Abstract: Software supply chain attacks don't start at package managers: they start at developer laptops, compromised credentials, and CI/CD missteps. This session walks through a real-world attack from dev environment compromise to poisoned builds and eventual deployment of a backdoored release. It's not theory : it's how breaches actually unfold. We will relate each step with real life attacks that have happened along the way. 概要: ソフトウェアサプライチェーン攻撃は、単にパッケージマネージャから始まるのではなく、その発端は開発者のノートパソコン、侵害された認証情報、そしてCI/CD の不手際にあるのです。このセッションでは、開発環境への侵入から汚染されたビルド、そしてバックドアが仕込まれたリリースのデプロイに至るまで、実際に起きた攻撃の全貌をたどります。これは単なる机上の空論ではなく、実際のセキュリティ侵害がどのように展開されるかを示すものです。各ステップを、過去に発生した攻撃事例と紐づけて解説します。 Learning Outcomes: - Understand the full lifecycle of a supply chain attack - Learn attacker pivot points: local → repo → CI → release - Map security controls to each phase of the chain - Distinguish proactive vs. reactive defense strategies 学習の成果 - サプライチェーン攻撃のライフサイクル全体を理解する - 攻撃者のピボットポイント（ローカル → リポ → CI → リリース）を学ぶ - サプライチェーンの各段階にセキュリティ対策をマッピングする - プロアクティブな防御戦略とリアクティブな防御戦略を区別する