Last Updated on 2024-04-19 06:33 by 荒木 啓介
XZ Utilsの発見後、他のオープンソースプロジェクトについても調査が行われている。OpenJS Foundation Cross Project Councilは、異なる名前を持ちGitHub関連のメールが重複する、類似のメッセージを含む一連の怪しいメールを受け取った。これらのメールは、OpenJSに対し、人気のあるJavaScriptプロジェクトの1つを更新して「あらゆる重大な脆弱性に対処する」よう要求していたが、具体的な詳細は示されなかった。メールの送信者は、以前にプロジェクトにほとんど関与していないにもかかわらず、新しいメンテナとして指名されることを望んでいた。このアプローチは、XZ/liblzmaのバックドアに位置づけられた「Jia Tan」の方法と酷似している。
OpenJSチームは、その財団によってホストされていない他の2つの人気のあるJavaScriptプロジェクトでも類似の怪しいパターンを認識し、直ちにOpenJSのリーダーとアメリカ合衆国国土安全保障省(DHS)内のサイバーセキュリティ・インフラセキュリティ庁(CISA)に潜在的なセキュリティ懸念を報告した。記事には、怪しいパターンのリストとセキュリティのベストプラクティスのリストが含まれている。
【ニュース解説】
XZ Utilsの発見以降、オープンソースプロジェクトに対する新たな調査が行われています。この調査の中で、OpenJS Foundation Cross Project Councilは、異なる名前を持ち、GitHubに関連するメールアドレスが重複する一連の怪しいメールを受け取りました。これらのメールは、OpenJSに対して、人気のあるJavaScriptプロジェクトの1つを更新し、「あらゆる重大な脆弱性に対処する」よう要請していましたが、具体的な詳細は示されていませんでした。メールの送信者は、プロジェクトにほとんど関与していないにもかかわらず、新しいメンテナとして指名されることを望んでいました。この手法は、以前にXZ/liblzmaのバックドアに関与した「Jia Tan」の方法と非常に似ています。
さらに、OpenJSチームは、その財団によってホストされていない他の2つの人気のあるJavaScriptプロジェクトでも同様の怪しいパターンを認識しました。これらの懸念は直ちにOpenJSのリーダーと、アメリカ合衆国国土安全保障省(DHS)内のサイバーセキュリティ・インフラセキュリティ庁(CISA)に報告されました。この記事には、怪しいパターンのリストとセキュリティのベストプラクティスのリストが含まれています。
この事例は、オープンソースプロジェクトが直面しているセキュリティ上の脅威と、それに対処するためのコミュニティの取り組みを浮き彫りにしています。オープンソースプロジェクトは、その性質上、世界中の開発者が自由にアクセスし、貢献できるため、イノベーションの源泉となっています。しかし、この開かれた性質が、悪意のあるアクターによる悪用のリスクを高めることもあります。
このような攻撃の試みは、プロジェクトの信頼性を損ない、最終的にはユーザーに損害を与える可能性があります。そのため、オープンソースプロジェクトのメンテナやコミュニティは、怪しい行動を識別し、報告するためのプロセスを確立し、セキュリティのベストプラクティスを遵守することが重要です。また、このような事件は、オープンソースソフトウェアのセキュリティを強化するための規制やガイドラインの必要性を示唆しています。
長期的には、オープンソースコミュニティは、セキュリティの脅威に対する意識を高め、教育プログラムを実施し、セキュリティの専門知識を持つメンテナを増やすことで、このような攻撃の試みに対処する能力を強化する必要があります。これにより、オープンソースプロジェクトの持続可能性と信頼性を保護し、技術革新の推進力としての役割を維持することができます。
