「Discord」ユーザーを狙うマルウェアが見つかったことに際して、セキュリティ専門家はオープンソースソフトウェアのリポジトリを悪用する攻撃への注意を促している。その背景は。
DevOps(開発と運用の統合)ツールベンダーJFrogは、ゲーマー向けボイスチャットツール「Discord」のユーザーを狙う17個の悪質なパッケージ(拡張機能群)を発見した。これらのパッケージは、「Node.js」用のパッケージ管理ツール「npm」のリポジトリ(保管場所)に存在していた。Node.jsは「JavaScript」のサーバサイド実行環境であり、オープンソースソフトウェアだ。Discordの運営元であるDiscord社をはじめ、さまざまな大企業が使っている。
JFrogのセキュリティ研究者アンドレー・ポルコフニチェンコ氏とシャシャー・メナシュ氏は、攻撃者がリポジトリでマルウェアをホストするのは「現在のトレンドだ」と警告する。両氏は同社公式ブログのエントリ(記事)で以下のように解説する。
最近の攻撃者は、オープンソースソフトウェア用の公開リポジトリでマルウェアをホストして配布しています。公開リポジトリは、マルウェアを配布するための便利なツールになりつつあります。マルウェア対策ソフトウェアやファイアウォールは、リポジトリを運用するサーバを「信頼できるサーバ」だと見なし、そうしたサーバとの通信を検査対象外にする場合があるからです。タスク自動化ツールの普及で、公開リポジトリにあるパッケージを簡単にインストールできるようになったことも、格好の攻撃対象を生む要因だと言えます
2021年11月に公開したエントリでも、JFrogはリポジトリでホストされる別のマルウェアの例を取り上げた。それは、プログラミング言語「Python」用のリポジトリ「Python Package Index」(PyPI)を悪用するものだ。このマルウェアはPyPIとの通信を偽装する。メナシュ氏は、ソースコード共有サービス「GitHub」が2021年11月、npmにある人気パッケージを使用するアカウントに2要素認証を要求するよう決定したことにも触れ、npm利用時のセキュリティの重要性を強調する。
Discord社の広報担当者は、同社のセキュリティへの取り組み方針を次のように説明する。
Discordのセキュリティ確保はわれわれの優先事項です。Discordユーザーに影響が及ぶ前に検出するために、われわれは先回りしたスキャンと、外部からの報告を組み合わせて活用しています。攻撃のためにDiscordを悪用する攻撃者を見つけ出し、一掃しようと積極的に取り組んでいます。そうした事例や悪質な行為を見つけたら、攻撃に関わるコンテンツを削除し、攻撃者に適切な措置を講じます
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。
昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。
サイバー攻撃が激化する中、防御側は限られたリソースで対策することに苦慮している。こうした状況において組織が優先すべきは、エンドポイントと認証情報の保護であり、これらの有効な防御手段として注目されているのが、XDRとITDRだ。
昨今、セキュリティ教育の重要性が高まっている。しかし、効果を正確に測ることが難しく、目標設定や運用に悩むケースも少なくない。本資料では、担当者の負担を軽減しながら、このような問題を解消する方法を紹介する。
情報セキュリティ対策では、従業員の意識を高めるための“教育”が重要となる。しかしセキュリティ教育は、効果の測定が難しく、マンネリ化もしやすいなど課題が多い。効果的なセキュリティ教育を、負荷を抑えて実現するには何が必要か。
なぜクラウドセキュリティは複雑ではなく「包括的でシンプル」にすべきなのか? (2025/6/13)
「見える化」ではもう守れない アタックサーフェス管理の限界と次世代の対策 (2025/6/12)
中小企業が買うのは信用 L2スイッチ&認証技術で2つの企業が組んだ理由 (2025/6/5)
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
EDR、XDR、MDR それぞれの違いと導入企業が得られるものとは (2025/5/15)
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...