AIコーディングエージェントとGitHubという「現場」を理解する
本件を正しく理解するには、まず現代のソフトウェア開発がどのような「部品の組み合わせ」で成り立っているかを押さえておく必要がある。今日のアプリケーションは、開発者が一行ずつ自前で書いているわけではない。実体は、世界中の他人が書いた無数のオープンソース部品(パッケージ)を取り寄せて組み上げた「組み立て製品」である。JavaScript向けの部品倉庫がnpm、Python向けがPyPIと呼ばれる公開レジストリで、ひとつのWebアプリが数百から数千の部品を芋づる式に取り込むことも珍しくない。これらの部品の設計図や履歴を保管している世界最大の置き場が、Microsoftが2018年に買収したGitHubである。
この「組み立て製品」という構造は効率的だが、決定的な弱点を抱えている。よく使われる部品ひとつに毒を仕込めば、それを取り寄せた下流の何万もの開発者・企業に毒が一斉に回るのだ。これが「ソフトウェアサプライチェーン攻撃」と呼ばれるもので、近年のサイバーセキュリティで最も深刻視されている攻撃類型である。標的は個々の企業ではなく、皆が共有して信頼している「蛇口」そのものになる。
そして2026年、この構図に新しい登場人物が加わった。Claude Code(Anthropic製)、Cursor(Anysphere製)、Gemini CLI(Google製)、そしてVS Code上のGitHub Copilot(Microsoft製)といった「AIコーディングエージェント」である。これらは単なる入力補完ではなく、開発者の代わりにコードを読み、計画を立て、コマンドを実行し、テストまで回す自律的な働き手だ。ここで重要なのは、こうしたエージェントが作業を始めるときに、プロジェクトのフォルダに置かれた「設定ファイル」を読み込み、その指示どおりに自動で動く、という仕様である。具体的には、Claude Codeは.claude/settings.json、Cursorは.cursor/rules配下のルール、VS Codeは.vscode/tasks.jsonといったファイルを参照する。これらは本来、「セッション開始時にこの初期化スクリプトを走らせる」「フォルダを開いたらこのビルドタスクを実行する」といった便利機能のためのものだ。
具体例で考えるとわかりやすい。ある開発者が、信頼するMicrosoftのサンプルリポジトリをGitHubから取り寄せ、何気なくCursorやVS Codeで「開く」。ただそれだけで、フォルダに紛れ込んでいた設定ファイルが起動の引き金を引き、裏側でスクリプトが走り出す——開発者はクリックひとつしていないのに、である。今回のMiasma攻撃が突いたのは、まさにこの「開いた瞬間に自動で動く」という、AIエージェント時代ならではの新しい入り口だった。
事件の概要:105秒で73のリポジトリが消えた
事件が表面化したのは2026年6月5日(金)である。サプライチェーン・セキュリティ企業StepSecurityやOpenSourceMalware、Snyk、Cloudsmithといった研究者らの分析を総合すると、攻撃はまず、以前から乗っ取られていた貢献者アカウントを使ってAzure/durabletaskリポジトリに悪意あるコミットが押し込まれたことで始まった。durabletaskは、Azure Functionsなどで長時間実行ワークフローを扱うための「Durable Task」フレームワークの中核であり、Microsoftのクラウド開発の根幹に近い部品である。
GitHubの自動不正検知が反応すると、事態は文字どおり秒単位で動いた。複数の報道(The Register、OpenSourceMalware、BankInfoSecurity)が一致して伝えるところでは、GitHubは協定世界時(UTC)6月5日16時00分50秒から16時02分35秒までの105秒間で、合計73のリポジトリを2波に分けて無効化した。第1波で39リポジトリが約38秒のうちに、続く第2波で34リポジトリがわずか11秒のうちに停止された。無効化されたリポジトリは、Azure、microsoft、Azure-Samples、MicrosoftDocsという4つのMicrosoft公式GitHub組織にまたがっていた。攻撃者がコミットのタイムスタンプを「2020-03-09」へと過去に偽装(バックデート)して検知を遅らせようとした痕跡も報告されている。
要するに、世界で最も多くの開発者が信頼する企業のひとつであるMicrosoftの公式リポジトリ群が、自社が所有するプラットフォーム(GitHub)の自動防御機構によって、人間が気づく間もなく一斉に「シャットダウン」されたのである。皮肉なことに、この苛烈なまでの自動対応の速さこそが、攻撃の深刻さと、もはや人手では追いつかない脅威のスピードを物語っていた。
攻撃はどう動いたか:「設定ファイル」が実行ボタンに変わる
技術的な核心は、StepSecurityやHive Securityの解析が詳述している。悪意あるコミットは、リポジトリのなかに5つのファイルを忍ばせていた。Claude Code向けの.claude/settings.jsonとGemini CLI向けの.gemini/settings.jsonには、ユーザーが何か操作する前、エージェントが起動した直後に発火する「SessionStart」フックが仕込まれていた。Cursor向けの.cursor/rules/setup.mdcには、AIに不正な動作をさせるためのプロンプトインジェクション(指示文の注入)が埋め込まれ、VS Code向けの.vscode/tasks.jsonには「folderOpen(フォルダを開いた時)」に自動実行されるタスクが設定されていた。そしてこれらの引き金が呼び出す本体が、.github/setup.jsに置かれた4,643,745バイト(約4.6メガバイト)もの難読化されたJavaScriptペイロードである。
このペイロードが起動すると、感染した開発者のマシンから認証情報を根こそぎ吸い上げる。StepSecurityによれば、標的はAWS・Azure・GCP・Kubernetesといった主要クラウドの秘密情報に加え、90種類以上の開発者ツール設定に及び、GitHubやnpmのトークン、SSH鍵、Vaultトークン、パスワードマネージャーのCLI保管庫までが対象となっていた。そして盗んだトークンに公開権限があれば、ワームはそれを使って別のパッケージやリポジトリに自らをコピーし、被害者から被害者へと自動的に飛び移っていく。「Miasma(瘴気)」というギリシャ神話由来の名のとおり、感染は伝染病のように広がる設計だ。
この攻撃が従来のサプライチェーン攻撃と一線を画すのは、Hive Securityが指摘する「パッケージを削除しても消えない」という持続性にある。これまでのnpmマルウェアは、インストール時に実行されるnode_modulesの中に潜むのが定石で、不正パッケージをアンインストールすれば脅威は消えた。ところがAIエージェントの設定ファイルは、node_modulesではなくプロジェクト本体——すなわちバージョン管理(Git)の対象となるディレクトリに住み着く。開発者が原因のパッケージに気づいて削除しても、.claude/や.vscode/に残されたバックドアはそのまま生き残り、しかもGitのコミットを通じて他のリポジトリへ正規の変更として運ばれていく。Hive Securityの言葉を借りれば、「バックドアはすでにパッケージマネージャーの管理下から脱出している」。AIエージェントは「信頼され、強い権限を持ち、常駐し、ユーザー操作の前に動き、クラウド認証情報を含む環境変数にアクセスできる」——攻撃者にとってこれ以上ない足場なのである。
影響範囲:止まったCI/CD、巻き込まれた開発者
73リポジトリの無効化は、単なる「ページが見られなくなった」では済まなかった。停止されたなかにはAzure/functions-actionが含まれており、これはGitHub Actions上でAzure Functionsへアプリを自動デプロイするための公式部品である。The Registerが報じたとおり、この部品が突如消えたことで、それを組み込んでいた世界中の組織のCI/CD(継続的インテグレーション/デリバリー)パイプラインが連鎖的に破綻した。コードを書いていない、攻撃とは無関係な開発チームまでもが、その朝「ビルドが通らない」「デプロイが失敗する」という形で巻き込まれたのである。影響を受けたリポジトリ群は、Azure FunctionsホストやPythonワーカー、microsoft/durabletask-dotnetなど、Azureのサーバーレス基盤と開発者ツール、技術ドキュメントの広範囲に及んだ。
被害の本質は、リポジトリの一時停止よりも「すでに毒を取り込んでしまったかもしれない開発者」の側にある。問題のコミットが押し込まれてからGitHubが無効化するまでの間に、当該リポジトリを取り寄せてAIエージェントやIDEで開いた開発者は、知らぬ間に認証情報を抜かれている可能性がある。Microsoftの広報担当Ben Hope氏はTechCrunchに対し、「調査の一環として、影響を受けたリポジトリからコンテンツを取得した可能性のある少数の顧客に通知した」と述べている。被害を受けた顧客の正確な数は公表されていない。セキュリティ各社は、Azure Functions関連の部品を利用している組織に対し、クラウドや開発者ツールの認証情報をただちにローテーション(再発行)し、リポジトリの完全性を検証するよう強く呼びかけた。
なお、無効化されたリポジトリの大半は、MicrosoftとGitHubが初期調査を終え悪意あるコードを除去したのち、順次復旧された。Ben Hope氏は「悪意あるコンテンツの可能性を調査するため一部のリポジトリを一時的に削除した。一部はレビュー後に復旧したが、作業継続中のため一部はオフラインのままになる可能性がある」とコメントしている。
侵害の原因:なぜ「二度目」が起きたのか
OpenSourceMalwareが本件を「Durable Taskプロジェクトの再侵害(re-compromise)」と表現したことが、原因の核心を突いている。今回の攻撃は突然降ってわいたものではなく、約3週間前に起きた一度目の侵害の「やり残し」が招いたものだった。
時系列はこうだ。2026年5月19日、同じ侵害アカウントが、MicrosoftのdurabletaskパッケージのPyPI(Python向けレジストリ)版に、悪意ある3つのバージョンをわずか35分のうちに立て続けに公開していた。これが一度目の侵害である。StepSecurityのAshish Kurmi氏が指摘するところによれば、この一度目の事件で漏れたトークンが完全には失効(無効化)されていなかった。その結果、攻撃者は盗んだ認証情報を握ったまま居座り続け、6月になって同じ資格情報を使い、今度はGitHub側のAzure/durabletaskリポジトリへ悪意あるコミットを押し込むことに成功した。つまり直接の原因は、ゼロデイ脆弱性のような高度な技術ではなく、「一度盗まれた鍵を、すべて取り替えきれていなかった」という、運用上の極めて古典的な抜け穴だったのである。
この事実は、本件を「Microsoftの不手際」という一社の問題に矮小化できないことも示している。XDA-Developersは、攻撃の連鎖がすべてMicrosoftの支配下にあるインフラを通り抜けた点を鋭く突いた——認証情報の窃取はnpm(GitHub傘下)で、不正コードの配布経路にはVisual Studio Marketplaceとその自動更新(いずれもMicrosoft製品)が、そして最終的な窃取先のリポジトリ群はGitHub(Microsoft所有)が舞台となった。同メディアは「ソフトウェア開発スタック全体を支配する企業が、自社製品に残した隙間を通じて侵害された」と評している。垂直統合がもたらす利便性の裏で、ひとつのリンクの綻びが全段に波及する構造的リスクが露呈した格好だ。Microsoftは当初これをGitHubのポリシー違反と位置づけ、のちに調査中の「社内管理上の問題」へと説明を改めたと、StepSecurityは記録している。
Miasmaワームの系譜:Shai-Huludから「AIエージェント常駐型」へ
Miasmaは突然変異ではなく、明確な「家系図」を持つ。出発点は2025年9月、npmエコシステムを震撼させた自己増殖型ワーム「Shai-Hulud」だ。砂虫(Dune由来)の名を持つこのワームは、不正パッケージの侵害と再配布を自動化し、npm攻撃を「いたずら」の時代から「高被害」の時代へと押し上げたとされる。そこから派生したのが「Mini Shai-Hulud」で、サイバー犯罪グループTeamPCPが2026年5月12日にそのソースコードをGitHubで全面公開し、BreachForums上で各人が独自にキャンペーンを展開するよう呼びかけた。Miasmaは、この公開されたMini Shai-Huludを下敷きにしたフォーク(派生版)だと、SnykやSonar、Vorlonら複数の研究機関が分析している。
この系譜は、攻撃手法の「進化の方向」を雄弁に物語る。Mini Shai-Huludは2026年5月19日、@antv名前空間の300件を超えるnpmパッケージを汚染した。6月1日には、Red Hatの@redhat-cloud-services名前空間で32パッケージ・96バージョンがMiasmaによってバックドア化され、信頼された公開スコープという「正規の入口」が悪用された。そして6月5日、ついにMicrosoftのAzure基盤に到達した。StepSecurityの集計では、このキャンペーンはこれまでにTanStackやMistral AIなどを含む113件超のGitHubリポジトリ、数十のアカウントに感染を広げている。検知回避も巧妙化しており、Miasmaは感染ごとにペイロードを一意に暗号化するため、ハッシュ値に基づく従来型の痕跡(IOC)はパッケージのバージョンひとつ分しか通用しない。
最も重要な進化は、Vorlonが「実環境で初めてAIコーディングエージェントのセッションを越えて持続するよう設計されたサプライチェーン攻撃」と位置づけた点にある。かつてのワームがインストール時の実行に頼ったのに対し、Mini Shai-HuludとMiasmaは、Claude Codeのフック、VS Codeのタスク、CI/CDのなかへと「常駐」する術を獲得した。Snykが報告した「Phantom Gyp」という手法では、監視の厳しいインストール用スクリプトを避け、武器化したbinding.gypを使ってnode-gypに攻撃コードを実行させる——57パッケージが影響を受けた。攻撃者はもはや、動き続けるプロセスを必要としない。開発者が信頼するツールでプロジェクトを「開く」だけでよいのだ。
Microsoftとセキュリティ各社の対応・報道
本件を最初に捉えたのはMicrosoftやGitHubではなく、CloudsmithやOpenSourceMalwareといった外部の研究者コミュニティだった。StepSecurityのAshish Kurmi氏は、攻撃が「侵害された貢献者アカウントが悪意あるコミットを押し込んだことで始まった」と技術的経緯を明らかにし、Snykはこのワームを「Mini Shai-Huludワームの子孫」と整理した。攻撃の帰属については慎重な見方が支配的だ。Mini Shai-HuludはTeamPCPが開発したが、本人たちがソースを公開してしまったため、Miasma亜種を誰が動かしているのかは特定が難しい——いわば「凶器が万人に配られた」状態にある。
Microsoft自身の対外的な発信は、当初きわめて限定的だった。The Registerによれば同社は当初コメント要請に即応せず、その後に広報担当Ben Hope氏が前述の声明を出した。BankInfoSecurityは、MicrosoftもGitHubも悪意あるコードの除去とリポジトリ復旧という事実関係以上の詳細な公式見解を示していないと報じている。一連の報道に共通するトーンは、「世界最大級の開発基盤を持つ企業ですら、わずか数週間のうちに同じ攻撃者に二度侵入を許した」という事実が突きつける衝撃である。Computingやthe Registerは、これがMicrosoftにとって短期間での「二度目」の既知の侵害であることを強調し、現代のソフトウェア開発が依存する「信頼関係」と「自動化機能」そのものが攻撃面に転化したと総括した。
シリコンバレーVCの視点:サプライチェーン・セキュリティという投資テーマ
ここからが、他のニュースサイトがあまり踏み込まない論点である。今回の事件は単独の不祥事ではなく、シリコンバレーのベンチャーキャピタル(VC)が数年来張ってきた二つの投資テーマ——「AIコーディングエージェントの爆発的普及」と「ソフトウェアサプライチェーン・セキュリティ」——が、最悪の形で交差した瞬間として読むべきだ。
一方の「AIコーディングエージェント」は、いま世界で最も資金が集まる領域のひとつである。Cursorを開発するAnysphereは、TechCrunchによれば2026年4月時点で評価額500億ドル(約8兆円)で20億ドル超(約3,200億円)の調達協議に入り、a16z(Andreessen Horowitz)とThrive Capitalが主導、NvidiaやBattery Venturesも名を連ねるとされた。2025年11月の前回評価額293億ドル(約4.7兆円)からの急騰であり、同社のARR(年間経常収益)は2026年内に60億ドル(約9,600億円)超の到達ペースを見込むと報じられている。AIエージェントが開発の自動化を一気に推し進める——その期待にVCは天文学的な額を賭けている。だが今回のMiasmaは、まさにその「自動化される信頼」の隙間を突いた。エージェントが設定ファイルを無条件に信じて自動実行する仕様こそが、攻撃の入口だったのだ。VCが評価する利便性と、本件が露呈したリスクは、同じコインの裏表である。
もう一方の「サプライチェーン・セキュリティ」は、その対極で防御を担う投資テーマとして急成長してきた。代表格のChainguardは、Kleiner PerkinsとIVPが共同主導するシリーズDで3億5,600万ドル(約570億円)を調達し、評価額は35億ドル(約5,600億円)に達した。累計調達額は6億1,200万ドル(約980億円)で、ARRは4,000万ドル(約64億円)から2026会計年度内に1億ドル(約160億円)超への到達を目指す。パロアルトに拠点を置くEndor Labsも、シリーズAで7,000万ドル(約112億円)、シリーズBで9,300万ドル(約149億円)を調達し、累計1億8,800万ドル(約301億円)を、Lightspeed、Coatue、Salesforce Ventures、Dell Technologies Capital、Section 32、Citi Venturesといった顔ぶれから集めている。Socketのような開発者起点のサプライチェーン防御も含め、VCはこの分野を「次の必須インフラ」と位置づけてきた。a16zはポッドキャスト「Securing the Software Supply Chain with LLMs」で同テーマを正面から扱い、同社セキュリティ担当パートナーのJoel de la Garza氏は、エージェント型の製品を大規模に展開すれば防御を実質的に強化できる一方、敵対者も同じツールを手にすると警告している。Miasmaが感染ごとに暗号化を変え、AIエージェントに常駐する高度化を見せたことは、この「攻防両者がAIを持つ」という予言を裏づけるものだ。
VCの視点から本件が示す投資的含意は明快だ。第一に、AIコーディングエージェントへの巨額投資は、エージェントの「実行する信頼」をいかに検証・制限するかという安全設計と不可分であり、ここを解く企業が次の勝者になる。第二に、サプライチェーン防御は「インストール時のスキャン」から「エージェント設定ファイルやCI/CDへの常駐検知」へと検査範囲を広げざるを得ず、既存ツールの陳腐化と新たな調達機会が同時に生まれる。第三に、Microsoftのような垂直統合プレイヤーが「全リンクを所有するがゆえに全リンクが弱点になる」構造は、独立系セキュリティ企業にとってむしろ追い風となる。攻撃の高度化そのものが、防御側スタートアップの評価額を押し上げる——これがシリコンバレーの冷徹な力学である。
今後の動き:いつ、何が観測されるか
短期的に最も警戒すべきは、攻撃の「再々発」である。原因が高度な脆弱性ではなく「盗まれたトークンの失効漏れ」だった以上、関連する認証情報のローテーションが今後数週間のうちに徹底されなければ、三度目の侵害が起きてもおかしくない。被害を受けた可能性のある開発者・組織は、Azure Functions関連部品の利用を点検し、クラウドと開発者ツールの認証情報を直ちに再発行することが当面の防衛線となる。
中期的には、Mini Shai-Huludのソースコードがすでに公開されている事実が重い。誰でもフォークできる「凶器」が出回っている以上、2026年夏から秋にかけて、npm・PyPIの他の著名な名前空間や、Microsoft以外の大手オープンソース組織を標的とした亜種の出現が継続的に観測される公算が大きい。検知側も、感染ごとに暗号化が変わるMiasmaに対しては、ハッシュ照合ではなく振る舞い検知やAIエージェント設定ファイルの常時監視へと軸足を移すことが求められる。GitHub・npm(Microsoft)、Anthropic、Google、Anysphereといったエージェント提供各社が、設定ファイルの自動実行に「ユーザー承認」や署名検証をどこまで義務づける形で仕様を見直すか——その対応の発表時期と内容が、今後の最大の注目点となる。
そして規制・標準化の動きも視野に入る。ソフトウェア部品表(SBOM)の整備や、レジストリにおける信頼された公開(trusted publishing)の強化は、Red Hatの@redhat-cloud-servicesが「正規の公開経路」を悪用された教訓を受けて、再び議論の俎上に載るだろう。VCの観点では、これら一連の防御強化・規制対応のすべてが新たな製品需要を生む。攻撃が高度化するほど守りへの投資が増えるという逆説のなかで、シリコンバレーは「AIエージェントの安全性」を次の巨大カテゴリーとして注視している。今回Microsoftが105秒で73のリポジトリを失った事実は、その投資テーマがもはや理論ではなく、現実の損害として目の前にあることを世界に示したのである。そして今回の件に限らず、シリコンバレーではすでに一部がGitHubから離れ出しており、コードの管理基盤そのものを自社の統制下に置くべく、GitLabのセルフマネージド(自己ホスト型)構成へと移行する動きも見られる。