Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

オープンソースコンポーネントのサプライチェーン攻撃

sonatypeの調査によると、オープンソースコンポーネント脆弱性を出るのを待ち構えている攻撃者により、前年比4.3倍の攻撃増加が予想され、注意が必要です。

www.infosecurity-magazine.com

 

セキュリティの専門家は、主要なソフトウェアサプライチェーンに密かに感染するために、オープンソースコンポーネントを直接標的とする攻撃が前年比で430%増加すると警告しています。

(中略)

2019年には、グローバルなJava OSSダウンロードの10%以上にオープンソース脆弱性が1つ以上あり、公開されてから3日以内に新しい欠陥が悪用されたと報告書は主張している。

現在、アプリケーションのコンポーネントの90%はオープンソースであり、そのうちの11%が脆弱性を含んでいることが知られています。

(Infosecurity Magazine記事より引用)※機械翻訳

 

元ソース

 

 

キタきつねの所感

オープンソースコンポーネントを利用すると、リリースまでの時間を短縮できる効果が期待される事から、今や多くのアプリケーションでオープンソースコンポーネントは使われています。

※Infosecurity Magazine記事では、現在アプリケーションのコンポーネントの90%がオープンソースであると書かれています。

 

sonatypeのレポートでは、2020年には全てのオープンソースエコシステムで1.5兆のダウンロードリクエストが予想されています。

 

しかし、攻撃側はまさにソコ(サプライチェーン脆弱性)を突こうと狙っている様です。

2019年には、グローバルなJava OSSダウンロードの10%以上にオープンソース脆弱性が1つ以上あり、公開されてから3日以内に新しい欠陥が悪用されたと報告書は主張している。

(Infosecurity Magazine記事より引用)※機械翻訳

 

オープンソースのよく使われるコンポーネントが、未知あるいは既知の脆弱性を持っている場合、コンポーネントを利用している数百~数千のプロジェクトに攻撃が成功する可能性があり、攻撃者の標的となる可能性が高いと予想されています。

 

レポートでは、特にNode.jsとPythonリポジトリに警戒が必要であると書かれています。これはパッケージのインストール中に悪意のあるコードを入れ込む可能性があるためです。

 

2019年7月~2020年5月には、929件の攻撃が記録されたとあり、この攻撃がレポートの試算通りに4.3倍になったとすると、年間4,000件以上の攻撃が発生する事になります。

 

オープンソースコンポーネントを利用する企業は、脆弱性情報に常にアンテナを張っておく事、そしてパッチが出たら3日未満での適用、あるいはWAF等の緩和策を併用して早期のパッチ適用を図る事が重要かも知れません。

 

予算がある所であれば、自動化ツールによるアプリの一元管理によりコンポーネント」リスクを軽減できるかも知れません。

これらのリスクを軽減できる開発チームは、開発ライフサイクル全体で自動化されたソフトウェア構成分析(SCA)ツールを使用し、アプリケーションのソフトウェア部品表(SBOM)を一元管理する可能性が高いと報告書は述べています。

(Infosecurity Magazine記事より引用)※機械翻訳

 

攻撃側は「ビジネス」としてこうした攻撃を仕掛けてくる可能性が高く、脆弱性を突いた攻撃が仕掛けられるタイミングが従来よりも早くなってきています

対抗する防衛側もパッチ適用のスピード化を図る必要がある、そうした意識を強く持つ事が必要です。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 F5アタックのイラスト

 

更新履歴

  • 2020年8月17日 AM(予約投稿)