サイバーセキュリティ業界は、陰湿なソフトウェア・サプライチェーンの侵害が発見されたことを受け、再び厳戒態勢に入った。この脆弱性は、主要なLinuxディストリビューションに同梱されているXZ Utilsデータ圧縮ライブラリに影響を及ぼすもので、CVE-2024-3094の下で記録されており、かつては信頼されていたボランティアのシステムメンテナによって意図的に挿入されたバックドアに帰結する。

ありがたいことに、悪意のあるコードがLinuxの安定したリリースに入る前に、別のメンテナがこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsのバージョン5.6.0.および5.6.1.を実行し始めた人にはまだ問題が残っており、組織は緊急レベルの優先事項としてパッチを当てるよう促されています。この発見が間に合わなかった場合、そのリスクプロファイルは、おそらく SolarWinds を凌ぐ、記録上最も壊滅的なサプライチェーン攻撃の一つとなるでしょう。

重要なシステムを維持するためのコミュニティボランティアへの依存は、広く文書化されていますが、この事件のような影響力の大きい問題が表面化するまでは、ほとんど議論されません。彼らのたゆまぬ努力は、オープンソースソフトウェアの保守に不可欠である一方、この事件は、ソフトウェアリポジトリへのアクセス管理を強化することはもちろん、開発者レベルでのセキュリティスキルと意識に真剣に重点を置く必要性を浮き彫りにしている。

XZ Utilsのバックドアとは何ですか？

3月29日、Red HatはFedora Linux 40とFedora Rawhideのユーザーに対し、「XZ」圧縮ツールとライブラリの最新バージョンに、第三者による不正アクセスを容易にする目的で作られたと思われる悪質なコードが含まれていることを知らせる緊急セキュリティ警告を発表した。この悪質なコードがどのように注入されたかは、おそらく今後激しい研究の対象になるだろうが、脅威の主体である「Jia Tan」と呼ばれる偽名攻撃者側の、洗練された忍耐強い、何年にもわたるソーシャル・エンジニアリングの演習に相当する。この人物は、他のメンテナーの信頼を得るために数え切れないほどの時間を費やし、2年以上にわたってXZ Utilsプロジェクトとコミュニティに正当な貢献を行い、最終的には、複数のソックパペット・アカウントがボランティア・プロジェクトのオーナーであるLasse Collinの信頼を低下させた後、「信頼されたメンテナー」の地位を獲得した：

‍

‍

この異常なシナリオは、高度な技術を持つ人が、一般的に知識の浅い人に対する手口の犠牲になっている典型的な例であり、正確で役割に応じたセキュリティ意識向上トレーニングの必要性を示している。バックドアが発見され、バージョンがロールバックされたのは、マイクロソフトのソフトウェア・エンジニアであり、PostgreSQLのメンテナであるアンドレス・フロイントの探究心と素早い思考によるものであった。

このバックドア自体は、NISTのレジストリにおいて、可能な限り深刻度が高い脆弱性として公式に追跡されている。当初は SSH 認証の回避を可能にすると考えられていましたが、さらなる調査により、Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、および Debian の一部のバージョンを含む脆弱な Linux システム上で、認証されていないリモート・コード実行が可能であることが判明しました。

Jia Tan 氏は、悪意のあるパッケージを難読化するために多大な労力を費やしたようで、ビルド・プロセス中に自身を構築するようトリガーされると、systemd を介した SSHd の認証が妨害されます。Red Hatが詳述しているように、適切な状況下では、この妨害によって攻撃者が SSHd 認証を破り、システム全体へのリモートからの不正アクセスを許してしまう可能性があります。

‍

マイクロソフト社などは、エクスプロイトのインスタンスをシステムでスキャンし、その影響を軽減するための包括的なガイダンスを公表しています。CISAが推奨する緊急の対策は、影響を受ける開発者とユーザーは、XZ UtilsをXZ Utils 5.4.6 Stableのような、問題のないバージョンにダウングレードすることです。

この種の攻撃を防ぐことは、特にオープンソースのコンポーネントをソフトウェアで利用する場合、サプライチェーンのセキュリティに対する保証と透明性がほとんどないため、非常に困難です。私たちは、ソフトウェアのサプライチェーンにおける偶発的な欠陥にはすでに対処してきましたが、このリスクは、オープンソースのセキュリティを侵害するために悪意を持って意図的に仕掛けられたセキュリティバグにまで高まっています。

ほとんどの開発者は、セキュリティに対する強い意識と健全なセキュリティ知識、そしてパラノイアを振りかけない限り、この種の攻撃を阻止することはできないでしょう。それはほとんど、脅威行為者の考え方を必要とする場合です。しかし、社内で管理されている（つまりオープンソースではない）ソースコードレポジトリを中心に、常に検討を重ねるべきである。これらは、検証された関連するセキュリティ・スキルを持つ人だけがアクセスできるようにすべきである。AppSec の専門家は、ブランチレベルのセキュリティ管理のようなセットアップを検討し、セキュリ ティスキルのある開発者だけが最終的なマスターブランチに変更をコミットできるようにする。

ボランティアメンテナーは英雄だが、安全なソフトウェアを維持するには村が必要だ。

ソフトウェア・エンジニアリングの領域外の人々にとっては、ボランティアで構成される活気あるコミュニティが、重要なシステムを自分の時間を使って丹念に保守するという概念は、理解しがたいものですが、これがオープンソース開発の本質であり、サプライチェーンを保護するセキュリティの専門家にとっては、重大なリスクの領域であり続けています。

オープンソース・ソフトウェアは、事実上すべての企業のデジタル・エコシステムの重要な一部であり、信頼できるメンテナ（そのほとんどは善意で行動している）は、技術の進歩と完全性を無私の心で追求することにおいて、本当に英雄的である。このようなDevSecOps中心の時代においては、セキュリティは共有責任であり、すべての開発者は、業務中に遭遇する可能性の高いセキュリティ問題をナビゲートするための知識と適切なツールで武装しなければならない。セキュリティ意識と実践的なスキルは、ソフトウェア開発プロセスにおいて譲れないものであるべきであり、企業レベルの変化に影響を与えるのはセキュリティリーダーにかかっている。
‍

セキュリティ文化の 構築 ﹑徹底的な調査によって、今すぐ組織に活気あるセキュリ ティ 文化を構築する Courses Secure Code Warrior から。