脆弱性対応ウォッチ重大・クリティカル脆弱性のクラウド別対応まとめ
最新更新履歴CriticalHighAWSGCPAzureLinux
Critical CVSS 9.6 KEV 悪用確認 ランサムウェア悪用
CVE-2026-45321

@tanstack/* npm パッケージへの悪意あるバージョン混入(OIDC 悪用のサプライチェーン侵害)

CVE IDCVE-2026-45321
製品TanStack / @tanstack/* (npm パッケージ群)
CVSS9.6(Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
種別 (CWE)CWE-506 埋め込まれた悪意あるコード
登録/公開日2026/05/12
KEV 期限2026/06/02 まで(米国連邦機関向け目安)
推奨対応ベンダー指示に従い緩和策を適用。緩和策が無ければ製品の使用を停止(CISA KEV)。
出典https://nvd.nist.gov/vuln/detail/CVE-2026-45321

概要

2026-05-11 の約19:20〜19:26 UTC に、42個の @tanstack/* パッケージにわたり84の悪意あるバージョンが npm レジストリへ公開された。公開は正規の GitHub Actions OIDC トークンを用いて認証されており、信頼された発行元を装って資格情報窃取マルウェアが配布された。当該時間帯に該当バージョンを取得した環境が影響を受ける。

クラウド/OS 別の対応状況

各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。

環境対応状況対応方法・備考
AWS (ECS/EC2) パッチあり(アプリ更新)
依存を監査して悪意あるバージョンを除去・正規版へ固定。露出し得た AWS 資格情報をローテーション
AWS 側脆弱性ではなくアプリ依存の問題。lockfile 監査とシークレット失効が要点。
参照リンク
GCP パッチあり(アプリ更新)
依存を監査して除去・固定。露出し得た GCP 資格情報をローテーション
GCP 側脆弱性ではなく依存監査が要点。
参照リンク
Azure パッチあり(アプリ更新)
依存を監査して除去・固定。露出し得た Azure 資格情報をローテーション
Azure 側脆弱性ではなく依存監査が要点。
参照リンク
Linux パッチあり(アプリ更新)
Linux ビルド/CI 環境でも lockfile を監査し悪意あるバージョンを除去、正規版へ固定。
OS パッケージではなく npm 依存の問題。ビルド環境で対応。
参照リンク

CVE-2026-45321 の対応手順(環境別)

確認できた公式情報に基づく環境別の対応手順です。実施前に必ず一次情報と自環境で検証してください。

  1. AWS 環境での対応
    依存を監査して悪意あるバージョンを除去・正規版へ固定。露出し得た AWS 資格情報をローテーション(AWS 側脆弱性ではなくアプリ依存の問題。lockfile 監査とシークレット失効が要点。) 参照
  2. GCP 環境での対応
    依存を監査して除去・固定。露出し得た GCP 資格情報をローテーション(GCP 側脆弱性ではなく依存監査が要点。) 参照
  3. Azure 環境での対応
    依存を監査して除去・固定。露出し得た Azure 資格情報をローテーション(Azure 側脆弱性ではなく依存監査が要点。) 参照
  4. Linux 環境での対応
    Linux ビルド/CI 環境でも lockfile を監査し悪意あるバージョンを除去、正規版へ固定。(OS パッケージではなく npm 依存の問題。ビルド環境で対応。) 参照

解決の方向性(パッチ/回避策/代替)

lockfile を監査し、当該時間帯に公開された悪意あるバージョンが混入していないか確認して除去、クリーンな正規版へ固定する。npm ci をクリーン環境で再実行し、CI/開発端末で露出し得たシークレットを失効・ローテーションする。

よくある質問(CVE-2026-45321)

CVE-2026-45321(@tanstack/*)の影響は?

Critical(CVSS 9.6)に分類されるTanStack @tanstack/* (npm パッケージ群)の脆弱性です。2026-05-11 の約19:20〜19:26 UTC に、42個の @tanstack/* パッケージにわたり84の悪意あるバージョンが npm レジストリへ公開された。公開は正規の GitHub Actions OIDC トークンを用いて認証されており、信頼された発行元を装って資格情報窃取マルウェアが配布された。当該時間帯に該当バージョンを取得した環境が影響を受ける。

CVE-2026-45321 の対応方法・回避策は?

lockfile を監査し、当該時間帯に公開された悪意あるバージョンが混入していないか確認して除去、クリーンな正規版へ固定する。npm ci をクリーン環境で再実行し、CI/開発端末で露出し得たシークレットを失効・ローテーションする。

自分の環境が CVE-2026-45321 の影響を受けるか確認するには?

TanStack @tanstack/* (npm パッケージ群) を利用している場合、稼働バージョンが影響範囲に含まれるかを一次情報(https://nvd.nist.gov/vuln/detail/CVE-2026-45321)で確認してください。AWS・GCP・Azure・Linux それぞれの対応状況は本ページの「クラウド/OS 別の対応状況」表にまとめています。確認できていない項目は「情報確認中」と明記しており、存在しないパッチ番号・バージョンは記載していません。

CVE-2026-45321 は実際に悪用されている?

はい。CISA の既知の悪用された脆弱性カタログ(KEV)に登録されており、実環境での悪用が確認されています。米国連邦機関向けの対応期限の目安は 2026/06/02 です。推奨される対応: ベンダー指示に従い緩和策を適用。緩和策が無ければ製品の使用を停止(CISA KEV)。

関連する脆弱性

同じ製品・ベンダー・脆弱性種別の掲載中CVE。あわせて対応状況を確認できます。

同種別(CWE-506 埋め込まれた悪意あるコード)のCVE
免責: 本ページは CISA KEV・NVD・各ベンダー公式アドバイザリ等の公開情報をもとにした非公式まとめです。修正バージョンや対応可否は変更される場合があります。実際の対応は必ず 出典元および各ベンダー公式情報・自環境で確認してください。

« 一覧に戻る