「XZ Utils」だけが破壊工作の標的ではない可能性–オープンソース財団

今回は「「XZ Utils」だけが破壊工作の標的ではない可能性–オープンソース財団」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 「XZ Utils」のバックドア問題(CVE-2024-3094)が、単発的な出来事ではない可能性が出てきた。Open Source Security Foundation(OpenSSF)とOpenJS Foundationが共同声明で明らかにした。

 XZ Utilsに関する一連の出来事をまだ知らない方は、筆者の尊敬する同僚であるSteven J. Vaughan-Nichols記者が執筆した記事「XZ Utilsのバックドア問題–オープンソースのセキュリティを考える」を読んでほしい。簡単に言えば、xzデータ圧縮ユーティリティーのメンテナーだったJia Tan氏なる人物がコードにバックドアを仕掛け、攻撃者が「Linux」を乗っ取れるようにしていたことを、Microsoftのエンジニアが発見したという話だ。

 両財団が今回の声明で、同じような乗っ取りの試みが他にも行われた確かな証拠があると示唆したことから、誰もが注意する必要がある。

 OpenJS Foundationによれば、「重大な脆弱性に対処する」ために人気の高いJavaScriptプロジェクトの1つをアップデートするよう要求する一連の不審なメールが、同財団のCross Project Councilに届いたという。これらの不審なメールには具体的な情報がまったく書かれていなかったが、メールの発信者は、そのプロジェクトの新しいメンテナーとして自分たちを指名するよう求めていた。これは、Jin Tan氏がXZ Utilsにバックドアを仕掛けた手口と同じだ。

 また、そのプロジェクトだけが標的にされたわけではなかったと、両財団は述べている。少なくとも他の2つのプロジェクトも狙われた。このセキュリティリスクに対しては、ただちに警告が発せられた。

 OpenJS Foundationは共同声明の中で、「Linux Foundationと協力しながら、すべてのオープンソースメンテナーの間で、この進行中の脅威に対する認識が高まるようにし、セキュリティとオープンソースの専門家で構成される幅広いコミュニティを通じて、実践的なガイダンスとリソースを提供したいと考えている」と語っている。

 その上で、両財団はソーシャルエンジニアリングによる乗っ取りが疑われる既知のパターンを紹介した。以下のリストはその一部だ。

 読者(または読者のプロジェクト)がこのようなパターンに遭遇したら、OpenSSFのガイドや、米サイバーセキュリティ・インフラセキュリティ庁(CISA)のブログ記事「Avoiding Social Engineering and Phishing Attacks」(ソーシャルエンジニアリング攻撃とフィッシング攻撃を回避する)に必ず目を通してほしい。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ハッカーのビジネスモデル、サービスとしてのランサムウェア
IT関連
2021-08-16 21:28
レノボ、エッジコンピュータ「ThinkEdge」を日本に投入
クラウドユーザー
2021-03-11 11:30
「ミニ茶運び人形」が付録の「大人の科学マガジン」復刻 今回は洋服も付く
くらテク
2021-08-20 07:03
「Linux」の音質を向上させるには–「EasyEffects」で自分好みに
IT関連
2023-08-25 07:28
ロンドンの電動キックスクーター実験にDott、Lime、Tierの3社が選ばれる
モビリティ
2021-05-19 13:14
ヤフコメの“パトロールAI”、NewsPicksなどに無償提供 不適切コメントを排除
DX
2021-05-20 21:40
サカタインクス、SAPのクラウドオファリングを採用
IT関連
2022-06-30 19:22
オラクル、顧客のクラウド移行加速へ–「Support Rewards」プログラム発表
IT関連
2021-06-23 16:23
DXを促進するための経営者の役割–デジタル時代に求められる5つの行動様式
IT関連
2021-04-14 05:40
"アジャイルマネジメント"がいかに職場を変えるのか
IT関連
2021-02-25 14:17
AIはシンギュラリティーへの動きを加速している–チップ業界レジェンドが語る
IT関連
2023-02-15 12:26
[速報]AWS、Copilot対抗となる「Amazon Q」発表。生成AIによるシステム開発支援や業務支援など、多様なAIサービスを提供。AWS re:Invent 2023
AWS
2023-11-29 10:32
Meta、「無兆候データ破損」の検知に向けたアプローチを公開
IT関連
2022-03-19 01:38
ホールケーキのサブスクサービス? コンビニスイーツも手掛ける製菓企業が狙うコロナ禍のニーズ :食いしん坊ライター&編集が行く! フードテックの世界(1/4 ページ)
トップニュース
2021-08-03 16:27