Software Supply Chain Attacks Soar 742% in Three Years
2022/10/19 InfoSecurity — 専門家たちが、2022年に発見した悪意のオープンソース・パッケージは 8万8000件にのぼり、2019年のデータと比べて 742% の増加となった。それにより示唆されるのは、企業への攻撃における標的面積の急速な拡大である。この数字は、Maven Central のダウンロード数 1310億件/オープンソース・プロジェクト数千件を含む、公開データ/独自データを分析した、Sonatype のレポート 2021 State of the Software Supply Chain で発表されたものである。
同レポートでは、脅威アクターがリポジトリに挿入した悪意のパッケージと、DevOps チームが無作為にダウンロードした偶発的な脆弱性の2つの面から、企業システムに対するリスクの高まりを詳述している。
悪意のアクティビティの急増は、それらの企業内チームがソフトウェアの市場投入までの時間を短縮するために、オープンソース・パッケージを使用するという現状を物語っている。Sonatype は、オープンソースのダウンロード・リクエスト数について、2022年中に3兆件を超えると推定している。
Sonatype は、オープンソースの消費規模が非常に大きく、ソフトウェアの依存関係により複雑さが増すため、開発者が脅威や脆弱性を見逃してしまう可能性があると主張している。
さらに同社は、平均的な Java アプリケーションは現時点で 148件の依存関係を含んでおり、2021年と比べて 20件も多いと述べている。また、平均的な Java プロジェクトは年に 10回のペースで更新されるため、年間で 1500件近い依存関係の変更が生じる。したがって開発者は、作業するアプリケーションごとに、変更を追跡するための情報を探し出す必要があると推定している。
しかし、これらの開発環境においては、可視性が欠如しているようだ。過去1年間にオープンソース・プロジェクトに影響を与えたバグの7件中6件は、推移していいく依存関係によるものだと、Sonatype は発表している。
同社のレポートには、「既知の脆弱性を含むオープンソース Java ダウンロードの 96%は、問題を回避できた可能性がある。その理由は、より良いバージョンが入手可能でありながら、何らかの理由で使用されなかったことにある」と記されている。残念ながら、誤った認識のもとに、多くの組織が運営されているようだ。
このレポートでは、調査回答者の 68%が、自社のアプリケーションでは脆弱なライブラリが使用していないと、確信していることが明らかにされている。しかし、企業向けアプリケーションを無作為に抽出したところ、68% に既知の脆弱性が含まれていることが判明した。
Sonatype の CTO である Brian Fox は、「未成熟な組織の開発者たちは、通常の業務に加えて、ライセンス・コンプライアンスの懸念/複数のプロジェクトのリリース/依存関係の変更/オープンソース・エコシステムの知識などを、常に把握することが期待されている。さらに、開発スピードのような外的圧力もある」と指摘している。
彼は、「仕事の満足度とソフトウェア・サプライチェーンの成熟度が、大きく関連していることは驚くに値しない。この深刻な現実は、企業がソフトウェア供給管理を優先させることで、セキュリティ・リスクへの対処を改善し、開発者の効率を高め、より迅速なイノベーションを可能にすることが、直ちに必要であることを示している」と指摘している。
Sonatype のレポートをベースにして書かれた記事です。原文では 2021 State of the Software Supply Chain と Open Source Supply, Demand, and Security にソースとしてリンクが貼られていましたが、前者については、同じくInfoSecurity が「オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機」で参照しているので、正解は後者だと思います。コンテンツに関しても、後者の方が辻褄が合います。ただ、いずれにしても、とても充実したレポートであり、Web で簡単に見れますので、ぜひ、ご参照ください。また、Repository で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.