OSS リポジトリを悪用するサプライチェーン攻撃が増加中：ReversingLabs レポート

Software Supply Chain Attacks Leveraging Open-Sources Repos Growing

2022/12/09 InfoSecurity — 12月5日に発表された ReversingLabs のレポート The State of Software Supply Chain Security によると、2020年から2022年初頭にかけて急激に増加したサプライチェーン攻撃は、緩やかながらも 2022年を通じて着実に増加しているようだ。同社の調査は、npm／PyPi／Ruby Gems などのオープンソース・リポジトリにアップロードされた、悪意のパッケージの件数を対象に行われた。

ユーザー組織が使用するアプリケーションが高度化していることに加え、開発組織のセキュリティと完全性を監視する統括的な組織が存在しないため、サプライチェーン攻撃に関する包括的なデータを示すことは事実上不可能であると、ReversingLabs は指摘している。

このレポートには、「一連のリポジトリに関するデータが示すのは、ソフトウェアの脆弱性を脅威アクターが悪用する方法に対する限定的な見解であり、より巧妙で検知が困難な攻撃が存在する可能性が示唆される」と記されている。

ReversingLabs の Co-founder／Chief Software Architect である Tomislav Pericin は、「IconBurst／Material Tailwind などのサプライチェーン攻撃の分析から、オープンソース・ソフトウェアの信頼性を利用して、組織内に悪意のコードを仕込もうとする、悪意の傾向が高まっていること判明した。つまり、車輪の再発明を望まない、開発者たちの指向性が狙われているのだ。１日に何百／何千ものリリースを実現する開発のスピードは、未知のエコシステムを作り出し、可能な限り速く動こうとする。開発者たちはオープンソースのパッケージや API を活用し、ソフトウェア・パブリッシャーは、ソフトウェアの新しいリリースやアップデートを通じて、それらを広めていく」と、InfoSecurity に語っている。

例えば npmでは、2022年1月〜10月に 7000件近くの悪意のパッケージがアップロードされている。この件数は、2021年に発見された悪意のパッケージと比較して 40％増であり、2020年の 75件との比較では 100倍ちかい値となっている。悪意の npm パッケージは、ReversingLabs が分析した悪意のパッケージ全体の 66.7%を占めている。

その一方で、PyPi リポジトリでは、2021年の 3685パッケージから 2022年の 1493 パッケージへと、この１年間で悪意のパッケージのアップロード数は 60%近く減少している。ただし、何度かのピークを観測した 2022年は、わずか８つの悪意のパッケージが検出された 2020年に比べて、18,000％ 以上の増加となっている。

つまり、ソフトウェア・サプライチェーンを狙うサイバー攻撃は増えているのだ。

2021年5月にバイデン政権が発表した Executive Order on Improving the Nation’s Cybersecurity (EO 14028) を受けて、サプライチェーンのセキュリティを強化するための、新たな連邦政府の指針が、この年に発表された。

• Enduring Security Framework (ESF) ソフトウェア・サプライチェーン作業パネルが発行した、連邦政府にソフトウェアを提供するサプライヤーのための実践ガイド
• 行政機関にライセンス供与するソフトウェア／サービスのセキュリティについて、ソフトウェア企業に証明書を要求する行政管理予算局からの通達 (M-22-18)

このレポートには、「連邦政府と契約しているソフトウェア・パブリッシャーは、2023年にはコードのセキュリティ証明を要求され、場合によってはサプライチェーンの脅威を追跡するロードマップを提供する Software Bills of Materials (SBoM) の作成なども求められる。つまり、新しいガイドラインを満たすために、ソフトウェア・セキュリティの高いハードルをクリアする必要がある」と記されている。

Pericin は、「長い間にわたり、傍観されてきたソフトウェア・サプライチェーン・セキュリティは、Static Application Security Testing (SAST)／Dynamic Application Security Testing (DAST)／ソフトウェア構成分析／API セキュリティ・スキャンといった、他のアプリケーション・セキュリティテスト技術と同様に、一般的になっていくだろう」と述べている。

この 2022年は、OSS リポジトリを悪用するサプライチェーン攻撃の実態が、明らかにあった年でもあります。この ReversingLabs のレポートは、Web で簡易バージョンが、PDF でフルバージョンが提供されていますので、よろしければ、ご参照ください。なお、文中の PyPi リポジトリの悪意のパッケージに関する記述に、辻褄が合わない部分がありましたので、その点は ReversingLabs のレポートを見ながら修正しています。