サプライチェーン攻撃への防御策として「数日待つ」のは有効なのか？

サプライチェーン攻撃を受けないようにするため、依存しているライブラリの更新を数日待ってから取り込む手法の是非を、ITエンジニアのカル・パターソン氏がブログで論じています。
Dependency cooldowns turn you into a free-rider
https://calpaterson.com/deps.html
サプライチェーン攻撃は、攻撃対象そのものではなく攻撃対象が依存しているライブラリを狙う攻撃です。2026年4月にはWordPressのプラグインを開発している企業を購入してプラグインを取得し、全てにバックドアを追加する事件がありました。この事件の場合、プラグインをアップデートすると自分のサイトにバックドアが仕込まれてしまうわけです。
WordPressのプラグイン31個にバックドアの存在が発覚、所有権移転後のアップデートで追加 - GIGAZINE

サプライチェーン攻撃は、当該ライブラリを使用しているアプリケーション全てに影響が及ぶため、多くの場合攻撃が開始されると数日以内に発覚して修正が行われます。上記のWordPressのプラグインの例でも、攻撃開始から1日でプラグインの配布が停止されています。
そこで考えられる対処法の1つが「ライブラリが更新された後、数日待ってから更新を取り込む」という手法です。もしライブラリに悪意あるコードが仕込まれていた場合、数日待つ間に誰かが被害を受けて報告するはずです。誰も報告しなければ当該アップデートは無害だと推定できるというわけ。
こうした「数日待つ」手法について、パターソン氏は「即座にアップデートした人々が新しくリリースされたアップデートの無償かつ意図しないベータテスターになってくれるという期待に基づいている」ようなフリーライダー的行為だと指摘。個人レベルではうまくいくかもしれないものの、全員が数日待つようになった時に成立しなくなる点を指摘しました。
パターソン氏は代替案として、「アップロード・キュー」の導入を提案しています。「数日待つ」代わりに、パッケージの公開や配布を管理しているパッケージマネージャー側で「公開」と「配布」を分離し、まず新たなパッケージの「公開」のみを行い、数日待ってから「配布」すれば良いとのこと。
最初にアップデートの公開だけを行う事で、実際に配布されて被害者を産む前に自動スキャンや外部からのチェックで悪意あるコードを検出できる可能性が高くなります。また、開発者のアカウントが乗っ取られて勝手に悪意あるコード入りのアップデートが配信された場合にも気付く猶予が生まれます。

アップロード・キューは一見「全員が数日待つ」のと同じように見えますが、アップロード・キューでは不慣れなユーザーがアップデート直後のライブラリを使ってしまって意図しないままベータテスターになってしまうことはありません。
また、「いつアップデートが配布されるのか」が事前に分かるというのもアップロード・キューの長所です。サプライチェーン攻撃の多くは、不正なコードが仕込まれているだけでなく、リリースするという行為自体が不正に行われており、公開後に数日間の期間を置くと「当該アップデートの公開は正当なプロセスで行われたのか」を確かめやすくなります。
さらにパターソン氏はアップロード・キューの維持費用について、実際にアップロード・キューを導入しているDebianプロジェクトを参考にしながら、有料サービスとして商用プロジェクト向けの迅速なレビュープロセスを導入する案を述べました。
パターソン氏は「数日待つ」手法を「個人としては間違っていない」としつつ、「コミュニティのベストプラクティスとして導入するのは全く異なる問題」であり、「自分のセキュリティを他人が先に被害を受けることに依存する状況になるのは避けたい」とブログを締めくくっています。