【Black Hat Asia 2025】GitHub Actionsでのサプライチェーン攻撃を嗅ぎ分ける

こんにちは、Imadです。Black Hatレポート最終回をお送りします。

Falco Action to the Rescue: Sniffing Out Sneaky Supply Chain Attacks in Your GitHub

「Falco Action to the Rescue: Sniffing Out Sneaky Supply Chain Attacks in Your GitHub Action Workflows!」と題されたこのセッションでは、SysdigのStefano Chierici氏とLorenzo Susini氏が登壇し、オープンソースの実行時セキュリティツールFalcoをGitHub Actionsに統合することで、CI/CDパイプラインにおけるセキュリティをどのように強化できるかについて紹介しました​。

CI/CDパイプラインにおける増大する脅威

現代のソフトウェア開発では、CI（継続的インテグレーション）およびCD（継続的デプロイメント）が不可欠な要素となっています。これにより、コード統合からテスト、デプロイまでが効率化される一方で、攻撃者にとっては格好の標的でもあります。とりわけ、サプライチェーン攻撃ではビルドやデプロイのプロセスを悪用されるケースが多く、パイプライン全体を可視化し、異常を早期に検知することが重要です​。

Falco-Actionの紹介：リアルタイム脅威検出

Falcoは、Cloud Native Computing Foundation（CNCF）傘下のプロジェクトであり、Linuxカーネルのシステムコールをリアルタイムに監視することで、異常行動を検出するツールとして広く知られています​。

本セッションでは、このFalcoをGitHub Actions環境に統合するためのツール「falco-action」が紹介されました。これにより、CI/CD環境内での実行時挙動――たとえば予期しないネットワーク接続や不正なファイルアクセスなど――を検出できるようになります​。

実際の活用事例とデモンストレーション

プレゼンでは、falco-actionが実際にどのようにして不審な活動を検出し、即座にアラートを出せるかがリアルな事例を交えて紹介されました。これにより、開発者が脅威に対して即応できる仕組みが整えられます。

画面上の例では、"analyze" モードや "live" モードなどが紹介され、Falcoを開始・停止・分析する一連のフローがビジュアル化されていました（ページ4の画像参照）​。

また、ページ5ではGitHub Actions上で攻撃に使われうるコード注入ポイントの例（たとえば ${{ github.event.issue.title }} を悪用する手法）が紹介され、実際にFalcoがこれらの挙動を検出できることが説明されていました​。

実行時セキュリティの重要性

このセッションの核心は、実行時セキュリティ（runtime security）をCI/CDワークフローに統合する意義にあります。Falco-actionのようなツールを活用することで、組織はサプライチェーン攻撃をプロアクティブに検出・緩和し、ソフトウェア開発プロセスの健全性を維持できます。