Python正規パッケージに“AWS認証情報を盗む機能”が追加されてしまった訳：Python「ctx」に見つかった不正機能の正体【後編】

Pythonのパッケージ「ctx」に、AWS認証情報の流出につながる不正な機能が追加された。なぜ、こうした問題が発生したのか。背景を解説する。

[Shaun Nichols，TechTarget]

　情報セキュリティ教育を手掛けるSANS Instituteの研究者イーチン・トク氏が、プログラミング言語「Python」のパッケージ（プログラム部品をまとめた「モジュール」の集合体）である「ctx」に、悪意のある機能が含まれていることを明らかにした。企業がこの機能を実行すると、Amazon Web Services（AWS）の同名クラウドサービス群の認証情報が流出する恐れがある。

　こうした悪意のある機能の追加は、なぜ可能だったのか。トク氏は調査を進める中で、その原因が

• 期限が切れたドメイン

だったことを突き止めた。

恐るべき“簡単過ぎる”攻撃の入り口

併せて読みたいお薦め記事

連載：Python「ctx」に見つかった不正機能の正体

• 前編：Pythonパッケージに不正追加の“AWS認証情報を盗む機能”はこうして見つかった

「Python」の知識を深めるには

• 初めてのプログラミングには「Python」を選ぶべき“セキュリティ的な理由”
• 「Python 3」と「Python 2」の“決定的な違い”とは？

　ctxを最初に作成した開発者は、ソースコード共有ツールとして「GitHub」を利用していた。このctx開発者がGitHubのアカウント登録に使用していたドメインが、期限切れになったのだ。攻撃者はこのドメインの制御を奪い、ctx開発者と同一ドメインのメールアカウントを作成。そのアカウントを使用してctx開発者のGitHubパスワードをリセットしたとみられる。その後、攻撃者はctxに、悪意のある機能を追加することに成功した。

　トク氏によれば、攻撃者はctxに加え、オープンソースのプログラミング言語「PHP」のモジュールであるパスワード暗号化ツール「phpass」にも不正な機能を混入させた。セキュリティベンダーSonatypeはctxとphpassの侵害について、両方に関連性があることを確認できたと述べる。

　攻撃者の間では、ソフトウェアベンダーのシステムに入り込み、攻撃の範囲をそのベンダーのユーザー企業に拡大させるサプライチェーン攻撃を仕掛ける動きが活発化している。オープンソースのツールの侵害は、サプライチェーン攻撃を成功させる手段の一例だ。

　サプライチェーン攻撃を防ぐには、ユーザー企業のセキュリティ担当者にとどまらず、ベンダーの開発者も高いセキュリティ意識を持つことが欠かせない。「開発者はコーディングに使用するパッケージを綿密に調査し、パッケージ内に余計な機能が潜んでいないかどうかを確認しなければならない」とトク氏は述べる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。