マイクロソフト、企業アプリを狙う「依存関係かく乱攻撃」について警告

今回は「マイクロソフト、企業アプリを狙う「依存関係かく乱攻撃」について警告」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftは米国時間2月9日、「3 Ways to Mitigate Risk When Using Private Package Feeds」(プライベートなパッケージフィードを使用する際にリスクを緩和する3つの方法)というホワイトペーパーを公開し、企業のアプリ開発環境上でビルドプロセスを汚染するために使用可能な「依存関係かく乱(dependency confusion)攻撃」、または「置換攻撃(substitution attack)」と呼ばれる新種の攻撃技法について警告した。

 この技術は、パッケージマネージャーや、パブリックおよびプライベートなパッケージリポジトリー、ビルドプロセスといったコンセプトに基づくものとなっている。

 今日ではどのような規模の企業でも、アプリのビルド時にはパッケージマネージャーを用いて必要となるライブラリーをダウンロード/インポートしているはずだ。その後、ビルドツールを用いてそれらのパーツを組み立て、最終的なアプリを構築することになる。

 完成したアプリはその企業の顧客に提供されたり、従業員向けのツールとして社内で用いられたりする。

 しかしこれらアプリの一部にはその性質によって、プロプライエタリーなコードや、極めて機密性の高いコードが含まれる場合もある。企業はそういったアプリのためにしばしば、社内ネットワーク上でプライベートな(つまり内部)パッケージリポジトリーをホストし、そのリポジトリー内にプライベートなライブラリーを格納した上で、それを使用するという手段を採る。

 企業の開発者はアプリをビルドする際、これらのプライベートライブラリーと、「npm」や「Python Package Index(PyPI)」「NuGet Gallery」といったパッケージ管理用のパブリックなポータルからダウンロードしたパブリックライブラリーを混在させることになる。

 あるセキュリティ研究者のチームは、9日に公開した調査結果の中で、新たな「依存関係かく乱攻撃」というコンセプトの詳細を発表した。これは大企業でさまざまなライブラリーを混在させているアプリのビルド環境をかく乱させるという攻撃だ。

 研究者らによると、社内でアプリをビルドする過程で用いられているプライベートライブラリーの名前を攻撃者に知られた場合、攻撃者はそのライブラリーと同じ名前を付けた悪意あるコードのライブラリーをパブリックなパッケージリポジトリーに登録することで攻撃できるようになるという。

 「依存関係かく乱攻撃」は、開発者が自社環境でアプリをビルドする際に、パッケージマネージャーが社内リポジトリーに格納されたライブラリーではなく、パブリックリポジトリーに格納されている同名の(悪意ある)ライブラリーを使用することで成立する。

 同研究チームは今回の発見をテストするために、大手IT企業が誤って公開してしまったさまざまなライブラリーの名前と同じ名前を持つライブラリーをnpmや「RubyGems」、PyPIといったパッケージリポジトリー上に登録したという。

 研究者らはこの手法を用いて、AppleやMicrosoft、PayPal、Shopify、Netflix、Yelp、Uberなどを含む35の組織が使用しているアプリ内にコード(悪質なものではない)をロードさせることに成功したと述べた。

 しかも研究者らによると、npmやRubyGems、PyPIのほか、「JFrog」などのパッケージマネージャーも脆弱だという。

 同研究チームは、影響を受けた企業とパッケージリポジトリーすべてに対して通知したと述べており、Microsoftはこの問題の深刻さをどこよりも理解しているようだ。

 Microsoftは同研究チームの調査結果を受け、上述のホワイトペーパーを公開し、企業に対して社内のパッケージリポジトリーを確認するよう推奨している。

TOA セキュリティシステム総合カタログ No.A-5 2019.05

TOA セキュリティシステム総合カタログ No.A-5 2019.05

ALTools

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

ダウンロード | セキュリティソリューション | キヤノン ...

キヤノンマーケティングジャパンが提供するセキュリティソリューションの各種ダウンロードページです。体験版や評価版、製品カタログがダウンロードいただけます。

コンプリートカー販売 マジック

New Tシャツ販売開始! TCPMシャツ! 2019/12/11 新商品! ワイドボデイキットタイプTT バージョン2 フルキット 2019/12/11 新商品! フロントバンパーアッパーカナードタイプTT 2019/12/11 新商品! リアフェンダー ...

Management Console

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

アンインストールができない 【ウイルスセキュリティ ...

 · この質問を見た方はこちらも参照しています 【ウイルスセキュリティ】「削除ツール」でウイルスセキュリティをアンインストールするには? アンインストールの手順は? 【ウイルスセキュリティ】 削除したセキュリティソフトが表示されて、インストールできない 【ウイルスセキュリティ】

セキュリティパッチとは - IT用語辞典 e-Words

セキュリティパッチ【security patch】とは、ソフトウェアに保安上の弱点(脆弱性)が発見された際に利用者に配布される修正プログラム。現代ではインターネットを通じて配信するのが一般的となっている。脆弱性の含まれるプログラムファイルや設定ファイルなどを上書きし、問題が修正された最新版に置き換える。

Amazon Console

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

警察庁 サイバー犯罪対策

 · 平成29年度情報セキュリティ対策DVDを掲載しました H30.2.6 不正アクセス行為等の実態調査及びアクセス制御機能に関する技術の研究開発の状況等に関する調査結果について H29.12.25 ビジネスメール詐欺に関する注意喚起サイトを公開

【iOS 14.4】今すぐアップデートして! iPhoneのセキュリティ問 …

今すぐアップデートを! 現在配信されているiOS/iPad OS 14.4ですが、米Appleからはすぐにアップデートするよう呼びかけられています。Appleによると、以前のiOS/iPad OSのセ

COMMENTS


4088:
2021-02-13 23:34

/ Wifi6対応ルーターで お家のネット環境を快適に✨ \ テレワークも動画視聴もこれでばっちり❗ IOデータのルーターなら自動アップデート機能があるのでセキュリティも⭕ フォロー&RTで抽選で「WN-DAX1800GR」を2名様にプレゼン…

4083:
2021-02-13 22:12

セキュリティはこっち側でなんとかするから出してくれないかな〜

4090:
2021-02-13 17:46

セキュリティも万全、都内で家賃月30,000円からのシェアハウスって何?

4084:
2021-02-13 16:50

日本山岳ガイド協会のウェブサイトがhttpsでないので、セキュリティで接続できないです…。

4082:
2021-02-13 16:46

【脆弱王】史上最強の情報セキュリティ王者決定戦 @YouTubeより

4089:
2021-02-13 14:13

質感としては未だにEssentialPH-1が西京ちがう最強なのだが、セキュリティパッチも降ってこなくなって一年となると、画面を直して使い続けるか迷うなぁ。

4085:
2021-02-13 09:44

海警法では平時の海上セキュリティ任務と、軍事委・軍事関連法令の元で行われる防衛任務(軍事作戦)を明確に分けてる。 問題はその平時の海上セキュリティ任務で規定された外国軍艦・公船への(武器使用を含む)強制力行使が、国連海洋法条約の管轄権免除に反…

4092:
2021-02-13 09:18

設定→セキュリティ→ログインアクティビティ

4093:
2021-02-13 09:12

?「そいつの言っていることははったりだ」バーンッ ❤「ここ(オンボロ寮)のセキュリティがばくね?」 ?「お前は俺の番だ。俺たちはつねに一緒だったんだ」 ?「キングスカラー…猫は炬燵で丸くなっていなくていいのか?まだ寒いぞ」 ?「お前こそ冬な…

4080:
2021-02-13 07:22

私の過去の例で言うとセキュリティソフトのリアルタイムスキャンとファイヤーウォール切ったら直った事はありますよ|ω・)

4079:
2021-02-13 07:22

スマホの暗証番号変えるか セキュリティ対策は万全なので乱数生成してくる

4086:
2021-02-13 05:36

「辺鄙な所ですな、セキュリティも前時代的だ」 『昨今は衛星を用いた偵察が無節操に選択されています。"秘密基地建設"の為に搬入される重機や大規模な土木作業は露見する可能性を高めるだけ...既存の施設(サイト)に最低限の処理をするのみで十分です』 「...戦…

4081:
2021-02-13 04:27

2200円で買ってきた Qua Phone QZ。 ピンク色の画面がジャンク理由だったけど症状出ず。 外装程度良く2018年モデルということで買ってきたけど、Android9 Pie にアップデートできるのと、画面がフルHDだとい…

4087:
2021-02-13 02:55

漫画ドラゴンボールに、セキュリティの大家 徳丸先生が物申すの面白くて笑ってしまう

4091:
2021-02-13 01:02

フリーwifiが普及し始めていますがセキュリティ的に不安になるという人も多いでしょうし実際にその通りです。あくまで個人情報などの送受信はしないようにしましょう。

Recommended

TITLE
CATEGORY
DATE
CESに登場したEV充電企業は家庭での充電を高速化、V2G、コネクティビティを推進
IT関連
2022-01-18 04:06
BlackBerry、「Cylance AI」を搭載したMDRを提供–継続的なセキュリティ戦略も支援
IT関連
2024-09-27 00:41
NEC、数秒のサンプル映像のみで目的の行動を検出–骨格の変化を活用
IT関連
2021-04-06 06:39
インテル、企業向けの最新AIチップ「Gaudi 3」を発表
IT関連
2024-04-11 05:59
社内SaaSの稼働状況を一括診断–ジョーシス、新サービスを発表
IT関連
2024-10-11 04:34
約6割の民間企業が自治体との帳票類を「全て紙」で授受–インフォマート調査
IT関連
2024-03-09 22:52
「普通の企業サイト」がいま攻撃に晒されているワケ ”見て見ぬふり”のわずかなスキに忍び寄る影 :「見えないWeb攻撃」──情報漏えい対策の盲点(1/2 ページ)
くわしく
2021-03-16 19:24
常陽銀行、データ分析基盤に「VantageCloud on Azure」を採用–顧客への価値提供を向上
IT関連
2024-07-24 23:52
パーソルP&TとPwCコンサルティング、建設・物流業界のドローン事業を支援
IT関連
2024-08-11 08:05
ゼロトラストの導入が加速–マイクロソフトのレポート
IT関連
2021-07-31 04:26
イオンのCTOが巨大企業の変革プロセスを解説、集英社が認証基盤統合を語る。情シス有志による「BTCONJP 2024」開催[PR]
PR
2024-09-13 11:51
中国におけるファーウェイのスマホシェアが急激に縮小、米制裁の影響如実に、アップルはじめライバルには追い風
ハードウェア
2021-01-31 22:04
マイクロソフト、クラウドPCが起動する「Windows 365 Boot」やオフライン対応の「Windows 365 Offline」のデモ動画を公開
Microsoft
2022-04-12 21:59
HPE Aruba、Silver Peak統合のネットワーク戦略を説明–日本展開にも注力
IT関連
2021-04-26 04:00