誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
また国内では、富士通が運営するプロジェクト情報共有ツール「ProjectWEB」の情報漏洩の事例があります。富士通はセキュリティに特化した専門企業という枠ではないですが、SI企業として大規模なITシステムの開発などを請け負い、セキュリティ対策や監視サービス、SOC(Security Operation Center)サービスなども提供しています。そんな企業のサービスが侵害され、顧客の情報が漏洩しました。
――オープンソースソフトウェアなどに悪意のある脆弱性が組み込まれた事例はありますか。
福本:直近では2024年3月末に発覚した、圧縮ツールのXZ Utilsの例があります。このメンテナーとして2年ほど前にコミュニティに参加していたメンバーが、故意にバックドアを仕込んだのです。
このケースは、信頼を得ていた正規のメンテナーによるソーシャルエンジニアリング的な手法だったので、かなり注目を集めました。これを受け、オープンソースソフトウェアのセキュリティ強化を目的としたグローバルコミュニティのOpenSSFは、ソーシャルエンジニアリングによるプロジェクト乗っ取りに関する注意喚起を出しました。
佐々木:背景には、オープンソースプロジェクトの人手不足もあるでしょう。外部からの侵入には技術的な対策を打てますが、コミュニティに悪意のある人が紛れ込むことへの対応はかなり難しいです。
――さまざまなリスクが懸念される中、開発者は何を気にかけておけばよいでしょうか。
佐々木:まずは開発しているものについて、どのような部品が入っているかを把握するのがベースラインです。そのために「SBOM(Software Bill of Materials)」(ソフトウェア部品表のデータ)などを使うのもよいでしょう。そのうえで、悪意あるものが紛れ込んでいるかを判別し、迅速に対処するのが次のステップです。
福本:SBOMの考え方は提唱され始めたばかりで、しっかり実装されている状況にはまだありません。SBOMを流通させて有効活用するにはさまざまな問題があり、SBOMを入れれば万事解決ということは決してないのです。
また契約によっては、どの部品を使っているかを明らかにできないケースもあり、すべての部品情報をSBOMに取り込むのは現実的ではないでしょう。不完全なSBOMが流通すれば、本質的なものが隠れる可能性があることも憶えておかなくてはなりません。
たとえ侵入されても被害が拡大しない準備も必要に
この記事に関連するニュース
-
iOS版LINEアプリに脆弱性、アップデートを
マイナビニュース / 2024年6月24日 8時58分
-
Androidアプリ「ZOZOTOWN ファッション通販」に脆弱性
マイナビニュース / 2024年6月20日 16時28分
-
今押さえておきたいサイバーセキュリティ用語 第9回 ランサムウェア攻撃の侵入経路トップの脆弱性 - 放置は厳禁
マイナビニュース / 2024年6月19日 13時33分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
-
脆弱性管理の「トリアージ」が抱える指標の課題 すべてに対応は難しい、「優先順位」どうつける
東洋経済オンライン / 2024年5月31日 8時0分
ランキング
-
1ソニー宮城拠点、250人削減=ブルーレイ、生産縮小
時事通信 / 2024年6月29日 15時49分
-
2「クレカタッチ」は交通系ICカードを駆逐するのか 熊本で「全国相互利用」離脱、一方で逆の動きも
東洋経済オンライン / 2024年6月29日 7時30分
-
3「押しボタン式信号」なぜ“押してすぐ青”にならないケースが? 納得の理由があった!
乗りものニュース / 2024年6月29日 16時42分
-
4作文は「理系だと苦手」「文系が得意」という大誤解 算数が得意な子は大概「作文もうまい」納得理由
東洋経済オンライン / 2024年6月29日 10時0分
-
5池袋西武とヨドバシ「売り場折半」の波紋と懐事情 北側にヨドバシ出店、西武の集客力に影響は?
東洋経済オンライン / 2024年6月29日 10時30分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)