TanStackのnpmパッケージに不正バージョン(CVE-2026-45321)— 信頼された名義で認証情報窃取マルウェアを公開
広く使われるTanStack(React向けライブラリ群)について、悪意あるバージョンがnpmレジストリに公開され、信頼された配布元の名義で認証情報を盗むマルウェアが配られた。CISAは悪用確認済み(KEV)・ランサムウェアでの悪用ありとして掲載(CVSS 9.6 Critical)。
脆弱性の基本情報
- CVE番号CVE-2026-45321
- CVSS基本値9.6 CRITICAL
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
- 対象(ベンダー/製品)TanStack TanStack
- 悪用状況CISA KEV 掲載(実際の悪用を確認)/ランサムウェアでの悪用も確認
- 是正期限2026-06-10(米連邦民生機関・BOD 22-01)
要点
CVE-2026-45321は、Reactエコシステムでよく使われるTanStack(TanStack Query/Router/Table などのライブラリ群)に関し、悪意あるバージョンがnpmレジストリへ公開された事案だ。CISAのKEVカタログに2026年5月27日付で追加され、ランサムウェアでの悪用も確認されている。
ポイントは「信頼された名義(trusted identity)」を悪用してマルウェアが配布されたこと。利用者から見れば普段使っている正規パッケージの新しいバージョンに見えるため、`npm install`やバージョン更新の中で気づかないうちに資格情報窃取マルウェアを取り込んでしまう恐れがある。盗まれるのは開発者のトークンや鍵で、これが正規になりすましたさらなる侵害の起点になる。
Nx Console(CVE-2026-48027)と同時期にKEV入りした、いずれも開発エコシステム(npm/IDE拡張)を狙うサプライチェーン攻撃であり、近年の攻撃トレンドを象徴する。
【対応の要点】TanStack関連パッケージを利用している場合は、ベンダーのGitHub Security Advisory(GHSA-g7cv-rxg3-hmpx)で影響を受けるパッケージ・バージョンを確認し、安全なバージョンへ更新する。lockファイルや取り込み済みの依存関係(直接・推移的の両方)を点検し、疑わしい期間にインストール/更新を行った端末・CIでは、使用したトークン・鍵を失効・再発行することが推奨される。連邦民生機関の是正期限は2026年6月10日。
なぜ重要か
Reactを使うWeb開発現場で広く依存されているライブラリ群のため、影響範囲は広い。直接依存だけでなく推移的依存も含めた点検と、CI/開発端末の認証情報ローテーションが要点。
よくある質問(FAQ)
TanStackとは何ですか?
どうやって被害に遭うのですか?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。