「Axios」にとどまらないオープンソース攻撃 信頼を悪用するだましの手口：この頃、セキュリティ界隈で（2/2 ページ）

オープンソースのJavaScript HTTPクライアント「Axios」に不正なコードが仕込まれたサプライチェーン攻撃。発端となったソーシャルエンジニアリングの手口が明らかになったことで、標的はAxiosにとどまらず、オープンソースエコシステムを狙った攻撃が他にも多発している実態が浮かび上がった。

[鈴木聖子，ITmedia]

エコシステムの信頼を悪用

　一連の攻撃には、北朝鮮の集団「UNC1069」が絡んでいると専門家は推測する。米Google傘下のセキュリティ企業Mandiantは2月の時点で、UNC1069が暗号資産を標的に、AI生成動画なども駆使して狙った相手をだます手口を進化させていると伝えていた。

　いずれの攻撃にも共通しているのは、攻撃者がプロのように振る舞い、正規のビジネスを装って、巧妙な手口で接触してくるという点だ。相手は何週間もかけて信頼関係を築いた上で、本物そっくりに作り込まれた偽ミーティングに誘う。

　このミーティングは、まずアプリケーションのインストールが不要なWebブラウザ経由で始まる。しかし途中で音声が途切れるなどの問題が発生し、修正のためと称してリンクのクリックやコマンドの実行を促される。それに従ってしまうと、リモートアクセス型トロイの木馬がインストールされ、遠隔操作を許してしまう。

　オープンソースのメンテナーを標的にすれば、依存関係を通じてわずか数時間で何百万もの相手に不正なバージョンをインストールさせることができるとSocketは指摘する。実際、サーイマン氏のPCに侵入した攻撃者は、同氏のアカウントを乗っ取って不正なバージョンのAxiosをリリースした。

　Socketは「こうしたエコシステムのセキュリティ対策は、個々のメンテナーの個人的なセキュリティ対策に依存している。そうしたメンテナーの多くは、サポートが限られる中で、広く使われているインフラのメンテナンスを単独で担っている」「エコシステムの信頼、メンテナーのアクセス権限、そしてソフトウェアサプライチェーンにおける人的要素が悪用された」と分析する。

　Axiosのサーイマン氏の投稿にコメントを寄せたユーザーのTay氏は、状況を整理しながら、オープンソースメンテナーにこう呼びかけた。

　「これは極めて重大な事態と受け止める必要がある。今回の攻撃に使われた人格やチャネルは摘発されているものの、他にもたくさんある。それを報告してほしい。話題にしてほしい。恥ずかしいと思わずに共有してほしい。これは普通のフィッシングではない」