Supply chain attacks against the open source ecosystem soar by 650% – report
2021/09/15 DailySwig — 昨年は、アップストリーム・パブリック・リポジトリを狙った、ソフトウェア・サプライチェーン攻撃の件数が大幅に増加したことが、新しいレポートで明らかになった。Sonatype が毎年発表している State of the Software Supply Chain Report によると、この種の攻撃は 1万2,000件以上にのぼり、2020年に比べて 650% 増加している (2019年と2020年の比較では 430% の増加)。
依存性の混乱を狙った攻撃は、この手法が2月に登場して以来、瞬く間に最も一般的な攻撃形態になったと、このレポートは明らかにしている。Sonatype によると、これまでのソフトウェア・サプライチェーン・エクスプロイトは、一般に公開されたオープンソースの脆弱性を利用して、パッチが適用されずに放置されているものを狙うケースが多かったが、今回のアップストリーム攻撃はさらに邪悪なものだという。多くの攻撃者は、脆弱性の公開を受け身で待つのではなく、グローバルなサプライチェーンを支えるオープンソース・プロジェクトに、新たな脆弱性を積極的に注入し、自らが生み出した脆弱性を悪用している。
人気のプロジェクトと不人気のプロジェクト
DevSecOps の自動化を専門とする Sonatype の調査によると、最も人気のある Java/JavaScript/Python/.NET プロジェクトの 30% 程度が、少なくとも1つの既知のセキュリティ脆弱性を含んでいるのに対し、使用頻度の低いプロジェクトではわずか 6.5% に留まっている。しかし、Sonatype の SVP and CMO である Matt Howard によると、最も広く使用されているプロジェクトは、効果的な修復プロセスが実施されている可能性が高いとのことだ。
彼は、「人気のプロジェクトには、全体的に既知の脆弱性が多く含まれるが、それらを利用している開発者は、既知の脆弱性があるにもかかわらず、改善策がないという状況に陥る可能性が低くなる。そのことから、人気のプロジェクトを利用することは、素晴らしい選択肢となり得る。しかし、それらの依存関係を積極的に管理し、脆弱性のない新しいバージョンへの移行を、タイムリーに行える場合に限られる」と、The Daily Swig に語っている。
自己欺瞞
心配なことに、このレポートでは、セキュリティに関する現実と認識の乖離が明らかになっている。開発チームは、欠陥のあるコンポーネントを上手く修正していると信じ、どこにリスクがあるのかを理解していると思っているが、客観的なデータは違うことを物語っていると、Sonatype は指摘している。実際には、サードパーティの依存関係を更新する際に、69% の確率で最適ではない判断がくだされているという。
Howard は、「これらの回答を、10万件のアプリケーションを対象に実施した、客観的な分析結果と比較すると、大多数の開発チームが、アンケートの回答に示されているような、衛生管理を積極的に実践していないことが明らかになった。客観的に見ると、ほとんどの開発チームは、依存関係の管理に関して構造化されたガイダンスに従っておらず、その結果として、ソフトウェアのサプライチェーン内の既知のリスクを積極的に是正していないことが分る」と述べている。
エラーの自動化
Sonatype は、自動化がソリューションになると考えているようだ。インテリジェントな自動化を導入することで、20個のアプリケーション開発チームを持つ中規模企業では、年間で 160日の開発日数を削減し、$192,000 のコスト削減が可能になると言う。
「1つのコンポーネントと、1つのチーム、1つのアプリケーションに対して、最適とは言えないアップグレードを行っても、そのコストは小さいものだ。しかし、今回の調査では、決定されたアップグレードのうち、最適なものは僅か 31% に過ぎなかったことを考えると、適切なアップグレードが常に選ばれることで、どれだけの時間と労力を節約できるか理解できる」
先週に GitHub が、Node.js のパッケージである tarと @npmcli/arborist に、深刻度の高い脆弱性があることを確認し、これらの脆弱性を悪用して任意のコードを実行することが可能であると明らかにしたことで、これらの判断を正しく行うことの重要性が強調された。
昨年から今年にかけて、いくつかの米国政府機関/Microsoft/FireEye などに影響を与えた SolarWinds ハッキングや、1,000人を超える Kaseya VSA 顧客のデータを暗号化したランサムウェア攻撃など、注目を集めるソフトウェア・サプライチェーン攻撃がいくつか見られている。
訂正:この記事では、当初 18,000 の組織が SolarWinds 攻撃の影響を受けたと誤って記載していた。実際には、約18,000の組織が脆弱性のあるソフトウェアをダウンロードしたが、実際に攻撃者の標的となったのは、それよりもはるかに少ない数だった。この誤りは記事掲載日に訂正された。
アップストリーム・パブリック・リポジトリについては、AWS の 「CodeArtifact で上流のリポジトリを操作する」で説明されています。「アップストリーム・リポジトリにより、パッケージ・マネージャク・ライアントは、単一のリポジトリ・エンドポイントを使用して、複数のリポジトリに含まれるパッケージにアクセスできる」と記されています。これがあれば、開発効率が飛躍的に上がるでしょうが、脆弱なパッケージが随所で使われてしまうという、セキュリティ上の問題が発生する・・・ というのが、この記事の指摘することろなのでしょう。
IoT OT Security News 