コンテンツにスキップ

2026-03-02 リリース内容#

【緊急リリース】Trivy サプライチェーン攻撃に伴うスキャナ更新について#

FutureVuls をご利用のお客様への影響はありません

調査の結果、FutureVuls が配布していた Trivy v0.69.1 は改ざんを受けていないことを確認しました。 本リリースでは予防措置として、Aqua Security が公開した Hotfix 版(Trivy v0.69.2)へスキャナを更新しています。 詳細な検証プロセスはブログ記事をご参照ください。

スキャナの更新が必要です

本リリースでは、Trivy の Hotfix 対応に加えて vuls scanner の更新も含まれています。スキャナのバージョンが古い場合、一部機能が正しく動作しない可能性がありますので、定期的な更新をお願いします。

  • スキャナのバグ修正は最新版にのみ適用されます。
  • スキャナの更新方法はこちらです。自動更新オプションもご活用ください。
対象 スキャナバージョン スキャン実行スクリプト
Linux用 [NEW] vuls v0.38.4 Version: 2025/10
Windows用 [NEW] vuls v0.38.4 Version: 2025/04
Trivy [NEW] v0.69.2 Version: 2025/04

1. 本リリースでの対応内容#

Trivy v0.69.1 の GitHub Releases 上のアセットが削除済みのため、Aqua Security が公開した Trivy v0.69.2(Sigstore 署名付き)で動作確認のうえ、FutureVuls のスキャナを更新しました。

2. ユーザ様へのお願い#

  • スキャナの更新をお願いします: v0.69.1 の GitHub Releases アセットが削除されている関係上、スキャナを最新版に更新することを推奨します。スキャナの更新方法はこちらです。自動更新オプションもご活用ください。
  • CI/CD パイプラインをご利用の方: パイプラインを再実行することで、最新の Trivy v0.69.2 が取得されます。

3. 事件の概要#

2026年2月21日〜28日にかけて、Trivy の GitHub リポジトリが第三者に乗っ取られるサプライチェーン攻撃が発生しました。この攻撃により、以下の影響がありました。

  • GitHub Releases v0.27.0〜v0.69.1 の全削除(リリースノート・アセット含む)
  • GitHub リポジトリの一時的な非公開化
  • Trivy VSCode 拡張への悪意あるアーティファクトのプッシュ

Aqua Security は 3/1 に公式インシデント報告を公開し、Hotfix として Trivy v0.69.2 をリリースしています。攻撃の詳細については StepSecurity の分析記事もご参照ください。

4. FutureVuls 配布バイナリの安全性について#

FutureVuls は 2/24 のリリース時に Trivy v0.69.1 を GitHub Releases から直接取得しており、取得日(2/24)が攻撃期間(2/21〜2/28)にかかっていたため、独自にバイナリの改ざん有無を検証しました。

以下の 3 つの観点から検証し、改ざんを受けていないと判断しています。

  1. バイナリハッシュの比較 - S3 上の FutureVuls 配布バイナリと、GHCR(GitHub Container Registry)公式イメージ内バイナリの SHA256 が amd64・arm64 ともに完全一致
  2. ビルドタイムスタンプの確認 - GHCR イメージのビルド日時は 2026-02-05(攻撃開始の 16 日前
  3. Sigstore 署名・透明性ログの検証 - Rekor 透明性ログで攻撃前からの連続記録を確認し、cosign 署名検証で Aqua Security の正規ワークフローによるビルドであることを暗号学的に確認

詳細な検証手順・結果については、ブログ記事「Trivy サプライチェーン攻撃:FutureVuls 配布バイナリの安全性検証レポート」をご参照ください。

参考リンク#

FutureVuls は、今後も最新のセキュリティ動向に合わせ、迅速かつ適切な脆弱性管理をサポートしてまいります。