セキュリティ研究者のアレックス・ビルサン氏とジャスティン・ガードナー氏は、ソースコード保管場所であるレジストリに、偽のソースコードを忍び込ませる攻撃手法を発見した。この攻撃手法は、オープンソースソフトウェア(OSS)のパッケージ(拡張機能群)のうち、企業が社内でホストしているプライベートなパッケージの名前が、ソースコード共有サービス「GitHub」で誤って公開されていたことを悪用。正規のプライベートパッケージを偽った悪質なソースコードをレジストリにアップロードすることで、標的企業に偽のソースコードをダウンロードさせ、標的に侵入する。
正規のプログラムを乗っ取るこうした攻撃を「スクワッティング」(不法占拠)と呼ぶ。攻撃者はスクワッティングを応用して、標的の企業がレジストリから最新版のソースコードをダウンロードしてアップデートする際、悪質な偽のソースコードを標的の企業にダウンロードさせる攻撃を実行できる。
ビルサン氏はApple、Microsoft、Tesla、Netflixなど35社以上の企業に、偽のソースコードを用いた攻撃を実行できる危険性があることを確認した。この危険性が見つかった企業の大半は従業員数が1000人を超える企業だったという。「大規模な企業ほど、社内でプライベートパッケージを使用する割合が高いからではないか」と同氏は指摘する。
ナイキ vs アディダス Z世代の心をつかむアプローチの違い
有名人や人気ファッションブランドとのコラボに加え、環境や社会問題への取り組みなど、...
求心力のある変革ビジョンに必要な「PECの工夫」
変革ビジョンの策定に当たっては、その内容もさることながら「決め方や伝え方」に心を配...
マーケティングDXをけん引するリーダーの役割
デジタルツールとデータを活用することで優れた顧客体験を提供するマーケティングDXの推...