「Axios」にとどまらないオープンソース攻撃 信頼を悪用するだましの手口:この頃、セキュリティ界隈で(2/2 ページ)
エコシステムの信頼を悪用
一連の攻撃には、北朝鮮の集団「UNC1069」が絡んでいると専門家は推測する。米Google傘下のセキュリティ企業Mandiantは2月の時点で、UNC1069が暗号資産を標的に、AI生成動画なども駆使して狙った相手をだます手口を進化させていると伝えていた。
いずれの攻撃にも共通しているのは、攻撃者がプロのように振る舞い、正規のビジネスを装って、巧妙な手口で接触してくるという点だ。相手は何週間もかけて信頼関係を築いた上で、本物そっくりに作り込まれた偽ミーティングに誘う。
このミーティングは、まずアプリケーションのインストールが不要なWebブラウザ経由で始まる。しかし途中で音声が途切れるなどの問題が発生し、修正のためと称してリンクのクリックやコマンドの実行を促される。それに従ってしまうと、リモートアクセス型トロイの木馬がインストールされ、遠隔操作を許してしまう。
オープンソースのメンテナーを標的にすれば、依存関係を通じてわずか数時間で何百万もの相手に不正なバージョンをインストールさせることができるとSocketは指摘する。実際、サーイマン氏のPCに侵入した攻撃者は、同氏のアカウントを乗っ取って不正なバージョンのAxiosをリリースした。
Socketは「こうしたエコシステムのセキュリティ対策は、個々のメンテナーの個人的なセキュリティ対策に依存している。そうしたメンテナーの多くは、サポートが限られる中で、広く使われているインフラのメンテナンスを単独で担っている」「エコシステムの信頼、メンテナーのアクセス権限、そしてソフトウェアサプライチェーンにおける人的要素が悪用された」と分析する。
Axiosのサーイマン氏の投稿にコメントを寄せたユーザーのTay氏は、状況を整理しながら、オープンソースメンテナーにこう呼びかけた。
「これは極めて重大な事態と受け止める必要がある。今回の攻撃に使われた人格やチャネルは摘発されているものの、他にもたくさんある。それを報告してほしい。話題にしてほしい。恥ずかしいと思わずに共有してほしい。これは普通のフィッシングではない」
関連記事
ダウンロード数1億超、人気ライブラリ「Axios」を襲ったサプライチェーン攻撃 発端は巧妙なアカウント乗っ取り
オープンソースのJavaScript HTTPクライアント「Axios」に不正なコードを仕込んで流通させるサプライチェーン攻撃が発生した。MicrosoftやGoogleは、北朝鮮の集団が関与する極めて巧妙な攻撃だったと推測しており、影響の拡大が懸念されている。
光ファイバーを“マイク化”する盗聴攻撃 振動センサーとして悪用し会話を盗み聞き 中国の研究者らが発表
中国の香港理工大学や香港中文大学などに所属する研究者らが発表した論文「Hiding an Ear in Plain Sight: On the Practicality and Implications of Acoustic Eavesdropping with Telecom Fiber Optic Cables」は、通信データではなく、光ファイバー自体を振動センサーとして悪用し、周囲の音を盗聴するサイドチャネル攻撃を提案した研究報告だ。
米財務長官とFRB議長が銀行幹部に警告 Anthropicの最新AI巡り、サイバーセキュリティに懸念
ベセント米財務長官とパウエル連邦準備理事会(FRB)議長が今週に、銀行幹部との緊急会合を開き、米Anthropicの最新AIモデル「Claude Mythos」がもたらすサイバーセキュリティ上のリスクについて警告したと、複数の関係筋が9日明らかにした。
福岡の看護師、Instagramのストーリーズに“電子カルテの画面”投稿 複数の病院が謝罪
福岡山王病院は、看護師によるSNSへの不適切投稿があったと発表した。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PRアイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。