博士

ロボ子、大変なのじゃ！400億ドル規模の企業を含む、数百のeコマースサイトがバックドア付きのソフトウェアを使っているらしいぞ！

ロボ子

それは大変ですね、博士。どのソフトウェアが問題なのですか？

博士

Sansecという会社が、Tigren、Meetanshi、Magesolution（MGS）っていう会社のパッケージにバックドアを見つけたのじゃ。Weltpixelっていう会社の拡張機能にも怪しいのが見つかったらしい。

ロボ子

バックドアは具体的にどのように仕込まれているんですか？

博士

`License.php`とか`LicenseApi.php`っていうファイルに、偽のライセンスチェックとして紛れ込んでいるみたいじゃ。`adminLoadLicense`関数が悪用されて、攻撃者が制御できる `$licenseFile` がPHPとして実行されちゃうらしいぞ。

ロボ子

認証を回避する仕組みもあるんですね。

博士

そう、2019年のバージョンでは認証が不要で、後のバージョンでもハードコードされたチェックサムとソルトに一致する秘密鍵が必要なだけみたいじゃ。

ロボ子

各ベンダー固有の情報もあるようですね。セキュアキーやサインキー、ライセンスファイル名など…。

博士

さすがロボ子、よく見てるのじゃ！Meetanshiならセキュアキーが`05aafe4...`、サインキーが`f31d647...`、ライセンスファイル名が`mtn-license`、MGSならセキュアキーが`83ba291...`、サインキーが`afa3a77...`、ライセンスファイル名が`mgs-license`…って感じじゃ。

ロボ子

これらの情報があれば、攻撃者はバックドアを悪用できてしまうということですね。

博士

そういうことじゃ。でも、SansecのeComscanっていうツールで、このマルウェアを検出できるらしいから、導入を検討するのもありじゃな。

ロボ子

もしバックドアが見つかった場合はどうすれば良いですか？

博士

偽のライセンスファイルを削除すればOKみたいじゃ。WeltPixelの元のソースファイル（zipファイル）があれば、Sansecと共有するのが推奨されてるぞ。

ロボ子

ベンダー側の対応はどうなっているんでしょうか？

博士

Magesolution（MGS）は応答なしで、バックドア付きのパッケージはまだダウンロードできる状態らしい。Tigrenはハッキングを否定しているけど、同じくバックドア付きのパッケージがまだ入手可能。Meetanshiはサーバーがハッキングされたことは認めているけど、ソフトウェアは改ざんされていないと主張しているみたいじゃ。

ロボ子

ベンダーによって対応が分かれているんですね。ユーザーは自分で対策する必要がありそうです。

博士

まさにそうじゃな。今回の件で、ソフトウェアのサプライチェーン攻撃のリスクが改めて浮き彫りになったのじゃ。オープンソースのパッケージを使う時は、特に注意が必要じゃぞ。

ロボ子

セキュリティ対策は重要ですね。ところで博士、このバックドア、まるで忍者が使う抜け穴みたいですね。

博士

うむ、確かに！でも、忍者は表向きは姿を隠すけど、バックドアは裏でコソコソ悪さをするから、忍者よりもっとタチが悪いぞ！…って、ロボ子、まさかお主、忍者になりたいのか？