2026年5月18日、GitHub上で「Megalodon」と呼ばれる自動化された大規模攻撃キャンペーンが実行され、わずか6時間のうちに5,561のリポジトリへ5,718件の悪意あるコミットがプッシュされました。
発見・一次解析を行ったのはオープンソースサプライチェーンセキュリティ企業のSafeDepで、OX Securityの主任研究員モシェ・シマン・トフ・ブスタン氏も追加分析と警告を公開しています。攻撃はGitHub Actionsのワークフローを悪用し、AWSのシークレットキー、Google Cloudのアクセストークン、SSH秘密鍵、Docker、Kubernetes、Vault、Terraformの認証情報、GitHubおよびBitbucketのトークンを窃取するもので、オープンソースのチャットボットプラットフォームTiledeskでも、GitHubリポジトリ汚染の結果として、npmパッケージの2.18.6から2.18.12に悪意あるGitHub Actionsワークフローが含まれる形で公開されました。先行する「TeamPCP」攻撃の手口を模倣した別の脅威アクターの仕業と推定されており、両者の直接的な同一性は確認されていません。
From: Megalodon chums the waters in 55k GitHub repo poisonings
【編集部解説】
今回の「Megalodon」キャンペーンを、innovaTopiaが今この瞬間に取り上げる理由は明確です。これは単なる一企業を狙った事件ではなく、現代のソフトウェア開発の「土台そのもの」が攻撃面(アタックサーフェス)になったことを示す象徴的な出来事だからです。
The Registerの元記事URLには「55k」と表記されていますが、これは「5.5K(5,500以上)」を指す表現であり、55,000ではない点に注意が必要です。一次情報であるSafeDep社のレポート、およびStepSecurity、The Hacker News、Cybersecurity News等の複数の二次情報源を確認したところ、正確には「5,561のリポジトリに対し、合計5,718件の悪意あるコミットがプッシュされた」という構図です。約6時間で5,718件、つまり1分あたり15件以上のペースで悪意あるコミットが自動的にばらまかれた計算になります。
ここで注目すべきは、攻撃者が使用した手口の「巧妙さの方向性」です。Megalodonは、GitHub Actionsのワークフローファイル(.github/workflows/ci.yml)を、Base64エンコードされたbashペイロードとともに注入します。コミットの作者名は「build-bot」「auto-ci」「ci-bot」「pipeline-bot」など、開発者が日常的に目にする自動化ボットを偽装したものでした。流出データはC2サーバー(216.126.225.129:8443)へ送信される構造です。
つまり攻撃者は「人間の注意力の死角」を正確に突いてきています。多くの開発者は、自身が書いたコードは丁寧にレビューしますが、CI/CDの設定ファイルや、ビルド最適化と称する自動コミットには疑いの目を向けにくいものです。SafeDepの研究者が「コードレビューならこれを検出できるはずだが、npmパッケージ内のワークフローファイルを誰もレビューしていない」と指摘した点は、業界全体への痛烈な警鐘と言えます。
技術的に最も恐ろしいのは「カスケード型の被害拡大」のメカニズムです。Tiledeskの事例が好例で、攻撃者はnpmアカウントには一切触れていません。GitHubリポジトリを汚染しただけで、正規のメンテナーが「汚染されていることを知らないまま」7つのバージョン(2.18.6〜2.18.12)をnpmレジストリへ公開してしまったのです。ここで重要なのは、報道によればTiledeskのケースで悪意あるコードが狙ったのは「npmインストール時の実行」ではなく、開発者側のCI/CDランナー上での実行であった点です。つまり「上流のリポジトリ侵害が、下流のパッケージマネージャーを経由して、利用企業のCI/CD環境で発火する」という、サプライチェーン攻撃の最も厄介な形態が成立しました。
窃取される認証情報の範囲も極めて広範です。AWSシークレットキー、Google Cloudアクセストークン、各クラウドのインスタンスメタデータ、SSH秘密鍵、Docker、Kubernetes、Vault、Terraformの設定情報、そしてGitHubトークンそのもの。一度CI/CDパイプラインで実行されれば、開発者のクラウド上のアイデンティティを丸ごと乗っ取れる威力を持ちます。
ポジティブな側面に目を向けるなら、今回の事件はSafeDepの自動解析エンジン「Malysis」が発見の端緒となった点です。人間によるレビューでは捕捉困難な大規模・高速な攻撃に対し、AIや自動スキャニングツールが防御側の必須インフラとなりつつあることを示しています。攻撃の自動化に対して、防御の自動化で対抗するという「機械対機械」の構図が鮮明になってきました。
長期的視点では、この事件は「オープンソースの信頼モデル」そのものに変革を迫ります。TanStackが侵害を受けてプルリクエストを招待制に変更する動きを検討していると報じられているように、これまでの「誰でも貢献できる」という開放性と、「サプライチェーンの完全性」をいかに両立させるかが、今後数年の最大の技術的・社会的課題になるでしょう。
開発者やCTOにとって、今すぐ取れる対策は明確です。GitHub Actionsをバージョンタグではなく特定のコミットSHAにピン留めすること、外部プルリクエストにワークフロー承認ゲートを設けること、CI/CDランナーがアクセス可能なすべてのシークレットを定期的にローテーションすること。これらは「いつかやろう」ではなく、「今週中にやる」レベルの優先度に引き上げる必要があります。
OX Securityのモシェ・シマン・トフ・ブスタン氏は「これはサプライチェーン攻撃の津波の始まりに過ぎない」と警告しています。innovaTopiaの読者の皆さまにお伝えしたいのは、開発者個人の防御力だけでこの津波に対抗するのは、もはや不可能だということです。プラットフォーム提供者、セキュリティベンダー、そして開発者コミュニティの三者が連携した「集団免疫」の構築が、これからの時代のソフトウェア開発の前提条件になっていきます。
【用語解説】
サプライチェーン攻撃(Software Supply Chain Attack)
ソフトウェアが開発・配布される過程(リポジトリ、パッケージマネージャー、ビルドパイプラインなど)を狙う攻撃手法である。最終製品を直接攻撃するのではなく、その「材料」や「製造工程」を汚染することで、下流の利用者全体に被害を波及させる。
CI/CDパイプライン
Continuous Integration(継続的インテグレーション)とContinuous Delivery(継続的デリバリー)の略称である。コードの変更が自動的にテスト・ビルド・デプロイされる仕組みを指し、現代のソフトウェア開発に不可欠な自動化基盤である。
GitHub Actions
GitHubが提供するCI/CDの自動化サービスである。リポジトリ内のワークフローファイル(.github/workflows/)に従い、コードのプッシュやプルリクエストをトリガーとして自動処理を実行する。
コミット(commit)とプッシュ(push)、マージ(merge)
コミットはコード変更を記録する単位、プッシュはローカルの変更をリモートリポジトリへ送信する操作、マージは別の変更を統合する操作を指す。
PAT(Personal Access Token)とデプロイキー
PATはGitHubへのアクセスを認証する個人用トークン、デプロイキーは特定リポジトリへの限定的アクセスを許可するSSH鍵である。盗まれると、本人になりすました操作を許してしまう。
シークレット(secret)
APIキー、パスワード、トークンなど、外部に漏れてはならない認証情報の総称である。CI/CD環境変数として保存されることが多い。
Base64エンコード
バイナリデータをテキスト形式に変換する符号化方式である。マルウェアが検知を回避するため、悪意あるコマンドを難読化する目的で使われることがある。
C2サーバー(Command and Control Server)
攻撃者が感染端末を遠隔操作したり、窃取データを受信したりするための中継サーバーである。今回のMegalodonでは216.126.225.129:8443が用いられた。
インスタンスメタデータ
AWS、Google Cloud、Azureなどのクラウド上で動作する仮想マシンに付与される、ロールや認証情報を含む内部データである。これを盗まれると、攻撃者がクラウドリソースを自由に操作可能になる。
OIDC(OpenID Connect)トークン
クラウドサービスとの間で認証を行うための標準的なトークンである。GitHub Actionsでも広く利用されている。
TeamPCP
2026年に複数のソフトウェアサプライチェーン攻撃との関連が報じられている脅威アクター名である。Trivy、Checkmarx関連の事案や、自作の「Shai-Huludワーム」のオープンソース化などで言及されてきたが、Megalodonとの直接的な同一性は確認されていない。
Megalodon(メガロドン)
本記事で報じられている、5月18日にGitHub上で展開された自動化攻撃キャンペーンの呼称である。約5,718件の悪意あるコミットが5,561のリポジトリへプッシュされた。命名はSafeDepによる。
【参考リンク】
SafeDep 公式サイト(外部)
オープンソースのサプライチェーンセキュリティを専門とするスタートアップ。Megalodonを最初に発見した企業である。
SafeDep Megalodonレポート(一次情報)(外部)
攻撃の詳細な技術解析と、被害リポジトリ全リストへのアクセスを提供する一次情報レポート。
OX Security 公式サイト(外部)
イスラエル発のアプリケーションセキュリティ企業。PBOM技術を用いたサプライチェーンセキュリティを提供。
GitHub 公式サイト(外部)
Microsoft傘下の世界最大のソフトウェア開発プラットフォーム。今回の攻撃の主戦場となった。
Tiledesk 公式サイト(外部)
オープンソースのライブチャット・チャットボットプラットフォーム。npmパッケージ2.18.6から2.18.12が侵害された。
npm 公式サイト(外部)
JavaScript/Node.jsの世界最大のパッケージレジストリ。Tiledeskの汚染版が配布された経路。
StepSecurity 公式サイト(外部)
GitHub Actionsのセキュリティを専門とする企業。Megalodonの詳細な分析を公開している。
【参考記事】
Megalodon: Mass GitHub Repo Backdooring via CI Workflows(SafeDep)(外部)
2026年5月18日UTC 11:36から17:48の6時間で5,718件のコミットが5,561リポジトリへプッシュされたこと、C2サーバーが216.126.225.129:8443であること、攻撃者の偽装アカウント(build-bot、auto-ci、ci-bot、pipeline-bot)、悪意あるコミットID(acac5a9)などを一次情報として詳細に報告している。
Megalodon Malware Compromised 5,500+ GitHub Repos Within 6 Hours(Cybersecurity News)(外部)
被害規模(5,718件のコミット、5,561リポジトリ、6時間以内)、防御策(ワークフローファイルの監査、シークレットのローテーション、特定コミットSHAへのピン留めなど)を詳細に紹介している。SafeDepのMalysisエンジンがTiledesk 2.18.12内のBase64ペイロードを検出したことを報じた。
Megalodon GitHub Attack Targets 5,561 Repos with Malicious CI/CD Workflows(The Hacker News)(外部)
窃取対象データの完全リスト(CI環境変数、各クラウドのメタデータ、30種類以上のシークレット正規表現パターン)を網羅的に解説。5,700以上のリポジトリ侵害が攻撃者にとってオンデマンドトリガーに十分なターゲット数を提供する点を分析している。
Megalodon: Mass GitHub Actions Secret Exfiltration Across 5,500+ Public Repositories(StepSecurity)(外部)
被害組織の具体的内訳(Tiledesk 9リポジトリ、Black-Iron-Project 8リポジトリ、WISE-Communityなど)と、SafeDepが公開した5,718件のコミットデータセットmegalodon-campaign-commits.csvに関する情報を提供している。
Megalodon stalks over 5,000 GitHub repos in new assault on open source(Cybernews)(外部)
TiledeskのリポジトリでBackdoorが7つのnpmバージョンに伝播した経緯と、SafeDepの「コードレビューならこれを検出できるが、npmパッケージ内のワークフローファイルを誰もレビューしていない」という指摘を中心に報じている。
New Megalodon Malware Hits Thousands of GitHub Projects(SQ Magazine)(外部)
5,700件超のコミットと5,561リポジトリの数字を扱い、SafeDepおよびOX Securityによる共同発見であること、攻撃者が継続的に新たな悪意あるリポジトリをアップロードして除去作業を困難にしている点を解説している。
【関連記事】
GitHub内部リポジトリ約3,800件が流出 — 悪意あるVS Code拡張機能から始まった侵害をTeamPCPが主張
今回のMegalodon記事冒頭で言及している「先行するTeamPCP攻撃(約3,800リポジトリ)」の本体記事。直接的な前段事案として最も近い。
AntV系323パッケージにMini Shai-Hulud侵入―ソース公開で攻撃が産業化
TeamPCP系のサプライチェーン攻撃が「産業化」した文脈を分析した記事。Megalodonが「TeamPCPの模倣犯」と位置づけられる背景理解に直結する。
TeamPCPがShai-HuludワームをGitHubでオープンソース化、MITライセンスでマルウェアが「民主化」される異例の事態
TeamPCPのワーム公開と「サプライチェーン攻撃コンテスト」がMegalodon登場の伏線となった事案。
OpenAI、TanStack npmサプライチェーン攻撃で社員端末2台が侵害—macOS版ChatGPT等は6月12日までに更新必須
npm経由のサプライチェーン攻撃事例。Megalodonにおける用語解説のCI/CDパイプライン定義などとも整合している。
「信頼できるパッケージ」が崩壊?Shai-Hulud 2.0が示すnpmサプライチェーン攻撃の新段階
Shai-Hulud系攻撃の構造解説。GitHub Actionsを悪用する手法の歴史的経緯を理解する基礎記事。
「守る側」が繰り返し狙われる理由|Trellix ソースコードリポジトリ侵害
Trivy/Checkmarx関連攻撃(Megalodon記事で「TeamPCPの過去攻撃」として言及)の詳細。
【編集部後記】
今回のMegalodonは、私たちが普段あまり目を向けない「ビルドの自動化ファイル」という死角を突いた攻撃でした。みなさんが関わっているプロジェクトのCI/CD設定、最後にじっくり確認したのはいつでしょうか。あるいは、何気なく依存している小さなオープンソースライブラリの「上流」が、どこから来ているのか考えてみたことはありますか。
便利さと引き換えに私たちが受け入れているものを、一緒に見つめ直すきっかけになれば嬉しいです。
