パスワード管理ツール「Bitwarden」のコマンドラインインターフェース(CLI)において、サプライチェーン攻撃が確認されました。対象となるバージョン「2026.4.0」には、仮想通貨ウォレットの秘密鍵や機密情報を窃取する悪意のあるコードが含まれていました。開発環境や自動化プロセスにおけるセキュリティ上の重大なリスクとなるため、Web3業界のビジネスパーソンやエンジニアは注意が必要です。
攻撃の概要と対象バージョン
Bitwarden CLIのバージョン「2026.4.0」が、サプライチェーン攻撃(ソフトウェアの供給過程を狙った攻撃)により侵害されたことが判明しました。この攻撃は、BitwardenのCI/CD(ソフトウェアのビルドやテストを自動化するプロセス)パイプラインにおけるGitHub Actionが悪用されたことによって発生したと見られています。
対象となる悪意のあるパッケージは、2026年4月22日の午後5時57分から午後7時30分(東部標準時)までの短期間、npm(JavaScriptのパッケージ管理システム)を通じて配布されていました。現在、このバージョンはnpmから削除されていますが、当該期間中にインストールまたはアップデートを行ったユーザーは影響を受けている可能性があります。
標的となった情報と技術的な背景
今回の攻撃では、以下の機密情報が標的とされています。
- 仮想通貨ウォレットの秘密鍵
- SSHキー(サーバー接続用の鍵)
- CI/CDのシークレット情報(APIトークンや環境設定ファイルなど)
- GitHubおよびnpmのトークン
- シェルの実行履歴
技術的な詳細として、パッケージ内の「bw1.js」というファイルに悪意のあるコードが混入されていたことが報告されています。このコードは、実行環境の「.env」ファイル(機密情報を記した設定ファイル)などをスキャンし、窃取したデータを外部のドメインへ送信する仕組みとなっていました。
Bitwarden側の初期調査によれば、エンドユーザーが保管庫に保存しているパスワードなどのデータ自体が直接アクセスされたり、リスクにさらされたりした形跡は見つかっていないとされています。しかし、開発者が自動化やスクリプト作成のために利用するCLIツールが侵害されたことで、開発環境全体のセキュリティが脅かされる事態となっています。
業界への影響と重要性
今回の事案は、Web3業界にとってサプライチェーンの脆弱性が直接的な資産流出に繋がるリスクを浮き彫りにしました。特に仮想通貨プロジェクトやブロックチェーン関連企業では、秘密鍵やAPIキーを環境変数として扱うケースが多く、信頼している開発ツールを経由した攻撃は致命的な影響を及ぼす可能性があります。
今回の攻撃は、Checkmarx(セキュリティ企業)が指摘する広範なサプライチェーン攻撃キャンペーンの一環と見られています。信頼されたソフトウェアであっても、その配布プロセスが侵害される可能性があることを前提とした、より厳格な依存関係の管理とセキュリティ対策の必要性が改めて示されました。
ポイント
- Bitwarden CLIのバージョン2026.4.0に、機密情報を窃取する悪意のあるコードが混入されました。
- 仮想通貨ウォレットの秘密鍵、SSHキー、環境変数(.env)などが主な窃取対象となっています。
- 攻撃はBitwardenのCI/CDパイプラインを悪用し、npmを通じて配布されました。
- 該当する悪意のあるバージョンはすでに配布元から削除されていますが、特定期間内の利用には注意が必要です。
- 開発ツールを狙ったサプライチェーン攻撃は、Web3プロジェクトの資産管理において重大な脅威となる点で注目されます。