LinuxのXZ Utilsのバックドアは広範なサプライチェーンセキュリティ問題を指し示しており、これを防ぐにはコミュニティ精神以上のものが必要である。
悪質なソフトウェアサプライチェーン侵害が発覚し、サイバーセキュリティ業界は再び警戒態勢を強化せざるを得なくなりました。主要なLinuxディストリビューションに同梱されるXZ Utilsデータ圧縮ライブラリに影響を与えるこの脆弱性はCVE-2024-3094として記録され、最終的には信頼されていたボランティアシステム管理者が意図的にバックドアを挿入したことが判明しています。悪用が成功した場合、状況によってはリモートコード実行 (RCE) を可能にする深刻な問題であり、既存のソフトウェアビルドプロセスに重大な損害をもたらす可能性があります。
幸いにも、悪意のあるコードが安定したLinuxリリースに侵入する前に別の管理者がこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsバージョン5.6.0および5.6.1の実行を開始したユーザーにとっては依然として問題であり、組織にとっては緊急レベルの優先度でパッチ適用が求められています。こうした発見が適時になされなければ、リスクプロファイルから見て、これはおそらくSolarWindsを上回る最も破壊的なサプライチェーン攻撃の一つとして記録されるでしょう。
重要なシステムの維持管理をコミュニティのボランティアに依存していることは広く文書化されていますが、この事件のように影響力の大きい問題が表面化するまではほとんど議論されません。彼らのたゆまぬ努力はオープンソースソフトウェアの維持に不可欠ですが、これはソフトウェアリポジトリへのアクセス制御を強化することは言うまでもなく、開発者レベルでのセキュリティ技術と認識に重点を置く必要性を浮き彫りにしています。
XZ Utilsのバックドアとは何か、またどのように緩和されますか?
3月29日、レッドハットは緊急セキュリティ警告を発表しました。これはFedora Linux 4.0およびFedora Rawhideユーザーに対し、最新版の「XZ」圧縮ツールおよびライブラリに、第三者の不正アクセスを容易にするために特別に作成されたと思われる悪意のあるコードが含まれていることを通知するものです。 この悪意のあるコードがどのように注入されたかは、今後の集中的な研究対象となるでしょう。しかしこれは、脅威アクターである「Gia Tan」という偽名を持つ人物による、数年にわたる精巧で忍耐強いソーシャルエンジニアリングの実践に該当します。 「ジア・タン」と呼ばれる攻撃者は、2年以上にわたりXZ Utilsプロジェクトおよびコミュニティに正当な貢献を行いながら、他のメンテナの信頼を得るために計り知れない時間を費やしました。複数の偽装アカウントによってボランティアプロジェクト所有者であるラッセ・コリンの信頼が弱まった後、最終的に「信頼できる管理者」の地位を獲得したのです。
この特異なシナリオは、高度な技術を持つ者が一般的に知識不足の人々に対して用いる戦術の犠牲となっている代表的な事例であり、精密な役割ベースのセキュリティ意識教育の必要性を示しています。これは単なるMicrosoftソフトウェアエンジニアでありPostgreSQLメンテナンス担当者である人物の好奇心と迅速な思考によるものでした。アンドレス・プロウンドバックドアが発見され、バージョンがロールバックされたことで、近年の歴史上最も破壊的となり得たサプライチェーン攻撃を阻止したのです。
バックドア自体は公式に最も深刻な脆弱性として追跡されています。NISTレジストリ。当初はSSH認証のバイパスを可能にするものと考えられていましたが、追加調査により、Fedora LowHide、Fedora 41、Kali Linux、OpenSUSE Micro OS、OpenSUSE Tumbleweed、および一部のDebianバージョンを含む脆弱なLinuxシステムにおいて、認証不要のリモートコード実行が可能であることが判明しました。
Jia Tanは悪意のあるパッケージを発見するために多大な努力を払ったようです。悪意のあるパッケージは、ビルドプロセス中に自身を構成するようにトリガーされると、systemdを介したSSHDの認証を妨害します。Red Hatの詳細な説明によれば、適切な状況下では、この妨害により攻撃者はSSHD認証を侵害し、システム全体にリモートで不正アクセスする可能性が生じます。
マイクロソフトは、包括的なガイダンス発表システムにおいて、エクスプロイト事例を検索しその影響を緩和すること、およびCISAが推奨する即時措置について発表しました。影響を受ける開発者とユーザーは、XZ Utils 5.4.6 Stableのような無傷のバージョンにXZ Utilsをダウングレードする必要があります。
この種の攻撃を防ぐことは非常に困難です。 特にソフトウェアでオープンソースコンポーネントを活用する場合、サプライチェーンのセキュリティに対する確信と透明性がほとんどないためです。私たちはすでにソフトウェアサプライチェーンの偶発的な欠陥に対処してきましたが、こうしたリスクにはオープンソースのセキュリティを侵害しようとする悪意のある意図を持って意図的に仕込まれたセキュリティバグが含まれることが明らかになりました。
ほとんどの開発者は、セキュリティ意識が高く、セキュリティ知識が豊富で、偏執的でない限り、この種の攻撃を防ぐことはできません。脅威行為者の思考様式を必要とするレベルに近いものです。しかし、最も重要な考慮事項は常に、次のようなソースコードリポジトリを中心に据えるべきです。 内部的に管理されている(つまりオープンソースではない)ものです。この情報は、検証済みの関連セキュリティ技術を持つ者のみが利用可能であるべきです。AppSec専門家は、セキュリティに熟練した開発者だけが最終マスターブランチに変更をコミットできるようにするブランチレベルのセキュリティ制御などの設定を検討できます。
ボランティアのメンテナは英雄ですが、安全なソフトウェアを維持するには多くの努力が必要です。
ソフトウェアエンジニアリングの領域を離れた人々にとって、活発なボランティアコミュニティが自らの時間を使って重要なシステムを熱心に維持管理するという概念は理解しがたいものです。しかし、これがオープンソース開発の特性であり、サプライチェーンを保護するセキュリティ専門家にとっては依然として深刻なリスク領域として残っています。
オープンソースソフトウェアは、ほぼすべての企業のデジタルエコシステムにおいて重要な部分を占めています。信頼できるメンテナ(そのほとんどは善意で行動しています)は、技術進歩と完全性を私心なく追求する真の英雄的存在ですが、彼らを孤立した状態で提供し続けることは理不尽なことです。DevSecOpsが中心となるこの時代において、セキュリティは共同責任であり、すべての開発者は業務中に発生する可能性のあるセキュリティ問題を解決できる知識と適切なツールを備える必要があります。セキュリティ意識と実践的スキルはソフトウェア開発プロセスにおいて妥協できない水準でなければならず、企業レベルで変化に影響を与えることはセキュリティリーダーの役割です。
深い知見に基づき、現代の組織に根付くセキュリティ文化を構築しましょう。 教育課程 セキュアコードウォリアーより。
主要なLinuxディストリビューションで使用されているXZ Utilsデータ圧縮ライブラリにおいて、脅威アクターがバックドアを介して導入した深刻な脆弱性であるCVE-2024-3094が発見されました。この深刻度の高い問題は、潜在的なリモートコード実行を可能にし、ソフトウェアビルドプロセスに重大なリスクをもたらします。この欠陥は、Fedora Rawhideに含まれる初期バージョンのXZ Utils(5.6.0および5.6.1)に影響を及ぼし、組織に対しパッチの緊急適用を要請しています。この事象は、オープンソースソフトウェアの維持管理におけるコミュニティボランティアの重要な役割を浮き彫りにするとともに、ソフトウェア開発ライフサイクルにおけるセキュリティ強化の必要性を強調しています。 に影響を及ぼしており、組織はパッチの緊急適用を強く推奨しています。この事象は、オープンソースソフトウェアの維持管理におけるコミュニティボランティアの重要な役割を浮き彫りにするとともに、ソフトウェア開発ライフサイクル内における強化されたセキュリティ慣行とアクセス制御の必要性を強調しています。
最高経営責任者(CEO)、会長、および共同設立者
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
悪質なソフトウェアサプライチェーン侵害が発覚し、サイバーセキュリティ業界は再び警戒態勢を強化せざるを得なくなりました。主要なLinuxディストリビューションに同梱されるXZ Utilsデータ圧縮ライブラリに影響を与えるこの脆弱性はCVE-2024-3094として記録され、最終的には信頼されていたボランティアシステム管理者が意図的にバックドアを挿入したことが判明しています。悪用が成功した場合、状況によってはリモートコード実行 (RCE) を可能にする深刻な問題であり、既存のソフトウェアビルドプロセスに重大な損害をもたらす可能性があります。
幸いにも、悪意のあるコードが安定したLinuxリリースに侵入する前に別の管理者がこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsバージョン5.6.0および5.6.1の実行を開始したユーザーにとっては依然として問題であり、組織にとっては緊急レベルの優先度でパッチ適用が求められています。こうした発見が適時になされなければ、リスクプロファイルから見て、これはおそらくSolarWindsを上回る最も破壊的なサプライチェーン攻撃の一つとして記録されるでしょう。
重要なシステムの維持管理をコミュニティのボランティアに依存していることは広く文書化されていますが、この事件のように影響力の大きい問題が表面化するまではほとんど議論されません。彼らのたゆまぬ努力はオープンソースソフトウェアの維持に不可欠ですが、これはソフトウェアリポジトリへのアクセス制御を強化することは言うまでもなく、開発者レベルでのセキュリティ技術と認識に重点を置く必要性を浮き彫りにしています。
XZ Utilsのバックドアとは何か、またどのように緩和されますか?
3月29日、レッドハットは緊急セキュリティ警告を発表しました。これはFedora Linux 4.0およびFedora Rawhideユーザーに対し、最新版の「XZ」圧縮ツールおよびライブラリに、第三者の不正アクセスを容易にするために特別に作成されたと思われる悪意のあるコードが含まれていることを通知するものです。 この悪意のあるコードがどのように注入されたかは、今後の集中的な研究対象となるでしょう。しかしこれは、脅威アクターである「Gia Tan」という偽名を持つ人物による、数年にわたる精巧で忍耐強いソーシャルエンジニアリングの実践に該当します。 「ジア・タン」と呼ばれる攻撃者は、2年以上にわたりXZ Utilsプロジェクトおよびコミュニティに正当な貢献を行いながら、他のメンテナの信頼を得るために計り知れない時間を費やしました。複数の偽装アカウントによってボランティアプロジェクト所有者であるラッセ・コリンの信頼が弱まった後、最終的に「信頼できる管理者」の地位を獲得したのです。
この特異なシナリオは、高度な技術を持つ者が一般的に知識不足の人々に対して用いる戦術の犠牲となっている代表的な事例であり、精密な役割ベースのセキュリティ意識教育の必要性を示しています。これは単なるMicrosoftソフトウェアエンジニアでありPostgreSQLメンテナンス担当者である人物の好奇心と迅速な思考によるものでした。アンドレス・プロウンドバックドアが発見され、バージョンがロールバックされたことで、近年の歴史上最も破壊的となり得たサプライチェーン攻撃を阻止したのです。
バックドア自体は公式に最も深刻な脆弱性として追跡されています。NISTレジストリ。当初はSSH認証のバイパスを可能にするものと考えられていましたが、追加調査により、Fedora LowHide、Fedora 41、Kali Linux、OpenSUSE Micro OS、OpenSUSE Tumbleweed、および一部のDebianバージョンを含む脆弱なLinuxシステムにおいて、認証不要のリモートコード実行が可能であることが判明しました。
Jia Tanは悪意のあるパッケージを発見するために多大な努力を払ったようです。悪意のあるパッケージは、ビルドプロセス中に自身を構成するようにトリガーされると、systemdを介したSSHDの認証を妨害します。Red Hatの詳細な説明によれば、適切な状況下では、この妨害により攻撃者はSSHD認証を侵害し、システム全体にリモートで不正アクセスする可能性が生じます。
マイクロソフトは、包括的なガイダンス発表システムにおいて、エクスプロイト事例を検索しその影響を緩和すること、およびCISAが推奨する即時措置について発表しました。影響を受ける開発者とユーザーは、XZ Utils 5.4.6 Stableのような無傷のバージョンにXZ Utilsをダウングレードする必要があります。
この種の攻撃を防ぐことは非常に困難です。 特にソフトウェアでオープンソースコンポーネントを活用する場合、サプライチェーンのセキュリティに対する確信と透明性がほとんどないためです。私たちはすでにソフトウェアサプライチェーンの偶発的な欠陥に対処してきましたが、こうしたリスクにはオープンソースのセキュリティを侵害しようとする悪意のある意図を持って意図的に仕込まれたセキュリティバグが含まれることが明らかになりました。
ほとんどの開発者は、セキュリティ意識が高く、セキュリティ知識が豊富で、偏執的でない限り、この種の攻撃を防ぐことはできません。脅威行為者の思考様式を必要とするレベルに近いものです。しかし、最も重要な考慮事項は常に、次のようなソースコードリポジトリを中心に据えるべきです。 内部的に管理されている(つまりオープンソースではない)ものです。この情報は、検証済みの関連セキュリティ技術を持つ者のみが利用可能であるべきです。AppSec専門家は、セキュリティに熟練した開発者だけが最終マスターブランチに変更をコミットできるようにするブランチレベルのセキュリティ制御などの設定を検討できます。
ボランティアのメンテナは英雄ですが、安全なソフトウェアを維持するには多くの努力が必要です。
ソフトウェアエンジニアリングの領域を離れた人々にとって、活発なボランティアコミュニティが自らの時間を使って重要なシステムを熱心に維持管理するという概念は理解しがたいものです。しかし、これがオープンソース開発の特性であり、サプライチェーンを保護するセキュリティ専門家にとっては依然として深刻なリスク領域として残っています。
オープンソースソフトウェアは、ほぼすべての企業のデジタルエコシステムにおいて重要な部分を占めています。信頼できるメンテナ(そのほとんどは善意で行動しています)は、技術進歩と完全性を私心なく追求する真の英雄的存在ですが、彼らを孤立した状態で提供し続けることは理不尽なことです。DevSecOpsが中心となるこの時代において、セキュリティは共同責任であり、すべての開発者は業務中に発生する可能性のあるセキュリティ問題を解決できる知識と適切なツールを備える必要があります。セキュリティ意識と実践的スキルはソフトウェア開発プロセスにおいて妥協できない水準でなければならず、企業レベルで変化に影響を与えることはセキュリティリーダーの役割です。
深い知見に基づき、現代の組織に根付くセキュリティ文化を構築しましょう。 教育課程 セキュアコードウォリアーより。
悪質なソフトウェアサプライチェーン侵害が発覚し、サイバーセキュリティ業界は再び警戒態勢を強化せざるを得なくなりました。主要なLinuxディストリビューションに同梱されるXZ Utilsデータ圧縮ライブラリに影響を与えるこの脆弱性はCVE-2024-3094として記録され、最終的には信頼されていたボランティアシステム管理者が意図的にバックドアを挿入したことが判明しています。悪用が成功した場合、状況によってはリモートコード実行 (RCE) を可能にする深刻な問題であり、既存のソフトウェアビルドプロセスに重大な損害をもたらす可能性があります。
幸いにも、悪意のあるコードが安定したLinuxリリースに侵入する前に別の管理者がこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsバージョン5.6.0および5.6.1の実行を開始したユーザーにとっては依然として問題であり、組織にとっては緊急レベルの優先度でパッチ適用が求められています。こうした発見が適時になされなければ、リスクプロファイルから見て、これはおそらくSolarWindsを上回る最も破壊的なサプライチェーン攻撃の一つとして記録されるでしょう。
重要なシステムの維持管理をコミュニティのボランティアに依存していることは広く文書化されていますが、この事件のように影響力の大きい問題が表面化するまではほとんど議論されません。彼らのたゆまぬ努力はオープンソースソフトウェアの維持に不可欠ですが、これはソフトウェアリポジトリへのアクセス制御を強化することは言うまでもなく、開発者レベルでのセキュリティ技術と認識に重点を置く必要性を浮き彫りにしています。
XZ Utilsのバックドアとは何か、またどのように緩和されますか?
3月29日、レッドハットは緊急セキュリティ警告を発表しました。これはFedora Linux 4.0およびFedora Rawhideユーザーに対し、最新版の「XZ」圧縮ツールおよびライブラリに、第三者の不正アクセスを容易にするために特別に作成されたと思われる悪意のあるコードが含まれていることを通知するものです。 この悪意のあるコードがどのように注入されたかは、今後の集中的な研究対象となるでしょう。しかしこれは、脅威アクターである「Gia Tan」という偽名を持つ人物による、数年にわたる精巧で忍耐強いソーシャルエンジニアリングの実践に該当します。 「ジア・タン」と呼ばれる攻撃者は、2年以上にわたりXZ Utilsプロジェクトおよびコミュニティに正当な貢献を行いながら、他のメンテナの信頼を得るために計り知れない時間を費やしました。複数の偽装アカウントによってボランティアプロジェクト所有者であるラッセ・コリンの信頼が弱まった後、最終的に「信頼できる管理者」の地位を獲得したのです。
この特異なシナリオは、高度な技術を持つ者が一般的に知識不足の人々に対して用いる戦術の犠牲となっている代表的な事例であり、精密な役割ベースのセキュリティ意識教育の必要性を示しています。これは単なるMicrosoftソフトウェアエンジニアでありPostgreSQLメンテナンス担当者である人物の好奇心と迅速な思考によるものでした。アンドレス・プロウンドバックドアが発見され、バージョンがロールバックされたことで、近年の歴史上最も破壊的となり得たサプライチェーン攻撃を阻止したのです。
バックドア自体は公式に最も深刻な脆弱性として追跡されています。NISTレジストリ。当初はSSH認証のバイパスを可能にするものと考えられていましたが、追加調査により、Fedora LowHide、Fedora 41、Kali Linux、OpenSUSE Micro OS、OpenSUSE Tumbleweed、および一部のDebianバージョンを含む脆弱なLinuxシステムにおいて、認証不要のリモートコード実行が可能であることが判明しました。
Jia Tanは悪意のあるパッケージを発見するために多大な努力を払ったようです。悪意のあるパッケージは、ビルドプロセス中に自身を構成するようにトリガーされると、systemdを介したSSHDの認証を妨害します。Red Hatの詳細な説明によれば、適切な状況下では、この妨害により攻撃者はSSHD認証を侵害し、システム全体にリモートで不正アクセスする可能性が生じます。
マイクロソフトは、包括的なガイダンス発表システムにおいて、エクスプロイト事例を検索しその影響を緩和すること、およびCISAが推奨する即時措置について発表しました。影響を受ける開発者とユーザーは、XZ Utils 5.4.6 Stableのような無傷のバージョンにXZ Utilsをダウングレードする必要があります。
この種の攻撃を防ぐことは非常に困難です。 特にソフトウェアでオープンソースコンポーネントを活用する場合、サプライチェーンのセキュリティに対する確信と透明性がほとんどないためです。私たちはすでにソフトウェアサプライチェーンの偶発的な欠陥に対処してきましたが、こうしたリスクにはオープンソースのセキュリティを侵害しようとする悪意のある意図を持って意図的に仕込まれたセキュリティバグが含まれることが明らかになりました。
ほとんどの開発者は、セキュリティ意識が高く、セキュリティ知識が豊富で、偏執的でない限り、この種の攻撃を防ぐことはできません。脅威行為者の思考様式を必要とするレベルに近いものです。しかし、最も重要な考慮事項は常に、次のようなソースコードリポジトリを中心に据えるべきです。 内部的に管理されている(つまりオープンソースではない)ものです。この情報は、検証済みの関連セキュリティ技術を持つ者のみが利用可能であるべきです。AppSec専門家は、セキュリティに熟練した開発者だけが最終マスターブランチに変更をコミットできるようにするブランチレベルのセキュリティ制御などの設定を検討できます。
ボランティアのメンテナは英雄ですが、安全なソフトウェアを維持するには多くの努力が必要です。
ソフトウェアエンジニアリングの領域を離れた人々にとって、活発なボランティアコミュニティが自らの時間を使って重要なシステムを熱心に維持管理するという概念は理解しがたいものです。しかし、これがオープンソース開発の特性であり、サプライチェーンを保護するセキュリティ専門家にとっては依然として深刻なリスク領域として残っています。
オープンソースソフトウェアは、ほぼすべての企業のデジタルエコシステムにおいて重要な部分を占めています。信頼できるメンテナ(そのほとんどは善意で行動しています)は、技術進歩と完全性を私心なく追求する真の英雄的存在ですが、彼らを孤立した状態で提供し続けることは理不尽なことです。DevSecOpsが中心となるこの時代において、セキュリティは共同責任であり、すべての開発者は業務中に発生する可能性のあるセキュリティ問題を解決できる知識と適切なツールを備える必要があります。セキュリティ意識と実践的スキルはソフトウェア開発プロセスにおいて妥協できない水準でなければならず、企業レベルで変化に影響を与えることはセキュリティリーダーの役割です。
深い知見に基づき、現代の組織に根付くセキュリティ文化を構築しましょう。 教育課程 セキュアコードウォリアーより。
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
悪質なソフトウェアサプライチェーン侵害が発覚し、サイバーセキュリティ業界は再び警戒態勢を強化せざるを得なくなりました。主要なLinuxディストリビューションに同梱されるXZ Utilsデータ圧縮ライブラリに影響を与えるこの脆弱性はCVE-2024-3094として記録され、最終的には信頼されていたボランティアシステム管理者が意図的にバックドアを挿入したことが判明しています。悪用が成功した場合、状況によってはリモートコード実行 (RCE) を可能にする深刻な問題であり、既存のソフトウェアビルドプロセスに重大な損害をもたらす可能性があります。
幸いにも、悪意のあるコードが安定したLinuxリリースに侵入する前に別の管理者がこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsバージョン5.6.0および5.6.1の実行を開始したユーザーにとっては依然として問題であり、組織にとっては緊急レベルの優先度でパッチ適用が求められています。こうした発見が適時になされなければ、リスクプロファイルから見て、これはおそらくSolarWindsを上回る最も破壊的なサプライチェーン攻撃の一つとして記録されるでしょう。
重要なシステムの維持管理をコミュニティのボランティアに依存していることは広く文書化されていますが、この事件のように影響力の大きい問題が表面化するまではほとんど議論されません。彼らのたゆまぬ努力はオープンソースソフトウェアの維持に不可欠ですが、これはソフトウェアリポジトリへのアクセス制御を強化することは言うまでもなく、開発者レベルでのセキュリティ技術と認識に重点を置く必要性を浮き彫りにしています。
XZ Utilsのバックドアとは何か、またどのように緩和されますか?
3月29日、レッドハットは緊急セキュリティ警告を発表しました。これはFedora Linux 4.0およびFedora Rawhideユーザーに対し、最新版の「XZ」圧縮ツールおよびライブラリに、第三者の不正アクセスを容易にするために特別に作成されたと思われる悪意のあるコードが含まれていることを通知するものです。 この悪意のあるコードがどのように注入されたかは、今後の集中的な研究対象となるでしょう。しかしこれは、脅威アクターである「Gia Tan」という偽名を持つ人物による、数年にわたる精巧で忍耐強いソーシャルエンジニアリングの実践に該当します。 「ジア・タン」と呼ばれる攻撃者は、2年以上にわたりXZ Utilsプロジェクトおよびコミュニティに正当な貢献を行いながら、他のメンテナの信頼を得るために計り知れない時間を費やしました。複数の偽装アカウントによってボランティアプロジェクト所有者であるラッセ・コリンの信頼が弱まった後、最終的に「信頼できる管理者」の地位を獲得したのです。
この特異なシナリオは、高度な技術を持つ者が一般的に知識不足の人々に対して用いる戦術の犠牲となっている代表的な事例であり、精密な役割ベースのセキュリティ意識教育の必要性を示しています。これは単なるMicrosoftソフトウェアエンジニアでありPostgreSQLメンテナンス担当者である人物の好奇心と迅速な思考によるものでした。アンドレス・プロウンドバックドアが発見され、バージョンがロールバックされたことで、近年の歴史上最も破壊的となり得たサプライチェーン攻撃を阻止したのです。
バックドア自体は公式に最も深刻な脆弱性として追跡されています。NISTレジストリ。当初はSSH認証のバイパスを可能にするものと考えられていましたが、追加調査により、Fedora LowHide、Fedora 41、Kali Linux、OpenSUSE Micro OS、OpenSUSE Tumbleweed、および一部のDebianバージョンを含む脆弱なLinuxシステムにおいて、認証不要のリモートコード実行が可能であることが判明しました。
Jia Tanは悪意のあるパッケージを発見するために多大な努力を払ったようです。悪意のあるパッケージは、ビルドプロセス中に自身を構成するようにトリガーされると、systemdを介したSSHDの認証を妨害します。Red Hatの詳細な説明によれば、適切な状況下では、この妨害により攻撃者はSSHD認証を侵害し、システム全体にリモートで不正アクセスする可能性が生じます。
マイクロソフトは、包括的なガイダンス発表システムにおいて、エクスプロイト事例を検索しその影響を緩和すること、およびCISAが推奨する即時措置について発表しました。影響を受ける開発者とユーザーは、XZ Utils 5.4.6 Stableのような無傷のバージョンにXZ Utilsをダウングレードする必要があります。
この種の攻撃を防ぐことは非常に困難です。 特にソフトウェアでオープンソースコンポーネントを活用する場合、サプライチェーンのセキュリティに対する確信と透明性がほとんどないためです。私たちはすでにソフトウェアサプライチェーンの偶発的な欠陥に対処してきましたが、こうしたリスクにはオープンソースのセキュリティを侵害しようとする悪意のある意図を持って意図的に仕込まれたセキュリティバグが含まれることが明らかになりました。
ほとんどの開発者は、セキュリティ意識が高く、セキュリティ知識が豊富で、偏執的でない限り、この種の攻撃を防ぐことはできません。脅威行為者の思考様式を必要とするレベルに近いものです。しかし、最も重要な考慮事項は常に、次のようなソースコードリポジトリを中心に据えるべきです。 内部的に管理されている(つまりオープンソースではない)ものです。この情報は、検証済みの関連セキュリティ技術を持つ者のみが利用可能であるべきです。AppSec専門家は、セキュリティに熟練した開発者だけが最終マスターブランチに変更をコミットできるようにするブランチレベルのセキュリティ制御などの設定を検討できます。
ボランティアのメンテナは英雄ですが、安全なソフトウェアを維持するには多くの努力が必要です。
ソフトウェアエンジニアリングの領域を離れた人々にとって、活発なボランティアコミュニティが自らの時間を使って重要なシステムを熱心に維持管理するという概念は理解しがたいものです。しかし、これがオープンソース開発の特性であり、サプライチェーンを保護するセキュリティ専門家にとっては依然として深刻なリスク領域として残っています。
オープンソースソフトウェアは、ほぼすべての企業のデジタルエコシステムにおいて重要な部分を占めています。信頼できるメンテナ(そのほとんどは善意で行動しています)は、技術進歩と完全性を私心なく追求する真の英雄的存在ですが、彼らを孤立した状態で提供し続けることは理不尽なことです。DevSecOpsが中心となるこの時代において、セキュリティは共同責任であり、すべての開発者は業務中に発生する可能性のあるセキュリティ問題を解決できる知識と適切なツールを備える必要があります。セキュリティ意識と実践的スキルはソフトウェア開発プロセスにおいて妥協できない水準でなければならず、企業レベルで変化に影響を与えることはセキュリティリーダーの役割です。
深い知見に基づき、現代の組織に根付くセキュリティ文化を構築しましょう。 教育課程 セキュアコードウォリアーより。
%20(1).avif)
.avif)
