「インベントリ」という新しい防衛線

　バイブコーディング時代の分散ランタイムをどう守るか

要旨
サプライチェーン攻撃の起点は、中央集権リポジトリから「分散した開発者エンドポイント」へ移動している。Shai-Hulud、GlassWorm はその象徴である。バイブコーディングによって個々の開発者の手元に増殖した「非統制ランタイム」は、SBOMやCI/CDが見えない盲点だ。これを資産として継続的に棚卸しする「インベントリ」という新しいパラダイムが、SDLCセキュリティの第四の柱として求められている。

起点となった出来事

2025年9月、npm エコシステムを震撼させた自己増殖型ワーム「Shai-Hulud」が、サプライチェーン攻撃の様相を一変させた。盗み出された資格情報を使って数百のパッケージを連鎖的に汚染した自己複製ワームであり、その後継「Shai-Hulud 2.0」では、2万5,000以上のリポジトリ、約350ユーザーに影響を及ぼす規模に拡大した。Zapier、PostHog、Postman など主要プロバイダーのパッケージにも到達し、preinstall フェーズで実行されるため、テストやセキュリティチェックが走る前にコードが起動する——インストールした瞬間に資格情報を奪われる構造である。

派生種である Mini Shai-Hulud に至っては、攻撃ベクトルが開発者ローカル環境の奥深くに踏み込んでいる。汚染されたリポジトリで Claude Code セッションを開始すると、.claude/settings.json がドロッパーを起動する——npm install すら不要で、AIコーディングツールのローカル設定ファイル自体が攻撃面になっている。

同じ時期、VSCode / Open VSX 拡張機能を標的とする自己伝播型ワーム「GlassWorm」も観測された。Unicode の variation selector を用いて、コードエディタ上では空白にしか見えない不可視文字に悪意あるコードを埋め込む手口で、npm、GitHub、Open VSX、Git の資格情報を窃取し、49種類の暗号通貨ウォレット拡張を標的にしながら、3万5,800台の開発者マシンを感染させた。C2 には Solana ブロックチェーン、フォールバックには Google Calendar が使われている——インフラのテイクダウンすら困難な設計だ。

注目すべきは、攻撃の起点が「中央集権的なリポジトリ」から「分散した開発者エンドポイント」へと確実に移動していることである。

中央集権SDLCの暗黙の前提

これまで企業のサプライチェーンセキュリティは、「コードは GitHub（あるいは GHE）に集約され、CI/CD で標準化されたパイプラインを通って本番にデプロイされる」という暗黙の前提に立っていた。SBOM、Snyk、Dependabot、Endor Labs といった主要ソリューションは、いずれも build artifact とリポジトリの依存関係を中心に組み立てられている。これらは「出荷物に何が含まれているか（what shipped）」を観測する点では有効だ。

しかし、いま現れている攻撃の多くは、出荷物の手前——あるいは出荷物の外側——で発生している。SBOM は出荷物に対する問いに答え、EDR はプロセスとネットワーク挙動に対する問いに答えるが、サプライチェーン対応で本当に必要なのは、ロックファイル、パッケージマネージャのメタデータ、拡張機能のマニフェスト、開発者ツールの設定といった、散在するローカル状態の可視化である。VSCode 拡張、Open VSX、npm のローカルキャッシュ、MCP コンフィグ、AIエージェントの設定ファイル——これらは中央の GitHub にも CI/CD ログにも現れない。

バイブコーディングが生み出した「非統制ランタイムの大量発生」

ここに第二の変数が重なる。Claude Code、Cursor、Codex、Anthropic Computer、Perplexity Comet——AIコーディングツールとローカルエージェントの普及により、開発者一人ひとりの手元に「小さなランタイム」が大量に生まれた。それぞれが独自のパッケージマネージャを動かし、独自の拡張機能を呼び込み、独自の MCP サーバを立ち上げる。

これは見方を変えれば、分散・非統制下の「野良リポジトリ」と「野良ランタイム」が組織内に増殖している状態に他ならない。中央の GitHub Enterprise には現れず、CI/CD ログにも残らない計算資産が、生産性向上と引き換えに増え続けている。

SaaS の世界でかつて起きたシャドーIT 問題と、構造はほぼ同じである。違うのはリスクの性質だ。シャドーSaaS は「データ持ち出し」が主リスクだったが、シャドー開発ランタイムは、任意コード実行を伴うペイロードの取り込み口になっている。アタックサーフェスの非対称性は桁違いに大きい。

「インベントリ」というセキュリティパラダイム

ここで必要になるのが、SBOM を超えた「インベントリ（在庫）」という概念である。SBOM が「出荷時点のスナップショット」だとすれば、インベントリは「今この瞬間、組織のどこに何が在るか」という継続的な棚卸しを意味する。
この方向で象徴的な動きが、直近で立て続けに現れている。

Reco（reco.ai）— SaaS層のインベントリ
Reco は SaaS 層における Dynamic SaaS Security を掲げ、n8n ワークフロー、ChatGPT 統合、Copilot 連携、Cursor によるリポジトリアクセス、Salesforce の Agentforce など、各種プラットフォームが生成するサービスアカウントと API トークンを横断的に発見・マッピングする。非人間アイデンティティ（NHI）を作成した人間に紐づけ、orphan 化や stale 化を検知する——「組織のSaaS表面」全体を在庫化するアプローチである。

Perplexity Bumblebee（perplexityai/bumblebee）— 開発者エンドポイント層のインベントリ
Bumblebee は、その思想を開発者エンドポイントに持ち込んだ。read-only のインベントリ収集ツールとして、macOS / Linux 開発者マシン上のパッケージ、拡張機能、開発者ツール設定（Claude Code、Codex、Cursor、MCP コンフィグなど）の on-disk メタデータをスキャンする。セキュリティチームが自前の脅威カタログ（ecosystem、パッケージ名、影響バージョンを記した JSON）を投入すると、Bumblebee がマッチした findings を発出する。スキャンプロファイルは baseline（標準的なラップトップ全体）、project（特定リポジトリ／ワークスペース）など複数を備え、運用は組織側の MDM やフリートツーリングに乗せて回す設計——つまり、デバイス管理と連動して動くことが前提になっている。

ここから読み取るべきは、「インベントリ」が単一の製品カテゴリではなく、複数のレイヤーをまたぐパラダイムだということである。

▼ インベントリ三層モデル

従来型の中央集権・シングルテナント前提の SDLC ソリューションは依然として必要だが、それだけでは攻撃面の半分しか観測できない時代に入っている。

経営インプリケーション

CxO にとっての問いはシンプルである——「我々の組織の開発者の手元には今、何が動いているか」。Shai-Hulud 2.0 のような事案が発生したとき、この問いに数日以内に答えられない組織は、影響範囲を特定するだけで数週間を要する。「該当者は申告してください」というメールが、唯一の対応手段になる。

インベントリ思想への投資は、ZTNA や EDR の代替ではなく、それらの前段にある「可視性」の問題を解く投資である。MDM（デバイス）、CASB / ZTNA（セッション）、SCA（リポジトリ）という従来の三層に加え、分散ランタイムを資産として在庫化する仕組みを第四の柱として組み込むタイミングに来ている。

参考

• Palo Alto Networks Unit 42, “Shai-Hulud Worm Compromises npm Ecosystem in Supply Chain Attack”
• Wiz Research, “Sha1-Hulud 2.0 Supply Chain Attack: 25K+ Repos Exposed”
• Upwind, “Mini Shai-Hulud npm Worm: Dissecting a Multi-Vector Supply Chain Attack”
• Koi Security / The Hacker News, “Self-Spreading GlassWorm Infects VS Code Extensions”
• Perplexity, “Perplexity Is Open-Sourcing Bumblebee”（github.com/perplexityai/bumblebee）
• Reco AI, “Application Discovery for SaaS & Shadow IT”（reco.ai）