Upstream Supply Chain Attacks Triple in a Year
2023/10/03 InfoSecurity — OSS エコシステムにおけるサイバーリスクの急増を、セキュリティ専門家たちが警告している。Sonatype の 9th Annual State of the Software Supply Chain Report は、公開されているデータと独自データの分析から構成されるものだ。そこには、4,000億件以上の Maven Central ダウンロードにおける、依存関係の更新パターンも含まれている。2023年に Sonatype は、245,032件の悪意のパッケージを検出したが、この件数と 2019年〜2022年の件数を比較すると、ソフトウェア・サプライ・チェーン攻撃は約2倍に増加していることになる。
ユーザー組織に脅威を与えるものには、意図的な悪意の活動に加えて、それらのコンポーネントをダウンロードさせて、攻撃を開始するまでの時間の短縮もある。
このレポートで明らかにされたものには、既知の脆弱性を持つ OSS が 21億回/月のペースで、2023年にはダウンロードされたという現実もある。最新の修正バージョンを利用すれば、それらの脆弱性を回避できた可能性が 96% もあったと指摘されるが、この数値は1年前と同じである。
なお、Log4j に関しては、約2年前に修正版がリリースされているが、脆弱性を持つバージョンのダウンロードが、依然として 23% もあるという。Sonatype は、2022年におけるダウンロードの 65% に、深刻度の高い脆弱性が含まれていると推定している。
認識不足も一因かもしれない。Sonatype の調査では、自分のアプリケーションは既知の脆弱なライブラリに依存していないと、回答者の 67% が確信しているという。しかし、オープンソースの脆弱性によるセキュリティ侵害を、過去12ヶ月間に経験したと報告する回答者は 10% 近くに達している。
脆弱性の発見に関しては、回答者の 29% が1週間以上を消費したとし、緩和に関しては、36% が1週間以上を要したと回答している。
Sonatype の OSS プロジェクトに対する主張は、長期にわたって積極的に保守されているのは 11% に過ぎないため、メンテナよりも開発者の方に、リスクを意識する必要があるというものだ。
Sonatype の CTO である Brian Fox は、「多くのメンテナは非常に勤勉である。大手テック企業は、自分たちが依存しているライブラリをメンテナンスするために、優秀な人材を雇っている。私たちの業界においては、それぞれの努力を適切な場所へと向ける必要がある。既知の脆弱性を持つコンポーネントの、ほぼ全てが修正されているという事実がある。当面の焦点は、開発者が適切な意思決定者になれるようにサポートし、適切なツールへのアクセスを提供することにあるはずだ」と述べている。
また、彼は、「開発者がコンポーネントをダウンロードする際には、最も多くのメンテナと、最も健全なコントリビューターによる、適切なエコシステムを持つプロジェクトからのみ、ダウンロードすべきである。そのためには支援が必要であるが、それによりリスクの軽減が達成され、無駄な労力を取り戻すことができる」と主張している。
このレポートは、オープンソースのダウンロード数が、過去2年間において 33% 増 に留まっていると指摘している。それでも 2023 年には、4 兆を超えるコンポーネントがダウンロードされるという。
このような統計レポートを参照する記事には、数字と対象の関係性が曖昧なものが、たまにあります。この記事も例外ではなく、結局は元の Sonatype レポートの PDF ダウンロードし、その中を検索してというハメになりました。また、レポートの発行元における統計母数の規模や、その顧客の分野ごとの偏りなど、いろいろと差し引いて考えなければならない要素がありますが、さまざまな企業が提供してくれる、さまざまなレポートを見比べながら、全体像を推測する以外に術がないという現実があります。その意味では、Maven Central は当たりだと思います。
IoT OT Security News 
You must be logged in to post a comment.