君は怒れるユニコーンを見たか? OSS の脆弱性を一掃しようとした研究者の記録 | ScanNetSecurity
2024.02.28(水)

君は怒れるユニコーンを見たか? OSS の脆弱性を一掃しようとした研究者の記録

 彼が考えたのは「体質改善」だ。セキュアでないコード断片をレポジトリから取り除けば、ソフトウェア全体の強化につながる。だが、どうやって? 手作業ではとうてい不可能だ。

研修・セミナー・カンファレンス セミナー・イベント
きみは怒れるユニコーンを見たか? OSS の脆弱性一掃に取り組んだ研究者の記録(画像はイメージです)
きみは怒れるユニコーンを見たか? OSS の脆弱性一掃に取り組んだ研究者の記録(画像はイメージです) 全 5 枚 拡大写真

 CODE BLUE 2023 の開催が迫る。今年の開期は来週 11月 8 日 (水) から 9 日 (木) まででフィジカル開催のみ当日券より 3 万円安い通常チケットの販売は本日 11 月 2 日 (木) 23:59 まで。

 本稿では年開催された CODE BLUE 2022の講演の中から、特に興味深かったセッションを厳選し、蔵出しでレポート記事をお届けする。

--

 よいプログラマーなら「Stack Overflow」や「OpenAI」を参照する際には慎重さを忘れないだろう。なぜなら、これらが提供するコードには既知の脆弱性が含まれている可能性が高いからだ。同様に、OSS を筆頭とする既存ライブラリ・レポジトリ、外部モジュールの利用も同じ注意が必要だ。

●このコードはどこから来た?

 ジョナサン・ライチュー氏は「ダン・カミンスキー基金」の初代フェローでもあるハッカーだ。GitHub からも支援を受けている。故ダン・カミンスキー氏は DNS キャッシュポイズニングの効果的な攻撃手法であるカミンスキーアタックを発見したことで有名な「天才ハッカー(といったバカみたいな表現が許される、そしてそれが適切ですらある技術者)」だったが、惜しまれながら 2021 年に 42 歳という若さで夭折した。

 ライチュー氏は、本稿で紹介する OSS の脆弱性を一掃する取り組みが評価され、カミンスキー氏の没後設立された基金のフェローに選ばれている。

 ライチュー氏は、とくに GitHub のようなオープンレポジトリのライブラリやソフトウェアに潜む脆弱性の検知と修正に力を注いでいる。研究開発から商用ソフトウェアまで、ソフトウェア開発のインフラにもなっている GitHub のコードは、じつは Stack Overflow(質問サイト)や OpenAI(コード生成 AI)と同様な問題を抱えている。集合知の一形態ともいえる質問サイトや機械学習 AI は、必然として過去の脆弱性をもコピーし学習しているからだ。

 彼がこの問題に着目し取り組み始めたのは、自分のコードをレビューしていたときだという。コードの依存性解決のための行に身に覚えのない HTTP リクエストが入っていた。いまどき HTTPS ではない呼び出しだ。こんなリクエストは中間者攻撃の恰好の餌食となる。

「どこから来たコードだ?」と疑問に思い、コードのコピペが原因ではないかと気づく。調べると Maven のようなリポジトリに同様な脆弱性を発見する。それもごく普通に。Spring、RedHat、Kotlin、Jenkins、Apache、JetBrains、Gradle、groovy などあらゆるプロジェクトも例外ではない。そしてこれらのプロジェクトは、Oracle、LinkedIn などメジャーな企業サービスだけでなく NSA のような国家機関のシステムも利用している。

●OSSプロジェクトの体質を改善せよ

 ライチュー氏によれば、レポジトリを調査したところ、HTTP リクエストを使ったものが 25 %も存在したという。主だった OSS プロジェクトにコンタクトをとり、「HTTP 排除」運動を呼び掛けた。Maven、JCenter、Spring、Gradle などはすぐに反応し改善に動いた・・・かに見えた。


《中尾 真二( Shinji Nakao )》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

    JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

  2. ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

    ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

  3. エレコム製無線 LAN ルータに複数の脆弱性

    エレコム製無線 LAN ルータに複数の脆弱性

  4. ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

    ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

  5. ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

    ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

ランキングをもっと見る
PageTop