ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】

これを3CX社の社員がダウンロードしてインストールした結果、3CX社も侵害を受けて3CX DesktopAppを改ざんされたようだ。同じ手法が繰り返された形である。
圧縮ツール「XZ Utils」にバックドア

そして2024年には、Linux環境で使用される圧縮ツール「XZ Utils」にバックドアが仕込まれていたことが判明した。この事例では、攻撃者はソーシャルネットワーキングの手法を活用している。

Jia Tanと名乗る攻撃者はXZ Utilsの開発者にいくつも無害なパッチを送信し、なぜそれを採用しないのかと問い詰めた。開発者は思うように開発を進められていないことから、攻撃者と知らずにJia Tanを開発チームに迎えてしまう。

権限を得たJia Tanは、バックドアを仕込んだ悪意のあるコードをXZ Utilsに追加した。しかし、正式リリース前に別会社のエンジニアがそれを発見したため、大事には至らなかった。

これは、ストレスの大きい開発者の心理につけ込んで攻撃者が正式スタッフに採用されたケースであり、多くのセキュリティ専門家が他のOSSプロジェクトも同様に狙われている可能性があると指摘している。
ソフトウェアだけでなくデータのサプライチェーンにも重要な課題

攻撃者は、一般的なOSSプロジェクトやパッケージマネージャへの攻撃を自動化しており、今後はOSSサプライチェーンへの攻撃が加速することが予想される。しかし、多くのCISOとDevSecOpsチームは、これらの脅威を軽減するために既存のビルドシステムにコントロールを実装する準備ができていない。

ソフトウェアサプライチェーン攻撃を防ぐには、ソフトウェアやそれを構成するライブラリやプラグインなどの脆弱性の検査をこまめに実施したり、SBOM（ソフトウェア部品表）を活用したり、特権アクセス管理を導入するなどの対策が必要になる。一方で、同様のリスクがデータサプライチェーンにも存在する。

データサプライチェーンはソフトウェアサプライチェーンと異なり、非構造化もしくは半構造化されたデータを扱う。その入手先もさまざまであり、法などによる規制も多い。また、そうした膨大なデータプールの上にAIや機械学習のシステムを構築している。後半では、データサプライチェーンにおける課題と解決方法を紹介する。

○著者プロフィール

ジョシュ　レモス（Josh Lemos）

GitLab 最高情報セキュリティ責任者（CISO）

GitLabでは、DevSecOpsプラットフォームを保護し、顧客のために最高レベルのセキュリティを確保する業務に従事する。Gitlab入社前は、ServiceNow、Cylance、Block（旧Square）などの企業で20年以上にわたり情報セキュリティチームを率いた経験を持つ。戦略的ビジョンの立案やイノベーションを推進する能力、チームのエンパワーメント向上の能力に長けている。