょう(これはTrellixからの公式推奨ではなく、編集部の見解です)。
ソフトウェアエコシステムが抱える構造的な脆弱性
「守る者が守られない」という事実は、もはやセキュリティベンダーの信頼性の問題にとどまりません。それは、現代のソフトウェアエコシステムが抱える構造的な脆弱性を照らし出しています。多くの組織が少数のセキュリティベンダーに深く依存する構造は、攻撃者に「一点突破・多点展開」の機会を与えます。The Register が指摘するように、攻撃者はいま、「開発者が最も信頼するよう言われているツール――セキュリティスキャナー、パスワードマネージャー、そして開発者環境に深く組み込まれた高権限ソフトウェア」を意図的に標的にしています。
【用語解説】
Trellix(トレリックス)
2022年1月、McAfee EnterpriseとFireEyeがSymphony Technology Groupのもとで合併して誕生したサイバーセキュリティ企業。エンドポイント保護、メールセキュリティ、ネットワーク検知・対応(NDR)、脅威インテリジェンス、データセキュリティなどのエンタープライズ向けプロダクトを展開。世界5万社以上の企業・政府機関を顧客に持つ。本社はカリフォルニア州ミルピタス。
ソースコードリポジトリ
ソフトウェアの設計図にあたるソースコードを保管・管理する場所。GitHubやGitLabなどのプラットフォームが広く使われる。ソースコードには製品の内部動作の詳細が含まれるため、窃取されると攻撃者が製品の弱点を探したり、悪意のある改ざんを加えたりするための足がかりになりうる。
デジタルフォレンジックス(Digital Forensics)
サイバーインシデント発生後に、デジタル機器や通信ログ等を分析してインシデントの原因・経路・影響範囲を解明する専門的な調査手法。企業が侵害を受けた際、専門のフォレンジック企業に委託するのが一般的。
サプライチェーン攻撃(Supply Chain Attack)
攻撃対象の組織を直接狙うのではなく、その組織が利用するソフトウェア・ツール・サービスの供給者(サプライヤー)を介して侵入する攻撃手法。正規のソフトウェアに悪意のあるコードを仕込むことで、そのソフトウェアを信頼して導入した多数の組織を一度に侵害できる点が特徴。
XDR(Extended Detection and Response)
エンドポイント、ネットワーク、メール、クラウドなど複数のセキュリティ層にまたがる検知・対応を統合するアプローチ。Trellixが中心に据えるセキュリティの枠組み。
LAPSUS$(ラプサス)
主に英国・ブラジルを拠点とするとされるサイバー犯罪グループ。社会工学的手法(ソーシャルエンジニアリング)を駆使し、大手テクノロジー企業への侵害と窃取データの公開で知られる。Microsoft、NVIDIA、Okta等への攻撃を主張してきた。本記事のCheckmarx侵害でも関与が確認されている。
【参考リンク】
Trellix公式サイト(外部)
McAfee EnterpriseとFireEyeが合併して設立されたサイバーセキュリティ大手の公式サイト。
Trellix 公式声明(Important Update From Trellix)(外部)
今回の侵害に関するTrellixによる唯一の公式声明。続報はこのページまたは公式ニュースルームで確認できる。
Trellix Newsroom(外部)
今後の公式発表・続報が掲載される公式ニュースルーム。本件の追加情報が公開される場合はこちら。
Checkmarx Supply Chain Security Incident Update(外部)
編集部解説で言及したCheckmarxの2026年3月侵害に関する公式インシデント更新ページ。
CloudflareとOkta、サプライチェーン攻撃によるデータ侵害の内幕(innovaTopia)(関連)
本記事の文脈となるOkta侵害とその波及についてinnovaTopiaが解説した過去記事。
【参考記事】
Trellix Confirms Source Code Breach With Unauthorized Repository Access — The Hacker News(外部)
今回の侵害を最初に報じた記事。Trellixの企業概要と現在進行中の調査状況を伝えている。
Checkmarx Confirms GitHub Repository Data Posted on Dark Web After March 23 Attack — The Hacker News(外部)
編集部解説で参照したCheckmarx侵害の詳細。TeamPCP→LAPSUS$という攻撃連鎖を報じている。
Ongoing supply-chain attack targets security, dev tools — The Register(外部)
開発者が信頼するセキュリティツールを意図的に狙う攻撃者の戦略を分析した記事。
Checkmarx confirms LAPSUS$ hackers leaked its stolen GitHub data — BleepingComputer(外部)
Checkmarxの96GBデータ流出の詳細と、Bitwarden CLIへの連鎖被害まで含む技術的な経緯の記録。
Okta confirms another breach after hackers steal source code — TechCrunch(外部)
Okta 2022年12月のGitHub侵害を報じた記事。今回のTrellix声明との対比として参照。
Trellix discloses data breach after source code repository hack — BleepingComputer(外部)
5月4日時点の状況を伝える記事。CiscoもTrivy起点でソースコードが侵害されていたと報じ、一連のキャンペーンとの関連を示唆する情報を含む。
Trellix Source Code Repository Breached — SecurityWeek(外部)
TeamPCP/LAPSUS$キャンペーンとTrellix侵害の関連性を詳しく報じた記事。Checkmarx・Aqua Security・Bitwardenへの侵害との構造的つながりを分析している。
【編集部後記】
セキュリティベンダーへの信頼は、単なる製品評価ではありません。エージェントを端末の奥深くに入れ、メールを監視させ、ネットワークの全通信を見せる——それは信頼という名の、大きな賭けです。その賭けが前提にしていたものが揺らいでいるとき、私たちはいったい何を根拠に「守られている」と感じればいいのか。Trellixの調査結果が出るたびに、その問いがまた少し形を変えるかもしれません。
