2021年05月27日 05時00分 公開
特集/連載

ほぼ確実に侵入可能? 正規プログラムを乗っ取る「スクワッティング」の脅威OSSは危険なのか【後編】

OSSの正規のプログラムを乗っ取る攻撃方法「スクワッティング」をセキュリティ研究者が発見した。具体的な攻撃方法や危険性を解説する。

[Arielle Waldman,TechTarget]

 セキュリティ研究者のアレックス・ビルサン氏とジャスティン・ガードナー氏は、ソースコード保管場所であるレジストリに、偽のソースコードを忍び込ませる攻撃手法を発見した。この攻撃手法は、オープンソースソフトウェア(OSS)のパッケージ(拡張機能群)のうち、企業が社内でホストしているプライベートなパッケージの名前が、ソースコード共有サービス「GitHub」で誤って公開されていたことを悪用。正規のプライベートパッケージを偽った悪質なソースコードをレジストリにアップロードすることで、標的企業に偽のソースコードをダウンロードさせ、標的に侵入する。

 正規のプログラムを乗っ取るこうした攻撃を「スクワッティング」(不法占拠)と呼ぶ。攻撃者はスクワッティングを応用して、標的の企業がレジストリから最新版のソースコードをダウンロードしてアップデートする際、悪質な偽のソースコードを標的の企業にダウンロードさせる攻撃を実行できる。

「ほぼ確実に侵入可能」 スクワッティングの本当の怖さ

 ビルサン氏はApple、Microsoft、Tesla、Netflixなど35社以上の企業に、偽のソースコードを用いた攻撃を実行できる危険性があることを確認した。この危険性が見つかった企業の大半は従業員数が1000人を超える企業だったという。「大規模な企業ほど、社内でプライベートパッケージを使用する割合が高いからではないか」と同氏は指摘する。

ITmedia マーケティング新着記事

news154.jpg

ナイキ vs アディダス Z世代の心をつかむアプローチの違い
有名人や人気ファッションブランドとのコラボに加え、環境や社会問題への取り組みなど、...

news025.jpg

求心力のある変革ビジョンに必要な「PECの工夫」
変革ビジョンの策定に当たっては、その内容もさることながら「決め方や伝え方」に心を配...

news045.jpg

マーケティングDXをけん引するリーダーの役割
デジタルツールとデータを活用することで優れた顧客体験を提供するマーケティングDXの推...