Last Updated on 2024-08-08 09:49 by admin
XZ Utils、Linuxシステムのオープンソースデータ圧縮ユーティリティに、攻撃者がバックドアを仕込んだ。この攻撃は、技術的なスキルよりも社会工学とプレッシャーをかけるメールを使ったものである。カスペルスキーの分析によると、攻撃者は社会的操作にほぼ完全に依存してバックドアを挿入した。
オープンソースセキュリティ財団(OSSF)は、XZ Utilsへの攻撃が孤立した事件ではない可能性があると警告している。OSSFは、オープンソースプロジェクトの保護に向けて、社会工学による乗っ取り試みに対する警戒を呼びかけている。
この攻撃は2021年10月に始まり、”Jia Tan”というハンドルを使用する個人がXZ Utilsプロジェクトに無害なパッチを提出したことから始まった。その後、Jia Tanは複数の類似の無害なパッチを提出し、プロジェクトの唯一のメンテナーであるLasse Collinsによって徐々に統合された。
2022年4月から、”Jigar Kumar”と”Dennis Ens”というハンドルを使用する他の2人の人物が、Collinsに対してTanのパッチをXZ Utilsにより速く統合するよう圧力をかけ始めた。最終的にCollinsは圧力に屈し、Jia Tanにプロジェクトへの完全なアクセス権とコード変更の権限を与えた。
Jia Tanは2024年2月にバックドアバイナリをユーティリティに導入し、その後、Hans Jansenという別の人物が新しいパフォーマンス最適化コードを提出し、それがユーティリティに統合された。この攻撃が小規模なチームによるものか、複数のアイデンティティを管理しメンテナーを操作した単一の個人によるものかは明確ではない。
【ニュース解説】
Linuxシステムで使用されるオープンソースのデータ圧縮ユーティリティ「XZ Utils」に、攻撃者がバックドアを仕込む事件が発生しました。この攻撃は、高度な技術的スキルを駆使するのではなく、社会工学とプレッシャーをかけるメールを用いることで実行されました。この手法により、攻撃者はプロジェクトのメンテナーを騙して、悪意のあるコードをプロジェクトに統合させることに成功しました。
この事件は、オープンソースソフトウェアのセキュリティに対する新たな脅威を示しています。オープンソースプロジェクトは、世界中の開発者が自由にコードを提供し、改善することができるため、イノベーションの源泉となっています。しかし、この開かれた性質が、悪意のある行為者による悪用のリスクも高めています。
この攻撃の特徴は、技術的な侵入手法よりも、人間の心理を利用した社会工学が中心である点です。攻撃者は、プロジェクトのメンテナーに対して、複数の偽のアイデンティティを使って圧力をかけ、最終的にはプロジェクトへの完全なアクセス権を得ることに成功しました。このような手法により、攻撃者は目立たずに長期間にわたって悪意のある活動を行うことが可能になります。
この事件は、オープンソースプロジェクトのメンテナーに対して、社会工学による攻撃に対する警戒を強める必要があることを示しています。また、プロジェクトへの貢献者の身元確認や、提案されるコードの厳格なレビューが、より一層重要になってきます。
しかし、この事件にはポジティブな側面もあります。それは、オープンソースコミュニティの強固な連携と、問題発見後の迅速な対応能力です。この事件を通じて、オープンソースプロジェクトのセキュリティ対策の重要性が再認識され、今後のセキュリティ向上に向けた取り組みが強化されることが期待されます。
長期的な視点で見ると、このような攻撃はオープンソースソフトウェアのセキュリティ対策の進化を促すきっかけとなり得ます。開発者やメンテナーは、社会工学による攻撃への対策を強化し、より安全なオープンソースソフトウェアの開発に貢献することが求められています。
from Attacker Social-Engineered Backdoor Code Into XZ Utils.
