OpenSSF の新プロジェクトが実用段階に:OSS リポジトリから悪意のパッケージを探し出す

New OpenSSF Project Hunts for Malicious Packages in Open Source Repositories

2022/04/29 SecurityWeek — Open Source Security Foundation (OpenSSF) が発表した新しいプロジェクトとは、オープンソース・リポジトリ内の悪意のパッケージの特定を、支援することを目的とするものだ。OpenSSF によると、この Package Analysis プロジェクトは、オープンソース・パッケージの挙動と機能 (アクセスするファイル/サポートするコマンド/接続する IP など) を特定し、疑わしい活動を明らかにし、変更を追跡することを目的としている。

OpenSSF は、「この取り組みは、悪意のある動作を検出し、パッケージを選択する消費者に情報を提供し、研究者にエコシステムに関するデータを提供することで、オープンソース・ソフトウェアのセキュリティを向上させることを目的としている」と述べている。しばらくの間、この開発中だったプロジェクトは、大規模な変更を経て、最近になってようやく実用化されたと、同財団は述べている。

Package Analysis は、人気のオープンソース・リポジトリのパッケージを動的に調査し、その結果を BigQuery のテーブルに配置する。このプロジェクトでは、すでに 200以上の悪意の PyPI/npm パッケージが特定されたが、その要因の大半は依存関係の混乱やタイポスクワッティング攻撃を許すものだった。

それらの特定されたパッケージの大半は、インストール時に実行され、ホストに関する少量の情報をホームへ送信するように設計された、単純なスクリプトを含んでいた。しかし、それらをインストールした人々にとっては、はるかに有害なものとなる可能性がある。

OpenSSF によると、これらの悪意のパッケージの大半では、意味のあるデータが流出されず、また、動作を偽装する試みが施されていないことから、セキュリティ研究者たちの仕業という可能性があるとのことだ。同財団が呼びかけているものに、挙動検知の改善/結果処理の自動化/長期分析のための処理済みパッケージの保存/信頼性の向上などの、プロジェクト推進への関与がある。

OpenSSF のメンバーでもあり、以前から安全なオープンソース環境を提唱してきた Google は、このプロジェクトに対する支援をすでに表明している。Google は、「このプログラムは、より安全なソフトウェアのサプライチェーンと、オープンソース・ソフトウェアの信頼性の向上に貢献する。また、このプログラムは、悪意のパッケージが露見したときに、その種類を特定することを可能にし、エコシステムを保護する方法についての判断へと導くことができる」とは述べている。

Google は、短時間でパッケージを解析し、悪意のプロジェクトを特定するには、パッケージの審査への多額の投資が必要であり、それによりユーザーの安全が守られると述べている。

さらに同社は、「この分野は成長中であり、レポートのためのオープン・スタンダードを持つことは、分析結果を一元化し、消費者が利用を検討しているパッケージを評価するための、信頼できる環境を提供するのに役立つ。オープンス・タンダードを作ることは、健全な競争を促し、統合を促進し、オープンソース・パッケージの全体的なセキュリティを向上させるはずだ」と結論付けている。

サプライチェーン攻撃は、とても頭の痛くなる問題です。Kaseya のような MSP が起点になる場合もあれば、GitHub のようなリポジトリが問題の根源となる場合もあります。そこで、リポジトリから悪意のパッケージを探し出すという、とても有り難い試みが、実用段階に入ったというわけです。この組織は、2022年2月1日の「OpenSSF の新プロジェクト Alpha – Omega:セキュリティのために Microsoft/Google が出資」にもあるように、新たなプロジェクトを推進しています。さらに、Google と GitHub は、4月7日の「Google と GitHub が協力:ソフトウェアの真正性確保によりサプライチェーン攻撃に対抗」にあるように、真正性の確保にも挑戦しているようです。

%d bloggers like this: