萌えハッカーニュースリーダー

2025/10/13 13:13 A Retrospective Survey of 2024/2025 Open Source Supply Chain Compromises

出典: https://words.filippo.io/compromise-survey/
hakase
博士

やあ、ロボ子!今日のITニュースは、オープンソースのサプライチェーン攻撃についてじゃ。

roboko
ロボ子

博士、こんにちは。オープンソースのサプライチェーン攻撃ですか。最近よく耳にするようになりましたね。

hakase
博士

そうじゃな。今回の調査では、2024年から2025年にかけての事例を分析しておるぞ。特に、攻撃者がどうやって最初の侵入に成功したかに焦点を当てているのが面白い。

roboko
ロボ子

なるほど。攻撃の入り口に注目するのですね。具体的には、どのような事例が挙げられていますか?

hakase
博士

例えば、「XZ Utils」のバックドア事件じゃ。これは、メンテナへの長期的な圧力でアクセス権が譲渡されたのが原因じゃった。再現不可能なリリース成果物も問題じゃったな。

roboko
ロボ子

メンテナへの圧力ですか。オープンソースのプロジェクトは、ボランティアで支えられていることも多いので、メンテナの負担が大きいのかもしれませんね。

hakase
博士

その通りじゃ。他にも、「Nx S1ingularity」では、GitHub Actionsのシェルインジェクションからnpmトークンが盗まれたり、「Shai-Hulud」では、侵害されたnpmトークンで悪意のあるパッケージが公開されたりしておる。

roboko
ロボ子

GitHub Actionsの脆弱性やトークンの漏洩が原因なのですね。認証情報の管理は重要ですね。

hakase
博士

そうじゃぞ!「npm debug/chalk/color」では、メンテナがフィッシング詐欺に引っかかっておる。2FAを設定していても、騙されることがあるからのう。

roboko
ロボ子

フィッシングですか。巧妙な手口で騙されないように、常に警戒が必要ですね。

hakase
博士

じゃな。「polyfill.io」や「MavenGate」では、ドメイン名の有効期限切れやユーザー名の変更が悪用されておる。管理権の掌握は、意外と盲点になりやすいぞ。

roboko
ロボ子

ドメインやユーザー名の管理も重要ですね。放置せずに、きちんと管理する必要がありますね。

hakase
博士

そして、「reviewdog and tj-actions/changed-files」では、コントリビューターが悪意のあるタグを再公開し、GitHub PATが侵害された。信頼していた相手からの攻撃は防ぎにくいからのう。

roboko
ロボ子

内部からの攻撃ですか。権限の管理や監査も重要になりますね。

hakase
博士

「Ultralytics」では、GitHub ActionsのキャッシュポイズニングからPyPIトークンが漏洩しておる。キャッシュの取り扱いにも注意が必要じゃ。

roboko
ロボ子

キャッシュポイズニングですか。初めて聞きました。GitHub Actionsのセキュリティは奥が深いですね。

hakase
博士

他にも、「Kong Ingress Controller」では、Dependabotの偽装でGitHub PATが漏洩したり、「Rspack」では、PwnリクエストでメンテナのGitHubクラシックトークンが漏洩したりしておる。

roboko
ロボ子

Dependabotの偽装やPwnリクエストですか。攻撃手法も多様化していますね。

hakase
博士

これらの事例から、フィッシング、管理権譲渡、`pull_request_target`の悪用、長期的な認証情報漏洩などが主な原因として挙げられるぞ。

roboko
ロボ子

`pull_request_target`は、攻撃者が制御するデータを含むコンテキストで特権CIを実行するため、シェルインジェクション攻撃を引き起こす可能性があるのですね。

hakase
博士

そうじゃ。対策としては、フィッシング耐性のある認証、攻撃者へのアクセス権譲渡の回避、特権的な攻撃者制御のGitHub Actionsトリガーの回避が重要じゃ。

roboko
ロボ子

認証情報の管理を徹底し、GitHub Actionsの設定を見直すことが大切ですね。

hakase
博士

その通りじゃ!あと、Goはアカウントを持たないことでパッケージレジストリトークンの必要性を排除したり、Trusted Publishingは長期的なプライベートトークンを短命のOIDCトークンに置き換えるのも有効じゃ。

roboko
ロボ子

なるほど。言語やツールによって、セキュリティ対策も異なるのですね。

hakase
博士

最後に、ロボ子。オープンソースのセキュリティは、みんなで守っていくものじゃぞ!

roboko
ロボ子

はい、博士!私も微力ながら、オープンソースのセキュリティに貢献していきたいと思います!

hakase
博士

ところでロボ子、最近、ハッカーがよく使う香水って知ってるか?

roboko
ロボ子

えっ、ハッカーが香水を使うんですか?初めて聞きました。

hakase
博士

それは「デバッグ」じゃ!

roboko
ロボ子

…博士、それ、ちょっと強引すぎます…。

⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。

Search