昭和・平成世代向けのWebメディア、LifeGoodTrend編集部です。
2026年3月31日、世界中で使われているプログラム部品「axios」が乗っ取られ、ウイルス入りの偽バージョンが配布される事件が発生しました。
2026年3月31日、npm で最も利用されているHTTPクライアントライブラリの一つである axios がサプライチェーン攻撃を受けました。攻撃者はリードメンテナーのアカウントを乗っ取り、マルウェアを含む2つのバージョンを公開しています。
引用元: 【緊急】axios がサプライチェーン攻撃 2026.03.31(Zenn)
詳しい情報は以下をご覧ください。
axiosって何?なぜ今トレンド入りしているのか
axiosはWebサイトやアプリの「裏方部品」
axiosというのは、Webサイトやアプリが「インターネット上のデータを取りに行く」ときに使われるプログラム部品(ライブラリ)です。
たとえばショッピングサイトで商品情報を表示したり、天気予報アプリが最新の気温を取得したりする裏側で、axiosのような部品が動いています。
その部品がウイルス入りに差し替えられた
2026年3月31日の早朝(日本時間)、このaxiosの管理者アカウントが何者かに乗っ取られました。
攻撃者は正規の配布ルートを通じて「ウイルス入りの偽バージョン」を公開したのです。
具体的には、axios@1.14.1とaxios@0.30.4という2つのバージョンに「plain-crypto-js」という不正なプログラムが仕込まれていました。
SNSで大騒ぎになっている理由
Xでは「axiosは影響あるプロジェクト多いし、もうインターネットが壊れていってる」「axios使わずにfetchで統一しててよかったー」といった声があふれています。
エンジニアたちが騒いでいる理由は、axiosがあまりにも多くのサービスで使われているため、影響範囲が計り知れないからです。
週に1億回以上ダウンロードされるパッケージだ。最新版をインストールした瞬間、あなたのパソコンに遠隔操作ウイルス(RAT)が仕込まれる。しかもウイルスは実行後に自分自身を消去し、証拠を残さない。
引用元: 【速報】axios乗っ取り事件──あなたのMacが感染していないか確認する方法と防御手順(note)
こうした衝撃的な内容がSNSで一気に拡散され、「axiosって何?」と検索する一般ユーザーが急増しているというわけですね。
この動画ではnpmを狙ったサプライチェーン攻撃の仕組みを解説。
知らないと不安になりがちですが、まずは「自分に関係あるのかどうか」を確認することが大切です。
普通にスマホやPCを使っている人に影響はあるのか
ブラウザでネットを見るだけなら基本的に安全
まず安心していただきたいのが、普通にスマホやPCでWebサイトを見たり、アプリを使っているだけの人は影響を受けません。
今回の攻撃は「axiosをインストールする」という行為をした人のパソコンに対してのみ発動するものです。
axiosが使われているWebサービスを「閲覧する側」には影響はありません。
影響があるのはこんな人(AIコーディング・Web制作経験者)
では誰が注意すべきなのかというと、以下に当てはまる人です。
特に最近は、プログラミング未経験でもAIツールを使って「バイブコーディング」と呼ばれるアプリ開発をする人が増えています。
「自分はエンジニアじゃないから関係ない」と思っていても、AIに任せてアプリを作ったことがあるなら要確認です。
自分のPCが大丈夫か確認する方法
確認方法は簡単です。
Macなら「ターミナル」、Windowsなら「コマンドプロンプト」を開いて、以下のコマンドをコピー&ペーストしてください。
「自分はエンジニアじゃないから関係ない」と思うかもしれない。だが、Claude CodeやCursorなどのAIツールでアプリを作ったことがあるなら、あなたのMacにも「axios」は入っている可能性がある。
引用元: 【速報】axios乗っ取り事件──あなたのMacが感染していないか確認する方法と防御手順(note)
万が一、結果に「plain-crypto-js」というフォルダが表示された場合は、そのPCは影響を受けている可能性があります。
その場合はパスワードの変更やセキュリティソフトでのスキャンを行い、必要に応じて専門家に相談しましょう。
この動画ではサプライチェーン攻撃の連鎖的な広がり方を解説。
こういう情報を知っておくだけでも、いざというときの対応が全然変わってきます。
今回のaxios事件から学べること
サプライチェーン攻撃とは「信頼された流通ルート」が狙われること
「サプライチェーン攻撃」と聞くと難しそうですが、仕組みはシンプルです。
いつも使っている通販サイトで、信頼しているブランドの商品を注文したのに、配送の途中で中身が盗聴器入りの偽物にすり替えられていた。
これが今回起きたことのイメージです。
攻撃の方法はaxiosの主要メンテナーのnpm認証情報が悪用されたと見られており、npm CLIから直接バージョンを公開することでGitHubのリリースフローを完全に迂回している。
引用元: axiosが汚染された日──2026年3月31日のサプライチェーン攻撃、実務向けまとめ(note)
つまり管理者本人のアカウントを乗っ取って、正規のルートから堂々とウイルスを配布するという恐ろしい手口です。
一般ユーザーが気をつけるべきは「よくわからないままインストール」
今回の事件で特に考えさせられるのが、AIツールの普及によって「プログラミングの知識がないままインストール操作をする人」が増えているという点です。
Claude CodeやCursorといったAIコーディングツールでは、AIが「npm installを実行してください」と指示してくることがあります。
Xでも「バイブコーディングなどでAI側に任せている環境だとほぼほぼ動けなくなる」という声が上がっていました。
不安なときは「確認する習慣」だけで大きく変わる
とはいえ、必要以上に怖がる必要はありません。
大事なのは「何かおかしいかも?」と思ったときに、確認する習慣を持つことです。
この動画では開発者を狙うサイバー攻撃の手口を解説。
ここまで読んだなら、もう「axiosって何?」と不安になることはないですよね。
まとめ
2026年3月31日に発生したaxios乗っ取り事件は、世界中のエンジニアを震撼させた大規模なサプライチェーン攻撃でした。
ただし、普通にスマホやPCでインターネットを使っている方には直接的な影響はありません。
ただし普通にネットを見たりスマホを使っているだけの人には、基本的に直接の影響はありません。
この記事では「axiosって何?」という方に向けて、何が起きたのか、自分に関係あるのかをわかりやすく解説します。