ダウンロード数1億超、人気ライブラリ「Axios」を襲ったサプライチェーン攻撃 発端は巧妙なアカウント乗っ取り：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　オープンソースのJavaScript HTTPクライアント「Axios」に不正なコードを仕込んで流通させるサプライチェーン攻撃が発生した。米Microsoftや米Googleは、北朝鮮の集団が関与する極めて巧妙な攻撃だったと推測しており、影響の拡大が懸念されている。

　AxiosはHTTPリクエストの簡略化に使われる人気JavaScriptライブラリで、週ごとのダウンロード件数は1億回以上。Axiosのリードメンテナー、ジェイソン・サーイマン氏によると、Axiosの不正なバージョン「1.14.1」および「0.30.4」がnpmレジストリに公開されたのは協定世界時の3月31日。いずれのバージョンにも「plain-crypto-js@4.2.1」という不正な依存関係が仕込まれていて、macOSとWindows、Linuxに遠隔操作マルウェアをインストールさせる仕組みだった。

　問題のバージョンは不正に気付いたAxiosコラボレーター（協力者）の通報を受け、リリースから約3時間後に削除された。

　発端はサーイマン氏のアカウント乗っ取りだった。攻撃者は巧妙なソーシャルエンジニアリングの手口でサーイマン氏をだまして遠隔操作マルウェアをインストールするよう仕向け、PCに侵入してnpmアカウントの認証情報を入手。このアカウント経由で不正なバージョンのAxiosをリリースしていた。

　こうした手口は、オープンソースのメンテナーを狙う攻撃パターンと酷似しているという。サーイマン氏は影響を受けた組織に対し、不正なバージョンを直ちに削除した上で、システムが侵害された可能性があると想定して対応するよう促している。

巧妙なだましの手口

　サーイマン氏を狙ったソーシャルエンジニアリング攻撃は、2週間ほど前から始まったという。

　攻撃者はある企業の創業者になりすましてサーイマン氏に接触し、巧妙に作り込まれたSlackワークスペースに招待。極めて説得力のある環境を整えてサーイマン氏を信用させ、Microsoft Teamsミーティングに誘った。

　このミーティングの中で自分のシステムに古い部分があると言われたサーイマン氏は、Teams関連だと思って欠けている項目をインストールしたが、それが遠隔操作マルウェアだった。「何もかもがものすごくよくできていて、もっともらしかった。プロのやり方だった」とサーイマン氏は振り返る。

　この振り返りに対し「自分にも数週間前に同じようなことがあった」というコメントも見られた。Googleは2月の時点で、同様のソーシャルエンジニアリングの手口について伝えていた。

さらなる攻撃を招く恐れも　MS・Googleの分析

　MicrosoftやGoogleの推測によると、今回のAxios攻撃を仕掛けたのは北朝鮮国家が関与する集団「Sapphire Sleet」（別名「UNC1069」）だった。

　「今回の攻撃は、広く採用されているオープンソースフレームワークや配布チャネルを汚染して影響を拡大させるサプライチェーン攻撃のパターンを踏襲している」とMicrosoftは分析する。

　Sapphire Sleetは2018年ごろから活動が確認されている北朝鮮の集団で、もうけを狙って暗号通貨ウォレットを盗んだり、暗号通貨取引やブロックチェーンプラットフォーム関連の技術や知的財産を標的にしたりしているという。

　Axiosには他の人気パッケージも依存しており、影響は大きいとGoogleは推測する。しかもここ数週間で、別の集団もオープンソースを狙ったサプライチェーン攻撃を展開していることから、盗まれた機密情報が大量に出回っている可能性もある。そこからさらなるサプライチェーン攻撃やSaaS環境の侵害、ランサムウェア攻撃、暗号資産の窃盗などにつながる恐れもある。

　守る側はそうした攻撃に細心の注意を払いながら、影響を見極めて侵害されたシステムを修復し、今後の攻撃に備えて一層守りを固める必要があるとGoogleは指摘している。