xzを悪用したサプライチェーン攻撃の顛末、今後も同様の攻撃継続の恐れ
マイナビニュース / 2024年5月7日 10時47分
Kaspersky Labはこのほど、「Social engineering aspect of the XZ incident|Securelist」において、圧縮ツールおよびライブラリの「xz」を悪用したサプライチェーン攻撃の詳細について伝えた。この攻撃は「緊急警告、圧縮ツールxzにsshdを介した不正アクセスの可能性 - 利用の中止を | TECH+(テックプラス)」にて報じたとおり、xzに悪意のあるコードが含まれた状態でリリースされたもので、xzの開発者の一人「Jia Tan(別名:jiaT75)」によって実行されたことがわかっている。
○攻撃の始まりは開発者同士の諍い
Kaspersky Labによると、この攻撃は数年にわたって実行されたという。事の発端は2022年の夏、3人のユーザー(Jia Tan、Dennis Ens、Jigar Kumar)がxzの作者兼メンテナーのLasse Collin氏に、プロジェクトの引き継ぎを促すように圧力をかけたことだったとされる。
彼らの初期目標はxzのソースコードへのフルアクセスを許可させ、Jia Tanに悪意のあるコードを仕込む機会を与えることだった。そのために、彼らはメールスレッド上で相互にやり取りし、メンテナーのLasse Collin氏を置き換える必要があると不満を漏らすこともあったという。
その後、最終的にJia TanのGitHubアカウント「jiaT75」はxzの共同メンテナーに昇格している。Jia Tanはxzの開発にのみ関わったわけではなく、複数のGitHubプロジェクトに500以上のパッチを提供したとされる。これらパッチは無害とされ、正統なオープンソース貢献者の地位を獲得する目的があったとみられている。
セキュリティ企業「Huntress」の研究者「alden」氏はXへの投稿で、Jia Tanのコミット時刻をプロットした興味深い図を公開している。多くのコミットが10時から19時(協定世界時)に集中しているのに対し、悪意のあるコードのコミットだけは1時から4時半ごろ(協定世界時)に集中している。
Kaspersky Labは、このコミット時刻の違いの理由について、次のいずれかではないかと推測している。
Jia Tanのアカウントを別のユーザー(脅威アクター)が悪用した
悪意のあるコードのコミットが急遽決定した
Jia Tanのアカウントはチームで運用されており、一部のメンバーは異なる時間帯で活動していた
-
- 1
- 2
この記事に関連するニュース
-
サイバーセキュリティを脅かす4つのガジェットとは
マイナビニュース / 2024年5月10日 12時17分
-
XiaomiのAndroidデバイスに20件の脆弱性、アップデートを
マイナビニュース / 2024年5月9日 15時47分
-
Pythonベースのトロイの木馬配布するサイバー攻撃確認、北朝鮮関与の疑い
マイナビニュース / 2024年5月2日 8時56分
-
GitHub、2FAで数百万人の開発者の安全を担保
Digital PR Platform / 2024年4月25日 11時22分
-
オープンソースプロジェクトのソーシャルエンジニアリングに警戒を - OpenSSF/OpenJS
マイナビニュース / 2024年4月23日 15時43分
ランキング
-
1「現場を知らなすぎ」 政府広報が投稿「令和の給食」写真に批判続出…… 識者が指摘した“学校給食の問題点”
ねとらぼ / 2024年5月18日 7時30分
-
2「Lenovo LOQ 15IRX9」レビュー、17万円で最新パーツ搭載・フルHDゲームを快適に楽しめるゲーミングノートPC
マイナビニュース / 2024年5月19日 8時0分
-
3ダイソーで110円の「スマートフォンレンズセット」を半信半疑で試してみる 「魚眼」は実用可能
ITmedia Mobile / 2024年5月19日 11時30分
-
4『HUNTER×HUNTER』の冨樫義博がXで怒り 立て続く“誤配”で「三度目です」「次はもう知らん」
ねとらぼ / 2024年5月18日 16時57分
-
5FC版『ドラクエ』のローラ姫はナゼさらわれた? 「めとるため」とはいえないワケ
マグミクス / 2024年5月18日 21時25分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください