「開発者は、組織における「本丸」とも言える機密資産、すなわち知的財産、クラウドインフラ、CI/CDパイプラインへの鍵を握っています」と、Black DuckのAIリサーチエンジニアであるヴィニータ・サンガラジュは筆者に語った。さらに、開発者はその業務上、「ソフトウェアを自由にダウンロードし、インストールできる必要があります」と警告した。
それこそが、開発者をこの種の攻撃キャンペーンにとって極めて価値の高い標的にしている理由だ。「開発者のワークステーションが1台侵害されても、被害はそこで収まりません」とサンガラジュは述べた。「そこからソースコードリポジトリ、クラウド環境、さらには下流のソフトウェアへと広がっていきます」。だからこそ、この脅威には、直ちに実効性のある対応が必要になる。
サンガラジュによれば、解決策は力任せのブロックや、ファイアウォールルールをさらに1つ追加することではない。むしろ、信頼されたネイティブのシステムコンポーネントが悪用される可能性を前提にした検知戦略を見直すことにある。
「この研究は、PowerShellの活動を制限し、継続的に監視すること、開発チェーン内の難読化されたコンポーネントを検知すること、新規登録ドメインをフィルタリングすることなど、具体的な管理策を示しています」とサンガラジュはいう。
一方、Viakoo Labsの副社長であるジョン・ギャラガーは、組織は全社規模で認証情報を自動的にローテーションする方法に注力すべきだと助言した。「たとえ管理者のブラウザ認証情報が盗まれたとしても、OT/IoT(運用技術/モノのインターネット)向けに自動化された認証情報管理の仕組みを備えていれば、パスワードが頻繁に変更され、コンプライアンス(規程順守)も維持されます。これにより、ワークステーション侵害による『被害範囲』を限定できます」とギャラガーは述べた。
そして何よりも、インストーラーは必ずClaude Codeの公式サイトからのみダウンロードすべきだ。
