2025年3月、GitHub Actionsの人気プロジェクト「tj-actions/changed-files」に深刻な脆弱性（CVE-2025-30066）が発見され、数万のリポジトリが影響を受けました。攻撃者はこの脆弱性を悪用して、Runnerプロセスのメモリからシークレットを窃取するペイロードを注入しました。これに対し、Falco ActionsはCI/CD環境でのランタイム脅威をリアルタイムで検知・分析するソリューションを提供します。

Falcoの強み：

• /proc/{pid}/memアクセス検知ルールにより、メモリダンプ攻撃を即座に察知

• GitHub Actionsと簡単に統合可能（start/stop/analyzeステップを追加するだけ）

• 実行時の挙動、IP接続、DNSドメイン、ファイル変更、生成ファイルのSHA256などを可視化

• VirusTotalやOpenAIと連携し、脅威のレピュテーションチェックや自動レポート生成も可能

導入メリット：

• 脆弱なワークフローに対しても、ランタイムでの異常挙動を即座に検知

• 自動的に証拠を収集し、攻撃パターンを特定

• SOCや開発者が迅速に調査・修復に移れる情報を提供

まとめ：
CI/CDサプライチェーン攻撃への対策には、ビルドやコードスキャンだけでなくランタイムでのセキュリティ監視が不可欠です。Falco Actionsの導入により、組織は現代的なCI/CD脅威に対して強力な防御力を得ることができます。