どうする、汚染された開発ツール問題

　国内ではあまり話題になっていないが、1月6日、The New York Times 誌が JetBrains 社の開発ツールがロシアの攻撃者の侵入経路になっていることを報じている。この手の攻撃は新しいものではないが、難しい問題もはらんでいる。

　JetBrainsでピンとこなくても「 IntelliJ IDEA 」を知らない開発者はいないだろう。Java、C＋＋、PHP、Python といったプログラム開発に世界中で利用されているツールを手掛けている。Web プログラミングでは、TeamCity という CI/DI ツールも有名だ。

　記事によれば、同社の研究施設がロシアにあることから、ロシアハッカーの犯行と同社製品の汚染を示唆する内容になっているが、確認された事実はない。もちろん、同社は関与を否定して調査していると述べる。

　開発ツールやライブラリの汚染が問題なのは、ハッキングされたツールを利用して開発されたソフトウェアも汚染されるという点だ。むろん、攻撃者の狙いは開発ツールに侵入することが目的ではなく、それによって開発されるソフトウェアにバックドアやマルウェアを仕込むことだ。知らずに開発されたソフトウェアは製品として大量に複製され出荷されたり、Web サービスとして多数のユーザーが利用する。

　したがって、正規の流通ルートや Web を使って効率よくマルウェア感染を広げることができる。ばら撒き型の攻撃だけでなく、特定ユーザーや特定トラフィックに反応するように仕組んでおけば、標的型攻撃や諜報活動にも利用できる。

　実際、SolarWinds というソリューションプロバイダのサービスにバックドアが発見されている。SolarWinds は、通信事業者や政府機関とも取引がある大手のひとつだ。The NewYork Times が取り上げたのも、大統領選挙に関連して政府機関のデータが盗まれた可能性を考慮したからだろう。

　もうひとつの問題は、どの企業が、汚染ツールのどの機能を使って、どんな製品を作ったのか、といった追跡が困難なことだ。詳細が把握できなければ、ベンダーやプロバイダは自社製品すべてが汚染された前提での対応を余儀なくされてしまう。対応そのものは、そのソフトウェアやサービスを利用するユーザー環境の最新のものにする（パッチをあてる）、汚染されたソフトウェアやサービスの利用停止やアップデートなど基本的な対策となる。

　ツールベンダは、汚染されたツールやライブラリの復旧、無害化が最優先だ。ただ、ここでひとつの問題がある。近年、バックドアが指摘される製品の多くが、国家支援によるものとされ、ベンダーが「排除した」「そんなコードはない」といっても信用されにくい。これらの国家陰謀説は、一部に荒唐無稽なものやエビデンスに乏しいものがあるものの、各国政府がサイバー諜報活動、サイバー攻撃を秘密裡に行っていることは半ば公然の秘密だ。

　企業がこのような疑いを掛けられたとき、その無実を晴らすには、日ごろからソースコードを公開しておくくらいしかない。オープンソース利用はひとつの解になるが、自社開発のコード、知的財産の保護とのバランスを考える必要がある。

※2021年2月28日追記：The New York Times紙の記事内容および事実関係の記述に、不正確な部分がありました。現時点で、JetBrains社の製品の汚染が原因でSolarWinds社の製品、サービスの脆弱性につながった事実は確認されていません。2社について言及した表現をより正確になるように修正しました。