ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
特にここ数年、ソフトウェアサプライチェーン攻撃の話題を耳にする機会が増えている。いくつか例を挙げていこう。
SolarWindsの「Orion」の侵害
2020年には、SolarWinds社が提供するネットワーク インフラの監視および管理プラットフォーム「Orion」が侵害を受けた。サイバー攻撃者は、Orionのアップデートの一部として配布されたプラグインにバックドアを組み込んでいた。
この攻撃は「SUNBURST」と呼ばれ、33,000人以上とされるOrionユーザーの半数近い約18,000人が影響を受けた。攻撃は、セキュリティ対策機器などに検知されないよう複数の技術が盛り込まれているなど非常に巧妙で、攻撃者は非常に高いスキルを持つとされている。
大きな影響を与えた「Apache Log4j」の脆弱性
2021年には、Java言語で開発されたプログラムにログ機能を提供する「Apache Log4j」に脆弱性が発見された。この脆弱性は、遠隔から任意のコードを実行できるゼロデイ脆弱性であり、悪用されると外部からシステムを乗っ取られる可能性のある非常に危険度の高いものであった。当然、情報漏えいやランサムウェア感染も可能となる。
Log4jは多くのOSSに採用されていたため、気づかずに導入しているケースも多く、その把握にも時間と手間がかかった。さらに、この脆弱性を修正するためにApacheが公開したパッチが不完全だったこともあり、現場は混乱を極めた。Log4jの脆弱性を悪用しようとする攻撃はほとんど観測されなかったが、攻撃者があえて実施していない可能性もあるとする見方もある。
ビデオ通話ソフト「3CX DesktopApp」の侵害
2022年には、3CX社の音声およびビデオ通話ソフト「3CX DesktopApp」が侵害を受け、WindowsおよびMac用のインストーラーにマルウェアが仕込まれた。調査の結果、3CX社の従業員がインストールしていたTrading Technologies社のトレーディングソフトウェア「X_TRADER」が原因であることが判明した。
XTRADERは2020年にサポートを終了していたが、その後もダウンロードは可能な状態になっていた。その間にTrading Technologies社が侵害を受け、XTRADERのインストーラーがマルウェアをダウンロードするよう改ざんされていた。
この記事に関連するニュース
-
GitLab、世界中の企業のソフトウェア開発に関する調査結果をまとめたDevSecOps 調査レポートを発表
PR TIMES / 2024年6月25日 16時15分
-
ソフトウェア開発は経営幹部と実務作業者でセキュリティ・生産性の認識に乖離
マイナビニュース / 2024年6月25日 15時31分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【後編】
マイナビニュース / 2024年6月18日 10時21分
-
誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
-
Datadogの調査レポートから見る、DevSecOpsの適用に向けた実態
マイナビニュース / 2024年6月5日 11時18分
ランキング
-
12億画素カメラと120W充電対応で6万円以下! さらに高コスパ化したシャオミ「Redmi Note 13 Pro+ 5G」
ASCII.jp / 2024年6月29日 12時0分
-
2早く歩けよ!ゲーマーに嫌われがちなNPC護衛/尾行ミッション…海外ゲーマーの恨みが募る
Game*Spark / 2024年6月28日 12時30分
-
3お風呂が超苦手な柴犬の“逆襲”に家族が大パニック! 爆笑の展開に「やることが大胆」「腹の底から笑った」
ねとらぼ / 2024年6月28日 8時30分
-
4高評価ファンタジー農場シム『Sun Haven』、最新アップデートで有志翻訳を削除。代替の機械翻訳に多数の困惑の声
Game*Spark / 2024年6月28日 11時17分
-
5「スト6ですか?」 “餃子の王将の価格改定”が「格ゲーの調整みたい」と話題に…… 「全体的にアッパー調整」
ねとらぼ / 2024年6月28日 12時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)