LinuxにおけるXZ Utilsのバックドアは、サプライチェーンにおけるより広範なセキュリティ問題を浮き彫りにしており、これを封じ込めるには共同体の結束以上のものが必要だ
ソフトウェア供給チェーンにおける悪質な侵害が発見された後、サイバーセキュリティ業界は再び最高レベルの警戒態勢に入った。 主要なLinuxディストリビューションに同梱されているXZ Utilsデータ圧縮ライブラリに影響するこの脆弱性は、CVE-2024-3094として記録されており、かつて信頼されていたボランティアシステム管理者が意図的に挿入したバックドアに帰着する。 この脆弱性は、悪用が成功した場合、リモートコード実行(RCE)を可能にするケースがあり、確立されたソフトウェア構築プロセスに深刻な損害をもたらす重大な問題である。
幸いにも、別のメンテナがこの脅威を悪意のあるコードが安定版Linuxに到達する前に発見しましたが、Fedora Rawhideの一部としてXZ Utilsバージョン5.6.0および5.6.1の使用を開始したユーザーにとっては依然として問題であり、組織は緊急レベルの優先度でパッチ適用を迫られています。 この発見が遅れていたら、そのリスクプロファイルから、SolarWindsを凌ぐ史上最悪のサプライチェーン攻撃の一つとなっていたでしょう。
重要なシステムのメンテナンスにおけるコミュニティのボランティアへの依存は広く知られていますが、この種の深刻な問題が発生するまで、ほとんど議論されることはありません。 彼らのたゆまぬ努力はオープンソースソフトウェアの維持に不可欠である一方、開発者レベルのセキュリティスキルとセキュリティ意識の重要性を強調するとともに、ソフトウェアリポジトリ周辺のアクセス制御強化の必要性を示唆している。
XZ Utilsのバックドアとは何か、そしてどのように無効化されるのか?
3月29日、レッドハットは緊急セキュリティ警告を発表し、Fedora Linux 4.0およびFedora Rawhideユーザーに対し、最新版の「XZ」圧縮ツールおよびライブラリに悪意のあるコードが含まれていることを通知した。このコードは、第三者による不正アクセスを容易にするために特別に設計されたものとみられる。 この悪意あるコードがどのように潜入したかは、今後詳細な調査の対象となるでしょうが、これは「Jia Tan」という偽名の攻撃者による、洗練され忍耐強く、数年にわたるソーシャルエンジニアリングの実践でした。 この人物は、他のメンターの信頼を得るために膨大な時間を費やし、2年以上にわたりXZ Utilsプロジェクトとコミュニティに正当な貢献を行い、複数の偽装アカウントがボランティアのプロジェクト所有者であるLasse Collinへの信頼を損なった後、ついに「信頼できるメンター」の地位を獲得しました。
この特異な事例は、高度な技術を持つ人物でさえ、通常は技術に疎い人々に対してのみ用いられる戦術の犠牲となる典型例であり、精密な役割ベースのセキュリティ意識トレーニングの必要性を示している。マイクロソフトのソフトウェアエンジニアでありPostgreSQLメンテナであるアンドレス・フロイントの好奇心と機転がなければ、この攻撃は阻止されなかっただろう。アンドレス・フロイント氏によってバックドアが発見され、バージョンがロールバックされたことで、近年で最も壊滅的となり得たサプライチェーン攻撃が阻止されたのである。
このバックドア自体は、NIST登録簿において公式に最高レベルの深刻度を持つセキュリティ脆弱性として分類されている。 当初はSSH認証の回避を可能にするものと考えられていたが、さらなる調査により、Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、およびDebianのいくつかのバージョンを含む脆弱なLinuxシステム上で、認証不要のリモートコード実行を可能にすることが判明した。
Jia Tan は悪意のあるパッケージを隠蔽するために多大な努力を払ったようだ。 ビルドプロセス中に自己作成を促されると、systemd経由のSSHD認証を妨害する。Roter Hutが詳述するように、特定の条件下ではこの妨害により攻撃者がSSHD認証を突破し、システム全体への不正なリモートアクセスを取得する可能性があった。
Microsoft は、エクスプロイト事例のシステムスキャンと影響緩和に関する包括的なガイドラインを公開したほか、CISA が推奨する緊急措置として、影響を受ける開発者およびユーザーは XZ Utils を改ざんされていないバージョン(例:XZ Utils 5.4.6 Stable)にダウングレードすべきであると述べています。
この種の攻撃を防ぐことは非常に困難です。特にソフトウェアにおけるオープンソースコンポーネントの使用においては、サプライチェーンの安全性がほとんど保証されておらず、透明性も欠如しているためです。私たちはこれまでソフトウェアサプライチェーンにおける偶発的な欠陥に対処してきましたが、このリスクは、オープンソースの安全性を脅かすために意図的に悪意を持って仕込まれた脆弱性へと拡大しています。
ほとんどの開発者は、高度なセキュリティ意識、健全なセキュリティ知識、そして少しの偏執的な警戒心を持って初めて、この種の攻撃を阻止できるでしょう。脅威アクターの思考様式が求められると言っても過言ではありません。しかし、常に主要な考慮事項として、内部管理下にある(つまり非公開の)ソースコードリポジトリに焦点を当てるべきです。 これらは、実証済みの関連セキュリティ知識を持つ者のみがアクセス可能であるべきです。アプリセキュリティ専門家は、セキュリティ管理を支店レベルで実施する仕組みを検討できるでしょう。これにより、セキュリティ経験のある開発者だけが最終的なマスターブランチに変更を加えられるようになります。
ボランティアの支援者は英雄ですが、安全なソフトウェアを維持するには(本来なら)村全体が必要なのです
ソフトウェア技術分野に携わっていない人々にとって、気性の激しいボランティアコミュニティが自らの時間を使って重要なシステムを注意深く保守しているという概念は理解しがたいものだが、これはオープンソース開発の本質であり、サプライチェーンを保護するセキュリティ専門家にとって依然として重大なリスク要因となっている。
オープンソースソフトウェアは、事実上あらゆる企業のデジタルエコシステムにおいて重要な構成要素であり、信頼できるメンテナ(そのほとんどは善意で活動している)は、技術的進歩と完全性への無私の追求において真に英雄的である。しかし、彼らに単独で提供を任せるのは茶番である。 DevSecOpsが中心となるこの時代において、セキュリティは共同責任であり、各開発者は日常業務で遭遇する可能性のあるセキュリティ課題に対処するための知識と適切なツールを備えている必要があります。セキュリティ意識と実践的なスキルはソフトウェア開発プロセスにおいて譲れない要素であり、企業レベルでの変革を推進するのはセキュリティ責任者の役割です。
今すぐ詳細なトレーニングで、貴社に活気ある安全文化を築きましょう 研修プログラム で、今日から貴社Secure Code Warrior。
重大なセキュリティ脆弱性CVE-2024-3094が、主要なLinuxディストリビューションで使用されているデータ圧縮ライブラリXZ Utilsにおいて発見されました。これは脅威アクターによるバックドア導入が原因です。この深刻な問題は遠隔からのコード実行を可能にし、ソフトウェア構築プロセスに重大なリスクをもたらします。 この欠陥はFedora RawhideにおけるXZ Utilsの初期バージョン(5.6.0および5.6.1)に影響します。企業はパッチ適用を緊急に実施するよう強く推奨されます。本事象は、オープンソースソフトウェアの保守におけるコミュニティボランティアの決定的な役割を浮き彫りにするとともに、ソフトウェア開発サイクル内におけるセキュリティ対策とアクセス制御の強化の必要性を強調しています。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
ソフトウェア供給チェーンにおける悪質な侵害が発見された後、サイバーセキュリティ業界は再び最高レベルの警戒態勢に入った。 主要なLinuxディストリビューションに同梱されているXZ Utilsデータ圧縮ライブラリに影響するこの脆弱性は、CVE-2024-3094として記録されており、かつて信頼されていたボランティアシステム管理者が意図的に挿入したバックドアに帰着する。 この脆弱性は、悪用が成功した場合、リモートコード実行(RCE)を可能にするケースがあり、確立されたソフトウェア構築プロセスに深刻な損害をもたらす重大な問題である。
幸いにも、別のメンテナがこの脅威を悪意のあるコードが安定版Linuxに到達する前に発見しましたが、Fedora Rawhideの一部としてXZ Utilsバージョン5.6.0および5.6.1の使用を開始したユーザーにとっては依然として問題であり、組織は緊急レベルの優先度でパッチ適用を迫られています。 この発見が遅れていたら、そのリスクプロファイルから、SolarWindsを凌ぐ史上最悪のサプライチェーン攻撃の一つとなっていたでしょう。
重要なシステムのメンテナンスにおけるコミュニティのボランティアへの依存は広く知られていますが、この種の深刻な問題が発生するまで、ほとんど議論されることはありません。 彼らのたゆまぬ努力はオープンソースソフトウェアの維持に不可欠である一方、開発者レベルのセキュリティスキルとセキュリティ意識の重要性を強調するとともに、ソフトウェアリポジトリ周辺のアクセス制御強化の必要性を示唆している。
XZ Utilsのバックドアとは何か、そしてどのように無効化されるのか?
3月29日、レッドハットは緊急セキュリティ警告を発表し、Fedora Linux 4.0およびFedora Rawhideユーザーに対し、最新版の「XZ」圧縮ツールおよびライブラリに悪意のあるコードが含まれていることを通知した。このコードは、第三者による不正アクセスを容易にするために特別に設計されたものとみられる。 この悪意あるコードがどのように潜入したかは、今後詳細な調査の対象となるでしょうが、これは「Jia Tan」という偽名の攻撃者による、洗練され忍耐強く、数年にわたるソーシャルエンジニアリングの実践でした。 この人物は、他のメンターの信頼を得るために膨大な時間を費やし、2年以上にわたりXZ Utilsプロジェクトとコミュニティに正当な貢献を行い、複数の偽装アカウントがボランティアのプロジェクト所有者であるLasse Collinへの信頼を損なった後、ついに「信頼できるメンター」の地位を獲得しました。
この特異な事例は、高度な技術を持つ人物でさえ、通常は技術に疎い人々に対してのみ用いられる戦術の犠牲となる典型例であり、精密な役割ベースのセキュリティ意識トレーニングの必要性を示している。マイクロソフトのソフトウェアエンジニアでありPostgreSQLメンテナであるアンドレス・フロイントの好奇心と機転がなければ、この攻撃は阻止されなかっただろう。アンドレス・フロイント氏によってバックドアが発見され、バージョンがロールバックされたことで、近年で最も壊滅的となり得たサプライチェーン攻撃が阻止されたのである。
このバックドア自体は、NIST登録簿において公式に最高レベルの深刻度を持つセキュリティ脆弱性として分類されている。 当初はSSH認証の回避を可能にするものと考えられていたが、さらなる調査により、Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、およびDebianのいくつかのバージョンを含む脆弱なLinuxシステム上で、認証不要のリモートコード実行を可能にすることが判明した。
Jia Tan は悪意のあるパッケージを隠蔽するために多大な努力を払ったようだ。 ビルドプロセス中に自己作成を促されると、systemd経由のSSHD認証を妨害する。Roter Hutが詳述するように、特定の条件下ではこの妨害により攻撃者がSSHD認証を突破し、システム全体への不正なリモートアクセスを取得する可能性があった。
Microsoft は、エクスプロイト事例のシステムスキャンと影響緩和に関する包括的なガイドラインを公開したほか、CISA が推奨する緊急措置として、影響を受ける開発者およびユーザーは XZ Utils を改ざんされていないバージョン(例:XZ Utils 5.4.6 Stable)にダウングレードすべきであると述べています。
この種の攻撃を防ぐことは非常に困難です。特にソフトウェアにおけるオープンソースコンポーネントの使用においては、サプライチェーンの安全性がほとんど保証されておらず、透明性も欠如しているためです。私たちはこれまでソフトウェアサプライチェーンにおける偶発的な欠陥に対処してきましたが、このリスクは、オープンソースの安全性を脅かすために意図的に悪意を持って仕込まれた脆弱性へと拡大しています。
ほとんどの開発者は、高度なセキュリティ意識、健全なセキュリティ知識、そして少しの偏執的な警戒心を持って初めて、この種の攻撃を阻止できるでしょう。脅威アクターの思考様式が求められると言っても過言ではありません。しかし、常に主要な考慮事項として、内部管理下にある(つまり非公開の)ソースコードリポジトリに焦点を当てるべきです。 これらは、実証済みの関連セキュリティ知識を持つ者のみがアクセス可能であるべきです。アプリセキュリティ専門家は、セキュリティ管理を支店レベルで実施する仕組みを検討できるでしょう。これにより、セキュリティ経験のある開発者だけが最終的なマスターブランチに変更を加えられるようになります。
ボランティアの支援者は英雄ですが、安全なソフトウェアを維持するには(本来なら)村全体が必要なのです
ソフトウェア技術分野に携わっていない人々にとって、気性の激しいボランティアコミュニティが自らの時間を使って重要なシステムを注意深く保守しているという概念は理解しがたいものだが、これはオープンソース開発の本質であり、サプライチェーンを保護するセキュリティ専門家にとって依然として重大なリスク要因となっている。
オープンソースソフトウェアは、事実上あらゆる企業のデジタルエコシステムにおいて重要な構成要素であり、信頼できるメンテナ(そのほとんどは善意で活動している)は、技術的進歩と完全性への無私の追求において真に英雄的である。しかし、彼らに単独で提供を任せるのは茶番である。 DevSecOpsが中心となるこの時代において、セキュリティは共同責任であり、各開発者は日常業務で遭遇する可能性のあるセキュリティ課題に対処するための知識と適切なツールを備えている必要があります。セキュリティ意識と実践的なスキルはソフトウェア開発プロセスにおいて譲れない要素であり、企業レベルでの変革を推進するのはセキュリティ責任者の役割です。
今すぐ詳細なトレーニングで、貴社に活気ある安全文化を築きましょう 研修プログラム で、今日から貴社Secure Code Warrior。
ソフトウェア供給チェーンにおける悪質な侵害が発見された後、サイバーセキュリティ業界は再び最高レベルの警戒態勢に入った。 主要なLinuxディストリビューションに同梱されているXZ Utilsデータ圧縮ライブラリに影響するこの脆弱性は、CVE-2024-3094として記録されており、かつて信頼されていたボランティアシステム管理者が意図的に挿入したバックドアに帰着する。 この脆弱性は、悪用が成功した場合、リモートコード実行(RCE)を可能にするケースがあり、確立されたソフトウェア構築プロセスに深刻な損害をもたらす重大な問題である。
幸いにも、別のメンテナがこの脅威を悪意のあるコードが安定版Linuxに到達する前に発見しましたが、Fedora Rawhideの一部としてXZ Utilsバージョン5.6.0および5.6.1の使用を開始したユーザーにとっては依然として問題であり、組織は緊急レベルの優先度でパッチ適用を迫られています。 この発見が遅れていたら、そのリスクプロファイルから、SolarWindsを凌ぐ史上最悪のサプライチェーン攻撃の一つとなっていたでしょう。
重要なシステムのメンテナンスにおけるコミュニティのボランティアへの依存は広く知られていますが、この種の深刻な問題が発生するまで、ほとんど議論されることはありません。 彼らのたゆまぬ努力はオープンソースソフトウェアの維持に不可欠である一方、開発者レベルのセキュリティスキルとセキュリティ意識の重要性を強調するとともに、ソフトウェアリポジトリ周辺のアクセス制御強化の必要性を示唆している。
XZ Utilsのバックドアとは何か、そしてどのように無効化されるのか?
3月29日、レッドハットは緊急セキュリティ警告を発表し、Fedora Linux 4.0およびFedora Rawhideユーザーに対し、最新版の「XZ」圧縮ツールおよびライブラリに悪意のあるコードが含まれていることを通知した。このコードは、第三者による不正アクセスを容易にするために特別に設計されたものとみられる。 この悪意あるコードがどのように潜入したかは、今後詳細な調査の対象となるでしょうが、これは「Jia Tan」という偽名の攻撃者による、洗練され忍耐強く、数年にわたるソーシャルエンジニアリングの実践でした。 この人物は、他のメンターの信頼を得るために膨大な時間を費やし、2年以上にわたりXZ Utilsプロジェクトとコミュニティに正当な貢献を行い、複数の偽装アカウントがボランティアのプロジェクト所有者であるLasse Collinへの信頼を損なった後、ついに「信頼できるメンター」の地位を獲得しました。
この特異な事例は、高度な技術を持つ人物でさえ、通常は技術に疎い人々に対してのみ用いられる戦術の犠牲となる典型例であり、精密な役割ベースのセキュリティ意識トレーニングの必要性を示している。マイクロソフトのソフトウェアエンジニアでありPostgreSQLメンテナであるアンドレス・フロイントの好奇心と機転がなければ、この攻撃は阻止されなかっただろう。アンドレス・フロイント氏によってバックドアが発見され、バージョンがロールバックされたことで、近年で最も壊滅的となり得たサプライチェーン攻撃が阻止されたのである。
このバックドア自体は、NIST登録簿において公式に最高レベルの深刻度を持つセキュリティ脆弱性として分類されている。 当初はSSH認証の回避を可能にするものと考えられていたが、さらなる調査により、Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、およびDebianのいくつかのバージョンを含む脆弱なLinuxシステム上で、認証不要のリモートコード実行を可能にすることが判明した。
Jia Tan は悪意のあるパッケージを隠蔽するために多大な努力を払ったようだ。 ビルドプロセス中に自己作成を促されると、systemd経由のSSHD認証を妨害する。Roter Hutが詳述するように、特定の条件下ではこの妨害により攻撃者がSSHD認証を突破し、システム全体への不正なリモートアクセスを取得する可能性があった。
Microsoft は、エクスプロイト事例のシステムスキャンと影響緩和に関する包括的なガイドラインを公開したほか、CISA が推奨する緊急措置として、影響を受ける開発者およびユーザーは XZ Utils を改ざんされていないバージョン(例:XZ Utils 5.4.6 Stable)にダウングレードすべきであると述べています。
この種の攻撃を防ぐことは非常に困難です。特にソフトウェアにおけるオープンソースコンポーネントの使用においては、サプライチェーンの安全性がほとんど保証されておらず、透明性も欠如しているためです。私たちはこれまでソフトウェアサプライチェーンにおける偶発的な欠陥に対処してきましたが、このリスクは、オープンソースの安全性を脅かすために意図的に悪意を持って仕込まれた脆弱性へと拡大しています。
ほとんどの開発者は、高度なセキュリティ意識、健全なセキュリティ知識、そして少しの偏執的な警戒心を持って初めて、この種の攻撃を阻止できるでしょう。脅威アクターの思考様式が求められると言っても過言ではありません。しかし、常に主要な考慮事項として、内部管理下にある(つまり非公開の)ソースコードリポジトリに焦点を当てるべきです。 これらは、実証済みの関連セキュリティ知識を持つ者のみがアクセス可能であるべきです。アプリセキュリティ専門家は、セキュリティ管理を支店レベルで実施する仕組みを検討できるでしょう。これにより、セキュリティ経験のある開発者だけが最終的なマスターブランチに変更を加えられるようになります。
ボランティアの支援者は英雄ですが、安全なソフトウェアを維持するには(本来なら)村全体が必要なのです
ソフトウェア技術分野に携わっていない人々にとって、気性の激しいボランティアコミュニティが自らの時間を使って重要なシステムを注意深く保守しているという概念は理解しがたいものだが、これはオープンソース開発の本質であり、サプライチェーンを保護するセキュリティ専門家にとって依然として重大なリスク要因となっている。
オープンソースソフトウェアは、事実上あらゆる企業のデジタルエコシステムにおいて重要な構成要素であり、信頼できるメンテナ(そのほとんどは善意で活動している)は、技術的進歩と完全性への無私の追求において真に英雄的である。しかし、彼らに単独で提供を任せるのは茶番である。 DevSecOpsが中心となるこの時代において、セキュリティは共同責任であり、各開発者は日常業務で遭遇する可能性のあるセキュリティ課題に対処するための知識と適切なツールを備えている必要があります。セキュリティ意識と実践的なスキルはソフトウェア開発プロセスにおいて譲れない要素であり、企業レベルでの変革を推進するのはセキュリティ責任者の役割です。
今すぐ詳細なトレーニングで、貴社に活気ある安全文化を築きましょう 研修プログラム で、今日から貴社Secure Code Warrior。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
ソフトウェア供給チェーンにおける悪質な侵害が発見された後、サイバーセキュリティ業界は再び最高レベルの警戒態勢に入った。 主要なLinuxディストリビューションに同梱されているXZ Utilsデータ圧縮ライブラリに影響するこの脆弱性は、CVE-2024-3094として記録されており、かつて信頼されていたボランティアシステム管理者が意図的に挿入したバックドアに帰着する。 この脆弱性は、悪用が成功した場合、リモートコード実行(RCE)を可能にするケースがあり、確立されたソフトウェア構築プロセスに深刻な損害をもたらす重大な問題である。
幸いにも、別のメンテナがこの脅威を悪意のあるコードが安定版Linuxに到達する前に発見しましたが、Fedora Rawhideの一部としてXZ Utilsバージョン5.6.0および5.6.1の使用を開始したユーザーにとっては依然として問題であり、組織は緊急レベルの優先度でパッチ適用を迫られています。 この発見が遅れていたら、そのリスクプロファイルから、SolarWindsを凌ぐ史上最悪のサプライチェーン攻撃の一つとなっていたでしょう。
重要なシステムのメンテナンスにおけるコミュニティのボランティアへの依存は広く知られていますが、この種の深刻な問題が発生するまで、ほとんど議論されることはありません。 彼らのたゆまぬ努力はオープンソースソフトウェアの維持に不可欠である一方、開発者レベルのセキュリティスキルとセキュリティ意識の重要性を強調するとともに、ソフトウェアリポジトリ周辺のアクセス制御強化の必要性を示唆している。
XZ Utilsのバックドアとは何か、そしてどのように無効化されるのか?
3月29日、レッドハットは緊急セキュリティ警告を発表し、Fedora Linux 4.0およびFedora Rawhideユーザーに対し、最新版の「XZ」圧縮ツールおよびライブラリに悪意のあるコードが含まれていることを通知した。このコードは、第三者による不正アクセスを容易にするために特別に設計されたものとみられる。 この悪意あるコードがどのように潜入したかは、今後詳細な調査の対象となるでしょうが、これは「Jia Tan」という偽名の攻撃者による、洗練され忍耐強く、数年にわたるソーシャルエンジニアリングの実践でした。 この人物は、他のメンターの信頼を得るために膨大な時間を費やし、2年以上にわたりXZ Utilsプロジェクトとコミュニティに正当な貢献を行い、複数の偽装アカウントがボランティアのプロジェクト所有者であるLasse Collinへの信頼を損なった後、ついに「信頼できるメンター」の地位を獲得しました。
この特異な事例は、高度な技術を持つ人物でさえ、通常は技術に疎い人々に対してのみ用いられる戦術の犠牲となる典型例であり、精密な役割ベースのセキュリティ意識トレーニングの必要性を示している。マイクロソフトのソフトウェアエンジニアでありPostgreSQLメンテナであるアンドレス・フロイントの好奇心と機転がなければ、この攻撃は阻止されなかっただろう。アンドレス・フロイント氏によってバックドアが発見され、バージョンがロールバックされたことで、近年で最も壊滅的となり得たサプライチェーン攻撃が阻止されたのである。
このバックドア自体は、NIST登録簿において公式に最高レベルの深刻度を持つセキュリティ脆弱性として分類されている。 当初はSSH認証の回避を可能にするものと考えられていたが、さらなる調査により、Fedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、およびDebianのいくつかのバージョンを含む脆弱なLinuxシステム上で、認証不要のリモートコード実行を可能にすることが判明した。
Jia Tan は悪意のあるパッケージを隠蔽するために多大な努力を払ったようだ。 ビルドプロセス中に自己作成を促されると、systemd経由のSSHD認証を妨害する。Roter Hutが詳述するように、特定の条件下ではこの妨害により攻撃者がSSHD認証を突破し、システム全体への不正なリモートアクセスを取得する可能性があった。
Microsoft は、エクスプロイト事例のシステムスキャンと影響緩和に関する包括的なガイドラインを公開したほか、CISA が推奨する緊急措置として、影響を受ける開発者およびユーザーは XZ Utils を改ざんされていないバージョン(例:XZ Utils 5.4.6 Stable)にダウングレードすべきであると述べています。
この種の攻撃を防ぐことは非常に困難です。特にソフトウェアにおけるオープンソースコンポーネントの使用においては、サプライチェーンの安全性がほとんど保証されておらず、透明性も欠如しているためです。私たちはこれまでソフトウェアサプライチェーンにおける偶発的な欠陥に対処してきましたが、このリスクは、オープンソースの安全性を脅かすために意図的に悪意を持って仕込まれた脆弱性へと拡大しています。
ほとんどの開発者は、高度なセキュリティ意識、健全なセキュリティ知識、そして少しの偏執的な警戒心を持って初めて、この種の攻撃を阻止できるでしょう。脅威アクターの思考様式が求められると言っても過言ではありません。しかし、常に主要な考慮事項として、内部管理下にある(つまり非公開の)ソースコードリポジトリに焦点を当てるべきです。 これらは、実証済みの関連セキュリティ知識を持つ者のみがアクセス可能であるべきです。アプリセキュリティ専門家は、セキュリティ管理を支店レベルで実施する仕組みを検討できるでしょう。これにより、セキュリティ経験のある開発者だけが最終的なマスターブランチに変更を加えられるようになります。
ボランティアの支援者は英雄ですが、安全なソフトウェアを維持するには(本来なら)村全体が必要なのです
ソフトウェア技術分野に携わっていない人々にとって、気性の激しいボランティアコミュニティが自らの時間を使って重要なシステムを注意深く保守しているという概念は理解しがたいものだが、これはオープンソース開発の本質であり、サプライチェーンを保護するセキュリティ専門家にとって依然として重大なリスク要因となっている。
オープンソースソフトウェアは、事実上あらゆる企業のデジタルエコシステムにおいて重要な構成要素であり、信頼できるメンテナ(そのほとんどは善意で活動している)は、技術的進歩と完全性への無私の追求において真に英雄的である。しかし、彼らに単独で提供を任せるのは茶番である。 DevSecOpsが中心となるこの時代において、セキュリティは共同責任であり、各開発者は日常業務で遭遇する可能性のあるセキュリティ課題に対処するための知識と適切なツールを備えている必要があります。セキュリティ意識と実践的なスキルはソフトウェア開発プロセスにおいて譲れない要素であり、企業レベルでの変革を推進するのはセキュリティ責任者の役割です。
今すぐ詳細なトレーニングで、貴社に活気ある安全文化を築きましょう 研修プログラム で、今日から貴社Secure Code Warrior。
%20(1).avif)
.avif)
