セキュリティテストのCheckmarxがオープンソースサプライチェーンのセキュリティを確保するDusticoを買収

今回は「セキュリティテストのCheckmarxがオープンソースサプライチェーンのセキュリティを確保するDusticoを買収」についてご紹介します。

関連ワード （Checkmarx、オープンソース、サプライチェーン、ランサムウェア、買収等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

イスラエルの静的なアプリケーションセキュリティテスト（application security testingｍ、AST）のプロバイダーであるCheckmarxが、オープンソースのサプライチェーンセキュリティのスタートアップDusticoを、価額非公開で買収した。

2020年に創業されたDusticoは、機械学習を用いた動的なソースコード分析を提供し、ソフトウェアのサプライチェーンの中に悪質な攻撃やバックドアを検出する。

この買収でCheckmarxは、同社の静的なASTにDusticoの行動分析技術を組み合わせて、顧客にオープンソースパッケージの、リスクと評判の一体化したビューを与える。そしてその結果、ソフトウェアサプライチェーンの攻撃を防ぐためのより総合的なアプローチが得られる。

関連記事：世界を手中に収めたオープンソースソフトウェア

この買収は、サプライチェーンの攻撃が急増している最中に行われ、そこでは攻撃者が悪質なコードを信頼されているソフトウェアやハードウェアに忍び込ませている。2020年12月には、ロシアのハッカーがソフトウェア企業SolarWindsを侵犯して同社のIT管理ツールOrionに悪質なコードを植えたことが明らかとなった。後にロシアの対外諜報サービスであることが判明したそのハッカーは、そのコードのおかげで、Orionソフトウェアを使っている18000ものネットワークにアクセスできた。

関連記事：2020 was a record year for Israel’s security startup ecosystem（未訳、有料記事）

Dusticoの技術はSonatypeが提供しているものと似ており、三段構えのやり方でオープンソースのパッケージを分析する。最初は信頼性に着目して、パッケージのプロバイダーとオープンソースのコミュニティの住人である個々のコントリビューターの間の信頼性を可視化し、次にパッケージの健全性を調べて、そのメンテナンスのレベルを判定する。そして最後は、Dusticoの高度なビヘイビア分析エンジンがパッケージを調べて、そこに隠れている悪質な攻撃やバックドア、ランサムウェア、多段階攻撃、そしてトロイの木馬などを見つける。

両社によると、この洞察結果にCheckmarxのASTソリューションが組み合わさり、企業や開発者に、オープンソースとそれに依存しているサプライチェーンに結びついているリスクを管理するための、より大きな洞察力を与える。

CheckmarxのCEOであるEmmanuel Benzaquen（エマニュエル・ベンザケン）氏は次のように述べている。「DusticoとそのチームをCheckmarxを迎えることにより、イスラエルのテクノロジーのエコシステムはサイバーセキュリティのイノベーションと才能をさらに拡大できます。オープンソースの分析に対するDusticoの他と差別化されたアプローチと、Checkmarxのセキュリティテスト能力がブレンドして、顧客に現状打破的な価値をもたらし、ソフトウェアのサプライチェーンが抱えるセキュリティの課題を管理できるようになる」。

Dusticoを買収する前の2020年3月には、Checkmarxはプライベート・エクイティ企業Hellman & Friedmanに11億5000万ドル（約1267億5000万円）の評価額で買収された。さらにさかのぼって2015年には、同社は8400万ドル（約92億6000万円）の投資でInsight Partnersに身売りした。

関連記事
・スパイウェア「Pegasus」が政府批判を行う女性ジャーナリストのスマホから写真を盗むために使われた疑惑が浮上
・米国防総省がセンサー・AI・クラウドを組み合わせ「数日先の異変を察知」する未来予知システム「GIDE」開発中
・産業用サイバーセキュリティのNozomi NetworksがIPO前に約110億円調達

画像クレジット：Dmitry Bairachnyi/Getty Images

【原文】

Checkmarx, an Israeli provider of static application security testing (AST), has acquired open-source supply chain security startup Dustico for an undisclosed sum. 

Founded in 2020, Dustico provides a dynamic source-code analysis platform that employs machine learning to detect malicious attacks and backdoors in software supply chains. 

The acquisition will see Checkmarx combine its AST capabilities with Dustico’s behavioral analysis technology to give customers a consolidated view into the risk and reputation of open-source packages, and, as a result, a more comprehensive approach to preventing supply chain attacks. 

The deal comes amid a sharp rise in supply chain attacks, in which threat actors slip malicious code into a trusted piece of software or hardware. Last December, it was revealed that Russian hackers had breached software firm SolarWinds to plant malicious code in its IT management tool Orion. This allowed the hackers — later identified as Russia’s Foreign Intelligence Service (SVR) — to access as many as 18,000 networks that used the Orion software.

Dustico’s technology, which is similar to that offered by Sonatype, analyses open-source packages using a three-pronged approach. First, it factors in trust, providing visibility into the credibility of package providers and individual contributors in the open-source community, then it examines the health of packages to determine their level of maintenance. Finally, Dustico’s advanced behavioral analysis engine inspects the package and looks for malicious attacks hiding within, including backdoors, ransomware, multistage attacks and trojans. 

This insight, coupled with vulnerability results from Checkmarx’s AST solutions, aims to give organizations and developers greater insights for managing the risks associated with open-source and the supply chains dependent on them, according to the two companies.

“We’re thrilled to welcome Dustico and its team to Checkmarx as the Israeli tech ecosystem continues to push the boundaries of cybersecurity innovation and talent,” said Emmanuel Benzaquen, CEO of Checkmarx.  “Blending Dustico’s differentiated approach to open-source analysis with Checkmarx’s security testing capabilities will bring disruptive value to our customers as they manage the challenges with securing software supply chains.”

The acquisition of Dustico comes after Checkmarx was bought by private equity firm Hellman & Friedman at a valuation of $1.15 billion in March 2020. Prior to this, in 2015, the company was sold to Insight Partners with an $84 million investment. 

（文：Carly Page、翻訳：Hiroshi Iwatani）

ランサムウェアとは・・ - 警察庁

ランサムウェアとは・・. ランサムウェア ( Ransomware )とは、「 Ransom （身代金）」と「 Software （ソフトウェア）」を組み合わせて作られた名称であり、コンピュータウィルスの一種です。. このウィルスに感染するとパソコン内に保存しているデータを勝手に暗号化されて使えない状態になったり、スマートフォンが操作不能になったりしてしまいます。. また、感染し ...

ランサムウェア - Wikipedia

ランサムウェア（英語: Ransomware ）とは、マルウェアの一種である。これに感染したコンピュータは、利用者のシステムへのアクセスを制限する。この制限を解除するため、マルウェアの作者が被害者に

ランサムウェアとは？感染経路や対策についてもわかりやすく ...

ランサムウェアとは、 感染した端末やそこに保存されているファイルを使用不能にし、その解除と引き換えに身代金（Ransome）を要求するマルウェア*（Malware） のことです。

ランサムウェア対策特設ページ：IPA 独立行政法人 情報処理 ...

情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

ランサムウェアはマルウェアと何が違うのか？ | サイバー ...

ランサムウェアは、「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせて作られた造語である。ランサムウェアに感染すると、多くの場合、パソコンに保存したファイルやハードディスクが暗号化されてしまい、アクセスができ

ランサムウェアとは？〜「ランサムウェア」の基本と対策 ...

 · ランサムウェアとは「身代金（ランサム＝Ransom）を要求するマルウェア（Malware）」を指し、「身代金要求型不正プログラム」とも呼ばれます。感染したコンピュータを強制的にロックしたりの中にあるファイルを暗号化して、制限の解除

ランサムウエア感染で“身代金”要求 日本企業で被害相次ぐ ...

【NHK】企業のパソコンなどに保管してあるデータを暗号化して、その解除と引き換えに身代金を要求し、支払いを拒んだ場合には、盗み取っ…

2021年も増加傾向のランサムウェア、被害に関する共通点とは ...

IPA『情報セキュリティ10大脅威』（2021）では、「ランサムウェアによる被害」が組織部門1位と、ランサムウェアによる攻撃に警戒を促しています。サイバー救急センターへの問い合わせ増加を受けて、ランサムウェアの動向とご相談から見えた共通点をご紹介します。

【2021年最新】ランサムウェアの進化した攻撃の手口と被害の ...

ランサムウェアとは「感染するとデータを暗号化し読めなくして身代金を要求する」卑劣な不正プログラムです。カプコンやホンダなどに日本企業も狙われ、個人や中小企業、海外では学校･病院などの公的機関にも被害が広がっています。ランサムウェアとはなにか？またカプコンをはじめとする被害の事例について2020年から21年の最新情報をわかりやすく解説します。

「新たなランサムウエア攻撃が目立った」、IPAの情報 ...

　情報処理推進機構（IPA）は2021年7月30日、情報セキュリティ白書2021を発刊した。同白書では新たなランサムウエア攻撃やサプライチェーン攻撃などを取り上げている。