インシデント

Sigstore・cosign で「改ざんされていない」を検証した仕組み

Sigstore・cosign で「改ざんされていない」を検証した仕組み

本記事は、 「Trivy サプライチェーン攻撃:FutureVuls 配布バイナリの安全性検証レポート」の解説編です。検証レポートで実行した cosign verify や Rekor 透明性ログ検索が内部で何をしているのか、その信頼の仕組みを支える Sigstore エコシステム(Cosign / Fulcio / Rekor)を体系的に解説します。 この記事で扱うこと 2026 年 2 月 27 日〜3 月 2 日にかけて、hackerbot-claw と名乗る AI 自律型ボットが GitHub...
hackerbot-clawが狙った7リポジトリ — 攻撃直前の OpenSSF Scorecardを検証する

hackerbot-clawが狙った7リポジトリ — 攻撃直前の OpenSSF Scorecardを検証する

この記事の経緯 2026年2月24日、FutureVuls の定期リリースで trivy v0.69.1 のバイナリを GitHub Releases から取得しました。その4日後、trivy リポジトリが hackerbot-claw を名乗る自律型 AI エージェントによって侵害されました。バイナリの真正性検証を行い、改ざんがなかったことを確認してインシデント対応をクローズしています(検証レポート)。
Trivy サプライチェーン攻撃(第2波・3/19発生):FutureVuls 影響調査レポート

Trivy サプライチェーン攻撃(第2波・3/19発生):FutureVuls 影響調査レポート

※2026/03/25(水)「GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド」 を追加で公開しています。
Prev
1
Next

カテゴリー