LinuxにおけるXZ Utilsのバックドアは、サプライチェーンセキュリティのより広範な問題を浮き彫りにしており、これを制御するにはコミュニティ精神以上のものが必要だ
サイバーセキュリティ分野は、ソフトウェアサプライチェーンにおける潜伏型の侵害が発見されたことを受け、再び警戒態勢が敷かれた。 この脆弱性は、主要なLinuxディストリビューションに同梱されているデータ圧縮ライブラリ「XZ Utils」に影響を及ぼし、CVE-2024-3094として登録されている。その本質は、かつて信頼されていたシステムのボランティアメンテナによって意図的に仕込まれたバックドアである。 悪用が成功した場合、特定の状況下でリモートコード実行(RCE)を可能にするこの脆弱性は、確立されたソフトウェア開発プロセスに深刻な損害をもたらす可能性のある非常に重大な問題である。
幸いにも、別の責任者が悪意のあるコードがLinuxの安定版に入る前にこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsのバージョン5.6.0および5.6.1の使用を開始したユーザーには依然として問題が残っており、組織は緊急を要する優先事項としてパッチ適用を求められています。この発見が間に合わなければ、そのリスクプロファイルはサプライチェーン上で記録された最も破壊的な攻撃の一つとなり、SolarWinds事件さえも凌駕する可能性があった。
重要システムの保守におけるコミュニティボランティアへの依存は広く知られているが、今回の事件のような重大な問題が発生するまで、ほとんど議論されることはない。 彼らのたゆまぬ努力はオープンソースソフトウェアの維持に不可欠である一方、開発者レベルでのセキュリティスキルと意識向上に真剣に取り組む必要性を浮き彫りにしている。ソフトウェアリポジトリへのアクセス制御強化も忘れてはならない。
XZ Utilsのバックドアとは何か、またどのように軽減されるのか?
3月29日、レッドハットは緊急セキュリティアラートを発表し、Fedora Linux 4.0およびFedora Rawhideユーザーに対し、最新の圧縮ツールおよび「XZ」ライブラリに悪意のあるコードが含まれていることを通知しました。このコードは、第三者による不正アクセスを容易にするために特別に設計されたものと見られます。 この悪意のあるコードがどのように注入されたかは、今後詳細に調査される見込みですが、これは脅威アクター、偽名の攻撃者「Jia Tan」による、高度で忍耐強く長期にわたるソーシャルエンジニアリングの実践でした。 この人物は、他の責任者たちの信頼を勝ち取るため、またXZ Utilsプロジェクトとコミュニティに対して正当な貢献を続けるため、2年以上にわたり計り知れない時間を費やした。そして最終的に、複数の偽アカウントがプロジェクトのボランティア所有者であるLasse Collinへの信頼を損なった後、「信頼できるメンテナ」の地位を獲得したのである。
この異例のシナリオは、高度な技術を持つ人物が、通常は知識の浅い人々に用いられる戦術の被害者となる典型例であり、役割に基づいた精密なセキュリティ意識向上の必要性を示している。マイクロソフトのソフトウェアエンジニアとPostgreSQL責任者であるアンドレス・フロイントの好奇心と機転がなければ、このバックドアは発見されず、バージョンはリリースされたままだったでしょう。こうして、近年の歴史上最も壊滅的なサプライチェーン攻撃となり得た事態は未然に防がれたのです。
このバックドア自体は、NISTの脆弱性データベースにおいて公式に最高レベルの深刻度を持つ脆弱性として分類されている。 当初はSSH認証の回避を可能にするものと見なされていたが、詳細な調査により、脆弱なLinuxシステム(特にFedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、およびDebianの特定バージョン)上で認証不要のリモートコード実行を可能にすることが判明した。
Jia Tan は、生成プロセス中にビルドがトリガーされると systemd 経由で SSHD の認証を妨害する悪意のあるパッケージを隠蔽するために多大な努力を払ったようだ。Chapeau rougeが詳細に説明しているように、状況が整えば、この干渉により攻撃者が SSHD 認証を破り、システム全体への不正なリモートアクセスを得る可能性が生じます。
Microsoftをはじめとする各社は、システムを分析してこのエクスプロイトのインスタンスを探し、その影響を軽減するための包括的なガイドラインを公開しています。 CISAが推奨する緊急措置として、影響を受ける開発者およびユーザーは、XZ Utilsを侵害されていないバージョン(例:XZ Utils 5.4.6 Stable)にダウングレードする必要があります。
この種の攻撃を予防することは極めて困難であり、特にソフトウェアにおけるオープンソースコンポーネントの使用においては、サプライチェーンのセキュリティが非常に限定的で不透明であるためです。 ソフトウェアサプライチェーンにおける偶発的な脆弱性との戦いは以前から続いていますが、このリスクは増大し、今ではオープンソースソフトウェアの安全性を損なうことを目的として意図的に仕込まれたセキュリティバグも含まれるようになりました。
ほとんどの開発者は、鋭いセキュリティ意識、確固たるセキュリティ知識、そして少しの偏執的な警戒心を持たなければ、この種の攻撃を阻止することはできません。これは脅威アクターのような思考を要求するに等しいのです。 しかし、主要な考慮事項は常に内部管理下のソースコードリポジトリ(つまり非オープンソース)に集中すべきです。 これらは、関連するセキュリティスキルを有し、かつそのスキルが検証された者のみがアクセスできるべきです。アプリケーションセキュリティの専門家は、ブランチレベルでのセキュリティ制御といった構成を検討できます。これにより、セキュリティ面で経験豊富な開発者だけが最終的なメインブランチに変更を加えられるようになります。
ボランティアのメンテナは英雄だが、ソフトウェアを安全に維持するには(本来は)村全体が必要だ
ソフトウェア工学の分野で働いていない人々にとって、ボランティアによる活発なコミュニティが自らのペースで重要なシステムを入念に維持していることを理解するのは難しい。しかし、これがオープンソース開発の本質であり、サプライチェーンを保護するセキュリティ専門家にとって依然として重大なリスク要因となっている。
フリーソフトウェアはほぼ全ての企業のデジタルエコシステムにおいて不可欠な要素であり、信頼される管理者(その大半は善意で行動している)は技術的進歩と完全性を無私無欲に追求する真の英雄的行為を示している。しかし彼らを孤立した状態で任せるのは愚かなことだ。 DevSecOpsが中心となる現代において、セキュリティは共有責任であり、各開発者は業務中に遭遇する可能性のあるセキュリティ問題を管理するための適切な知識とツールを保有すべきです。セキュリティ意識と実践的スキルはソフトウェア開発プロセスにおいて譲歩すべきでないものであり、企業レベルでの変革を促すのはセキュリティ担当者の役割です。
本日より、組織内に安全文化を根付かせましょう コース Secure Code Warriorのコースで。
重大な脆弱性CVE-2024-3094が、主要なLinuxディストリビューションで使用されているデータ圧縮ライブラリXZ Utilsに発見されました。これは悪意のある攻撃者によるバックドアの導入によるものです。この深刻な問題はリモートコード実行を引き起こす可能性があり、ソフトウェア開発プロセスに重大なリスクをもたらします。 この脆弱性はFedora Rawhideにおける初期バージョン(5.6.0および5.6.1)のXZ Utilsに影響を及ぼしており、組織に対し緊急の修正パッチ適用が求められています。本事象は、オープンソースソフトウェアの保守におけるコミュニティボランティアの重要性を浮き彫りにするとともに、ソフトウェア開発サイクル全体を通じたセキュリティ対策とアクセス制御の強化が必要であることを示しています。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
サイバーセキュリティ分野は、ソフトウェアサプライチェーンにおける潜伏型の侵害が発見されたことを受け、再び警戒態勢が敷かれた。 この脆弱性は、主要なLinuxディストリビューションに同梱されているデータ圧縮ライブラリ「XZ Utils」に影響を及ぼし、CVE-2024-3094として登録されている。その本質は、かつて信頼されていたシステムのボランティアメンテナによって意図的に仕込まれたバックドアである。 悪用が成功した場合、特定の状況下でリモートコード実行(RCE)を可能にするこの脆弱性は、確立されたソフトウェア開発プロセスに深刻な損害をもたらす可能性のある非常に重大な問題である。
幸いにも、別の責任者が悪意のあるコードがLinuxの安定版に入る前にこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsのバージョン5.6.0および5.6.1の使用を開始したユーザーには依然として問題が残っており、組織は緊急を要する優先事項としてパッチ適用を求められています。この発見が間に合わなければ、そのリスクプロファイルはサプライチェーン上で記録された最も破壊的な攻撃の一つとなり、SolarWinds事件さえも凌駕する可能性があった。
重要システムの保守におけるコミュニティボランティアへの依存は広く知られているが、今回の事件のような重大な問題が発生するまで、ほとんど議論されることはない。 彼らのたゆまぬ努力はオープンソースソフトウェアの維持に不可欠である一方、開発者レベルでのセキュリティスキルと意識向上に真剣に取り組む必要性を浮き彫りにしている。ソフトウェアリポジトリへのアクセス制御強化も忘れてはならない。
XZ Utilsのバックドアとは何か、またどのように軽減されるのか?
3月29日、レッドハットは緊急セキュリティアラートを発表し、Fedora Linux 4.0およびFedora Rawhideユーザーに対し、最新の圧縮ツールおよび「XZ」ライブラリに悪意のあるコードが含まれていることを通知しました。このコードは、第三者による不正アクセスを容易にするために特別に設計されたものと見られます。 この悪意のあるコードがどのように注入されたかは、今後詳細に調査される見込みですが、これは脅威アクター、偽名の攻撃者「Jia Tan」による、高度で忍耐強く長期にわたるソーシャルエンジニアリングの実践でした。 この人物は、他の責任者たちの信頼を勝ち取るため、またXZ Utilsプロジェクトとコミュニティに対して正当な貢献を続けるため、2年以上にわたり計り知れない時間を費やした。そして最終的に、複数の偽アカウントがプロジェクトのボランティア所有者であるLasse Collinへの信頼を損なった後、「信頼できるメンテナ」の地位を獲得したのである。
この異例のシナリオは、高度な技術を持つ人物が、通常は知識の浅い人々に用いられる戦術の被害者となる典型例であり、役割に基づいた精密なセキュリティ意識向上の必要性を示している。マイクロソフトのソフトウェアエンジニアとPostgreSQL責任者であるアンドレス・フロイントの好奇心と機転がなければ、このバックドアは発見されず、バージョンはリリースされたままだったでしょう。こうして、近年の歴史上最も壊滅的なサプライチェーン攻撃となり得た事態は未然に防がれたのです。
このバックドア自体は、NISTの脆弱性データベースにおいて公式に最高レベルの深刻度を持つ脆弱性として分類されている。 当初はSSH認証の回避を可能にするものと見なされていたが、詳細な調査により、脆弱なLinuxシステム(特にFedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、およびDebianの特定バージョン)上で認証不要のリモートコード実行を可能にすることが判明した。
Jia Tan は、生成プロセス中にビルドがトリガーされると systemd 経由で SSHD の認証を妨害する悪意のあるパッケージを隠蔽するために多大な努力を払ったようだ。Chapeau rougeが詳細に説明しているように、状況が整えば、この干渉により攻撃者が SSHD 認証を破り、システム全体への不正なリモートアクセスを得る可能性が生じます。
Microsoftをはじめとする各社は、システムを分析してこのエクスプロイトのインスタンスを探し、その影響を軽減するための包括的なガイドラインを公開しています。 CISAが推奨する緊急措置として、影響を受ける開発者およびユーザーは、XZ Utilsを侵害されていないバージョン(例:XZ Utils 5.4.6 Stable)にダウングレードする必要があります。
この種の攻撃を予防することは極めて困難であり、特にソフトウェアにおけるオープンソースコンポーネントの使用においては、サプライチェーンのセキュリティが非常に限定的で不透明であるためです。 ソフトウェアサプライチェーンにおける偶発的な脆弱性との戦いは以前から続いていますが、このリスクは増大し、今ではオープンソースソフトウェアの安全性を損なうことを目的として意図的に仕込まれたセキュリティバグも含まれるようになりました。
ほとんどの開発者は、鋭いセキュリティ意識、確固たるセキュリティ知識、そして少しの偏執的な警戒心を持たなければ、この種の攻撃を阻止することはできません。これは脅威アクターのような思考を要求するに等しいのです。 しかし、主要な考慮事項は常に内部管理下のソースコードリポジトリ(つまり非オープンソース)に集中すべきです。 これらは、関連するセキュリティスキルを有し、かつそのスキルが検証された者のみがアクセスできるべきです。アプリケーションセキュリティの専門家は、ブランチレベルでのセキュリティ制御といった構成を検討できます。これにより、セキュリティ面で経験豊富な開発者だけが最終的なメインブランチに変更を加えられるようになります。
ボランティアのメンテナは英雄だが、ソフトウェアを安全に維持するには(本来は)村全体が必要だ
ソフトウェア工学の分野で働いていない人々にとって、ボランティアによる活発なコミュニティが自らのペースで重要なシステムを入念に維持していることを理解するのは難しい。しかし、これがオープンソース開発の本質であり、サプライチェーンを保護するセキュリティ専門家にとって依然として重大なリスク要因となっている。
フリーソフトウェアはほぼ全ての企業のデジタルエコシステムにおいて不可欠な要素であり、信頼される管理者(その大半は善意で行動している)は技術的進歩と完全性を無私無欲に追求する真の英雄的行為を示している。しかし彼らを孤立した状態で任せるのは愚かなことだ。 DevSecOpsが中心となる現代において、セキュリティは共有責任であり、各開発者は業務中に遭遇する可能性のあるセキュリティ問題を管理するための適切な知識とツールを保有すべきです。セキュリティ意識と実践的スキルはソフトウェア開発プロセスにおいて譲歩すべきでないものであり、企業レベルでの変革を促すのはセキュリティ担当者の役割です。
本日より、組織内に安全文化を根付かせましょう コース Secure Code Warriorのコースで。
サイバーセキュリティ分野は、ソフトウェアサプライチェーンにおける潜伏型の侵害が発見されたことを受け、再び警戒態勢が敷かれた。 この脆弱性は、主要なLinuxディストリビューションに同梱されているデータ圧縮ライブラリ「XZ Utils」に影響を及ぼし、CVE-2024-3094として登録されている。その本質は、かつて信頼されていたシステムのボランティアメンテナによって意図的に仕込まれたバックドアである。 悪用が成功した場合、特定の状況下でリモートコード実行(RCE)を可能にするこの脆弱性は、確立されたソフトウェア開発プロセスに深刻な損害をもたらす可能性のある非常に重大な問題である。
幸いにも、別の責任者が悪意のあるコードがLinuxの安定版に入る前にこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsのバージョン5.6.0および5.6.1の使用を開始したユーザーには依然として問題が残っており、組織は緊急を要する優先事項としてパッチ適用を求められています。この発見が間に合わなければ、そのリスクプロファイルはサプライチェーン上で記録された最も破壊的な攻撃の一つとなり、SolarWinds事件さえも凌駕する可能性があった。
重要システムの保守におけるコミュニティボランティアへの依存は広く知られているが、今回の事件のような重大な問題が発生するまで、ほとんど議論されることはない。 彼らのたゆまぬ努力はオープンソースソフトウェアの維持に不可欠である一方、開発者レベルでのセキュリティスキルと意識向上に真剣に取り組む必要性を浮き彫りにしている。ソフトウェアリポジトリへのアクセス制御強化も忘れてはならない。
XZ Utilsのバックドアとは何か、またどのように軽減されるのか?
3月29日、レッドハットは緊急セキュリティアラートを発表し、Fedora Linux 4.0およびFedora Rawhideユーザーに対し、最新の圧縮ツールおよび「XZ」ライブラリに悪意のあるコードが含まれていることを通知しました。このコードは、第三者による不正アクセスを容易にするために特別に設計されたものと見られます。 この悪意のあるコードがどのように注入されたかは、今後詳細に調査される見込みですが、これは脅威アクター、偽名の攻撃者「Jia Tan」による、高度で忍耐強く長期にわたるソーシャルエンジニアリングの実践でした。 この人物は、他の責任者たちの信頼を勝ち取るため、またXZ Utilsプロジェクトとコミュニティに対して正当な貢献を続けるため、2年以上にわたり計り知れない時間を費やした。そして最終的に、複数の偽アカウントがプロジェクトのボランティア所有者であるLasse Collinへの信頼を損なった後、「信頼できるメンテナ」の地位を獲得したのである。
この異例のシナリオは、高度な技術を持つ人物が、通常は知識の浅い人々に用いられる戦術の被害者となる典型例であり、役割に基づいた精密なセキュリティ意識向上の必要性を示している。マイクロソフトのソフトウェアエンジニアとPostgreSQL責任者であるアンドレス・フロイントの好奇心と機転がなければ、このバックドアは発見されず、バージョンはリリースされたままだったでしょう。こうして、近年の歴史上最も壊滅的なサプライチェーン攻撃となり得た事態は未然に防がれたのです。
このバックドア自体は、NISTの脆弱性データベースにおいて公式に最高レベルの深刻度を持つ脆弱性として分類されている。 当初はSSH認証の回避を可能にするものと見なされていたが、詳細な調査により、脆弱なLinuxシステム(特にFedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、およびDebianの特定バージョン)上で認証不要のリモートコード実行を可能にすることが判明した。
Jia Tan は、生成プロセス中にビルドがトリガーされると systemd 経由で SSHD の認証を妨害する悪意のあるパッケージを隠蔽するために多大な努力を払ったようだ。Chapeau rougeが詳細に説明しているように、状況が整えば、この干渉により攻撃者が SSHD 認証を破り、システム全体への不正なリモートアクセスを得る可能性が生じます。
Microsoftをはじめとする各社は、システムを分析してこのエクスプロイトのインスタンスを探し、その影響を軽減するための包括的なガイドラインを公開しています。 CISAが推奨する緊急措置として、影響を受ける開発者およびユーザーは、XZ Utilsを侵害されていないバージョン(例:XZ Utils 5.4.6 Stable)にダウングレードする必要があります。
この種の攻撃を予防することは極めて困難であり、特にソフトウェアにおけるオープンソースコンポーネントの使用においては、サプライチェーンのセキュリティが非常に限定的で不透明であるためです。 ソフトウェアサプライチェーンにおける偶発的な脆弱性との戦いは以前から続いていますが、このリスクは増大し、今ではオープンソースソフトウェアの安全性を損なうことを目的として意図的に仕込まれたセキュリティバグも含まれるようになりました。
ほとんどの開発者は、鋭いセキュリティ意識、確固たるセキュリティ知識、そして少しの偏執的な警戒心を持たなければ、この種の攻撃を阻止することはできません。これは脅威アクターのような思考を要求するに等しいのです。 しかし、主要な考慮事項は常に内部管理下のソースコードリポジトリ(つまり非オープンソース)に集中すべきです。 これらは、関連するセキュリティスキルを有し、かつそのスキルが検証された者のみがアクセスできるべきです。アプリケーションセキュリティの専門家は、ブランチレベルでのセキュリティ制御といった構成を検討できます。これにより、セキュリティ面で経験豊富な開発者だけが最終的なメインブランチに変更を加えられるようになります。
ボランティアのメンテナは英雄だが、ソフトウェアを安全に維持するには(本来は)村全体が必要だ
ソフトウェア工学の分野で働いていない人々にとって、ボランティアによる活発なコミュニティが自らのペースで重要なシステムを入念に維持していることを理解するのは難しい。しかし、これがオープンソース開発の本質であり、サプライチェーンを保護するセキュリティ専門家にとって依然として重大なリスク要因となっている。
フリーソフトウェアはほぼ全ての企業のデジタルエコシステムにおいて不可欠な要素であり、信頼される管理者(その大半は善意で行動している)は技術的進歩と完全性を無私無欲に追求する真の英雄的行為を示している。しかし彼らを孤立した状態で任せるのは愚かなことだ。 DevSecOpsが中心となる現代において、セキュリティは共有責任であり、各開発者は業務中に遭遇する可能性のあるセキュリティ問題を管理するための適切な知識とツールを保有すべきです。セキュリティ意識と実践的スキルはソフトウェア開発プロセスにおいて譲歩すべきでないものであり、企業レベルでの変革を促すのはセキュリティ担当者の役割です。
本日より、組織内に安全文化を根付かせましょう コース Secure Code Warriorのコースで。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
サイバーセキュリティ分野は、ソフトウェアサプライチェーンにおける潜伏型の侵害が発見されたことを受け、再び警戒態勢が敷かれた。 この脆弱性は、主要なLinuxディストリビューションに同梱されているデータ圧縮ライブラリ「XZ Utils」に影響を及ぼし、CVE-2024-3094として登録されている。その本質は、かつて信頼されていたシステムのボランティアメンテナによって意図的に仕込まれたバックドアである。 悪用が成功した場合、特定の状況下でリモートコード実行(RCE)を可能にするこの脆弱性は、確立されたソフトウェア開発プロセスに深刻な損害をもたらす可能性のある非常に重大な問題である。
幸いにも、別の責任者が悪意のあるコードがLinuxの安定版に入る前にこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsのバージョン5.6.0および5.6.1の使用を開始したユーザーには依然として問題が残っており、組織は緊急を要する優先事項としてパッチ適用を求められています。この発見が間に合わなければ、そのリスクプロファイルはサプライチェーン上で記録された最も破壊的な攻撃の一つとなり、SolarWinds事件さえも凌駕する可能性があった。
重要システムの保守におけるコミュニティボランティアへの依存は広く知られているが、今回の事件のような重大な問題が発生するまで、ほとんど議論されることはない。 彼らのたゆまぬ努力はオープンソースソフトウェアの維持に不可欠である一方、開発者レベルでのセキュリティスキルと意識向上に真剣に取り組む必要性を浮き彫りにしている。ソフトウェアリポジトリへのアクセス制御強化も忘れてはならない。
XZ Utilsのバックドアとは何か、またどのように軽減されるのか?
3月29日、レッドハットは緊急セキュリティアラートを発表し、Fedora Linux 4.0およびFedora Rawhideユーザーに対し、最新の圧縮ツールおよび「XZ」ライブラリに悪意のあるコードが含まれていることを通知しました。このコードは、第三者による不正アクセスを容易にするために特別に設計されたものと見られます。 この悪意のあるコードがどのように注入されたかは、今後詳細に調査される見込みですが、これは脅威アクター、偽名の攻撃者「Jia Tan」による、高度で忍耐強く長期にわたるソーシャルエンジニアリングの実践でした。 この人物は、他の責任者たちの信頼を勝ち取るため、またXZ Utilsプロジェクトとコミュニティに対して正当な貢献を続けるため、2年以上にわたり計り知れない時間を費やした。そして最終的に、複数の偽アカウントがプロジェクトのボランティア所有者であるLasse Collinへの信頼を損なった後、「信頼できるメンテナ」の地位を獲得したのである。
この異例のシナリオは、高度な技術を持つ人物が、通常は知識の浅い人々に用いられる戦術の被害者となる典型例であり、役割に基づいた精密なセキュリティ意識向上の必要性を示している。マイクロソフトのソフトウェアエンジニアとPostgreSQL責任者であるアンドレス・フロイントの好奇心と機転がなければ、このバックドアは発見されず、バージョンはリリースされたままだったでしょう。こうして、近年の歴史上最も壊滅的なサプライチェーン攻撃となり得た事態は未然に防がれたのです。
このバックドア自体は、NISTの脆弱性データベースにおいて公式に最高レベルの深刻度を持つ脆弱性として分類されている。 当初はSSH認証の回避を可能にするものと見なされていたが、詳細な調査により、脆弱なLinuxシステム(特にFedora Rawhide、Fedora 41、Kali Linux、openSUSE MicroOS、openSUSE Tumbleweed、およびDebianの特定バージョン)上で認証不要のリモートコード実行を可能にすることが判明した。
Jia Tan は、生成プロセス中にビルドがトリガーされると systemd 経由で SSHD の認証を妨害する悪意のあるパッケージを隠蔽するために多大な努力を払ったようだ。Chapeau rougeが詳細に説明しているように、状況が整えば、この干渉により攻撃者が SSHD 認証を破り、システム全体への不正なリモートアクセスを得る可能性が生じます。
Microsoftをはじめとする各社は、システムを分析してこのエクスプロイトのインスタンスを探し、その影響を軽減するための包括的なガイドラインを公開しています。 CISAが推奨する緊急措置として、影響を受ける開発者およびユーザーは、XZ Utilsを侵害されていないバージョン(例:XZ Utils 5.4.6 Stable)にダウングレードする必要があります。
この種の攻撃を予防することは極めて困難であり、特にソフトウェアにおけるオープンソースコンポーネントの使用においては、サプライチェーンのセキュリティが非常に限定的で不透明であるためです。 ソフトウェアサプライチェーンにおける偶発的な脆弱性との戦いは以前から続いていますが、このリスクは増大し、今ではオープンソースソフトウェアの安全性を損なうことを目的として意図的に仕込まれたセキュリティバグも含まれるようになりました。
ほとんどの開発者は、鋭いセキュリティ意識、確固たるセキュリティ知識、そして少しの偏執的な警戒心を持たなければ、この種の攻撃を阻止することはできません。これは脅威アクターのような思考を要求するに等しいのです。 しかし、主要な考慮事項は常に内部管理下のソースコードリポジトリ(つまり非オープンソース)に集中すべきです。 これらは、関連するセキュリティスキルを有し、かつそのスキルが検証された者のみがアクセスできるべきです。アプリケーションセキュリティの専門家は、ブランチレベルでのセキュリティ制御といった構成を検討できます。これにより、セキュリティ面で経験豊富な開発者だけが最終的なメインブランチに変更を加えられるようになります。
ボランティアのメンテナは英雄だが、ソフトウェアを安全に維持するには(本来は)村全体が必要だ
ソフトウェア工学の分野で働いていない人々にとって、ボランティアによる活発なコミュニティが自らのペースで重要なシステムを入念に維持していることを理解するのは難しい。しかし、これがオープンソース開発の本質であり、サプライチェーンを保護するセキュリティ専門家にとって依然として重大なリスク要因となっている。
フリーソフトウェアはほぼ全ての企業のデジタルエコシステムにおいて不可欠な要素であり、信頼される管理者(その大半は善意で行動している)は技術的進歩と完全性を無私無欲に追求する真の英雄的行為を示している。しかし彼らを孤立した状態で任せるのは愚かなことだ。 DevSecOpsが中心となる現代において、セキュリティは共有責任であり、各開発者は業務中に遭遇する可能性のあるセキュリティ問題を管理するための適切な知識とツールを保有すべきです。セキュリティ意識と実践的スキルはソフトウェア開発プロセスにおいて譲歩すべきでないものであり、企業レベルでの変革を促すのはセキュリティ担当者の役割です。
本日より、組織内に安全文化を根付かせましょう コース Secure Code Warriorのコースで。
%20(1).avif)
.avif)
