どうする、汚染された開発ツール問題 | ScanNetSecurity
2024.03.29(金)

どうする、汚染された開発ツール問題

国内ではあまり話題になっていないが、1月6日のNewYork TimesがJetBrains社の開発ツールがロシアの攻撃者の侵入経路になっていることを報じている。この手の攻撃は新しいものではないが、難しい問題もはらんでいる。

特集 コラム
 国内ではあまり話題になっていないが、1月6日、The New York Times 誌が JetBrains 社の開発ツールがロシアの攻撃者の侵入経路になっていることを報じている。この手の攻撃は新しいものではないが、難しい問題もはらんでいる。

 JetBrainsでピンとこなくても「 IntelliJ IDEA 」を知らない開発者はいないだろう。Java、C++、PHP、Python といったプログラム開発に世界中で利用されているツールを手掛けている。Web プログラミングでは、TeamCity という CI/DI ツールも有名だ。

 記事によれば、同社の研究施設がロシアにあることから、ロシアハッカーの犯行と同社製品の汚染を示唆する内容になっているが、確認された事実はない。もちろん、同社は関与を否定して調査していると述べる。

 開発ツールやライブラリの汚染が問題なのは、ハッキングされたツールを利用して開発されたソフトウェアも汚染されるという点だ。むろん、攻撃者の狙いは開発ツールに侵入することが目的ではなく、それによって開発されるソフトウェアにバックドアやマルウェアを仕込むことだ。知らずに開発されたソフトウェアは製品として大量に複製され出荷されたり、Web サービスとして多数のユーザーが利用する。

 したがって、正規の流通ルートや Web を使って効率よくマルウェア感染を広げることができる。ばら撒き型の攻撃だけでなく、特定ユーザーや特定トラフィックに反応するように仕組んでおけば、標的型攻撃や諜報活動にも利用できる。

 実際、SolarWinds というソリューションプロバイダのサービスにバックドアが発見されている。SolarWinds は、通信事業者や政府機関とも取引がある大手のひとつだ。The NewYork Times が取り上げたのも、大統領選挙に関連して政府機関のデータが盗まれた可能性を考慮したからだろう。

 もうひとつの問題は、どの企業が、汚染ツールのどの機能を使って、どんな製品を作ったのか、といった追跡が困難なことだ。詳細が把握できなければ、ベンダーやプロバイダは自社製品すべてが汚染された前提での対応を余儀なくされてしまう。対応そのものは、そのソフトウェアやサービスを利用するユーザー環境の最新のものにする(パッチをあてる)、汚染されたソフトウェアやサービスの利用停止やアップデートなど基本的な対策となる。

 ツールベンダは、汚染されたツールやライブラリの復旧、無害化が最優先だ。ただ、ここでひとつの問題がある。近年、バックドアが指摘される製品の多くが、国家支援によるものとされ、ベンダーが「排除した」「そんなコードはない」といっても信用されにくい。これらの国家陰謀説は、一部に荒唐無稽なものやエビデンスに乏しいものがあるものの、各国政府がサイバー諜報活動、サイバー攻撃を秘密裡に行っていることは半ば公然の秘密だ。

 企業がこのような疑いを掛けられたとき、その無実を晴らすには、日ごろからソースコードを公開しておくくらいしかない。オープンソース利用はひとつの解になるが、自社開発のコード、知的財産の保護とのバランスを考える必要がある。

※2021年2月28日追記:The New York Times紙の記事内容および事実関係の記述に、不正確な部分がありました。現時点で、JetBrains社の製品の汚染が原因でSolarWinds社の製品、サービスの脆弱性につながった事実は確認されていません。2社について言及した表現をより正確になるように修正しました。

《中尾 真二( Shinji Nakao )》

関連記事

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  8. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  9. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  10. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

ランキングをもっと見る