どうする、汚染された開発ツール問題 | ScanNetSecurity
2021.03.08(月)

どうする、汚染された開発ツール問題

国内ではあまり話題になっていないが、1月6日のNewYork TimesがJetBrains社の開発ツールがロシアの攻撃者の侵入経路になっていることを報じている。この手の攻撃は新しいものではないが、難しい問題もはらんでいる。

特集 コラム
 国内ではあまり話題になっていないが、1月6日、The New York Times 誌が JetBrains 社の開発ツールがロシアの攻撃者の侵入経路になっていることを報じている。この手の攻撃は新しいものではないが、難しい問題もはらんでいる。

 JetBrainsでピンとこなくても「 IntelliJ IDEA 」を知らない開発者はいないだろう。Java、C++、PHP、Python といったプログラム開発に世界中で利用されているツールを手掛けている。Web プログラミングでは、TeamCity という CI/DI ツールも有名だ。

 記事によれば、同社の研究施設がロシアにあることから、ロシアハッカーの犯行と同社製品の汚染を示唆する内容になっているが、確認された事実はない。もちろん、同社は関与を否定して調査していると述べる。

 開発ツールやライブラリの汚染が問題なのは、ハッキングされたツールを利用して開発されたソフトウェアも汚染されるという点だ。むろん、攻撃者の狙いは開発ツールに侵入することが目的ではなく、それによって開発されるソフトウェアにバックドアやマルウェアを仕込むことだ。知らずに開発されたソフトウェアは製品として大量に複製され出荷されたり、Web サービスとして多数のユーザーが利用する。

 したがって、正規の流通ルートや Web を使って効率よくマルウェア感染を広げることができる。ばら撒き型の攻撃だけでなく、特定ユーザーや特定トラフィックに反応するように仕組んでおけば、標的型攻撃や諜報活動にも利用できる。

 実際、SolarWinds というソリューションプロバイダのサービスにバックドアが発見されている。SolarWinds は、通信事業者や政府機関とも取引がある大手のひとつだ。The NewYork Times が取り上げたのも、大統領選挙に関連して政府機関のデータが盗まれた可能性を考慮したからだろう。

 もうひとつの問題は、どの企業が、汚染ツールのどの機能を使って、どんな製品を作ったのか、といった追跡が困難なことだ。詳細が把握できなければ、ベンダーやプロバイダは自社製品すべてが汚染された前提での対応を余儀なくされてしまう。対応そのものは、そのソフトウェアやサービスを利用するユーザー環境の最新のものにする(パッチをあてる)、汚染されたソフトウェアやサービスの利用停止やアップデートなど基本的な対策となる。

 ツールベンダは、汚染されたツールやライブラリの復旧、無害化が最優先だ。ただ、ここでひとつの問題がある。近年、バックドアが指摘される製品の多くが、国家支援によるものとされ、ベンダーが「排除した」「そんなコードはない」といっても信用されにくい。これらの国家陰謀説は、一部に荒唐無稽なものやエビデンスに乏しいものがあるものの、各国政府がサイバー諜報活動、サイバー攻撃を秘密裡に行っていることは半ば公然の秘密だ。

 企業がこのような疑いを掛けられたとき、その無実を晴らすには、日ごろからソースコードを公開しておくくらいしかない。オープンソース利用はひとつの解になるが、自社開発のコード、知的財産の保護とのバランスを考える必要がある。

※2021年2月28日追記:The New York Times紙の記事内容および事実関係の記述に、不正確な部分がありました。現時点で、JetBrains社の製品の汚染が原因でSolarWinds社の製品、サービスの脆弱性につながった事実は確認されていません。2社について言及した表現をより正確になるように修正しました。

《中尾 真二( Shinji Nakao )》

関連記事

PageTop

アクセスランキング

  1. JALマイレージバンク会員情報が漏えい、スイス SITA 社に高度に洗練された標的型攻撃

    JALマイレージバンク会員情報が漏えい、スイス SITA 社に高度に洗練された標的型攻撃

  2. 英学校で生徒に配布したノート PC、出荷段階でマルウェアがインストール

    英学校で生徒に配布したノート PC、出荷段階でマルウェアがインストール

  3. 標的型攻撃に使われたMicrosoft Exchange Server の脆弱性に対し修正プログラムを定例外で公開

    標的型攻撃に使われたMicrosoft Exchange Server の脆弱性に対し修正プログラムを定例外で公開

  4. 日経225企業の75%がドメインなりすまし未対策、ProofPoint 調査

    日経225企業の75%がドメインなりすまし未対策、ProofPoint 調査

  5. 公正取引委員会で情報流出、ファイルのグラフをクリックすると個人情報が閲覧可能に

    公正取引委員会で情報流出、ファイルのグラフをクリックすると個人情報が閲覧可能に

  6. ビジネス OSINT とは何か? 経営に正しく役立てる方法  ~  日本ハッカー協会 代表理事 杉浦氏講演

    ビジネス OSINT とは何か? 経営に正しく役立てる方法 ~ 日本ハッカー協会 代表理事 杉浦氏講演

  7. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  8. メール配信作業中のミスが原因で誤送信、1万名分の顧客リストが流出

    メール配信作業中のミスが原因で誤送信、1万名分の顧客リストが流出

  9. クラウド型顧客管理システム設定不備、コナミグループへ不正アクセス

    クラウド型顧客管理システム設定不備、コナミグループへ不正アクセス

  10. 2020年不正アクセスの実態を公表、犯行手口はフィッシングサイトからの入手が最多

    2020年不正アクセスの実態を公表、犯行手口はフィッシングサイトからの入手が最多

ランキングをもっと見る