アプリケーションセキュリティ分野のリーディングカンパニーである Checkmarx（チェックマークス）がサプライチェーン攻撃に伴う不正アクセスを公表

アプリケーションセキュリティ（AppSec）分野のリーディングカンパニーである Checkmarx（チェックマークス）は、開発環境において不正アクセスが発生したことを2026年3月23日に公表しました。

公表によると、同社の GitHub リポジトリが不正アクセスを受け、特定のアーティファクトに悪意のあるコードを混入されたとのことです。また、この初期の攻撃に端を発して流出したとみられるデータの一部が、2026年4月25日にダークウェブ上に公開されたことも明らかになっています。なお、同社の GitHub リポジトリは顧客の本番環境から完全に隔離して管理されており、通常の運用においてリポジトリ内に顧客データを保存することはないと説明されています。

インシデント検知後、同社は直ちに不正なコードを削除してクリーンなアーティファクトを再公開し、資格情報のローテーションや GitHub リポジトリのアクセス制限等の対策を講じています。また、調査体制を強化するため、インシデント対応やデジタルフォレンジック、脅威インテリジェンスの分野で高い実績を持つ Mandiant Inc. に調査も依頼しています。

同社は、公表時点において開発及び配布ワークフローにさらなるセーフガードを実装したことを報告しており、今後はコード監査を通じて更なる悪意のあるコードが存在しないかの検証を進める方針を示しています。