マイクロソフト、企業アプリを狙う「依存関係かく乱攻撃」について警告

今回は「マイクロソフト、企業アプリを狙う「依存関係かく乱攻撃」について警告」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Microsoftは米国時間2月9日、「3 Ways to Mitigate Risk When Using Private Package Feeds」（プライベートなパッケージフィードを使用する際にリスクを緩和する3つの方法）というホワイトペーパーを公開し、企業のアプリ開発環境上でビルドプロセスを汚染するために使用可能な「依存関係かく乱（dependency confusion）攻撃」、または「置換攻撃（substitution attack）」と呼ばれる新種の攻撃技法について警告した。

　この技術は、パッケージマネージャーや、パブリックおよびプライベートなパッケージリポジトリー、ビルドプロセスといったコンセプトに基づくものとなっている。

　今日ではどのような規模の企業でも、アプリのビルド時にはパッケージマネージャーを用いて必要となるライブラリーをダウンロード／インポートしているはずだ。その後、ビルドツールを用いてそれらのパーツを組み立て、最終的なアプリを構築することになる。

　完成したアプリはその企業の顧客に提供されたり、従業員向けのツールとして社内で用いられたりする。

　しかしこれらアプリの一部にはその性質によって、プロプライエタリーなコードや、極めて機密性の高いコードが含まれる場合もある。企業はそういったアプリのためにしばしば、社内ネットワーク上でプライベートな（つまり内部）パッケージリポジトリーをホストし、そのリポジトリー内にプライベートなライブラリーを格納した上で、それを使用するという手段を採る。

　企業の開発者はアプリをビルドする際、これらのプライベートライブラリーと、「npm」や「Python Package Index（PyPI）」「NuGet Gallery」といったパッケージ管理用のパブリックなポータルからダウンロードしたパブリックライブラリーを混在させることになる。

　あるセキュリティ研究者のチームは、9日に公開した調査結果の中で、新たな「依存関係かく乱攻撃」というコンセプトの詳細を発表した。これは大企業でさまざまなライブラリーを混在させているアプリのビルド環境をかく乱させるという攻撃だ。

　研究者らによると、社内でアプリをビルドする過程で用いられているプライベートライブラリーの名前を攻撃者に知られた場合、攻撃者はそのライブラリーと同じ名前を付けた悪意あるコードのライブラリーをパブリックなパッケージリポジトリーに登録することで攻撃できるようになるという。

　「依存関係かく乱攻撃」は、開発者が自社環境でアプリをビルドする際に、パッケージマネージャーが社内リポジトリーに格納されたライブラリーではなく、パブリックリポジトリーに格納されている同名の（悪意ある）ライブラリーを使用することで成立する。

　同研究チームは今回の発見をテストするために、大手IT企業が誤って公開してしまったさまざまなライブラリーの名前と同じ名前を持つライブラリーをnpmや「RubyGems」、PyPIといったパッケージリポジトリー上に登録したという。

　研究者らはこの手法を用いて、AppleやMicrosoft、PayPal、Shopify、Netflix、Yelp、Uberなどを含む35の組織が使用しているアプリ内にコード（悪質なものではない）をロードさせることに成功したと述べた。

　しかも研究者らによると、npmやRubyGems、PyPIのほか、「JFrog」などのパッケージマネージャーも脆弱だという。

　同研究チームは、影響を受けた企業とパッケージリポジトリーすべてに対して通知したと述べており、Microsoftはこの問題の深刻さをどこよりも理解しているようだ。

　Microsoftは同研究チームの調査結果を受け、上述のホワイトペーパーを公開し、企業に対して社内のパッケージリポジトリーを確認するよう推奨している。

TOA セキュリティシステム総合カタログ No.A-5 2019.05

TOA セキュリティシステム総合カタログ No.A-5 2019.05

ALTools

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

ダウンロード | セキュリティソリューション | キヤノン ...

キヤノンマーケティングジャパンが提供するセキュリティソリューションの各種ダウンロードページです。体験版や評価版、製品カタログがダウンロードいただけます。

コンプリートカー販売 マジック

New Tシャツ販売開始！ TCPMシャツ！ 2019/12/11 新商品！ ワイドボデイキットタイプTT バージョン2 フルキット 2019/12/11 新商品！ フロントバンパーアッパーカナードタイプTT 2019/12/11 新商品！ リアフェンダー ...

Management Console

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

アンインストールができない 【ウイルスセキュリティ ...

 · この質問を見た方はこちらも参照しています 【ウイルスセキュリティ】「削除ツール」でウイルスセキュリティをアンインストールするには？ アンインストールの手順は？ 【ウイルスセキュリティ】 削除したセキュリティソフトが表示されて、インストールできない 【ウイルスセキュリティ】

セキュリティパッチとは - IT用語辞典 e-Words

セキュリティパッチ【security patch】とは、ソフトウェアに保安上の弱点(脆弱性)が発見された際に利用者に配布される修正プログラム。現代ではインターネットを通じて配信するのが一般的となっている。脆弱性の含まれるプログラムファイルや設定ファイルなどを上書きし、問題が修正された最新版に置き換える。

Amazon Console

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

警察庁 サイバー犯罪対策

 · 平成29年度情報セキュリティ対策DVDを掲載しました H30.2.6 不正アクセス行為等の実態調査及びアクセス制御機能に関する技術の研究開発の状況等に関する調査結果について H29.12.25 ビジネスメール詐欺に関する注意喚起サイトを公開

【iOS 14.4】今すぐアップデートして! iPhoneのセキュリティ問 …

今すぐアップデートを！ 現在配信されているiOS/iPad OS 14.4ですが、米Appleからはすぐにアップデートするよう呼びかけられています。Appleによると、以前のiOS/iPad OSのセ