ほぼ確実に侵入可能？ 正規プログラムを乗っ取る「スクワッティング」の脅威：OSSは危険なのか【後編】

OSSの正規のプログラムを乗っ取る攻撃方法「スクワッティング」をセキュリティ研究者が発見した。具体的な攻撃方法や危険性を解説する。

[Arielle Waldman，TechTarget]

　セキュリティ研究者のアレックス・ビルサン氏とジャスティン・ガードナー氏は、ソースコード保管場所であるレジストリに、偽のソースコードを忍び込ませる攻撃手法を発見した。この攻撃手法は、オープンソースソフトウェア（OSS）のパッケージ（拡張機能群）のうち、企業が社内でホストしているプライベートなパッケージの名前が、ソースコード共有サービス「GitHub」で誤って公開されていたことを悪用。正規のプライベートパッケージを偽った悪質なソースコードをレジストリにアップロードすることで、標的企業に偽のソースコードをダウンロードさせ、標的に侵入する。

　正規のプログラムを乗っ取るこうした攻撃を「スクワッティング」（不法占拠）と呼ぶ。攻撃者はスクワッティングを応用して、標的の企業がレジストリから最新版のソースコードをダウンロードしてアップデートする際、悪質な偽のソースコードを標的の企業にダウンロードさせる攻撃を実行できる。

併せて読みたいお薦め記事

OSS活用のヒント

• いまさら聞けない「OSS」はなぜ魅力的で、なぜ手を出しにくいのか？
• アプリ開発に適したOSSローコードプラットフォーム3選
• OSSベースのオブジェクト、ファイル、ブロックストレージを一挙に紹介

システム開発におけるセキュリティ問題

• 最も脆弱性が多い言語は？　OSSの脆弱性は増大傾向
• サイバー犯罪者のトレンドはJavaScriptを悪用したスキミング

「ほぼ確実に侵入可能」　スクワッティングの本当の怖さ

　ビルサン氏はApple、Microsoft、Tesla、Netflixなど35社以上の企業に、偽のソースコードを用いた攻撃を実行できる危険性があることを確認した。この危険性が見つかった企業の大半は従業員数が1000人を超える企業だったという。「大規模な企業ほど、社内でプライベートパッケージを使用する割合が高いからではないか」と同氏は指摘する。