Entro Security、Shai Hulud 2.0サプライチェーン攻撃に対する深層解析と無料スキャンツールを提供

Entro Securityは、AI AgentsおよびNon-Human Identities（NHI）向けエンタープライズセキュリティプラットフォームとして、npmのソフトウェアサプライチェーン攻撃「Shai Hulud 2.0」に対する詳細な解析結果と、被害範囲を確認するための無料チェックツールを公表しました。この攻撃は、1,000社以上に影響を与え、数十万件規模の開発者／CI/CDシークレットが流出したとみられる、過去最大級のnpmサプライチェーンインシデントの一つと位置づけられています。Aikido Securityが2025年11月24日にキャンペーンを公開した数時間後、Entroのリサーチチームは3万件以上のShai Hulud 2.0関連リポジトリをクローニングし、搾取されたデータを解析。その結果、世界中の1,195組織（大手銀行、政府機関、フォーチュン500のテクノロジー企業を含む）に紐づく環境から秘密情報が流出していたことを突き止めました。多くの環境では、CIやクラウドの高価値シークレットが攻撃公開から72時間以上経過しても有効なまま残っていたといいます。

Entroは初動対応として、今回のインシデントを「単なるGitHubリポジトリの汚染」ではなく、「CIパイプラインや開発者端末、クラウドワークロードを跨いだ環境情報・NHI・シークレットの大規模露出」として再定義する技術分析レポートを公開しました。あわせて、自社環境が“被害の爆心地に含まれているか”を迅速に判断できるよう、「Are My Secrets Out?」という無料オンラインチェッカーをリリースしました。このツールは、組織が自社シークレットがShai Hulud 2.0のデータセットに含まれているかを安全に確認できるもので、すでに7.3万回以上アクセスされています。EntroのCo-founder兼CTOであるAdam Cheriki氏は、「多くの初期分析は、攻撃者が新たに作成したGitHubリポジトリの一覧にとどまっていました。しかし生のデータを解析すると、実際にはCIランナーや開発マシンからのメモリダンプや環境ダンプが含まれており、公開から数日経っても有効なクラウドやSaaSのクレデンシャルが多数見つかりました」と述べ、調査結果の公開と無料チェッカーの提供、影響を受けた組織への積極的な通知に踏み切った理由を説明しています。

Entroは解読された環境アーティファクトと大量のデータセットをもとに、影響を受けた組織へのレスポンシブルディスクロージャー（責任ある開示）を開始し、自社顧客を含む世界中の企業に直接連絡を取りました。特に、Entroの検証でNHIやシークレットが依然として有効で使用可能な環境が確認された場合には優先的に通知したといいます。Shai Hulud 2.0マルウェアを実行していた環境のひとつには、検索・セキュリティのリーディングカンパニーでありEntroの顧客でもあるElasticが含まれていました。Elasticの公開インシデントブログでは、CISOのMandy Andress氏が「パートナーであるEntroを通じて、ElasticのCIパイプラインの一つがShai Hulud 2.0マルウェアを実行していたことを把握した」と述べています。対象となったパイプラインはGitOps自動化用途で、公開GitHubリポジトリにデータを公開していましたが、Elasticは問題のOSS依存関係を削除し、影響を受けたパイプラインとユーザーを特定、全ての非エフェメラルシークレットをローテーションした結果、顧客影響はなく、同パイプラインはElasticの製品とは関連していなかったと結論づけています。Entroのテレメトリと調査はCyber Security Newsなどの初期報道でも引用され、インシデントの規模を定量化する指標となりました。

EntroのCo-founder兼CEOであるItzik Alvas氏は、「Shai Hulud 2.0は、日常的なパイプラインがいかに迅速に“あなたのシークレットとNHIのフルインベントリ”に変わりうるかを示した事例です。コードスキャンだけでは、本当の被害範囲は見えません。どのアイデンティティが露出し、何にアクセスできるのか、そして本当に無効化されているのかを把握する必要があります」と警鐘を鳴らしています。セキュリティチームは、まず「Are My Secrets Out?」ツールで自社シークレットがShai Hulud 2.0データセットに含まれているかを確認し、その上でEntroを自社環境に導入することで、クラウド、CI/CD、SaaS全体に広がるAIエージェント、NHI、シークレットの継続的な検出・監視・ライフサイクル管理を行うことができます。EntroのShai Hulud 2.0に関する詳細な調査と対応状況は、entro.securityで公開されています。

Entro Securityについて
Entroは、AI AgentsおよびNon-Human Identities（NHI）のためのエンタープライズセキュリティプラットフォームです。ソフトウェア開発ライフサイクル全体に散在するAPIキー、トークン、AIエージェント、サービスアカウントを発見し、それぞれのマシンアイデンティティや露出したシークレットを目的・権限・担当者と紐づけたコンテキストインベントリに統合します。独自のNHIDR™エンジンにより行動異常を検知し、自動かつリスクベースのリメディエーションを実行します。これによりアイデンティティスプロールを抑制し、エージェント型AIの安全な導入とガバナンスを実現します。Entroはグローバルなフォーチュン500企業から信頼されており、創業から数カ月でGartner® Cool Vendor™に選出されたほか、CRN Stellar StartupやStartup achievement of the year（2025）など、多数のアワードを受賞しています。