メインコンテンツまでスキップ

Takumi Runner がトレース検索に対応

· 約5分
Rio Nishimori
Software Engineer @ GMO Flatt Security Inc.

Takumi Runner で、収集したトレースデータを日付指定で検索できるようになりました。今までも単一の GitHub ジョブのトレースデータ内を検索することができましたが、この検索機能により、複数の GitHub ジョブを一括で・横断して検索できます。公知の IoC 情報を利用した、不審なアクティビティの調査にご活用頂けます。

今年3月に発生した axios ソフトウェアサプライチェーン攻撃など、実例に基づいて本検索機能のご利用方法も紹介します。以下「具体例」をご確認ください。

利用方法

Shisho Cloud コンソールで Runner > トレース検索 を開きます。

まずは期間を選択し、検索対象とするイベント種別を選択します。最後に検索内容を入力し、「検索」を押すと検索が実行されます。

トレース検索ページ

警告

2026-06-13 以前のトレースデータは検索できません。

検索が完了すると検索結果を確認できます。この画面から以下が可能になります。

  • 一致したジョブとイベントの統計の確認
  • 一致したジョブとイベントの内容を確認
  • 検索結果のデータのダウンロード

検索結果ページ

検索結果は 72 時間保持されます。

詳しくは トレース検索のドキュメント をご覧ください。

具体例

axios ソフトウェアサプライチェーンの攻撃 - ホスト接続の検索

2026年3月に HTTP クライアントライブラリ axios の npm パッケージが侵害された攻撃がありました。この事例の詳細は 弊社のブログ からご確認いただけます。

こちらと同等の攻撃が3日前に発生したとします。弊社のブログなどから、攻撃は dangerous.example に接続すると分かったとしましょう(誤接続を防ぐため、本稿での例示には、上記ブログに記載されている実際のホスト名とは異なるホスト名を利用しています)。

この場合、Takumi Runner で実行されたジョブに影響がなかったかは、以下検索条件で確認できます。

  • 対象期間 - <3日前> ~ <検索の当日>
  • イベント種別 - dns_query
  • ホスト名 - *dangerous.example

ホスト名検索

ホスト名には、サブドメインも一致するよう * を先頭に追加します。

検索を実行し、一致したジョブがあった場合は攻撃の影響があったと判断できます。

GitHub Actions の侵害 - ファイルアクセスの検索

GitHub Actions が侵害され、認証情報が奪取される攻撃が本年既に何度か発生しております。詳細は 弊社のブログ に記載されております。

このようなインシデント時には、GitHub Actions ワーカーが持つ認証情報が、メモリ(/proc/<pid>/mem)から読み取られる傾向があります。

もし同様の GitHub Actions の侵害があり、自社に影響が及んだ場合、Takumi Runner では /proc/<pid>/mem のファイルにアクセスした痕跡(トレース)が残ることになります。

従って、Actions 上で類似の攻撃が発生していないかの確認には、以下検索条件が利用できます。

  • 対象期間 - <攻撃発生日> ~ <検索の当日>
  • イベント種別 - file_open
  • ファイルパス - /proc/*/mem

ファイルアクセスの検索

<pid> は固定ではないため * を利用して検索します。

検索を実行し、一致したジョブがあった場合は攻撃の影響があったと判断できます。