RubyGems でも MFA の運用がスタート:人気パッケージのメンテナに義務化

RubyGems Makes Multi-Factor Authentication Mandatory for Top Package Maintainers

2022/08/16 TheHackerNews — プログラミング言語 Ruby の公式パッケージ・マネージャである RubyGems は、NPM や PyPI に続くかたちで、人気のパッケージ・メンテナに対して多要素認証 (MFA) を義務付けるプラットフォームになった。そのため、総ダウンロード数が 1億8000万を超える gem の所有者は、2022年8月15日から MFA をオンにすることが義務付けられた。


RubyGems は、「UI/API、または、UI/gem のサインイン・レベルで、上記の条件に該当しながら MFA を有効にしていないユーザーは、MFA をオンに設定するまで、Web 上でのプロフィール編集/特権的アクション (gem の push や yank/gem オーナーの追加と削除) が実行できず、コマンドラインでのサインインすることになる」と指摘している。

さらに、累積ダウンロード数が 1億6500万件を超えた gem メンテナには、ダウンロード数が 1億8000万件に達するまでに MFA をオンにするようリマインダーが送られ、その時点で必須になる予定だとされる。

この開発と変更は、パッケージのエコシステムがソフトウェアのサプライチェーンを強化し、アカウント乗っ取り攻撃を防止するための試みと見られている。この種の攻撃が生じると、悪意の行為者がアクセス権を利用して、下流の顧客に不正なパッケージを押し付けることが可能になる。

また、ReversingLabs の新たな分析によると、NPM と PyPI への攻撃は、2018年以降において 289% 増というレベルにあり、敵対者によるオープンソース・コードリポジトリの標的化が、大きな懸念になっているという背景がある。

これまでに、Checkmarx/Kaspersky/Snyk の研究者が PyPI で発見してきた中には、DDoS 攻撃に悪用される Python パッケージや、ブラウザのパスワードを盗み、Discord や Roblox の認証情報や支払情報を採取する、悪質なパッケージが数多く含まれている。

これは、開発者のシステムを情報窃取ツールで感染させるために、特別に作られたマルウェアの一部に過ぎず、感染した環境において攻撃者が戦略を変更すると、侵入が深化していく可能性が生じる。

文中にもあるように、PyPI やでは 2FA/MFA の義務化が先行して運用されています。詳しくは、7月9日の「PyPI の Critical プロジェクトで 2FA が義務化:突然の決定に反発する開発者も」をご参照ください。その他にも、クッキーの運用などについても、いろいろと議論されているようです。こちらのテーマに関しては、8月11日の「GitHub の新しいプライバシーポリシー:Tracking Cookie への反発で大騒動」を、ご参照ください。脅威アクターたちとの追いかけっこが続くと思いますが、安全なリポジトリを目指してほしいですね。

%d bloggers like this: