2022年07月26日 08時15分 公開
特集/連載

Python正規パッケージに“AWS認証情報を盗む機能”が追加されてしまった訳Python「ctx」に見つかった不正機能の正体【後編】

Pythonのパッケージ「ctx」に、AWS認証情報の流出につながる不正な機能が追加された。なぜ、こうした問題が発生したのか。背景を解説する。

[Shaun Nichols,TechTarget]

 情報セキュリティ教育を手掛けるSANS Instituteの研究者イーチン・トク氏が、プログラミング言語「Python」のパッケージ(プログラム部品をまとめた「モジュール」の集合体)である「ctx」に、悪意のある機能が含まれていることを明らかにした。企業がこの機能を実行すると、Amazon Web Services(AWS)の同名クラウドサービス群の認証情報が流出する恐れがある。

 こうした悪意のある機能の追加は、なぜ可能だったのか。トク氏は調査を進める中で、その原因が

  • 期限が切れたドメイン

だったことを突き止めた。

恐るべき“簡単過ぎる”攻撃の入り口

 ctxを最初に作成した開発者は、ソースコード共有ツールとして「GitHub」を利用していた。このctx開発者がGitHubのアカウント登録に使用していたドメインが、期限切れになったのだ。攻撃者はこのドメインの制御を奪い、ctx開発者と同一ドメインのメールアカウントを作成。そのアカウントを使用してctx開発者のGitHubパスワードをリセットしたとみられる。その後、攻撃者はctxに、悪意のある機能を追加することに成功した。

 トク氏によれば、攻撃者はctxに加え、オープンソースのプログラミング言語「PHP」のモジュールであるパスワード暗号化ツール「phpass」にも不正な機能を混入させた。セキュリティベンダーSonatypeはctxとphpassの侵害について、両方に関連性があることを確認できたと述べる。

 攻撃者の間では、ソフトウェアベンダーのシステムに入り込み、攻撃の範囲をそのベンダーのユーザー企業に拡大させるサプライチェーン攻撃を仕掛ける動きが活発化している。オープンソースのツールの侵害は、サプライチェーン攻撃を成功させる手段の一例だ。

 サプライチェーン攻撃を防ぐには、ユーザー企業のセキュリティ担当者にとどまらず、ベンダーの開発者も高いセキュリティ意識を持つことが欠かせない。「開発者はコーディングに使用するパッケージを綿密に調査し、パッケージ内に余計な機能が潜んでいないかどうかを確認しなければならない」とトク氏は述べる。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news122.jpg

「ペプシチャレンジ」で煽られて焦ったコカ・コーラの“痛恨のやらかし”とは?
長年の間「コーラ戦争」を続けてきたCoca-ColaとPepsi。マーケティング施策でも切磋琢磨...

news149.jpg

デジタル化する顧客体験に関する消費者と企業の認識ギャップ――ナイスジャパン調査
問い合わせの初動としてインターネットやFAQ検索をする人が約8割。デジタルチャネルによ...

news042.jpg

気象データは近未来のデータ 予測に基づき「役に立つ」広告を届ける
気象データを活用することでどのような広告コミュニケーションが可能になるのか。海外の...