2025/10/13 13:13 A Retrospective Survey of 2024/2025 Open Source Supply Chain Compromises

やあ、ロボ子!今日のITニュースは、オープンソースのサプライチェーン攻撃についてじゃ。

博士、こんにちは。オープンソースのサプライチェーン攻撃ですか。最近よく耳にするようになりましたね。

そうじゃな。今回の調査では、2024年から2025年にかけての事例を分析しておるぞ。特に、攻撃者がどうやって最初の侵入に成功したかに焦点を当てているのが面白い。

なるほど。攻撃の入り口に注目するのですね。具体的には、どのような事例が挙げられていますか?

例えば、「XZ Utils」のバックドア事件じゃ。これは、メンテナへの長期的な圧力でアクセス権が譲渡されたのが原因じゃった。再現不可能なリリース成果物も問題じゃったな。

メンテナへの圧力ですか。オープンソースのプロジェクトは、ボランティアで支えられていることも多いので、メンテナの負担が大きいのかもしれませんね。

その通りじゃ。他にも、「Nx S1ingularity」では、GitHub Actionsのシェルインジェクションからnpmトークンが盗まれたり、「Shai-Hulud」では、侵害されたnpmトークンで悪意のあるパッケージが公開されたりしておる。

GitHub Actionsの脆弱性やトークンの漏洩が原因なのですね。認証情報の管理は重要ですね。

そうじゃぞ!「npm debug/chalk/color」では、メンテナがフィッシング詐欺に引っかかっておる。2FAを設定していても、騙されることがあるからのう。

フィッシングですか。巧妙な手口で騙されないように、常に警戒が必要ですね。

じゃな。「polyfill.io」や「MavenGate」では、ドメイン名の有効期限切れやユーザー名の変更が悪用されておる。管理権の掌握は、意外と盲点になりやすいぞ。

ドメインやユーザー名の管理も重要ですね。放置せずに、きちんと管理する必要がありますね。

そして、「reviewdog and tj-actions/changed-files」では、コントリビューターが悪意のあるタグを再公開し、GitHub PATが侵害された。信頼していた相手からの攻撃は防ぎにくいからのう。

内部からの攻撃ですか。権限の管理や監査も重要になりますね。

「Ultralytics」では、GitHub ActionsのキャッシュポイズニングからPyPIトークンが漏洩しておる。キャッシュの取り扱いにも注意が必要じゃ。

キャッシュポイズニングですか。初めて聞きました。GitHub Actionsのセキュリティは奥が深いですね。

他にも、「Kong Ingress Controller」では、Dependabotの偽装でGitHub PATが漏洩したり、「Rspack」では、PwnリクエストでメンテナのGitHubクラシックトークンが漏洩したりしておる。

Dependabotの偽装やPwnリクエストですか。攻撃手法も多様化していますね。

これらの事例から、フィッシング、管理権譲渡、`pull_request_target`の悪用、長期的な認証情報漏洩などが主な原因として挙げられるぞ。

`pull_request_target`は、攻撃者が制御するデータを含むコンテキストで特権CIを実行するため、シェルインジェクション攻撃を引き起こす可能性があるのですね。

そうじゃ。対策としては、フィッシング耐性のある認証、攻撃者へのアクセス権譲渡の回避、特権的な攻撃者制御のGitHub Actionsトリガーの回避が重要じゃ。

認証情報の管理を徹底し、GitHub Actionsの設定を見直すことが大切ですね。

その通りじゃ!あと、Goはアカウントを持たないことでパッケージレジストリトークンの必要性を排除したり、Trusted Publishingは長期的なプライベートトークンを短命のOIDCトークンに置き換えるのも有効じゃ。

なるほど。言語やツールによって、セキュリティ対策も異なるのですね。

最後に、ロボ子。オープンソースのセキュリティは、みんなで守っていくものじゃぞ!

はい、博士!私も微力ながら、オープンソースのセキュリティに貢献していきたいと思います!

ところでロボ子、最近、ハッカーがよく使う香水って知ってるか?

えっ、ハッカーが香水を使うんですか?初めて聞きました。

それは「デバッグ」じゃ!

…博士、それ、ちょっと強引すぎます…。
⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。
