オープンソースと悪意のパッケージ:前年比で 156% 増のリポジトリ汚染の状況 – Sonatype 調査

Sonatype Reports 156% Increase in OSS Malicious Packages

2024/10/11 InfoSecurity — OSS (open source software) の利用が急増しているが、そこに含まれるマルウェアが 156%も増加しているという調査結果が、Sonatype から公表された。2019年以降において、704,102 件以上の悪意のパッケージが確認されているが、そのうちの 512,847 件は、2023年11月以降に発見されたものであるという。詳しくは、同社の 10回目となる年次報告書 “Annual State of the Software Supply Chain” を参照してほしい。


Sonatype の調査によると、2024年は、オープンソースのダウンロードが記録的な件数となった年であり、推定で 6兆6000億件のダウンロードに達したという。

JavaScript (Npm):JavaScript プログラミング言語用のパッケージ・マネージャーである Npm は、2024年に4兆5000億件のリクエストを占め、前年比で 70%の成長率を記録した。

Python (PyPI):Python 用のパッケージマネージャーであり、AI とクラウドの採用を推進する PyPI は、2024年末までに前年比 87%増の、5300億件のパッケージ・リクエストに達すると推定されている。

ユーザー組織は、効率的なリスク軽減に依然として苦戦している。Sonatype の研究の焦点は、汚染されたオープンソース・プロジェクトの増加にある。同社のレポートが指摘するのは、すべてのオープンソースとプロプライエタリには、最終的に脆弱性へと進化するバグが存在するというものだ。

99%以上のパッケージにおいて、アップデート版が利用可能な状況にあるという。その一方で、アプリケーションの依存関係の 80%は、1年以上もアップグレードされていない。さらに、脆弱なコンポーネントが使用されるケースに絞り込むと、95% の確率で、すでに修正版が存在している。

一例を挙げると、Log4shell が確認されてから3年が経過したが、今でもリスクは根強く残り、ダウンロードされている Log4j の 13% が、依然として脆弱な状態にあるという。

その一方で、脆弱性が修正されるまでに、500日以上が費やされるというケースもある。CVE の修正に追いつくのに、パブリッシャーが苦労しているという状況が示唆される。2013年〜2023年の間に、CVE は 463% も増加している。

Sonatype がレポートで呼びかけるのは、ソフトウェア・メーカー/消費者/規制当局における、強固なセキュリティ対策を導入であり、イノベーションとセキュリティのバランスが、これまで以上に重要になると指摘している。

Sonatype の CTO/Co-Founder である Brian Fox は、「これまでの 10年間で、ソフトウェアのサプライチェーン攻撃は巧妙化し、頻度も増加している。特にオープンソースの世界では、マルウェアは増加しているが、パブリッシャーと利用者のセキュリティが停滞している。今後の 10年間にわたり、オープンソース・エコシステムの活気を維持しながら、セキュリティを確保するためには、そのための基盤を積極的に構築する必要がある。そこで警戒すべきことは、オープンソース・マルウェア/利用者の満足度の低下/包括的な依存関係の管理などが挙げられる」と述べている。

課題が残っているが、規制当局は問題に追いつき始めていると、Sonatype は指摘している。

2024年10月17日に施行される、EU の Network and Information Systems Directive (NIS2) におけるアップデートをはじめ、インドやオーストラリアで制定が進んでいる、新しい政策などもある。これらの政策は、SBOM (software bill of materials) の採用を促しており、2023年は 60,000件以上の SBOM が公開されている。

今回の Sonatype のレポートは、700万以上のオープンソース・プロジェクトのデータに基づいて作成された。

アタマがクラクラする数字が並んでいます。OSS リポジトリ汚染が明らかにされてから、ずいぶんと時間が経ったように思えますが、本文の冒頭に記されているように、「2019年以降において、704,102 件以上の悪意のパッケージが確認されているが、そのうちの 512,847 件は、2023年11月以降に発見されたものである」ということらしいです。この先、いったい、どうなるのでしょうか?よろしければ、カテゴリ Repository も、ご利用ください。