オープンソースプロジェクトのソーシャルエンジニアリングに警戒を - OpenSSF/OpenJS
マイナビニュース / 2024年4月23日 15時43分
Linuxの圧縮ユーティリティXZへのバックドアが設置がされた問題について、Open Source Security(OpenSSF)とOpenJS Foundationsは現地時間4月15日、オープンソースプロジェクトにおけるソーシャルエンジニアリングについて公式ブログで警鐘を鳴らしている。
長い間単独で開発、メンテナンスが行われていたXZ プロジェクトに参加した歴史の浅いアカウントが設置したバックドア(CVE-2024-3094)は、信頼を得てプロジェクトに参加するなど開発プロジェクトへ入り込む段階でソーシャルエンジニアリングの手法が用いられているが、OpenJS Foundationでもほとんど関与のなかったアカウントが人気のあるJavaScriptプロジェクトへの新しいメンテナーに指名してほしいと懇願する疑わしいメールを複数受け取っていることも記されている。単独ではないキャンペーンのような動きに対して、新たな脅威として認識するOpenSSF/OpenJSはソースコードの管理権限には高いレベルの信頼関係が必要だと警鐘を鳴らすとともに、いくつかの注意すべき事項を示している。
・コミュニティの比較的無名なメンバーによる、メンテナーやホストされているエンティティ(財団または会社)に対する友好的でアグレッシブで執拗な追跡
・新しい人または未知の人によるメンテナ ステータスへの昇格のリクエスト
・BLOB(Binary Large Object)データを含むPull Requests
・意図的に難読化されているソースコード
・少しずつ深刻化するセキュリティ問題(XZの場合、safe_fprintf()とfprintf()への置き換えで様子を見ていた)
・一般的なプロジェクトのコンパイル、ビルド、展開方法からの逸脱により、悪意のある外部ペイロードがBLOB(Binary Large Object)、ZIP、またはその他のバイナリアーティファクトに挿入される可能性がある
・誤った緊急性によるメンテナーのレビュー徹底性の低下
など。コミュニケーションのやりとりを通してメンテナーの義務感、判断や注意を削ぎながら、権限を奪取するソーシャルエンジニアリングを多用し、多数へのマルウェアの配布へとつなげられる標的型攻撃の形態を持っており、OpenJS teamでは潜在的なセキュリティ上の懸念として米CISA(Cybersecurity and Infrastructure Security Agency)などへの報告も行っている。
そのほか公式ブログには、プロジェクトを保護するOpenSSF Guides、脆弱性開示を調整するためのガイドなどオープンソースプロジェクトをセキュアに運営するためのリンクをまとめている。
この記事に関連するニュース
-
SailPoint、Identity Security Cloudの新スイート製品「Standard」を発表
PR TIMES / 2024年4月22日 12時45分
-
OpenJS Foundation、jQueryチェックWebツール「Healthy Web Checkup」
マイナビニュース / 2024年4月20日 15時47分
-
5月13日開催 OSSセキュリティMeetup ご案内 : ゼネラルマネージャーOmkhar来日+SOSS Community Day North America イベントレポート
PR TIMES / 2024年4月15日 15時45分
-
圧縮ツールxzに仕掛けられたバックドア、その巧妙な手口が明らかに
マイナビニュース / 2024年4月15日 11時23分
-
NFTステーキングによる報酬獲得とNo Loss Donationを同時に。Epics DAO、オープンソース支援のための新機能をリリース
PR TIMES / 2024年4月4日 17時45分
ランキング
-
1GWのスキマ時間に遊べるスイッチの注目タイトル5選!『8番出口』『いっき団結』など、サクッと楽しめコスパ良しのゲーム紹介
インサイド / 2024年5月3日 11時30分
-
2ジョージア大使、松屋にポーランド風ハンバーグ登場で心配「国際情勢に影響しかねない熾烈な戦いになりそう」
iza(イザ!) / 2024年5月1日 13時55分
-
3「そっち使うの?!」「これは天才」 さびだらけの鉄くぎをぐつぐつ煮込むと……? DIYに役立つ“まさかの使い道”が200万再生
ねとらぼ / 2024年5月2日 12時15分
-
4「葬送のフリーレン」の勇者一行、ネモフィラ畑に現る 名場面にちなんだコスプレが「これを花畑を出す魔法か」と23万いいね
ねとらぼ / 2024年4月30日 21時30分
-
5iPhoneの天気アプリ、文京区で「大雪」とウソつく 気象庁のサイトで“正しい情報”を確認する方法は?
ITmedia Mobile / 2024年5月2日 18時50分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください