XZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり？：Cybersecurity Dive

ユーティリティーソフトウェア「XZ Utils」に不正アクセスを可能にする悪意あるコードが含まれていた問題について、CISAは声明を発表した。今回の事件はOSSコミュニティーのメンテナーにセキュリティ負担を押しつけていたことに起因するという。

[David Jones，Cybersecurity Dive]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年4月12日（現地時間）に、ブログに「ユーティリティーソフトウェアである『XZ Utils』に対するサプライチェーン攻撃の悪質な試みを受けてオープンソースコミュニティーに、より多くのリソースを提供するように推進している」と投稿した（注1）。

XZ Utilsへの攻撃が暴き出した　企業の“OSSタダ乗り問題”

　CISAは「今回の攻撃はオープンソースソフトウェア（OSS）の消費者が貢献者と協力して、より強靭で安全なエコシステムを構築する方法に関する根本的な転換を求めるものであり、オープンソースコミュニティーをより適切にサポートする責任をテクノロジー業界に負わせた」と評した。

　CISAのジャック・ケーブル氏（シニア・テクニカルアドバイザー）とエイバ・ブラック氏（オープンソースソフトウェア・セキュリティのセクションチーフ）はブログで次のようにコメントした。

　「セキュア・バイ・デザインの原則に沿うのであれば、セキュリティの負担を個々のオープンソースのメンテナーに負わせるべきではない。こうした行いが、この度の悲惨な結果につながった。むしろ、OSSを消費する企業はオープンソースプロジェクトが燃え尽き症候群に陥らず、健全で多様なメンテナーのコミュニティーを形成できる持続可能なエコシステムを確保するために、金銭的あるいは開発者の時間を通じて貢献しなければならない」

　セキュリティ研究者は「XZ Utilsに対するサプライチェーン攻撃の試みは、オープンソースコミュニティーに掛かる負担についての深い疑問を投げかけた」と述べた。オープンソースの貢献者は長い間、ほとんど金銭的な報酬を受け取らずに活動しており、彼らの貢献から大きな利益を得ている大企業からリソースを得ることはほとんどなかった。

　研究者によると、「GitHub」のアカウント「@JiaT75」にリンクされた攻撃者と疑われる人物は（注2）、オープンソースコミュニティー内での信頼を培うのに何年も費やしており、燃え尽き症候群やその他の問題を経験していたメンテナーから追加のアクセスを許可されていたという。

　テクノロジー業界における非営利団体であるThe Open Source Security FoundatioとThe Open JS Foundationは（注3）、2024年4月15日のブログで、XZ Utilsに対する攻撃の試みは孤立した事件でない可能性があり、コミュニティーに対するソーシャルエンジニアリングの試みが他にもあるかもしれないと警告した。

　Open JS Foundation Cross Project Councilは、人気のあるJavaScriptプロジェクトに変更を加え、電子メールの送信者を新しいメンテナーに指定するよう求める不審な電子メールを多数受け取った。

　このリクエストは、XZ Utilsに対するソーシャルエンジニアリング攻撃の試みと多くの類似点を持っている。

　ソフトウェアサプライチェーンの自動化を実施するSonatypeのブライアン・フォックス氏（共同設立者兼CTO）は、電子メールを通じて次のように述べた。

　「私たちは先週、この度の試みに関連する行動を詳細に調査してきた。具体的な内容はまだ公表されていないが、プロジェクトや財団、メンテナーによる警戒が特に重要だ。私たちが観察しているテクニックや戦術は、XZ Utilsで発生した高圧的なキャンペーンとほとんど同じだ」

（注1）Lessons from XZ Utils: Achieving a More Sustainable Open Source Ecosystem（CISA）
（注2）Motivations behind XZ Utils backdoor may extend beyond rogue maintainer（Cybersecurity Dive）
（注3）Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects（OpenJS）