この記事の監修:宮崎智広(Linux実務・教育歴20年以上・受講者3,100名超)
リナックスマスター.JPの宮崎智広です。いつもありがとうございます。
2026年6月11日から12日にかけて、Arch Linuxのユーザーリポジトリ「AUR(Arch User Repository)」で大規模なサプライチェーン攻撃が発覚しました。研究者が「Atomic Arch」と名付けたこの攻撃では、400を超えるパッケージが改ざんされ、情報窃取マルウェアとルートキットを配布する状態になっていました。
「自分はArchを使っていないから関係ない」と思った方こそ、最後まで読んでほしい内容です。今回の事件は、特定ディストリビューションの問題ではなく、現役のLinuxサーバー管理者全員が向き合うべき「コミュニティ運営のパッケージをどこまで信頼するか」という問いを突きつけているからです。
でも安心してください。プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
AURで何が起きたのか
まず事実関係を整理します。今回侵害されたのはArch Linux公式リポジトリではなく、有志がパッケージを投稿・管理するAURです。公式リポジトリは厳格なレビュー体制があり、今回の攻撃の影響を受けていません。狙われたのはレビューが緩いコミュニティ側でした。
攻撃者は400超のパッケージのビルドスクリプト(PKGBUILD)を書き換え、インストール時に不正なnpmパッケージ「atomic-lockfile」「js-digest」を取得・実行するよう仕込みました。この不正パッケージが、資格情報を盗み出すインフォスティーラーと、カーネルレベルで動作するルートキットを展開します。
盗み出される情報は深刻です。GitHubの資格情報、SSH鍵、HashiCorp Vaultのトークン、ブラウザのCookie、Slack・Discord・Teams・Telegramのデータ、各種開発ツールのシークレットが対象になっていました。開発者や管理者の手元にある「鍵束」を丸ごと持っていく設計です。
Arch Linuxのセキュリティチームは不正なPKGBUILDコミットを差し戻し、攻撃に使われたアカウントを永久に凍結しました。とはいえ、すでにインストールしてしまったユーザーの環境では、被害は静かに進行している可能性があります。
攻撃の手口 ― 孤児パッケージの乗っ取り
今回の攻撃で押さえておきたいのは「孤児パッケージ(orphaned package)の乗っ取り」という手口です。AURには、もともとの管理者がメンテナンスを放棄したパッケージが数多く存在します。こうしたパッケージは、希望者が標準の手続きで引き取れる仕組みになっています。コミュニティ運営を続けるための、本来は健全な仕組みです。
攻撃者はこの仕組みを悪用しました。放棄されたパッケージを正規の手続きで引き取り、正当なメンテナになりすました上で、PKGBUILDに悪意あるpost-installスクリプトを追加したのです。一部では、信頼される発行元を装って新規メンテナとして登録するパターンも確認されています。
ここで重要なのは、AURヘルパー(yayやparu等)がインストール時にPKGBUILDをそのまま実行するという前提です。PKGBUILDは単なる設定ファイルではなく、任意のシェルコマンドを書けるスクリプトです。中身を確認せずにインストールすれば、攻撃者の書いたコマンドが自分の権限で走ります。これはAURに限らず、ソースからビルドする仕組み全般に共通するリスクです。
なぜAURは狙われたのか
今回の事件は単発の不運ではありません。GitHubの不可視文字を悪用した「GlassWorm」、FedoraがPURL導入を検討する背景、Homebrewのサードパーティtap信頼確認の強化と、ここ最近のOSS供給網を狙う攻撃の流れに、きれいに連なる出来事です。
攻撃者の狙いは一貫しています。一次配布元を直接破るのではなく、その手前にある「中間の信頼」を突くことです。公式リポジトリは堅い。ならば、レビューの緩いコミュニティリポジトリ、放棄されて監視の目が薄れたパッケージ、依存関係の奥に潜む小さなnpmパッケージを足がかりにする。今回はその典型例でした。
サーバー管理者として20年以上現場を見てきた立場で言えば、この構図は「便利さと引き換えに信頼の境界が曖昧になった結果」です。AURもnpmも、誰でも貢献できる開放性が価値の源泉です。その開放性は、裏を返せば「悪意ある貢献も受け入れてしまう」表裏一体の性質を持っています。
PR / あわせて読みたい本
- Linuxサーバーセキュリティ徹底入門 オープンソースによるサーバー防衛の基本 中島 能和 / 翔泳社
OSレベルから代表的なアプリ設定まで、サーバー防衛の基本を体系立てて押さえられる一冊です。今回のような供給網経由の侵入に備えて、痕跡を読む土台を作りたい方に。
自分の環境を点検する
Archユーザーであれば、まず導入済みのAURパッケージを洗い出します。公式リポジトリ外のパッケージは、以下のコマンドで一覧できます。
pacman -Qm出てきたパッケージ名を、各セキュリティ機関やコミュニティが公開している侵害パッケージのリストと突き合わせてください。心当たりのあるパッケージを最近インストール・更新した場合は、特に慎重に確認します。
不審なプロセスやファイルの確認には、rkhunterのようなルートキット検知ツールが役立ちます。ただし、今回のマルウェアはeBPFを使ってプロセスやファイル、ネットワークインターフェースを隠蔽する機能を持つため、標準ツールだけで完全に検知できるとは限らない点には注意が必要です。検知できなかったから安全、とは言い切れません。
また、今後の予防策として、AURヘルパーの設定でPKGBUILDのレビュープロンプトを有効にしておくことをおすすめします。インストール前に必ずビルドスクリプトの中身が表示され、目視で確認する習慣がつきます。手間に感じるかもしれませんが、この一手間が今回のような攻撃を止める最後の砦になります。
侵害が疑われたときの対応
もし侵害パッケージを導入していた可能性があるなら、対応は早いほどよいです。盗まれているのは「鍵」だという前提で動きます。
最優先は資格情報のローテーションです。SSH鍵の再生成、GitHubやクラウドサービスのアクセストークンの失効と再発行、Vaultトークンの無効化、パスワードの変更を進めます。窃取された認証情報がそのまま使われると、被害がマルウェア本体の駆除では止まらなくなります。
そしてルートキットが入った可能性のある環境では、駆除ではなくクリーンな再インストールが現実的な選択肢になります。カーネルレベルで隠蔽するルートキットは、稼働中のシステムから完全に取り除けたと確証を持つのが難しいためです。「念のため入れ直す」判断を後回しにしないことが、結果的に被害を小さくします。
本番サーバーで影響が疑われる場合は、まず該当ホストを切り離し、認証情報のローテーションと再構築を計画に組み込んでください。「とりあえず様子を見る」が一番危険な選択です。
現役管理者が引き出すべき教訓
今回の事件から、特定ディストリビューションに依存しない教訓を3つ引き出せます。
1つ目は、「公式」と「コミュニティ」の信頼差を意識することです。AUR、PPA、各種サードパーティリポジトリ、言語ごとのパッケージレジストリは便利ですが、公式リポジトリと同じレビュー体制があるとは限りません。本番環境に入れるものほど、出どころを問い直す価値があります。
2つ目は、ビルドスクリプトは「実行されるコード」だと扱うことです。PKGBUILDもMakefileもインストールスクリプトも、自分の権限で動くプログラムです。中身を見ずに走らせる行為は、素性の知れないシェルスクリプトを root で叩くのと変わりません。
3つ目は、資格情報を「いつでも捨てられる」状態にしておくことです。SSH鍵やトークンが盗まれる前提で、ローテーションの手順を平時から整えておけば、いざというときの被害を最小化できます。今回盗まれた情報の多くは、運用していれば必ず手元にあるものでした。
Arch Linuxを使っていなくても、明日は自分の使うリポジトリが標的になるかもしれません。供給網の安全は、配布元任せにできない時代に入っています。日々の運用で「これは本当に信頼できる出どころか」を一度立ち止まって問う習慣が、最大の防御になります。
参考・一次情報
- BleepingComputer: Over 400 Arch Linux packages compromised to push rootkit, infostealer
- Phoronix: Arch Linux's AUR Sees More Than 400 Packages Compromised With Malware
- 関連: 当サイト GitHubに潜む「不可視文字攻撃」GlassWormとは
PR / あわせて読みたい本
- 新しいLinuxの教科書 第2版 三宅 英明・大角 祐介 / SBクリエイティブ
パッケージ管理やコマンド操作の「なぜ」から学び直したい方へ。pacmanやAURの仕組みを正しく理解する土台として、Linuxの基礎を体系的に固める定番書です。
便利なリポジトリほど、信頼の境界が曖昧になる時代。「どこから入れたか」を自信を持って説明できる運用、できていますか?
pacman -Qm でのパッケージ棚卸し、PKGBUILDの目視確認、資格情報のローテーション手順。記事で読むだけでなく、実機で繰り返し手を動かすことで初めて身につきます。
ネットの切れ端の情報をコピペするだけでなく、現場で通用する安全なLinuxサーバー構築の「型」を体系的に身につけたい方へ、『Linuxサーバー構築入門マニュアル(図解60P)』を完全無料でプレゼントしています。
「独学の時間がもったいない」「プロから直接、現場の技術を最短で学びたい」という本気の方には、2日で実務レベルのスキルが身につく【初心者向けハンズオンセミナー】も開催しています。
3,100名以上が実践した「型」を無料で公開中
プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
その「型」を図解60Pにまとめた入門マニュアルを、完全無料でプレゼントしています。
登録10秒/合わなければ解除3秒 / 詳細はこちら
この記事を書いた人
宮崎 智広(みやざき ともひろ)
株式会社イーネットマーキュリー代表。現役のLinuxサーバー管理者として20年以上の実務経験を持ち、これまでに累計3,100名以上のエンジニアを指導してきたLinux教育のプロフェッショナル。「現場で本当に使える技術」を体系的に伝えることをモットーに、実践型のLinuxセミナーの開催や無料マニュアルの配布を通じてLinux人材の育成に取り組んでいる。
趣味は、キャンプにカメラ、トラウト釣り。好きな食べ物は、ラーメンにお酒。休肝日が作れない、酒量を減らせないのが悩み。最近、ドラマ「フライトエンジェル」を観て涙腺が崩壊しました。
- 次のページへ:Amazon Linux 2サポート終了2026年6月30日|AL2023移行手順と残存確認の実務
- 前のページへ:Intel APX×AMDレジスタ拡張にKVMが対応|次世代CPU仮想化の実装動向
- この記事の属するカテゴリ:Linux情報・技術・セキュリティへ戻る
無料メルマガで学習を続ける
Linuxの実践スキルをメールで毎週お届け。
登録は1分、解除もいつでも可。
登録無料・いつでも解除できます