2021年05月27日 05時00分 公開
特集/連載

ほぼ確実に侵入可能? 正規プログラムを乗っ取る「スクワッティング」の脅威OSSは危険なのか【後編】

OSSの正規のプログラムを乗っ取る攻撃方法「スクワッティング」をセキュリティ研究者が発見した。具体的な攻撃方法や危険性を解説する。

[Arielle Waldman,TechTarget]

 セキュリティ研究者のアレックス・ビルサン氏とジャスティン・ガードナー氏は、ソースコード保管場所であるレジストリに、偽のソースコードを忍び込ませる攻撃手法を発見した。この攻撃手法は、オープンソースソフトウェア(OSS)のパッケージ(拡張機能群)のうち、企業が社内でホストしているプライベートなパッケージの名前が、ソースコード共有サービス「GitHub」で誤って公開されていたことを悪用。正規のプライベートパッケージを偽った悪質なソースコードをレジストリにアップロードすることで、標的企業に偽のソースコードをダウンロードさせ、標的に侵入する。

 正規のプログラムを乗っ取るこうした攻撃を「スクワッティング」(不法占拠)と呼ぶ。攻撃者はスクワッティングを応用して、標的の企業がレジストリから最新版のソースコードをダウンロードしてアップデートする際、悪質な偽のソースコードを標的の企業にダウンロードさせる攻撃を実行できる。

「ほぼ確実に侵入可能」 スクワッティングの本当の怖さ

 ビルサン氏はApple、Microsoft、Tesla、Netflixなど35社以上の企業に、偽のソースコードを用いた攻撃を実行できる危険性があることを確認した。この危険性が見つかった企業の大半は従業員数が1000人を超える企業だったという。「大規模な企業ほど、社内でプライベートパッケージを使用する割合が高いからではないか」と同氏は指摘する。

ITmedia マーケティング新着記事

news101.jpg

「日本企業的DX」の神髄(無料eBook)
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...

news024.jpg

CEOと従業員の給与差「299倍」をどう考える?
今回は、米国の労働事情における想像を超える格差について取り上げます。

news153.jpg

日立ソリューションズが仮想イベントプラットフォームを提供開始
セミナーやショールームなどを仮想空間上に構築。