2021年05月27日 05時00分 公開
特集/連載

ほぼ確実に侵入可能? 正規プログラムを乗っ取る「スクワッティング」の脅威OSSは危険なのか【後編】

OSSの正規のプログラムを乗っ取る攻撃方法「スクワッティング」をセキュリティ研究者が発見した。具体的な攻撃方法や危険性を解説する。

[Arielle Waldman,TechTarget]

 セキュリティ研究者のアレックス・ビルサン氏とジャスティン・ガードナー氏は、ソースコード保管場所であるレジストリに、偽のソースコードを忍び込ませる攻撃手法を発見した。この攻撃手法は、オープンソースソフトウェア(OSS)のパッケージ(拡張機能群)のうち、企業が社内でホストしているプライベートなパッケージの名前が、ソースコード共有サービス「GitHub」で誤って公開されていたことを悪用。正規のプライベートパッケージを偽った悪質なソースコードをレジストリにアップロードすることで、標的企業に偽のソースコードをダウンロードさせ、標的に侵入する。

 正規のプログラムを乗っ取るこうした攻撃を「スクワッティング」(不法占拠)と呼ぶ。攻撃者はスクワッティングを応用して、標的の企業がレジストリから最新版のソースコードをダウンロードしてアップデートする際、悪質な偽のソースコードを標的の企業にダウンロードさせる攻撃を実行できる。

「ほぼ確実に侵入可能」 スクワッティングの本当の怖さ

 ビルサン氏はApple、Microsoft、Tesla、Netflixなど35社以上の企業に、偽のソースコードを用いた攻撃を実行できる危険性があることを確認した。この危険性が見つかった企業の大半は従業員数が1000人を超える企業だったという。「大規模な企業ほど、社内でプライベートパッケージを使用する割合が高いからではないか」と同氏は指摘する。

ITmedia マーケティング新着記事

news158.jpg

「リベンジ消費」は限定的、コロナ禍以前の状態に完全に戻ると考える人はわずか25%――野村総合研究所調査
コロナ禍が収束した場合の生活者の消費価値観や生活行動はどうなるのか。野村総合研究所...

news176.jpg

Teslaが成長率1位、LVMHグループ5ブランドがランクイン 「Best Global Brands 2021」
毎年恒例の世界のブランド価値評価ランキング。首位のAppleから10位のDisneyまでは前年と...

news056.jpg

「巣ごもり消費」で選ばれるブランドになる「シャンパンタワー型コミュニケーション戦略」のすすめ
「巣ごもり消費」はPRをどう変えたのか。コロナ禍における需要喚起に有効なB2C向けの統合...