OSSのセキュリティは強化されたのか
オープンソースソフトウェアに不正なコードが含まれている可能性はないのだろうか。可能性はある。そのような事件も起きた。ではどうすればよいのだろうか。
ソフトウェア内部に脆弱(ぜいじゃく)性が隠れていることはよくある。GAFAが開発したソフトウェアでもそれは同じだ。
OSSにもサイバー攻撃者の魔の手が伸びる
オープンソースソフトウェア(OSS)はソースコードを誰でも確認できるため、脆弱性を発見しやすいと言われてきた。これは正しい。だが、悪意のある開発者が故意に不正なコードを紛れ込ませた場合は状況が異なる。利用者側はこれにどう対処すべきか。
このような事態に対応するため、The Open Source Security Foundation(OSSF)は脅威共有プラットフォーム「OpenSSF Siren」を2024年5月20日(現地時間)に立ち上げた(注1)。サプライチェーンに影響を与えるOSSの脆弱性やその他の脅威に対する早期警告システムを提供するために設計されたプラットフォームだ。
OpenSSF Sirenは開発者やメンテナー、オープンソースセキュリティの専門家が、最近の攻撃で使用された侵害の指標や戦術、技術、手順を共有できるようにする。
なぜこのタイミングなのか。OSSの一つ「XZ Utils」を乗っ取るために数年間にわたってゆっくりと進んでいた試みが発見された後(注2)、OpenJS Foundationの関係者が、人気のあるJavaScriptプロジェクトを乗っ取ろうとする別の試みも発見したからだ。これらが明らかになって数週間後に発表された(注3)。
XZ Utils事件はどのように進んだのか
XZ Utilsとは「Linux」で可逆圧縮を実行するソフトウェアだ。まず2年以上前にJia Tan氏がXZ Utilsの開発に参加した。その後、同氏は貢献が認められてリポジトリにコミットするアクセス権を得た。ここまではOSS開発でよくある流れであり、不正はない。最後にTan氏がリポジトリの情報を改変し、不正なコードをコミットした。だが、Tan氏の悪事は数週間で露呈した。
Linuxは1000人規模が開発に参加するカーネルと、それ以外の多数のOSSが組み合わさったディストリビューションという形で提供される。幸いなことに改変済みのXZ UtilsがLinuxディストリビューションに組み込まれる以前に悪事が露呈した。(キーマンズネット編集部)
2024年3月下旬、OSS開発に注力するRed HatがXZ Utilsの最近のバージョンに悪質なコードが見つかったと公表したことを受けて(注4)、懸念は急速に拡大した。Microsoftのエンジニアが偶然発見した悪質なバックドアは、攻撃者グループによって故意に作られたものだったからだ。
OpenSSF Sirenの立ち上げは、オープンソースコミュニティーがセキュリティを強化するための複数年にわたる取り組みの最新の例だ。
オープンソースコミュニティーはサイバー攻撃者に悪用されやすい場合がある。資金の不足や、プロジェクトに参加する開発者がごく少人数だった場合の過度の燃え尽き症候群の危険性、悪質な活動を検知し緩和することが困難になる状況があるからだ。さらにオープンソースのメンテナーが利用できる財政的支援が不十分であり、スタッフも不足している(注5)。そのためセキュリティ対応を継続することが難しい場合があった。
OpenSSFの技術諮問委員会のクリストファー・ロビンソン氏(委員長)は次のように述べた。
「OSS開発は世界的に分散化された性質を持つ。ソフトウェア公開後に情報共有を支援する中央集約型の情報共有や分析センターのような組織がないため、脅威やエクスプロイトに関するデータを反映するのに時間がかかっていた」
出典:Open source threat intel platform launched weeks after malicious backdoor targeted XZ Utils(Cybersecurity Dive)
注1:Enhancing Open Source Security: Introducing Siren by OpenSSF(OpenSSF)
注2:Motivations behind XZ Utils backdoor may extend beyond rogue maintainer(Cybersecurity Dive)
注3:Fears rise of social engineering campaign as open source community spots another threat(Cybersecurity Dive)
注5:Red Hat warns of backdoor in widely used Linux utility(Cybersecurity Dive)
注4:Most open source maintainers still consider themselves hobbyists, despite compensation pledges(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
オープンソースソフトのつまみ食いがまずい理由とは
GitHubなどに置かれたソースコードを狙うサイバー攻撃が目立ってきた。もしソースコードに欠陥があれば、そのソースコードを使ったアプリケーションソフトウェアにも同じ欠陥が伝染するからだ。オープンソースソフトウェアを使う際にどうすればサイバー攻撃に遭う確率を下げられるのだろうか。
サイバー攻撃が狙う「製造業」×「オープンソース」、防御は十分なのか
「Apache Log4j」を狙った攻撃は政府や大手IT企業の危機感を高めた。2023年に至っても対策が不十分な状態にある。現在は製造業、特に産業用制御システムが危険なのだという。オープンソースソフトウェアのセキュリティ対応が問題になっている。
オープンソースソフトが使えなくなる? 米国政府がセキュリティ規則を厳格化
サプライチェーン攻撃のリスクを下げるため、米国政府は新しい規制を打ち出した。オープンソースソフトの採用を進めてきた米国政府がいったん立ち止まる形だ。政府が規制のさじ加減を誤ると、政府にとどまらず企業もオープンソースソフトを利用できなくなる可能性がある。この動きは日本にも波及するのだろうか。
ソフトの中核に潜伏するサイバー攻撃 再発防止はできるのか
ソフトウェアのコードを改変してサイバー攻撃を仕掛けるサプライチェーン攻撃は珍しくない。信頼されているソフトの開発プロセスに潜り込んで長い時間をかけて準備した事例が見つかった。