PowerShell Galleryに複数の脆弱性 メタデータの偽造や非公開コードへのアクセスも可能か

PowerShell Galleryにタイポスクワッティング攻撃を受けやすい脆弱性が見つかった。メタデータの偽造や非公開コードへのアクセスも可能になるという。Microsoftへの問題報告後も修正はうまく進んでいない。

[後藤大地，有限会社オングス]

　Aqua Security Software（以下、Aqua Security）は2023年8月16日（現地時間、以下同）、パッケージリポジトリ「PowerShell Gallery」に複数の脆弱（ぜいじゃく）性が存在していると報じた。

　これらの脆弱性を悪用すると、ユーザーのタイプミスを狙ってフィッシングサイトに誘導したり、情報窃取したりするサイバー攻撃手法「タイポスクワッティング」が可能となる。

Aqua SecurityはPowerShell Galleryに複数の脆弱性を存在していると報じた（出典：Aqua SecurityのWebサイト）

PowerShell Galleryの3つの問題点をAqua Securityが指摘

　PowerShell Galleryは「PowerShell」のモジュールやスクリプトなどをホスティングするサービスであり、コミュニティーやベンダーから提供されたコードが保持されている。PowerShellユーザーはPowerShell Galleryを経由してモジュールの検索やインストール、アップデートなどを実行できる。最近では、「Microsoft Azure」や「Amazon Web Services」（AWS）のユーザーがPowerShell Galleryで提供されているモジュールやスクリプトを活用するケースも多い。

　Aqua Securityははじめに、PowerShell Galleryの命名ポリシーが緩いという問題を指摘している。PowerShell Galleryには「npm」など他のパッケージマネジャーに用意されているタイポスクワッティング対策が講じられていないため、攻撃を実行しやすいという。

　また同社は、PowerShell Galleryが作成者や著作権、説明などのメタデータのほとんどを偽造できる点も問題視している。Aqua Securityは今回の報告で、試しに作成者を「Microsoft Corporation」に偽装した。見た目だけでは対象のパッケージが正当なものかどうか見分けるのは困難だという。

　さらにAqua Securityは「公開されていないモジュールやスクリプトについてもアクセスする方法を見つけた」と指摘しており、作成者が非公開にしているつもりでも実際には外部からアクセス可能な状態になっていることが判明している。これは非公開にしているモジュールやスクリプトにAPIキーなどの鍵が含まれていた場合、簡単に窃取されるリスクがあることを意味している。

　Aqua Securityは2022年9月27日にはすでにMicrosoftに問題を報告しており、Microsoftは2022年10月20日には問題の存在を認めている。その後、Microsoftは問題の修正を報告しているが、その都度Aqua Securityが問題が修正されていないことを指摘しており、2023年8月16日の段階でも依然として問題は再現可能な状態が続いている。Aqua Securityは全てユーザーに対してPowerShell Galleryからコードを取得する際には注意が必要だと呼びかけている。

　パッケージリポジトリを標的としたソフトウェアサプライチェーン攻撃は新しい攻撃ベクトルとしてサイバー攻撃者に悪用されるケースが増えている。PowerShell Galleryをはじめとしたパッケージリポジトリを利用する際には注意を払う必要があるだろう。