ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】

画像提供：マイナビニュース

オープンソースソフトウェア（OSS）の利用が拡大する中、2024年3月に発表されたLinux向けのOSSであるファイル圧縮ツール「XZ Utils」に悪意のあるコードが挿入された問題は大きな衝撃を与えた。

こうしたソフトウェアサプライチェーンへの攻撃の加速が予想される一方で、多くのCISOとDevSecOpsチームの対応は遅れている。そこで、前編でソフトウェアサプライチェーン攻撃の概要、後編でセキュアな開発を効率化するAIの役割と、2回にわたりにソフトウェアサプライチェーンの保護について説明する。
OSSを活用したソフトウェアサプライチェーンへの攻撃が増加

OSSとは、周知の通り、誰でも自由に使用、調査、変更、再配布が基本的に無償で行える、ソースコードが公開されているソフトウェアを指す。ソフトウェアに必要な基本機能や特定の機能がライブラリとして用意されていることも多く、これらを活用することで、開発者は開発期間を短縮し、独自の機能開発に注力することができる。

OSSライブラリや言語はいまや広く浸透しており、IT製品のレビュー比較プラットフォームを運営する米国Capterraの調査では、世界中のソフトウェアの90％以上が基盤にOSSを採用している。さらに、同社が米国のITおよびITセキュリティの専門家約300人を対象とした調査でも、回答者の94％が自社でOSSを使用しており、57％が複数のオープンソースプラットフォームを採用していることがわかっている。

また、この調査では、回答者の多くがOSSを脅威として捉えていることも明らかになっている。回答者の約半数がOSSの脅威レベルを「高（High）」または「極度（Extreme）」と回答しており、41％が「中（Moderate）」と回答している。その理由は、ソフトウェアサプライチェーン攻撃の増加への懸念であった。

ソフトウェアサプライチェーン攻撃とは、ソフトウェアが提供される前に、そのソフトウェアの開発、製造、提供のいずれかの工程に侵入して、不正コードやマルウェアを混入する手口である。また、ソフトウェアを構成するライブラリなどに脆弱性が発見され、多くのソフトウェアが脅威にさらされるケースもある。これらのリスクはOSSに限らない。

この攻撃の特徴は、パッチの適用やアップデートといった通常の対応によって、正規のソフトウェアが危険なものに変わってしまうことにある。例えば、バックドアを設置されて、企業ネットワーク内に不正侵入されて重要な情報を盗み出されたり、ランサムウェアに感染させられたりしてしまう。OSSが脅威として見なされているのはこのためだと考えられる。
ソフトウェアサプライチェーン攻撃の事例