O’ReillyがLinux XZ Utilsパッケージ攻撃のバックドアを公開

最近、Linux XZ Utilsパッケージを狙った高度なサプライチェーン攻撃が発覚し、サイバーセキュリティーの世界は警戒を強めている。liblzma圧縮ライブラリーにより多くのLinuxディストリビューションに欠かせないこのパッケージは、マルウェアに感染したシステムへのリモートシェル アクセスを脅威アクターに許可する可能性のあるバックドアによって侵害されていることが判明した。この発見は、汚染されたバージョンが主要なLinuxディストリビューションに含まれる予定のわずか数週間前という、まさにギリギリのタイミングで行われた。

この攻撃は、Jia Tanという偽名を使用する個人またはグループによって組織化された。この人物は、XZ Utilsにさまざまな変更や修正を提出することで、貢献者としての評判を長年築いてきた。この長期にわたる詐欺により、最終的にJia Tanがメンテナーとして追加され、この立場を利用してパッケージに侵害されたソースファイルが導入された。この悪意のある活動は巧妙かつ計画的であり、攻撃者はマルウェアを検出できる可能性のあるテストを慎重に無効にし、疑惑を引き起こすほど重要ではない変更を導入した。

自分が使用していたベータ版ディストリビューションのパフォーマンス異常に最初に気付いたのは、職業上セキュリティー研究者ではないユーザー、Andrew Freund氏だった。彼はさらに調査を進め、攻撃を発見し、すぐにセキュリティーコミュニティーに報告した。攻撃発見におけるフロイントの役割は、オープンソースソフトウェアの整合性を維持するには、セキュリティー専門家だけでなく全てのユーザーが警戒を怠らないことの重要性を浮き彫りにしている。

この事件は、オープンソースソフトウェアのセキュリティーと、そのサプライチェーン内の潜在的な脆弱性について、幅広い議論を引き起こした。この攻撃には、セキュリティーを侵害されたメンテナーをプロジェクトの中核に置くためのソーシャルエンジニアリング戦術が含まれていたという事実は、特に憂慮すべきものだ。この攻撃方法は、マルウェアを秘密裏に挿入する一般的な方法とは異なり、同様の戦術が採用された場合、他のプロジェクトも危険にさらされる可能性があることを示唆している。セキュリティーコミュニティーは現在、この攻撃の影響と、ソフトウェアシステムの整合性がこれまで考えられていたよりも安全ではない可能性があるという認識に取り組んでいる。

被害が広がる前に攻撃が発見されたのは幸運だったが、オープンソースエコシステムにおける潜在的なリスクを思い起こさせる出来事となった。この事件は、共有ソフトウェアのセキュリティーに対する監視と投資を強化する必要性、およびオープンソースコミュニティー内での文化的変化によって、このような脆弱性につながる可能性のある不正行為に対処し、防止する必要があることを強調している。Open Source Security Foundationは既に、プロジェクトのセキュリティー確保に役立つ疑わしいパターンとベストプラクティスの概要を示し始めているが、ソフトウェアサプライチェーンの安全性、特にその社会的側面を確保するには、共同の取り組みが必要なのは明らかである。

出典：O’Reilly