オープンソースソフトウェアに不正なコードが含まれている可能性はないのだろうか。可能性はある。そのような事件も起きた。ではどうすればよいのだろうか。
ソフトウェア内部に脆弱(ぜいじゃく)性が隠れていることはよくある。GAFAが開発したソフトウェアでもそれは同じだ。
オープンソースソフトウェア(OSS)はソースコードを誰でも確認できるため、脆弱性を発見しやすいと言われてきた。これは正しい。だが、悪意のある開発者が故意に不正なコードを紛れ込ませた場合は状況が異なる。利用者側はこれにどう対処すべきか。
このような事態に対応するため、The Open Source Security Foundation(OSSF)は脅威共有プラットフォーム「OpenSSF Siren」を2024年5月20日(現地時間)に立ち上げた(注1)。サプライチェーンに影響を与えるOSSの脆弱性やその他の脅威に対する早期警告システムを提供するために設計されたプラットフォームだ。
OpenSSF Sirenは開発者やメンテナー、オープンソースセキュリティの専門家が、最近の攻撃で使用された侵害の指標や戦術、技術、手順を共有できるようにする。
なぜこのタイミングなのか。OSSの一つ「XZ Utils」を乗っ取るために数年間にわたってゆっくりと進んでいた試みが発見された後(注2)、OpenJS Foundationの関係者が、人気のあるJavaScriptプロジェクトを乗っ取ろうとする別の試みも発見したからだ。これらが明らかになって数週間後に発表された(注3)。
XZ Utilsとは「Linux」で可逆圧縮を実行するソフトウェアだ。まず2年以上前にJia Tan氏がXZ Utilsの開発に参加した。その後、同氏は貢献が認められてリポジトリにコミットするアクセス権を得た。ここまではOSS開発でよくある流れであり、不正はない。最後にTan氏がリポジトリの情報を改変し、不正なコードをコミットした。だが、Tan氏の悪事は数週間で露呈した。
Linuxは1000人規模が開発に参加するカーネルと、それ以外の多数のOSSが組み合わさったディストリビューションという形で提供される。幸いなことに改変済みのXZ UtilsがLinuxディストリビューションに組み込まれる以前に悪事が露呈した。(キーマンズネット編集部)
2024年3月下旬、OSS開発に注力するRed HatがXZ Utilsの最近のバージョンに悪質なコードが見つかったと公表したことを受けて(注4)、懸念は急速に拡大した。Microsoftのエンジニアが偶然発見した悪質なバックドアは、攻撃者グループによって故意に作られたものだったからだ。
OpenSSF Sirenの立ち上げは、オープンソースコミュニティーがセキュリティを強化するための複数年にわたる取り組みの最新の例だ。
オープンソースコミュニティーはサイバー攻撃者に悪用されやすい場合がある。資金の不足や、プロジェクトに参加する開発者がごく少人数だった場合の過度の燃え尽き症候群の危険性、悪質な活動を検知し緩和することが困難になる状況があるからだ。さらにオープンソースのメンテナーが利用できる財政的支援が不十分であり、スタッフも不足している(注5)。そのためセキュリティ対応を継続することが難しい場合があった。
OpenSSFの技術諮問委員会のクリストファー・ロビンソン氏(委員長)は次のように述べた。
「OSS開発は世界的に分散化された性質を持つ。ソフトウェア公開後に情報共有を支援する中央集約型の情報共有や分析センターのような組織がないため、脅威やエクスプロイトに関するデータを反映するのに時間がかかっていた」
出典:Open source threat intel platform launched weeks after malicious backdoor targeted XZ Utils(Cybersecurity Dive)
注1:Enhancing Open Source Security: Introducing Siren by OpenSSF(OpenSSF)
注2:Motivations behind XZ Utils backdoor may extend beyond rogue maintainer(Cybersecurity Dive)
注3:Fears rise of social engineering campaign as open source community spots another threat(Cybersecurity Dive)
注5:Red Hat warns of backdoor in widely used Linux utility(Cybersecurity Dive)
注4:Most open source maintainers still consider themselves hobbyists, despite compensation pledges(Cybersecurity Dive)
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。