Python正規パッケージに“AWS認証情報を盗む機能”が追加されてしまった訳Python「ctx」に見つかった不正機能の正体【後編】

Pythonのパッケージ「ctx」に、AWS認証情報の流出につながる不正な機能が追加された。なぜ、こうした問題が発生したのか。背景を解説する。

2022年07月26日 08時15分 公開
[Shaun NicholsTechTarget]

 情報セキュリティ教育を手掛けるSANS Instituteの研究者イーチン・トク氏が、プログラミング言語「Python」のパッケージ(プログラム部品をまとめた「モジュール」の集合体)である「ctx」に、悪意のある機能が含まれていることを明らかにした。企業がこの機能を実行すると、Amazon Web Services(AWS)の同名クラウドサービス群の認証情報が流出する恐れがある。

 こうした悪意のある機能の追加は、なぜ可能だったのか。トク氏は調査を進める中で、その原因が

  • 期限が切れたドメイン

だったことを突き止めた。

恐るべき“簡単過ぎる”攻撃の入り口

 ctxを最初に作成した開発者は、ソースコード共有ツールとして「GitHub」を利用していた。このctx開発者がGitHubのアカウント登録に使用していたドメインが、期限切れになったのだ。攻撃者はこのドメインの制御を奪い、ctx開発者と同一ドメインのメールアカウントを作成。そのアカウントを使用してctx開発者のGitHubパスワードをリセットしたとみられる。その後、攻撃者はctxに、悪意のある機能を追加することに成功した。

 トク氏によれば、攻撃者はctxに加え、オープンソースのプログラミング言語「PHP」のモジュールであるパスワード暗号化ツール「phpass」にも不正な機能を混入させた。セキュリティベンダーSonatypeはctxとphpassの侵害について、両方に関連性があることを確認できたと述べる。

 攻撃者の間では、ソフトウェアベンダーのシステムに入り込み、攻撃の範囲をそのベンダーのユーザー企業に拡大させるサプライチェーン攻撃を仕掛ける動きが活発化している。オープンソースのツールの侵害は、サプライチェーン攻撃を成功させる手段の一例だ。

 サプライチェーン攻撃を防ぐには、ユーザー企業のセキュリティ担当者にとどまらず、ベンダーの開発者も高いセキュリティ意識を持つことが欠かせない。「開発者はコーディングに使用するパッケージを綿密に調査し、パッケージ内に余計な機能が潜んでいないかどうかを確認しなければならない」とトク氏は述べる。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news076.jpg

オラクルが広告事業から撤退へ ポストCookie時代の業界地図は変わるか?
Oracleは「Responsys」「Moat」「BlueKai」などの買収を重ねて広告部門を構築してきた。...

news068.jpg

琉球泡盛「残波」「海乃邦」の海外展開を例に考える日本のブランドが持つべき視点
日本のブランドが海外展開で持つべき視点とはどのようなものか。2024年4月にI&CO APAC代...

news131.jpg

メッシやベリンガム、ヴィルツも登場 アディダスが世界で展開する豪華過ぎるサッカー推しキャンペーンの中身
Adidasが夏のサッカーシーズンに向けて新キャンペーンを世界各地で展開する。デビッド・...