Pythonパッケージ管理におけるサプライチェーン攻撃の事例とリスク

 

自己伝播型マルウェア・ワーム型攻撃事例

Pythonのpip/PyPIでは、npmの「Shai-Hulud」のような完全自動で拡散するワーム型攻撃は大規模には報告されていません。しかし、攻撃者はPyPI上でマルウェアを巧妙に配置し、感染を広げようとしています。例えばPhylumが2023年5月に報告した事例では、攻撃者Patrick Pogodaが多数のGitHubリポジトリにマルウェア依存関係を配置し、同じマルウェアを含むPyPIパッケージ（例：「pycoloringsaddition」）を繰り返しアップロード・削除していました。PyPI側でパッケージが削除されると、数分以内にわずか名義を変えた新パッケージ（「syscolouringlibary」など）を公開し、自身のリポジトリを一斉に更新して参照先を切り替え、感染を持続させていましたblog.phylum.ioblog.phylum.io。このようにパッケージ名のわずかな変更と自動化でマルウェアを「復活」させる手口が確認されています。

• 代表例：「pycoloringsaddition」→「syscolouringlibary」等（2023年5月、作者が自動的に新パッケージを公開し依存先を差し替え）blog.phylum.ioblog.phylum.io。

• 方法：setup.pyや初期化スクリプトに暗号化された悪性ペイロードを埋め込み、インストール時にユーザーのGitHubトークンや暗号ウォレット情報などを窃取。

• その他のワーム型攻撃：npm環境のShai-Hulud攻撃が有名ですが、現時点でPyPIに同等規模の攻撃は観測されていません。ただしGitHub Actionsを悪用した大規模トークン窃取（GhostAction）はPyPI側にも波及しました（後述）。

トークン・クラウド認証情報を狙うPyPIパッケージ

PyPIには、インストールした環境から機密情報を窃取する悪意あるパッケージがいくつか見つかっています。著名な例としてはTyposquatting攻撃の一環で、人気パッケージを偽装した「fabrice」（fabricのスペルミス）があります。Socketの調査によれば、この「fabrice」は2021年3月に公開され、数万人にダウンロードされながらAWSアクセスキーとシークレットキーをboto3経由で収集し、攻撃者サーバーへ送信していましたthehackernews.com。Linux版ではシェルスクリプト、Windows版ではVisualBasicスクリプト＋Pythonスクリプトでペイロードを実行し、最終的にAWS認証情報を盗み出す仕組みです。Hacker Newsの報道では、「fabrice」がFabric（SSH実行ツール）の偽物であると解説されていますthehackernews.comthehackernews.com。

GitHub上のCI/CD環境などから窃取された秘密情報の内訳例。2025年9月に明らかになった「GhostAction」攻撃では、プロジェクトのGitHub Actions環境からPyPIトークンやAWSキーを含む3,325件以上のシークレットが漏洩し、その中にはDockerHubやGitHubのトークン、Cloudflareキーなども含まれていましたbleepingcomputer.com。

また、GitHub Actionsのワークフローを改竄してPyPIトークンを盗む「GhostAction」キャンペーン（2025年9月発覚）では、数百のリポジトリが改竄され、PyPIとnpmのトークンが攻撃者のサーバーに送信されましたbleepingcomputer.comblog.pypi.org。PyPI管理者は発覚後に影響トークンを全て失効させ、悪用された形跡は確認されませんでしたbleepingcomputer.comblog.pypi.org。なお、環境変数に機密情報を含む一般のプロジェクトからは、開発者のミスでGitHub PATが流出したケース（PyPI管理者アカウントのPATがコンテナ画像内に残存した事例）も報告されていますblog.pypi.orgblog.pypi.org。

PyPI/pipのセキュリティ機構（署名、検出、報告体制）

PyPIとpipは近年、サプライチェーン攻撃に対抗するための対策を強化しています。まず、アカウント認証面では、2023年までにPyPI上のメンテナー全員に2要素認証（2FA）の義務付けが発表されましたblog.pypi.org。PyPIはパッケージ公開にパスワードの代わりにAPIトークン（認証トークン）を用いる方式を採用し、最も重要なプロジェクトは2FAで保護されていますblog.pypi.org。さらにGitHub ActionsからPyPIへ公開する場合は、「Trusted Publishers（短命かつ限定範囲のトークン）」の利用を推奨するなど、トークン盗難リスク軽減策を提供していますblog.pypi.org。

ダウンロード時の検証機構としては、PEP 458/480で提案されたTUF（Update Framework）によるメタデータ署名も構想されていますが、現時点でPyPIでの導入は進行中です。署名ベースの配布（例：パッケージごとのGPG署名）は公式には廃止されました（削除の議論がPythonコミュニティで行われています）が、PSFは2FAとAPIトークンでアカウントの安全性を担保し、「信頼できるパブリッシャー」制度で公開権限を分離する方針ですpeps.python.orgblog.pypi.org。

不正検出・報告体制では、PyPI運営はセキュリティ研究者からの報告を積極的に受け付けています。Webインターフェースに「プロジェクトをマルウェアとして報告」ボタンが追加され、発見者は問題箇所（ファイル・コード）を指定して報告できますblog.pypi.org。また、API経由の報告機能も試験中であり、報告されたパッケージはPSF管理者が数日以内に審査・削除していますblog.pypi.org。加えて、pipコマンドには依存関係スキャンツール（例：pip-auditやsafety）を併用して既知の脆弱性を検査する運用が推奨されるなど、インストール前後の自動検査によるセキュリティ強化策も広まりつつあります。

DjangoなどWebアプリ関連パッケージのセキュリティ懸念

Webフレームワーク（Django, Flask など）やその周辺ライブラリは開発者が多く利用するため、攻撃者からの標的になりやすいです。たとえば、SC Mediaによれば、Jinja2/Djangoで使われる正規のテンプレートライブラリ「Coffin」を騙った悪意あるパッケージ（例：Coffin-Codes-Pro, Coffin-Codes-2022）が発見されており、これらはインストール時にGmailを経由して情報を盗み出し、WebSocketで不正操作を行う仕組みになっていましたscworld.com。また、脆弱性とは別ですが「Django-Mailer」の偽物「django-mail」や「django-mail」へのタイポスクワットを想定した攻撃可能性も指摘されており、開発者は依存パッケージの名称を慎重に確認する必要がありますbolster.ai。

最近の攻撃例としては、Zscalerが2025年8月に報告した2つの悪意あるパッケージ sisaws および secmeasure（共にサードパーティ製の文字列操作系ライブラリと偽装）が挙げられます。これらはTyposquatting的な名前ではないものの、初期化時にPasteBinからPythonスクリプトをダウンロードし、Windows環境でSilentSyncというRAT（リモートアクセス型マルウェア）を展開しますzscaler.comscworld.com。図示すると次のように、sisaws と secmeasure はメンテナー情報やパッケージ名が酷似しており（下図参照）、両者から同一の不正スクリプトが実行されます。どちらも既にPyPIから削除されていますが、Djangoに限らず**「必ずしもメジャー名ではなくても、一般的な機能名や用語を使った偽装パッケージ」に注意**が必要ですzscaler.comscworld.com。

Zscaler調査による悪性PyPIパッケージ sisaws（左）と secmeasure（右）のメタデータ比較例zscaler.comscworld.com。両者は異なる名前ながら同一人物が管理し、初期化時に同様の悪意あるコードを実行していました。

pip install・CI/CDパイプライン経由の感染リスクと対策

pip installは基本的に任意のパッケージのインストール時にsetupスクリプトを実行するため、攻撃者がsetup.pyやpyproject.toml内に悪意あるコードを書いていれば、任意コードが起動するリスクがあります。特にCI/CD環境での自動インストールでは、権限が高いとシステム全体が危険にさらされます。対策としては、以下が挙げられます：

• 仮想環境（venv/container）の利用：プロジェクトごとにPython仮想環境やコンテナを使い、ホスト環境への影響を分離する。

• 権限の最小化：CI/CDランナーやビルドサーバーではrootや高権限ユーザーで実行しない、ネットワークアクセスを制限するなど、侵害影響を局所化する。

• 依存関係の固定化：requirements.txtやpoetry.lock、pip-toolsなどでバージョンを固定し、浮動バージョンやワイルドカードを避ける。これにより、同名の悪意ある新バージョンが勝手に取り込まれるリスクを減らす。

• ハッシュ検証：pip install --require-hashesを使い、インストール時にパッケージのハッシュをチェックする。未知のパッケージや改竄版は拒否される。

• 依存性スキャンと監査：pip-auditやOSSセキュリティ製品で依存パッケージの脆弱性スキャンをCIに組み込む（サプライチェーン脅威検出）。

• プライベートミラー・ミラーリング：社内PyPIミラーやインターネットフィルタで信頼されたパッケージソースのみを利用する。

• CIの監査ログ：ビルドで実行されたpipコマンドやワークフローのログを監査・保管し、不審な動作の検知に備える。

加えて、PyPIへの依存公開には**「Trusted Publisher」（GitHubが提供する短命トークン）を使い、長期無効化しにくいトークンの使用を避けることが推奨されていますblog.pypi.org。さらに、ソフトウェアのサプライチェーン防御策として、攻撃者の侵入経路をモデル化し、依存ライブラリの第三者レビューや必要最低限の依存のみを選択するなどの脅威モデリング**も有効です。

まとめ

以上のように、Pythonエコシステムでも過去にTyposquatting型マルウェア（“fabrice”など）やワークフロー改竄によるトークン窃取（GhostAction）、巧妙化するパッケージレスキュー（復活）攻撃（Phylum報告）など多様な事例が報告されていますthehackernews.comblog.phylum.iobleepingcomputer.com。PyPI/pipのセキュリティ対策も強化されており、2FA義務化やAPIトークン化、報告ボタンの導入などが進められていますblog.pypi.orgblog.pypi.org。それでも、パッケージ管理では常に**「インストール前に公式性を確認し、インストール中に未知のネットワーク通信がないか注意し、定期的に環境を監査する」**といった基本対策が重要です。特にWebアプリケーションでは、広く使われるライブラリを介した攻撃（例：テンプレートエンジンや認証周りのライブラリ）にも警戒し、必要な最小限のパッケージに絞ることがリスク低減につながります。

参考資料: さまざまなセキュリティ研究者報告やメディア記事scworld.comthehackernews.comblog.pypi.orgblog.pypi.orgblog.pypi.orgを基にまとめました。各事例では発見時期・パッケージ名・手口・対処状況など具体的に報告されており、最新の脅威動向の把握に役立ちます。

浄瑠璃の譜面

 

1) パブリックドメイン（無料DL可・PDF＝一次入手）

• F. T. Piggott『The Music and Musical Instruments of Japan』（1893/1909 版）
  19世紀末の日本音楽概説で、西洋五線譜による例示採譜が多数（長唄・三味線系の断片を含む）。浄瑠璃（義太夫）そのものの全曲スコアではありませんが、様式理解と旋律例のPD資料として有用です（PDF直DL可）。 survivorlibrary.com+1

※浄瑠璃の完全五線譜スコアのPD公開は現状ほぼ見当たりません。早期の英文文献は断片採譜中心です。

2) 無料MIDI／無料譜面（要ライセンス確認）

• mu-tech.org：伝統曲（長唄・端唄・地歌・義太夫など）
  各曲ページで楽譜PDF/画像・MIDI・試聴を無料配布。例：長唄「越後獅子」「鶴亀」ほか。サイト独自の制作物のためPDとは限りませんが、学習・アレンジの取っ掛かりに。 Mu-Tech

• mu-tech.org（落語関係ページ）
  義太夫由来曲・関連曲（例：「近頃河原達立」「壷坂霊験記 住吉籠」など）の楽譜・MIDIの配布あり。こちらも権利は各ページの表記に従う前提です。 Mu-Tech

参考：ネット上には「幻想浄瑠璃」と題するオリジナル曲のMIDIも流通していますが、伝統浄瑠璃の採譜ではありません（名称が紛らわしいため要注意）。 MidiShow+2GetUploader+2

3) 研究用の“完全スコア”（五線譜）を確実に入手＝購入（Amazon）

• William P. Malm『Nagauta: The Heart of Kabuki Music』（Tuttle）
  付録に**長唄の完全スコア（西洋五線譜）**が2作収録。浄瑠璃と同系統の三味線歌物で、実用的な参照譜として定番です（Kindle/ハードコピー）。 Amazon+1
  補足：Internet Archiveに書誌と付録記述の情報ページもあります（貸出/プレビュー扱いで、PDではありません）。 Internet Archive

4) 学術論文（断片採譜の例）

• Gidayu/Kiyomoto 等の語り物に関する分析論文
  様式説明とともに短い採譜例が掲載されることがあります（例：Narrative musicのフォーミュラ分析）。フル譜ではありませんが、節型の把握に有用。 ResearchGate

『アメリカン・サイコ』に対する好意的・技巧面の評価

 

海外の評者による論評

• ヘンリー・ビーン（小説家・脚本家） — エリスの描く1980年代消費社会の退廃を、グロテスクも官能も同じ無表情なトーンで描く**「純粋な交換価値のような文体」による風刺として評価。筋らしい筋や明確なキャラクターが不在にもかかわらず、語りの妙によって「読むのを止めることがほとんど不可能」**にしてしまう点を称賛しているlatimes.com。出典: ロサンゼルス・タイムズ紙 書評「SLAYGROUND: AMERICAN PSYCHO」（1991年3月17日）より. 引用: “The miracle of Bret Easton Ellis is that ... with a throwaway nonstyle ... a prose that is pure exchange value, he nevertheless makes it virtually impossible to stop reading.”latimes.com

• フェイ・ウェルドン（小説家・文芸評論家） — エリスを「非常に優れた作家」と評し、本作を**「精巧に統制された、注意深く作られた重要な小説」**だと絶賛theguardian.com。過激な暴力描写に対する批判に対しては「それを大げさに糾弾する我々の側に問題がある」と反論し、誰も罰されず救済もないこの物語が現代社会の冷淡な現実を暴いたものだと評価しているtheguardian.comtheguardian.com。出典: ガーディアン紙 書評「An honest American psycho」（1991年4月25日、著者フェイ・ウェルドン）より. 引用: “American Psycho is a beautifully controlled, careful, important novel which revolves about its own nasty bits. Brilliant.”theguardian.com

• アーヴィン・ウェルシュ（小説家） — 本作を「我々の時代で最も偉大な小説の一つ」と位置づけ、当初物議を醸した過激描写もブラックユーモアと風刺によって現代社会の醜悪さを映し出すために不可欠だったと高く評価しているtheguardian.comtheguardian.com。とりわけ一人称・現在形で語られる文体について、「読者を主人公の視点に引き込み、その暴力と消費社会の客体化の過程に読者を加担させる」巧みな叙述技法だと称賛したtheguardian.com。出典: ガーディアン紙 寄稿記事「American Psycho is a modern classic」（2015年1月10日、著者アーヴィン・ウェルシュ）より. 引用: “the narrative style of American Psycho forces the reader to adopt his point of view... the reader is implicated in both the violence and the objectifying processes of consumer society.”theguardian.com

日本人評者による論評

• 村上春樹（小説家） — 「作品としての評価は完全に分かれているけれど、社会的状況の資料としてこれほど自己犠牲的にシニカルで本質的な小説はちょっとない」と述べ、本作の徹底した風刺性を高く評価しているja.wikipedia.org。同時代の話題作『虚栄のかがり火』（トム・ウルフ）と比べても、本作の方がはるかに覚悟を持って社会の本質を暴いていると指摘したja.wikipedia.org。出典: 村上春樹『やがて哀しき外国語』（エッセイ集、講談社、1994年）所収の評論より. 引用: 「作品としての評価は完全にわかれているけれど、社会的状況資料としてこれくらい自己犠牲的にシニカルで本質的な小説はちょっとない」ja.wikipedia.org

こうして「静かな世界」は幕を閉じ、日本は30年ぶりに“価格のある金利”を取り戻した。

 1990年代初頭のバブル崩壊以降、日本は長期にわたり低成長・低インフレに苦しみ、金利は世界で最も低い水準に張り付いた。ゼロ金利政策（1999年）と量的緩和（2001年）は「デフレ克服」を掲げつつも恒常化し、長期金利は1％を割り込んだ。2013年の黒田総裁による異次元緩和は国債大量購入を伴い、2016年の「長短金利操作（YCC）」導入で10年金利はゼロ％付近に固定された。30年債も1％を下回る異例の水準で推移し、これが株価・不動産価格を押し上げ、国債費を低く抑える「静かな世界」の基盤となった。

しかし2022年以降、海外でインフレが急加速し、日銀の政策だけが世界潮流から取り残された。YCC下で金利上限を抑え込むための「指値オペ」は市場機能を歪め、国債市場の流動性は低下した。2022年12月には許容幅を±0.25％から±0.5％へ拡大し、2023年には1.0％を事実上の上限とするなど“弾力化”が進む。2024年3月、ついにマイナス金利が解除され、YCCも終了。日銀は短期金利0〜0.1％の誘導へ転じ、超長期ゾーンの利回りは市場の判断に委ねられた。

そして2025年秋、30年国債利回りは3.3％台に達した。これは1990年代初期以来の高水準であり、金利抑圧の時代が終焉した象徴といえる。背景には、財政拡張的な政策観測、国債増発への懸念、賃金上昇による粘着的インフレ期待、世界的な長期金利上昇がある。長期金利の上昇は、企業の割引率を押し上げ資産価格を下押しする一方、年金・保険の運用利回りには追い風となる。政府にとっては利払い費増大という新たな制約が生まれ、金融政策と財政政策の緊張関係が再び顕在化する。

こうして「静かな世界」は幕を閉じ、日本は30年ぶりに“価格のある金利”を取り戻した。市場は国債の需給、財政、成長への期待・懸念を直接反映し始め、金利が経済の言語として再び意味を持つ時代に入ったのである。

「余ったぶんが企業のもうけ」は、学術的にはマルクスの基本定理（FMT）の中身です。すなわち、（線形生産の枠で）労働が生む付加価値が賃金を上回る＝余りが出る（“搾取”>0）なら、経済全体で正の利潤率が成立し、逆も成り立つ——という同値関係を厳密に示した命題です（森嶋→ローマーの系譜）。

 「余ったぶんが企業のもうけ」は、学術的にはマルクスの基本定理（FMT）の中身です。すなわち、（線形生産の枠で）労働が生む付加価値が賃金を上回る＝余りが出る（“搾取”>0）なら、経済全体で正の利潤率が成立し、逆も成り立つ——という同値関係を厳密に示した命題です（森嶋→ローマーの系譜）。viiper.at+1 一方で、置塩定理は別の主張で、実質賃金が一定のまま費用削減型の新技術が採用されるなら、新しい均衡では一般利潤率が上昇すると証明します。ここでは「余り＝もうけ」の存在同値ではなく、技術革新と利潤率の比較静学を述べている点が違いです。Wikipedia+1 これらはいずれもスラッファの価格論（長期には一様利潤率が分配パラメータとして現れる）を背景に整理され、利潤率は直観的に**資本の平均利回り（利子率に相当）**と読めます。ianwrightsite.files.wordpress.com+1 なお近年は、置塩の賃金一定を緩めた拡張や、FMTの定義・均衡概念を精査する再検討も進み、条件次第で結論が変わり得る点も示されています。arxiv.org+1

数学物理における「斜交（oblique）」とは、直交（orthogonal）ではない座標系や基底を指し、相互干渉・非独立性を意味する。

 数学物理における「斜交（oblique）」とは、直交（orthogonal）ではない座標系や基底を指し、相互干渉・非独立性を意味する。直交座標はユークリッド的な平坦空間を前提とするが、斜交座標では軸が傾き、計量テンソル 

$g_{\mu\nu}$ の非対角成分が現れる。これは、空間が曲率をもち、観測者によって時間や距離の関係が変化することを表す。すなわち、斜交は「曲がった空間」や「非慣性系」の数学的兆候であり、一般相対性理論においては重力そのものを意味する。たとえば非慣性系では時間軸と空間軸が混ざり $g_{0i} \neq 0$ となり、時間と空間が直交しない。量子力学でも非エルミート系では固有状態が直交せず、左右固有ベクトルが「双直交（biorthogonal）」関係をなす。これにより、非保存性や不可逆性が表現される。また、場の理論や微分幾何では、斜交座標が電磁場や重力場の結合を記述する。トーションやゲージ接続はこの非直交成分に対応する。要するに、斜交とは観測者が空間と独立でいられない状態、すなわち「観測が空間を変形する」ことの数理的形式であり、主体と世界の相互干渉を表す構造である。吉本隆明の表出理論における「指示と表出の非直交性」は、この物理的斜交と同型的である。

アインシュタインの理論は、重力を「力」ではなく時空の曲率として説明する点で、勾配理論的である。

 アインシュタインの理論は、重力を「力」ではなく時空の曲率として説明する点で、勾配理論的である。一般相対性理論では、計量テンソル 

$g_{\mu\nu}$ の勾配（二階微分）が曲率テンソルを生み、これが重力場を構成する。特殊相対性理論でも、物理量の保存則 $\nabla_\mu T^{\mu\nu}=0$ により、すべての変化が勾配として捉えられる。哲学的には、時間・空間・質量などの存在は絶対的ではなく、相互の関係（勾配）として定義される。したがって、アインシュタインの理論は「関係の勾配構造」としての宇宙像を提示したと言える。