Last Updated on 2024-05-08 21:10 by 荒木 啓介
XZ UtilsというLinuxツールに重大な脆弱性が見つかり、Linuxのオープンソースエコシステム全体にとって大きな危機になりかねなかった。この脆弱性は、ある開発者がベータ版のLinuxツールにバックドアを仕込んだことで発覚した。しかし、開発者アンドレス・フロイントがセキュリティアドバイザリを発行した後、オープンソースコミュニティの迅速な対応により、マルウェアの除去と影響の大幅な制限に成功した。
この事件は、オープンソースコミュニティが危機を迅速に回避できる力を示した一方で、信頼に基づくエコシステムの全体的なセキュリティに関する懸念を提起している。攻撃は、オープンソースコミュニティ内で2年間信頼を築き、プロジェクトに真摯に取り組んだ後に非常に洗練された攻撃を仕掛けたと考えられる国家支援のアクターから来たとされる。このような内部からの脅威は、オープンソースコミュニティにとって新たな形態のスパイ行為であり、コミュニティがこの現実にどのように効果的に対応するかが問われている。
オープンソースエコシステムにおける貢献者に対するセキュリティを強化する必要があるかどうか、また、どのように開発者を認証プロセスに参加させるかが議論されている。外部企業によるコードレビューとソフトウェアの認証も提案されているが、これはオープンソースコミュニティの運営方法と相反する可能性がある。さらに、オープンソースの維持者がクレジットや報酬なしに重要な作業を行っているという長年の問題も浮き彫りになっている。
最終的に、CISO(最高情報セキュリティ責任者)やサイバーセキュリティチームは、オープンソースソフトウェアを使用する前に内部ソースコードレビューを実施するなど、可能なセキュリティ対策を検討することが推奨されている。また、オープンソースの更新に常に注意を払い、特に国家脆弱性データベースの遅延を考慮して、セキュリティを確保することが重要である。
【編集部追記】
この事件そのものは、少し前に起きたものです。記事は改めてオープンソースコミュニティのありかたについて、いま一度、再考を促すための発信なのかもしれません。
事件について簡潔にまとめます。
・2024年3月29日に、XZ Utils 5.6.0/5.6.1にバックドアが挿入されている問題が報告された。脆弱性を発見したのはPostgreSQL/MicrosoftのAndres Freund氏。
・悪意のあるコードは2024年2月24日頃に挿入されたと見られる。
・XZ UtilsのVersion 5.6.0が2024年2月24日にリリースされ、Version 5.6.1が2024年3月9日にリリースされた。バックドアを挿入したのはJia Tanと名乗る開発者。2021年頃からXZ Utilsへのコード貢献を始めた。
関連用語
XZ Utils:データ圧縮・解凍のためのオープンソースソフトウェア。Linuxシステムで広く使われています。
サプライチェーン攻撃:ソフトウェアの開発・配布の過程に攻撃者が介入し、不正なコードを紛れ込ませる攻撃手法。ソフトウェアを経由して多数のシステムに被害を及ぼすことができます。
バックドア:正規の認証を経ずにシステムに侵入できる裏口のようなもの。今回のケースでは、XZ Utilsの開発者を装ったJia Tanという人物が不正なコードを混入し、バックドアを仕込みました。
CVE番号:共通脆弱性識別子。脆弱性に割り当てられる番号で、脆弱性を特定するために使われます。今回のCVE番号はCVE-2024-3094
CVSS:共通脆弱性評価システム。脆弱性の深刻度を評価するための指標。今回のXZ Utilsの脆弱性は最も高い深刻度の10.0と評価されました。
【関連記事】
Rustのliblzma-sysに潜むバックドア、21,000回以上のダウンロード後に発覚
大手テック企業とApex Programがもたらすセキュリティパラダイムシフト
ソフトウェア供給チェーン攻撃の警鐘、XZ Utils事件が示す脆弱性とその対策
オープンソースソフトウェアのセキュリティ警鐘:XZ Utilsにバックドア発見
オープンソースソフトウェアに潜む危険:Microsoftが発見したバックドア
Linux圧縮ツールXZにバックドア発見、複数ディストリビューションが危機に
サイバーセキュリティ最前線:グローバル協力から新たな脅威まで
緊急警告: XZ Utilsにバックドア、最大CVSSスコア10.0の脆弱性発覚
【ニュース解説】
Linuxツール「XZ Utils」に見つかった重大な脆弱性は、オープンソースエコシステムにおける内部脅威の存在を浮き彫りにしました。この脆弱性は、ある開発者がベータ版のLinuxツールにバックドアを仕込んだことで発覚し、オープンソースコミュニティの迅速な対応により、マルウェアの除去と影響の大幅な制限に成功しました。
この事件は、オープンソースコミュニティが危機を迅速に回避できる力を示した一方で、信頼に基づくエコシステムの全体的なセキュリティに関する懸念を提起しています。攻撃は、オープンソースコミュニティ内で2年間信頼を築き、プロジェクトに真摯に取り組んだ後に非常に洗練された攻撃を仕掛けたと考えられる国家支援のアクターから来たとされます。このような内部からの脅威は、オープンソースコミュニティにとって新たな形態のスパイ行為であり、コミュニティがこの現実にどのように効果的に対応するかが問われています。
オープンソースエコシステムにおける貢献者に対するセキュリティを強化する必要があるかどうか、また、どのように開発者を認証プロセスに参加させるかが議論されています。外部企業によるコードレビューとソフトウェアの認証も提案されていますが、これはオープンソースコミュニティの運営方法と相反する可能性があります。さらに、オープンソースの維持者がクレジットや報酬なしに重要な作業を行っているという長年の問題も浮き彫りになっています。
最終的に、CISO(最高情報セキュリティ責任者)やサイバーセキュリティチームは、オープンソースソフトウェアを使用する前に内部ソースコードレビューを実施するなど、可能なセキュリティ対策を検討することが推奨されています。また、オープンソースの更新に常に注意を払い、特に国家脆弱性データベースの遅延を考慮して、セキュリティを確保することが重要です。
この事件から学ぶべき重要な教訓は、オープンソースコミュニティが信頼と協力に基づいて成り立っているとしても、内部脅威に対する警戒を怠ることはできないということです。また、オープンソースプロジェクトの維持者に対する支援と認識の向上、貢献者の身元確認の強化など、セキュリティ対策の再考が求められています。このような対策は、オープンソースエコシステムの持続可能性と安全性を保つために不可欠です。
from Spies Among Us: Insider Threats in Open Source Environments.
