ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
これを3CX社の社員がダウンロードしてインストールした結果、3CX社も侵害を受けて3CX DesktopAppを改ざんされたようだ。同じ手法が繰り返された形である。
圧縮ツール「XZ Utils」にバックドア
そして2024年には、Linux環境で使用される圧縮ツール「XZ Utils」にバックドアが仕込まれていたことが判明した。この事例では、攻撃者はソーシャルネットワーキングの手法を活用している。
Jia Tanと名乗る攻撃者はXZ Utilsの開発者にいくつも無害なパッチを送信し、なぜそれを採用しないのかと問い詰めた。開発者は思うように開発を進められていないことから、攻撃者と知らずにJia Tanを開発チームに迎えてしまう。
権限を得たJia Tanは、バックドアを仕込んだ悪意のあるコードをXZ Utilsに追加した。しかし、正式リリース前に別会社のエンジニアがそれを発見したため、大事には至らなかった。
これは、ストレスの大きい開発者の心理につけ込んで攻撃者が正式スタッフに採用されたケースであり、多くのセキュリティ専門家が他のOSSプロジェクトも同様に狙われている可能性があると指摘している。
ソフトウェアだけでなくデータのサプライチェーンにも重要な課題
攻撃者は、一般的なOSSプロジェクトやパッケージマネージャへの攻撃を自動化しており、今後はOSSサプライチェーンへの攻撃が加速することが予想される。しかし、多くのCISOとDevSecOpsチームは、これらの脅威を軽減するために既存のビルドシステムにコントロールを実装する準備ができていない。
ソフトウェアサプライチェーン攻撃を防ぐには、ソフトウェアやそれを構成するライブラリやプラグインなどの脆弱性の検査をこまめに実施したり、SBOM(ソフトウェア部品表)を活用したり、特権アクセス管理を導入するなどの対策が必要になる。一方で、同様のリスクがデータサプライチェーンにも存在する。
データサプライチェーンはソフトウェアサプライチェーンと異なり、非構造化もしくは半構造化されたデータを扱う。その入手先もさまざまであり、法などによる規制も多い。また、そうした膨大なデータプールの上にAIや機械学習のシステムを構築している。後半では、データサプライチェーンにおける課題と解決方法を紹介する。
○著者プロフィール
ジョシュ レモス(Josh Lemos)
GitLab 最高情報セキュリティ責任者(CISO)
GitLabでは、DevSecOpsプラットフォームを保護し、顧客のために最高レベルのセキュリティを確保する業務に従事する。Gitlab入社前は、ServiceNow、Cylance、Block(旧Square)などの企業で20年以上にわたり情報セキュリティチームを率いた経験を持つ。戦略的ビジョンの立案やイノベーションを推進する能力、チームのエンパワーメント向上の能力に長けている。
外部リンク
この記事に関連するニュース
-
GitLab、世界中の企業のソフトウェア開発に関する調査結果をまとめたDevSecOps 調査レポートを発表
PR TIMES / 2024年6月25日 16時15分
-
ソフトウェア開発は経営幹部と実務作業者でセキュリティ・生産性の認識に乖離
マイナビニュース / 2024年6月25日 15時31分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【後編】
マイナビニュース / 2024年6月18日 10時21分
-
誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
-
Datadogの調査レポートから見る、DevSecOpsの適用に向けた実態
マイナビニュース / 2024年6月5日 11時18分
ランキング
-
12億画素カメラと120W充電対応で6万円以下! さらに高コスパ化したシャオミ「Redmi Note 13 Pro+ 5G」
ASCII.jp / 2024年6月29日 12時0分
-
2早く歩けよ!ゲーマーに嫌われがちなNPC護衛/尾行ミッション…海外ゲーマーの恨みが募る
Game*Spark / 2024年6月28日 12時30分
-
3お風呂が超苦手な柴犬の“逆襲”に家族が大パニック! 爆笑の展開に「やることが大胆」「腹の底から笑った」
ねとらぼ / 2024年6月28日 8時30分
-
4高評価ファンタジー農場シム『Sun Haven』、最新アップデートで有志翻訳を削除。代替の機械翻訳に多数の困惑の声
Game*Spark / 2024年6月28日 11時17分
-
5「スト6ですか?」 “餃子の王将の価格改定”が「格ゲーの調整みたい」と話題に…… 「全体的にアッパー調整」
ねとらぼ / 2024年6月28日 12時0分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)