「XZ Utils」だけが破壊工作の標的ではない可能性--オープンソース財団

Jack Wallen (Special to ZDNET.com) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ)

2024-04-17 09:45

 「XZ Utils」のバックドア問題(CVE-2024-3094)が、単発的な出来事ではない可能性が出てきた。Open Source Security Foundation(OpenSSF)とOpenJS Foundationが共同声明で明らかにした

 XZ Utilsに関する一連の出来事をまだ知らない方は、筆者の尊敬する同僚であるSteven J. Vaughan-Nichols記者が執筆した記事「XZ Utilsのバックドア問題--オープンソースのセキュリティを考える」を読んでほしい。簡単に言えば、xzデータ圧縮ユーティリティーのメンテナーだったJia Tan氏なる人物がコードにバックドアを仕掛け、攻撃者が「Linux」を乗っ取れるようにしていたことを、Microsoftのエンジニアが発見したという話だ。

 両財団が今回の声明で、同じような乗っ取りの試みが他にも行われた確かな証拠があると示唆したことから、誰もが注意する必要がある。

 OpenJS Foundationによれば、「重大な脆弱性に対処する」ために人気の高いJavaScriptプロジェクトの1つをアップデートするよう要求する一連の不審なメールが、同財団のCross Project Councilに届いたという。これらの不審なメールには具体的な情報がまったく書かれていなかったが、メールの発信者は、そのプロジェクトの新しいメンテナーとして自分たちを指名するよう求めていた。これは、Jin Tan氏がXZ Utilsにバックドアを仕掛けた手口と同じだ。

 また、そのプロジェクトだけが標的にされたわけではなかったと、両財団は述べている。少なくとも他の2つのプロジェクトも狙われた。このセキュリティリスクに対しては、ただちに警告が発せられた。

 OpenJS Foundationは共同声明の中で、「Linux Foundationと協力しながら、すべてのオープンソースメンテナーの間で、この進行中の脅威に対する認識が高まるようにし、セキュリティとオープンソースの専門家で構成される幅広いコミュニティを通じて、実践的なガイダンスとリソースを提供したいと考えている」と語っている。

 その上で、両財団はソーシャルエンジニアリングによる乗っ取りが疑われる既知のパターンを紹介した。以下のリストはその一部だ。

  • メンテナーに対する、友好的ながら執拗なコンタクト
  • メンテナーへの昇格の要求
  • 未知の関係者からの支持
  • 成果物としてBLOBを含むプルリクエスト
  • 意図的に難読化または理解しにくくされたソースコード
  • 次第にエスカレートするセキュリティの問題
  • プロジェクトのコンパイル、ビルド、デプロイの典型的な方法からの逸脱
  • 誤った切迫感

 読者(または読者のプロジェクト)がこのようなパターンに遭遇したら、OpenSSFのガイドや、米サイバーセキュリティ・インフラセキュリティ庁(CISA)のブログ記事「Avoiding Social Engineering and Phishing Attacks」(ソーシャルエンジニアリング攻撃とフィッシング攻撃を回避する)に必ず目を通してほしい。

提供:South_agency/Getty Images
提供:South_agency/Getty Images

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]