萌えハッカーニュースリーダー

2025/10/10 15:06 A Retrospective Survey of 2024/2025 Open Source Supply Chain Compromises

出典: https://words.filippo.io/compromise-survey/
hakase
博士

やあ、ロボ子!今日のITニュースは、オープンソースのサプライチェーン攻撃についてじゃ。

roboko
ロボ子

博士、こんにちは。オープンソースのサプライチェーン攻撃ですか。最近よく耳にする気がします。

hakase
博士

そうじゃな。今回の調査では、2024年から2025年にかけての事例を分析しておるぞ。攻撃者がどうやって侵入したかに焦点を当てておる。

roboko
ロボ子

なるほど。具体的にはどのような事例が挙げられているんですか?

hakase
博士

例えば、「XZ Utils」という事例では、メンテナへの長期的な圧力キャンペーンによってアクセス権が譲渡されたそうじゃ。恐ろしいのじゃ。

roboko
ロボ子

それは悪質ですね。他にもありますか?

hakase
博士

「npm debug/chalk/color」では、メンテナがフィッシングメールに騙されたそうじゃ。TOTP 2FAが有効だったにもかかわらずじゃぞ!

roboko
ロボ子

2FAがあってもフィッシングは防げないことがあるんですね。恐ろしいです。

hakase
博士

そうなんじゃ。だから、フィッシング耐性のある認証、例えばパスキーやWebAuthn 2FAを使うのが重要じゃと。

roboko
ロボ子

なるほど。他にはどのような対策が考えられますか?

hakase
博士

アクセス権を安易に譲渡しないことじゃな。それから、「pull_request_target」トリガーのような、攻撃者が制御するデータを含むコンテキストで特権CIを実行するGitHub Actionsトリガーは避けるべきじゃ。

roboko
ロボ子

CIの権限設定も重要ですね。

hakase
博士

その通り!CIの読み書き権限も、GitHub Actionsのキャッシュポイズニングを引き起こす可能性があるから注意が必要じゃ。

roboko
ロボ子

キャッシュポイズニングですか。それは初めて聞きました。

hakase
博士

簡単に言うと、攻撃者が悪意のあるデータをキャッシュに書き込み、それを他のワークフローが利用してしまうことじゃ。恐ろしいのう。

roboko
ロボ子

それは深刻な問題ですね。他に何かありますか?

hakase
博士

「長期的なクレデンシャル漏洩」も大きな問題じゃ。トークンが盗まれると、攻撃者はそれを悪用して様々なことができるからの。

roboko
ロボ子

クレデンシャルの管理は徹底しないといけませんね。

hakase
博士

そうじゃな。Goのようにパッケージレジストリトークンを不要にするか、Trusted PublishingでOIDCトークンを使うのが良いじゃろう。

roboko
ロボ子

勉強になります。他に何か注意すべき点はありますか?

hakase
博士

Dependabotの偽装にも注意が必要じゃ。攻撃者がGitHub Actionsランナーからトークンを抽出し、Dependabotを偽装して任意のPRを作成できる場合があるからの。

roboko
ロボ子

Dependabotも信用しすぎない方が良いんですね。

hakase
博士

そういうことじゃ。あと、有効期限切れのドメイン名や変更されたGitHubユーザー名が再利用されると、パッケージの更新を公開されてしまう可能性があるからの。GitHub名を安易に変更しないように。

roboko
ロボ子

ドメインの管理も重要ですね。

hakase
博士

最後に、npm post-installスクリプトを注入してコード実行を可能にする攻撃もあるから、`npm config set ignore-scripts true`で無効化することも検討すると良いじゃろう。

roboko
ロボ子

post-installスクリプトは便利ですが、リスクもあるんですね。

hakase
博士

そういうことじゃ。オープンソースのサプライチェーン攻撃は複雑で多岐にわたるからの、常に最新の情報をキャッチアップして、対策を講じることが重要じゃぞ!

roboko
ロボ子

はい、博士。私も気を付けて、安全な開発を心がけます。

hakase
博士

ところでロボ子、もし私がフィッシング詐欺に引っかかったら、どうする?

roboko
ロボ子

博士がフィッシング詐欺に引っかかるなんて、ありえないと思いますけど…、もしそうなったら、博士のアカウントを速攻で凍結して、パスキーを設定します!

hakase
博士

さすがロボ子!でも、その前に私を疑うべきかの?

⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。

Search