2026/03/20 12:30

Trivy エコシステム・サプライチェーン – 簡潔に脆弱化されたケース - Trivy はコンテナイメージ、ファイルシステム、Git リポジトリを対象としたオープンソースの脆弱性スキャナーです。 - サプライチェーン攻撃は、Trivy が処理する際に利用される人気パッケージや依存関係に悪意あるコードが注入されたケースです。 - 侵害されたアーティファクトがエコシステム内に入り込むと、そのパッケージを直接または間接的に使用しているすべてのプロジェクトが隠れた脆弱性に曝される恐れがあります。 - 検出は、Trivy がイメージレイヤーや設定ファイル、パッケージの系譜（provenance）を解析する能力に依存します。 - 対策としては、依存関係の定期的な更新、パッケージ署名の検証、および統合前に改ざんがないかチェックする堅牢化されたビルドパイプラインの導入が推奨されます。

RSS: https://news.ycombinator.com/rss

要約▶

Japanese Translation:

概要:
2026年3月19日に、脅威アクターがAquasecurityのTrivyエコシステムを乗っ取り、侵害された認証情報を使用して悪意あるコミットを強制プッシュしました。攻撃者は

aquasecurity/trivy-action

の77タグ中76タグをプッシュし、

aquasecurity/setup-trivy

の7つのタグすべてをクレデンシャル窃盗マルウェアに置き換えました。サプライチェーン侵害は2月末から始まり、GitHubの認証情報ローテーションが3月1日に原子操作で実行されなかったため、攻撃者は短時間のウィンドウ内で新しくローテートされたシークレットを読み取ることができました。
悪意あるTrivy v0.69.4リリース（最新タグ）はGHCR、ECR Public、Docker Hub、deb/rpmパッケージ、および公式ダウンロードサイト経由で配布されました。露出ウィンドウは以下の通りです：trivy v0.69.4（約3時間 2026年3月19日）、trivy‑action（約12時間 17:43 UTC 3月19日〜05:40 UTC 3月20日）、setup‑trivy（約4時間 2026年3月19日）。
trivy‑action内の情報盗難ツールはRunner.Workerメモリをダンプし、50以上のファイルシステムパスから秘密情報を収集、AES‑256‑CBC + RSA‑4096で暗号化して攻撃者インフラに送信するか、入力PATが提供されていれば公開

tpcp‑docs

リポジトリを作成します。setup‑trivyの7つのタグはすべて置き換えられ、悪意あるaction.yamlは約4時間以内に削除され、v0.2.6は安全に再生成されました。
Trivyをv0.69.3以前（2026年3月3日に有効化されたイミュータブルリリースで保護）に固定したユーザー、ダイジェストで画像をプルし、trivy‑action@0.35.0（2026年3月4日に有効化されたイミュータブルリリース）を参照していたか、安全なコミットSHAに固定していた場合は影響を受けませんでした。

推奨アクション:
既知の安全バージョン（Trivy v0.69.2/0.69.3、trivy‑action v0.35.0、setup‑trivy v0.2.6）に更新し、曝露される可能性のあるすべてのシークレットをローテーションしてください。2026年3月19日〜20日のTrivy使用とGitHub Action参照を監査し、

tpcp‑docs

リポジトリを検索し、Actionsを完全SHAハッシュに固定します。バイナリはsigstore署名で検証し、コンテナイメージはcosign/rekorチェックで確認してください。修復後、元のタグ0.0.1–0.34.2は再生成できません。新しいvプレフィックス付きタグは正当なコミットを参照しますが、3つのタグ（v0.0.10、v0.34.1、v0.34.2）は未復元です。

本文

概要
2026年3月19日、脅威アクターが流出した認証情報を使用して悪意のある Trivy v0.69.4 リリースを公開し、

aquasecurity/trivy-action

の 77 タグのうち 76 を認証情報窃盗マルウェアへ強制プッシュし、さらに

aquasecurity/setup-trivy

のすべてのタグ（7 本）を悪意あるコミットに置き換えました。

根本原因
このインシデントは2026年2月下旬から始まったサプライチェーン攻撃の継続です。3月1日の初期公開後、認証情報はローテーションされましたが、アトミックに行われていなかったため、攻撃者は有効なトークンを使ってローテーション期間（数日間）中に新しくローテートされたシークレットを外部転送できました。これにより、3月19日の攻撃を実行する権限を保持できます。

対象コンポーネント

コンポーネント	タイプ	対象バージョン	修正済みバージョン
`aquasecurity/trivy`	Go / コンテナイメージ	0.69.4（最新タグも影響）	0.69.3
`aquasecurity/trivy-action`	GitHub Actions	タグ 0.0.1 – 0.34.2（76/77）	0.35.0（未影響）
`aquasecurity/setup-trivy`	GitHub Actions	すべてのタグ (v0.2.0 – v0.2.6)	v0.2.6（安全に再作成）

エクスポージャウィンドウ

コンポーネント	開始 (UTC)	終了 (UTC)	時間
trivy v0.69.4	2026‑03‑19 18:22	2026‑03‑19 21:42	約3時間
trivy-action	2026‑03‑19 17:43	2026‑03‑20 05:40	約12時間
setup-trivy	2026‑03‑19 17:43	2026‑03‑19 21:44	約4時間

攻撃詳細

Trivy v0.69.4 バイナリとコンテナイメージ

攻撃者は次の手順で悪意あるリリースを作成しました。

コミット 1885610c をプッシュし、
```
actions/checkout
```
の参照を偽装コミット 70379aad に差し替えました。このコミットには、typosquatted ドメインから悪意ある Go ソースファイルをダウンロードするコンポジションアクションが含まれています。
goreleaser の
```
--skip=validate
```
を追加してバイナリ検証を回避しました。
このコミットに v0.69.4 タグを付与し、リリースパイプラインをトリガーしました。

流出したリリースは GHCR、ECR Public、Docker Hub（v0.69.4 と latest 両方）、deb/rpm パッケージ、および

get.trivy.dev

で配布されました。

trivy-action タグハイジャック

攻撃者は 77 バージョンタグのうち 76 を強制プッシュし、

entrypoint.sh

に情報窃盗マルウェアを注入しました。コードは以下のように動作します。

```
/proc/<pid>/mem
```
を介して Runner.Worker のプロセスメモリからシークレットを抽出。
SSH キー、クラウド認証情報、Kubernetes トークン、Docker 設定、
```
.env
```
ファイル、データベース資格情報、暗号通貨ウォレットなど、50 以上のファイルシステムパスを検索。
AES‑256‑CBC と RSA‑4096 ハイブリッド暗号で収集データを暗号化。
攻撃者管理インフラへ送信。
エクスポートが失敗し
```
INPUT_GITHUB_PAT
```
が設定されている場合、被害者の GitHub アカウントに公開
```
tpcp‑docs
```
リポジトリを作成し、盗まれたデータをリリースアセットとしてアップロードします。

setup-trivy リリース置き換え

すべての既存タグ（v0.2.0 – v0.2.6）に対して悪意あるコミットが強制プッシュされました。悪意ある

action.yaml

には同様の情報窃盗マルウェアが含まれ、Trivy の正規インストール前に実行される「Setup environment」ステップとして注入されていました。

約4時間ですべての悪意あるリリースを削除し、安全な内容で v0.2.6 を再作成しました。v0.2.0 – v0.2.5 は復元していません。

影響を受けないケース

trivy を v0.69.3 またはそれ以前に固定したユーザー
- v0.69.3 は GitHub の不変リリース機能（2026年3月3日有効化、v0.69.3 公開前）で保護されています。
- v0.69.2 はこの設定以前ですが、Sigstore シグネチャにより整合性を検証可能です。
コンテナイメージをダイジェストでプルしたユーザー
```
trivy-action@0.35.0
```
を使用したユーザー – 不変リリース（2026年3月4日有効化）により保護され、タグハイジャックの影響を受けません。
trivy‑action または setup‑trivy を安全なコミット SHA に固定しているユーザー

推奨対策

安全バージョンへの更新

コンポーネント	安全バージョン
Trivy バイナリ	v0.69.2, v0.69.3
trivy-action	v0.35.0
setup-trivy	v0.2.6

すべての潜在的に露出したシークレットをローテーション

影響を受けたバージョンが稼働していた場合、アクセス可能なすべてのシークレットは漏洩済みと見なし、直ちにローテートしてください。

Trivy バージョン監査

組織内で trivy v0.69.4 をプルまたは実行したか確認し、影響を受けたアーティファクトを即座に削除します。

GitHub Actions 参照の監査

aquasecurity/trivy-action

または

aquasecurity/setup-trivy

を使用しているすべてのワークフローをレビュー。バージョンタグではなく完全なコミット SHA を指定していない場合、2026年3月19–20日の実行ログで妥当性チェックを行ってください。

エクスポートアーティファクト検索

GitHub 組織内に

tpcp-docs

というリポジトリが存在するか確認します。これが見つかった場合、フォールバックエクスポート機構が作動しシークレットが盗まれた可能性があります。

GitHub Actions を完全 SHA に固定

アクションを完全で不変のコミット SHA ハッシュに固定し、可変タグは避けてください。詳細は GitHub Docs を参照。

注意: 元のタグ（0.0.1 – 0.34.2）は対策中に削除されました。攻撃者が強制プッシュしたため、GitHub では同じ名前で再作成できません。新しいタグは
v
プレフィックス付きで公開されています（例：
aquasecurity/trivy-action@v0.34.0
）。0.35.0 より古いバージョンを参照する必要がある場合は、
v
プレフィックス付きタグを使用してください。

既存インストールの検証方法

バイナリ検証

# バイナリと Sigstore バンドルをダウンロード
curl -sLO "https://github.com/aquasecurity/trivy/releases/download/v0.69.2/trivy_0.69.2_Linux-64bit.tar.gz"
curl -sLO "https://github.com/aquasecurity/trivy/releases/download/v0.69.2/trivy_0.69.2_Linux-64bit.tar.gz.sigstore.json"

# シグネチャを検証
cosign verify-blob \
  --certificate-identity-regexp 'https://github\.com/aquasecurity/' \
  --certificate-oidc-issuer 'https://token.actions.githubusercontent.com' \
  --bundle trivy_0.69.2_Linux-64bit.tar.gz.sigstore.json \
  trivy_0.69.2_Linux-64bit.tar.gz
# => Verified OK

# シグネチャタイムスタンプを確認
date -u -d @$(jq -r '.verificationMaterial.tlogEntries[].integratedTime' trivy_0.69.2_Linux-64bit.tar.gz.sigstore.json)
# => Sat Mar 1 19:11:02 UTC 2026

コンテナイメージ検証

# シグネチャを検証し、イメージダイジェストを取得
cosign verify \
  --certificate-identity-regexp 'https://github\.com/aquasecurity/' \
  --certificate-oidc-issuer 'https://token.actions.githubusercontent.com' \
  --new-bundle-format \
  ghcr.io/aquasecurity/trivy:0.69.2

# ダイジェストを取得し、Rekor を使ってすべてのシグネチャタイムスタンプを確認
DIGEST=$(cosign verify \
  --certificate-identity-regexp 'https://github\.com/aquasecurity/' \
  --certificate-oidc-issuer 'https://token.actions.githubusercontent.com' \
  --new-bundle-format -o json ghcr.io/aquasecurity/trivy:0.69.2 2>/dev/null | \
  jq -r '.[0].critical.image."docker-manifest-digest"')

rekor-cli search --sha "$DIGEST" | grep IntegratedTime
# => All timestamps on Mar 1, before the attack on Mar 19

参考文献

Issue #10425 – “v0.69.4 リリースアーティファクトが公開され始めた時点。”
当社監査ログで観測された最初の疑わしい活動。

同じ日のほかのニュース

一覧に戻る →

2026/03/22 5:32

子ども保護をインターネットアクセス制御に変えるな。

## Japanese Translation: ** ``` ## Summary この記事は、年齢確認が成人向けコンテンツサイトを越えて、ヨーロッパ・米国・英国・オーストラリアなどの主流サービス（ソーシャルメディア、ゲーム、検索等）へと拡大していることを論じている。規制当局は、OS が永続的に「年齢ステータス」を保持し、システムレベルのインターフェースで公開するよう求めており、これによりすべてのデバイスに適用される一般的なアイデンティティ層が作られる。Linux の systemd は既に年齢保証法への対応としてオプションの `birthDate` フィールドを追加していることから、OS 変更は規制によって駆動されていることが示されている。成人サイトでの過去の施行は、ユーザーが VPN、借用アカウント、偽データでチェックを回避できたため失敗した。提案された OS レベルのアプローチは、コンテンツモデレーションと保護者責任を混同し、有害なコンテンツ問題を純粋に技術的なものとして扱うリスクがある。一度確立されれば、このアイデンティティ層は位置情報や国籍など他の属性へ拡張でき、規制当局が将来の恐慌時に再利用するゲートとなる可能性がある。ユーザーにとって、新しいインフラストラクチャはアイデンティティチェック、メタデータログ、ベンダー間での摩擦を追加し、信頼できるデバイスや書類を持たない人々には特に厳しくなる。企業側では、子ども保護の責任がプラットフォーム・ブラウザ・アプリストア・OS ベンダー・アイデンティティ仲介者へと移転し、現地の親や教育者の判断力を侵食する。著者は、コンテンツモデレーションはローカル（ブラウザ／デバイス／学校ネットワーク）に留め、保護者・教師との監督を維持し、OS はポリシー表面としてのみ使用すべきであり、普遍的な年齢放送層とならないようにすることを訴えている。規制は推奨システム、ダークパターン、依存性メトリクス、拡大を報酬化するビジネスモデルに焦点を当て、全体的なアイデンティティチェックの実施ではなく、これらを対象とすべきだ。 ```

2026/03/22 5:08

TinyBox – オフライン AI デバイス（120 B パラメータ）

## Japanese Translation: Tinycorpのフラッグシッププロジェクトは **Tinygrad** で、エレメントワイズ演算（Unary、Binary、Ternaryを含む）、ReduceOps、および MovementOps の3つのコア操作タイプを中心に構築された軽量ニューラルネットワークフレームワークです。SQRT、LOG2、ADD、MUL、WHERE、SUM、MAX、RESHAPE、PERMUTE、EXPAND などの一般的な数学関数をサポートし、コード内で畳み込みと行列乗算が隠れています。Tinygrad は既に Snapdragon 845 GPU 上で Openpilot モデルを実行するために使用されており、従来の SNPE スタックを置き換えるとともに ONNX サポート、トレーニング機能、注意メカニズム、および推論と逆伝搬の完全な自動微分を追加しています。同社のフラッグシップハードウェア **Tinybox** は、赤・緑・黒・（近日発売予定）エクサの複数構成で提供されています。主要スペックは以下の通りです：FP16/FP32 加速 FLOPS が 778 TFLOPS / 3 086 TFLOPS（約 1 EXAFLOP）、最大 25 920 GB GPU RAM、GPU 帯域幅 1 244 TB/s、PCIe 5.0 x16 ファブリック、32 コア AMD EPYC/GENOA CPU、最大 23 040 GB システム RAM、480 TB RAID ディスク、53.2 TB/s スケールアウトネットワーク、電力オプションは 1.6 kW〜600 kW、Ubuntu 24.04 OS、12U または独立型ラックマウントフォームファクター。価格は赤/緑モデルが $12 000、黒/ウェレックスボックスが $65 000 で、エクサモデルは 2027 年頃に約 $10 百万で発売予定です。Tinybox はディープラーニング分野で最高のパフォーマンス／ドル比を実現すると市場にアピールしており、MLPerf Training 4.0 ベンチマークでは価格が 10 倍高いシステムを上回っています。注文は同社ウェブサイトから行い、支払後 1 週間以内に発送（サンディエゴでの受け取りまたは世界配送）が可能です。支払いは銀行振込のみで、W‑9 フォームはリクエスト時に提供できますが、購入後のカスタマイズは許可されていません。 Tinygrad は現在アルファ版ですが、来年第2四半期までに単一 NVIDIA GPU および Apple の M1 を上回ることを目指しており、推論とトレーニングの両方のワークロードに対して高性能で軽量な代替案としての可能性を示しています。

2026/03/22 9:30

**コメントをもとにしたハッカーニュース利用者のプロファイリング**

## Japanese Translation: Simon Willison（Django、Datasetteの共同開発者であり、Python Software Foundationボードに在籍する独立系ソフトウェア開発者）は、AlgoliaのHacker News APIとClaude大規模言語モデルを使用して自身のコメント履歴を収集・分析し、詳細な個人プロフィールを生成する方法を示しています。APIはCORSを有効にした状態で日付順にコメントをリストアップします。カスタムツール（2023年8月に構築）は最新の最大1,000件のコメントを取得し、Claudeで洗練されたコピー・トゥー・クリップボードボタンを提供します。ダンプデータをClaude Opus 4.6へ貼り付けると、モデルはオンライン活動の包括的なプロファイルを作成します。 Willisonのより広範なワークフロー―「エージェント工学」に根ざしたもの―では、iPhoneでClaude Codeを使用してウェブタスクをコーディングしながら通勤中に2〜3つの並列エージェントセッションを$200/月のClaude Maxプランで実行し、テスト駆動開発（`uv run pytest`）でそれらを安定化させています。彼はサンドボックス/セキュリティ（WebAssembly、Pyodide、Firecracker）、SQLite、uv & PyPIトリック、ブラウザ内のブラウザテスト（`v86`、WASM Linux）、ローカルLLM推論、およびコーディングエージェントを通じてGoを学習する実験に積極的です。彼は「プロンプトインジェクション」という概念を創出し、半年以内にヘッドラインを揺さぶる攻撃の可能性を警告するとともに、OpenClaw/Clawdbotに関するリスクも指摘しています。 Willisonはsimonwillison.net/guidesでエージェント工学に関するガイドを公開予定であり、自身の手法がLLMをプログラマの代替ではなく補完として活用し、将来の開発者ワークフローやAI支援コーディングのセキュリティ実践、責任あるAIに関する議論を形成できることを示すことを期待しています。個人的なタッチとしては、彼のエネルギッシュで対立的なスタイル、透明性の高いバイアス、そして自虐的な「ペリカンベンチマーク」SVGテストがあり、ニッチな博物館、新西蘭のカカポオウム、外国料理、そしてカリフォルニア州ハーフムーン・ベイでの園芸を楽しんでいます。