2026年3月31日に発生したAxiosの侵害に関する弊社影響度調査の結果について

平素よりAutifyをご利用いただき、誠にありがとうございます。

2026年3月31日、npm上で広く利用されているJavaScriptライブラリ「axios」のコードにおいて悪意のある攻撃者による侵害が発生しました。

本件につきまして、弊社における影響範囲の調査を実施いたしましたので、結果をご報告いたします。

本件による、お客様のデータおよび個人情報の漏洩、ならびに本番環境への影響は一切ございません。

■ 事案の概要

2026年3月31日、npm上で広く利用されているJavaScriptライブラリ「Axios」の配信元において、悪意のある第三者によるコードの改ざんが確認されました。この改ざんは、感染したシステムから情報を奪取することを目的としたものです。侵害されたAxiosライブラリは、UTC 00:21（日本時間 09:21）からUTC 03:20（日本時間 12:20）の間、npm上で利用可能な状態となっていました。

※本件の詳細については、Google Threat Intelligenceにてご確認いただけます。

■ 弊社における状況と調査結果

‍当該コードが利用可能であった期間中（日本時間 9:21〜12:20）、弊社の開発工程において一時的に隔離されたリモートシステムに当該コードがダウンロードされました。しかし、これらのシステムはAutifyの本番ネットワークには接続されておらず、顧客データへのアクセス権限も持っていません。したがって、お客様の情報が侵害された事実はございません。

また、当社のソフトウェアおよび開発環境の監査の結果、当該ソフトウェアの他のインスタンスがAutifyのシステムと接触していないことを確認しております。

■ 弊社の対応について

‍弊社では、当該ソフトウェアがビルドパイプラインへ混入した経路を特定しており、ソフトウェア・サプライチェーンのセキュリティをさらに強化するための即時措置が完了しております。

本件に関しまして、ご不安な点やご不明なことがございましたら、チャットサポートまでご連絡ください。

ご確認どうぞよろしくお願いします。