あのサービスまでも簡単にハッキングできる意外な手法とは？：601st Lap

悪意あるハッキングやサイバー攻撃が止むことはないだろう。セキュリティ対策企業のトレンドマイクロによれば、2020年における全世界でのサイバー攻撃の脅威検知は前年比で約7.8％増加しているという。

[キーマンズネット]

　サイバー攻撃の標的となるのは個人や企業だけではない。時には、公的施設や自治体、政府までもが攻撃の対象となることもある。オンライン化、デジタル化された社会では、仕方がないことなのかもしれないが、強固なセキュリティ対策は必要不可欠な時代だ。

　そんな中、あるパッケージソフトを利用することで、簡単に企業のデータを抜き取る「ハッキング」ができる方法が見つかったという。どのような手法だったのか？

　この問題を報告したのは、セキュリティ研究者のアレックス・ビルサン氏だ。2021年2月10日、ビルサン氏は自身のブログ記事でこの件を公表した他、Tech系サイトの「The Verge」もこの件を取り上げている。

　それにしてもパッケージソフトがハッキングの糸口になるとはどういうことなのか。ここでいう「パッケージ」は、いわゆる市販されている「配布型のパッケージソフト」ではない。

　プログラミング言語や開発環境における「パッケージ」のことで、特定の機能をひとまとめにした「プログラム部品」のことだ。幾つかのパッケージ管理システムが存在し、ソースコードの中で必要に応じてパッケージをインストールすることで特定の機能を呼び出し、作業を簡素化する。

　開発の現場では、リポジトリに格納されているオープンソースのパッケージをダウンロードして利用することもある一方で、特定の企業では内部開発者たちが独自に使うプライベートな内部パッケージを作成してパッケージ管理システムにアップロードし、開発者が共同で利用することもある。

　ビルサン氏は、悪意あるハッカーたちが企業を狙って不正アクセスをするとき、この内部パッケージを狙う可能性がある、と指摘した。企業が利用している内部パッケージを悪意あるソースコードを含んだ公開パッケージに置き換えれば、技術者は自ら不正なコードを含むパッケージを企業のシステムに組み込んでくれる。

　2020年の夏ごろ、ビルサン氏は「PayPal」のサービスに潜んでいる脆弱（ぜいじゃく）性を探していたという。その中で、PayPalの内部仕様を含んだあるNode.jsコードを発見した。Node.jsのパッケージ管理システムであるnpmのリポジトリでホストされていたそのソースコードは、どうやらPayPalが使用している内部パッケージに該当するものらしいとビルサン氏は判断した。

　そして「このPayPalが使用していると思われる内部パッケージが、リポジトリ内で悪意のあるソースコードを含んだ公開パッケージに置き換えたらどうなるか」と考えたのだ。そのパッケージがインストールされたコンピュータの情報を収集するといった「法的に問題ない程度のコード」を追加した公開パッケージを作成して本来の内部パッケージと置き換えてみた。

　ビルサン氏の思惑は成功した。PayPalから特定の情報を入手することに成功したのだ。ビルサン氏は同じパッケージ管理システムを使う他のサービスでも同様の実験をした。すると、AppleやMicrosoft、Netflix、Uberといった名だたる大企業35社においてハッキングに成功した。

　本来、パッケージ管理システムは、たとえファイル名が同一でも公開パッケージが内部パッケージを優先することはあり得ないはずなのだが、ビルサン氏は「特定の引数」を用いることによってこれを可能にしたという。もちろんこの部分の詳細は非公開だ。

　ビルサン氏は各社にこれを通達し、脆弱性発見の報奨金を受け取った。PayPalからは3万ドル、Appleから3万ドル、Microsoftからは4万ドルだ。これらの額は各社の規定の報奨金より高額であり、各社ともに大きな問題として捉えていることが分かる。

　各社の対応を待って本件は公にされたようだが、意外なところに意外な不正アクセス手法が潜んでいるものだ。

上司X：　パッケージソフトを使った不正アクセス手法を見つけたという話だよ。

ブラックピット：　内部パッケージを公開パッケージに置き換えてと。ビルサン氏がホワイトなハッカーで良かったですね。

上司X：　そうだな。こういうホワイトハッカーがいるのはある意味救いだよ。

ブラックピット：　一抹の望み、というとこでしょうかね。しかしこの件を悪意のあるハッカーたちが先に発見していたとしたら、被害は彼が得た報奨金程度では済まなかったことでしょう。

上司X：　報奨金の額もうなずけるってものだ。しかしまあ、各社をハックしてみてその結果を突きつけるんだから説得力があるよな。

ブラックピット：　Birsan氏のような研究者たちって、時に「バグハンター」みたいな呼び方をされることもあるみたいですね。ハンターとして嗅覚に優れているんでしょうね。

上司X：　もちろん技術力も持っているだろうし、ブラックなハッカーにならない理性も持っているんだろうな。ちなみにバグハント専門のサービスも幾つかあるみたいだから、キミも参加して挑戦してみたら？

ブラックピット：　またそんな無理な提案を。

上司X：　ともかくだ、バグハンターがいるぐらい脆弱性は世の中にたくさんあるということで、対策に対策を重ねてもこういう事態が生まれてくる。油断すべからず、ってことだな。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。