Pythonのパッケージ「ctx」に、AWS認証情報の流出につながる不正な機能が追加された。なぜ、こうした問題が発生したのか。背景を解説する。
情報セキュリティ教育を手掛けるSANS Instituteの研究者イーチン・トク氏が、プログラミング言語「Python」のパッケージ(プログラム部品をまとめた「モジュール」の集合体)である「ctx」に、悪意のある機能が含まれていることを明らかにした。企業がこの機能を実行すると、Amazon Web Services(AWS)の同名クラウドサービス群の認証情報が流出する恐れがある。
こうした悪意のある機能の追加は、なぜ可能だったのか。トク氏は調査を進める中で、その原因が
だったことを突き止めた。
ctxを最初に作成した開発者は、ソースコード共有ツールとして「GitHub」を利用していた。このctx開発者がGitHubのアカウント登録に使用していたドメインが、期限切れになったのだ。攻撃者はこのドメインの制御を奪い、ctx開発者と同一ドメインのメールアカウントを作成。そのアカウントを使用してctx開発者のGitHubパスワードをリセットしたとみられる。その後、攻撃者はctxに、悪意のある機能を追加することに成功した。
トク氏によれば、攻撃者はctxに加え、オープンソースのプログラミング言語「PHP」のモジュールであるパスワード暗号化ツール「phpass」にも不正な機能を混入させた。セキュリティベンダーSonatypeはctxとphpassの侵害について、両方に関連性があることを確認できたと述べる。
攻撃者の間では、ソフトウェアベンダーのシステムに入り込み、攻撃の範囲をそのベンダーのユーザー企業に拡大させるサプライチェーン攻撃を仕掛ける動きが活発化している。オープンソースのツールの侵害は、サプライチェーン攻撃を成功させる手段の一例だ。
サプライチェーン攻撃を防ぐには、ユーザー企業のセキュリティ担当者にとどまらず、ベンダーの開発者も高いセキュリティ意識を持つことが欠かせない。「開発者はコーディングに使用するパッケージを綿密に調査し、パッケージ内に余計な機能が潜んでいないかどうかを確認しなければならない」とトク氏は述べる。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
