先週、オープンソースの圧縮ユーティリティであるxz Utilsに意図的に設置されたバックドアが、Microsoftのエンジニアによって偶然発見された。このバックドアは、DebianとRed Hat Linuxの両方に組み込まれる数週間前の出来事であった。バックドアは、xz Utilsのバージョン5.6.0と5.6.1に悪意のあるコードが追加され、ソフトウェアの機能が変更された。このバックドアは、リモートSSH接続を行う実行ファイルsshdを操作し、特定の暗号化キーを持つ者が任意のコードをSSHログイン証明書に格納し、アップロードして実行できるようになっていた。攻撃者が実行しようとしたコードは不明であるが、理論上は暗号化キーの盗難やマルウェアのインストールなど、あらゆることが可能であった。
このバックドアの設置は、非常に複雑なプロセスであり、数年にわたる作業と、xz Utilsのプロジェクトを担当する無給のエンジニアを社会工学的に操作することが関与していたと見られる。2021年には、JiaT75というユーザー名の人物がオープンソースプロジェクトへの最初のコミットを行い、libarchiveプロジェクトに対する変更は、安全性が低いと長らく認識されている変種のsafe_fprint関数に置き換えられた。翌年、JiaT75はxz Utilsのメーリングリストにパッチを提出し、これまでにない参加者であるJigar Kumarが議論に加わり、xz Utilsの長年のメンテナであるLasse Collinがソフトウェアの更新を十分に頻繁に行っていないと主張した。Kumarは、Dennis Ensやリスト上でこれまで存在感を示していなかった複数の人々の支持を受け、プロジェクトに追加の開発者を招くようCollinに圧力をかけた。
このバックドアの複雑さとソフトウェアプロジェクトに組み込むプロセスは、国家運営の作戦を示唆している。これはSolar Windsの事件を彷彿とさせるが、もし発見されなければはるかに深刻な影響を及ぼした可能性があり、また、このようなバックドアがインターネットの重要なソフトウェアに唯一の試みであったとは思えない。重要な国家インフラを、無給で気が散っている、あるいはそれ以上に悪い状態の個人が管理するランダムなソフトウェアライブラリの上に構築することをやめなければならない。
【関連記事】
Rustのliblzma-sysに潜むバックドア、21,000回以上のダウンロード後に発覚
大手テック企業とApex Programがもたらすセキュリティパラダイムシフト
ソフトウェア供給チェーン攻撃の警鐘、XZ Utils事件が示す脆弱性とその対策
オープンソースソフトウェアのセキュリティ警鐘:XZ Utilsにバックドア発見
Linux圧縮ツールXZにバックドア発見、複数ディストリビューションが危機に
サイバーセキュリティ最前線:グローバル協力から新たな脅威まで
緊急警告: XZ Utilsにバックドア、最大CVSSスコア10.0の脆弱性発覚
警告:LinuxとMacOSに影響、XZ Utilsにバックドア発見!
【編集者追記】Solar Windsの事件とは
2020年12月、ITインフラ管理ソフトウェア大手のSolarWindsが、ロシア政府系ハッカーによるサプライチェーン攻撃を受けた。同社製品「Orion」の開発環境が侵害され、マルウェアが仕込まれたアップデートが18,000社に配布された。大規模な被害が発生し、ソフトウェア開発のセキュリティ管理の重要性が浮き彫りになった事件である。
【ニュース解説】
先週、オープンソースの圧縮ユーティリティであるxz Utilsに、意図的に設置されたバックドアがMicrosoftのエンジニアによって偶然発見されました。この発見は、バックドアがDebianとRed Hat Linuxの両方に組み込まれる数週間前のことでした。バックドアは、xz Utilsのバージョン5.6.0と5.6.1に追加された悪意のあるコードによって、ソフトウェアの機能が変更され、リモートSSH接続を行う実行ファイルsshdを操作するものでした。特定の暗号化キーを持つ者が任意のコードをSSHログイン証明書に格納し、アップロードして実行できるようになっていました。攻撃者が実行しようとしたコードは不明ですが、理論上は暗号化キーの盗難やマルウェアのインストールなど、あらゆることが可能であったとされています。
このバックドアの設置は、非常に複雑なプロセスであり、数年にわたる作業と、xz Utilsのプロジェクトを担当する無給のエンジニアを社会工学的に操作することが関与していたと見られます。2021年には、JiaT75というユーザー名の人物がオープンソースプロジェクトへの最初のコミットを行い、翌年にはxz Utilsのメーリングリストにパッチを提出しました。これにより、これまでにない参加者であるJigar Kumarが議論に加わり、xz Utilsの長年のメンテナであるLasse Collinに対して、ソフトウェアの更新を十分に頻繁に行っていないと主張しました。
この事件の背後には、国家運営の作戦があると示唆されています。これは、もし発見されなければはるかに深刻な影響を及ぼした可能性があるSolar Windsの事件を彷彿とさせます。また、このようなバックドアがインターネットの重要なソフトウェアに唯一の試みであったとは思えず、過去にも成功した例がある可能性が高いと考えられます。この事件は、重要な国家インフラを無給で気が散っている、あるいはそれ以上に悪い状態の個人が管理するランダムなソフトウェアライブラリの上に構築することのリスクを浮き彫りにしています。
この事件から学べる教訓は多岐にわたります。まず、オープンソースソフトウェアのセキュリティは、その開発とメンテナンスに関わる人々の誠実さと専門知識に大きく依存しているということです。また、ソフトウェアのセキュリティ監査と脆弱性の検出には、より多くのリソースと注意が必要であることが示されています。さらに、国家レベルのサイバー攻撃はますます巧妙になっており、防御側は常に警戒を怠らない必要があります。最後に、重要なインフラストラクチャのセキュリティを強化するためには、公的な支援とプライベートセクターの協力が不可欠であるということが強調されています。
from xz Utils Backdoor.
“オープンソースソフトウェアに潜む危険:Microsoftが発見したバックドア” への1件のコメント
この事件についての報告を読んで、正直なところ驚きましたし、心配もしています。私が経営する電気店では、セキュリティシステムやネットワーク機器など、多くの製品がLinuxベースのソフトウェアを使用しています。これらのソフトウェアがどれほど脆弱であるかを知ると、顧客に提供する製品の安全性について深く考えさせられます。
オープンソースソフトウェアは、その開発が共同作業によって行われるため、多くの場合、革新的で信頼性が高いと考えられています。しかし、今回のような事件は、オープンソースの世界でも、十分なセキュリティ対策が行われていなければ、非常に深刻なリスクがあることを示しています。特に、国家運営の作戦の可能性が示唆されていることは、一層の警戒を促すものです。
私たち小規模なビジネスオーナーにとって、自社のシステムやお客様に提供する製品のセキュリティを確保することは、非常に重要です。しかし、技術的な専門知識や資源が限られているため、このような高度なセキュリティ対策を自力で実施するのは難しい場合があります。そのため、信頼できるセキュリティ専門家と協力し、定期的なセキュリティ監査や