連邦当局は、最近のXZ Utilsに対する攻撃キャンペーンとJavaScriptプロジェクトのメンテナーに対する新たな脅威活動との潜在的な関連を調査している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
オープンソースソフトウェア(OSS)コミュニティーでは、エコシステムを悪用しようとする国家に関連した脅威アクターが存在するのではないかという懸念が高まっている。
2024年4月15日(現地時間、以下同)に、非営利団体であるOpen Source Security Foundation(OSSF)とOpenJS Foundationが、2度目のソーシャルエンジニアリングインシデントを公表した後(注1)、さらなる懸念が生じた。
このインシデントでは、「GitHub」の同一アカウントを利用するグループがOpenJS Foundation Cross Project Councilに電子メールを送り、広く使用されている「JavaScript」のプロジェクトを乗っ取ろうとした。
電子メールを送付した攻撃者たちは約6カ月の間、そのプロジェクトにほとんど関与していなかったにもかかわらず、新しいメンテナーとしての指定を求めた。この活動は「XZ Utils」に対する攻撃キャンペーンの公表前に実行され(注2)、幾つかの類似点があった。そのため、当局はこのインシデントを米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)を含む連邦当局に報告した。
OSSFのオムカール・アラサラトナム氏(ゼネラルマネジャー)は、電子メールで次のように述べている。
「調査は進行中であり、攻撃者の動機は判明していない。私たちは、今後も同様の行為をする攻撃者がいると考えている。メンテナーがプロジェクトを調査する中で、これまで気付かれなかった過去の試みが発見される可能性もある」
OpenJSの担当者は「この2回目のソーシャルエンジニアリングの試み以外にも、財団がホストしていない、広く使われているJavaScriptのプロジェクトが少なくとも2つ関与している不審な動きを確認した」と述べた。
重複する行動の一部には、貢献者がメンテナーからの追加アクセスと信頼を得るために過剰に努力していることや、同一人物のものと思われる複数のアカウント間のやりとりがあった。これらのやりとりは、複数の無関係な貢献者が関与しているにはあまりにも調整が取れているように見えた。
サイバーセキュリティ事業を営むSonatypeのブライアン・フォックス氏(共同設立者兼最高技術責任者)は「今回の件において、攻撃者はそれほど巧妙ではなかった。XZ Utilsに対する攻撃から分かるのは、攻撃者が幾つかのミスを犯しており、それによって怪しい動きが明らかになったということだ」と話した。
多くのセキュリティ研究者は、XZ Utilsに対するソーシャルエンジニアリングキャンペーンに国家と関連する攻撃者が関与している可能性があると懸念を示していた(注3)。これは、一部の脅威活動が2021年までさかのぼって何年も続いていたためである。
さらに実際のバックドアは、2024年3月下旬にMicrosoftのエンジニアが偶然異常な活動に気付くまで発見されなかった。
これらの全ての活動はOpenJSのリーダーとCISAに伝達された。
CISAは新たな開示についてコメントを控えたが、連邦当局によるOSSエコシステムの安全を確保するための広範な取り組みの一環として、OSSコミュニティーと協力し、リソースの強化とセキュリティの向上に取り組んでいる。
サイバーセキュリティ事業を営むTideliftのパートナーメンテナーであり、「Node.js」分野で数百のパッケージを維持しているジョーダン・ハーバンド氏によると、この開示は個々のメンテナーや、より大きなコミュニティーの間で大きな懸念を引き起こした。
「この度のインシデントの発見は、私たち全員にとって非常に幸運なものだった。広範な脆弱(ぜいじゃく)性が生じる前に発見されたことに感謝している」(ハーバンド氏)
(注1)CISA to big tech: After XZ Utils, open source needs your support(Cybersecurity Dive)
(注2)Red Hat warns of backoor in widely used Linux utility(Cybersecurity Dive)
(注3)Motivations behind XZ Utils backdoor may extend beyond rogue maintainer(Cybersecurity Dive)
© Industry Dive. All rights reserved.