GitHub：npmが高インパクトアカウントに72時間の予防的保護を導入

サプライチェーン攻撃とはなぜnpmが狙われるのか？

サプライチェーン攻撃（悪意のある行為者が人気のあるオープンソースパッケージを侵害し、それを使用する何百万ものプロジェクトに自動的に拡散する悪意のあるコードを挿入する攻撃）は現代のソフトウェア開発において最も危険な脅威の1つです。npmは250万以上のパッケージを持つレジストリとして特に魅力的なターゲットです。1つの人気パッケージを侵害すれば、世界中の何千ものアプリケーションを同時に危険にさらすことができます。これまでは、アクセス窃取の瞬間と悪意のあるパッケージの公開の間に保護ウィンドウは存在しませんでした。

新しい措置：72時間の読み取り専用保護

GitHubは2026年6月25日、npmが高インパクトアカウント（エコシステムに非常に多くのダウンロード数と広い存在感を持つパッケージを持つもの）に72時間の読み取り専用保護を課すようになったと発表しました。保護は2つの機密性の高いアクション時に自動的に発動します。メールアドレスの変更または2FAリカバリーコードの変更です。これらはまさに攻撃者がアカウント制御を奪いたいときに標的にする2つのポイントです。

保護ウィンドウ中に何がブロックされるか？

72時間のウィンドウ中、アカウントは次のことができません：

• 自動公開に使用される可能性のある新しいAPIトークンをミント（発行）する
• パッケージまたは既存パッケージの新バージョンを公開する

正規のアカウント所有者は通知を受け取り、変更が計画されたものであるかアクセス侵害の結果であるかにかかわらず対応するのに十分な時間があります。追加のセキュリティシグナルなしにウィンドウが過ぎると、アクセスは通常の動作に戻ります。

以前の状況との比較

この変更前は、npmアカウントを乗っ取ることに成功した攻撃者は即座に悪意のあるパッケージを公開できました（コミュニティへの遅延や警告なしに）。今では72時間で発見と修復のための構造的な障壁が存在し、攻撃者が有効な認証情報を持っていたとしても同様です。これはサプライチェーン防御における質的な変化です。事後対応的（悪意のあるパッケージの公開後に削除する）から予防的（アカウントの整合性が確認されるまで公開をブロックする）へと変わります。