オープンソースプロジェクトのソーシャルエンジニアリングに警戒を - OpenSSF/OpenJS
マイナビニュース / 2024年4月23日 15時43分
Linuxの圧縮ユーティリティXZへのバックドアが設置がされた問題について、Open Source Security(OpenSSF)とOpenJS Foundationsは現地時間4月15日、オープンソースプロジェクトにおけるソーシャルエンジニアリングについて公式ブログで警鐘を鳴らしている。
長い間単独で開発、メンテナンスが行われていたXZ プロジェクトに参加した歴史の浅いアカウントが設置したバックドア(CVE-2024-3094)は、信頼を得てプロジェクトに参加するなど開発プロジェクトへ入り込む段階でソーシャルエンジニアリングの手法が用いられているが、OpenJS Foundationでもほとんど関与のなかったアカウントが人気のあるJavaScriptプロジェクトへの新しいメンテナーに指名してほしいと懇願する疑わしいメールを複数受け取っていることも記されている。単独ではないキャンペーンのような動きに対して、新たな脅威として認識するOpenSSF/OpenJSはソースコードの管理権限には高いレベルの信頼関係が必要だと警鐘を鳴らすとともに、いくつかの注意すべき事項を示している。
・コミュニティの比較的無名なメンバーによる、メンテナーやホストされているエンティティ(財団または会社)に対する友好的でアグレッシブで執拗な追跡
・新しい人または未知の人によるメンテナ ステータスへの昇格のリクエスト
・BLOB(Binary Large Object)データを含むPull Requests
・意図的に難読化されているソースコード
・少しずつ深刻化するセキュリティ問題(XZの場合、safe_fprintf()とfprintf()への置き換えで様子を見ていた)
・一般的なプロジェクトのコンパイル、ビルド、展開方法からの逸脱により、悪意のある外部ペイロードがBLOB(Binary Large Object)、ZIP、またはその他のバイナリアーティファクトに挿入される可能性がある
・誤った緊急性によるメンテナーのレビュー徹底性の低下
など。コミュニケーションのやりとりを通してメンテナーの義務感、判断や注意を削ぎながら、権限を奪取するソーシャルエンジニアリングを多用し、多数へのマルウェアの配布へとつなげられる標的型攻撃の形態を持っており、OpenJS teamでは潜在的なセキュリティ上の懸念として米CISA(Cybersecurity and Infrastructure Security Agency)などへの報告も行っている。
そのほか公式ブログには、プロジェクトを保護するOpenSSF Guides、脆弱性開示を調整するためのガイドなどオープンソースプロジェクトをセキュアに運営するためのリンクをまとめている。
この記事に関連するニュース
-
GNU Linux-libre 6.9リリース
マイナビニュース / 2024年5月15日 15時17分
-
XiaomiのAndroidデバイスに20件の脆弱性、アップデートを
マイナビニュース / 2024年5月9日 15時47分
-
オープンソースプロジェクト『Skeet』、Solana ブロックチェーンのメインネットバリデーターへ昇格
PR TIMES / 2024年5月8日 8時46分
-
xzを悪用したサプライチェーン攻撃の顛末、今後も同様の攻撃継続の恐れ
マイナビニュース / 2024年5月7日 10時47分
-
OpenJS Foundation、jQueryチェックWebツール「Healthy Web Checkup」
マイナビニュース / 2024年4月20日 15時47分
ランキング
-
1「ペット投票」に反応しないで LINE公式がアカウント乗っ取りの注意喚起
おたくま経済新聞 / 2024年5月17日 16時0分
-
2小室哲哉も視聴済み 「Get Wildだと思ったらにんげんていいなだった」が約20万再生の人気で「このセンスほんと好き」「最高www」
ねとらぼ / 2024年5月16日 20時30分
-
3JR東日本の「JRE BANK」 太っ腹すぎる特典と、漏らさず手に入れる方法
マイナビニュース / 2024年5月17日 17時30分
-
4室内外機が一体化!2~3.7帖まで強力に冷やせるポータブルエアコン「BougeRV 1100W/4000BTU」
IGNITE / 2024年5月17日 10時26分
-
5テイクツーの2026年度までのリリース予定タイトルが12本減少か、主要フランチャイズ以外では開発中止タイトルも示唆―海外メディア報道
Game*Spark / 2024年5月17日 12時22分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください