PHPサプライチェーンのコアコンポーネント「Packagist」に脆弱性 急ぎ確認を

PHPソフトウェアのパッケージリポジトリである「Packagist」に、ソフトウェアサプライチェーン攻撃が可能になる脆弱性が存在することが明らかになった。深刻度はCVSS v3のスコアが8.8で「重要」（High）と位置付けられている。

[後藤大地，有限会社オングス]

　スイスのセキュリティ企業SonarSourceは2022年10月4日（現地時間）、同社のブログでPHPソフトウェアパッケージリポジトリ「Packagist」に「重要」（High）に分類される脆弱（ぜいじゃく）性を同社が発見し、関係者に情報を開示したと伝えた。

　PackagistはPHPサプライチェーンの中心的なコンポーネントで、ソフトウェアの依存関係を調査してダウンロードを実行するPHPパッケージマネジャー「Composer」のメインリポジトリだ。

　同脆弱性は発見から数時間後には管理者によって修正されており、オフィシャルのPackagistを使っている場合はすでにリスクのない状態になっていると説明されている。

SonarSourceはPackagistに脆弱性が存在すると伝えた（提供：SonarSourceのWebサイト）

Composerのソースコードに脆弱性が見つかる

　SonarSourceによれば、Packagistで使用されているComposerのソースコードに重大な脆弱性が発見された。脆弱性の深刻度はCVSS v3のスコアが8.8で「重要」に位置付けられている。

　同脆弱性を利用されると、PHPソフトウェアパッケージの情報を配信するサーバが制御される危険性があり、最終的に同リポジトリを使用する全ての組織に対して、悪意のある依存関係を配布するなどのサイバー攻撃を実行できる可能性がある。

　オフィシャルのPackagistインスタンスを利用していたり、Private Packagistを利用していたりする場合は、同脆弱性の影響は受けないとされているが、Composerをライブラリとして統合して信頼されていないリポジトリで運用している際には注意が必要だ。少なくともComposer 1.10.26や2.2.12、2.3.5などにアップデートしてセキュリティパッチを適用することが推奨されている。

　近年のソフトウェア開発では、オープンソースソフトウェアで提供されるさまざまなサードパーティー製ソフトウェアが利用されている。これらを利用する際にパッケージ管理システムは欠かせない存在だ。しかし、この仕組みや脆弱性を悪用するソフトウェアサプライチェーン攻撃の動きも活発化している。

　実際、GitHub.comなど人気の高いサービスやPythonのオフィシャルリポジトリなどを利用したサイバー攻撃もみられる。この状況が収まる積極的な理由は見当たらない。今後もこうしたリスクが存在することを認識するとともに、必要に応じて迅速に対応できるようにしておくことが望まれる。