マイクロソフト、企業アプリを狙う「依存関係かく乱攻撃」について警告

今回は「マイクロソフト、企業アプリを狙う「依存関係かく乱攻撃」について警告」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftは米国時間2月9日、「3 Ways to Mitigate Risk When Using Private Package Feeds」(プライベートなパッケージフィードを使用する際にリスクを緩和する3つの方法)というホワイトペーパーを公開し、企業のアプリ開発環境上でビルドプロセスを汚染するために使用可能な「依存関係かく乱(dependency confusion)攻撃」、または「置換攻撃(substitution attack)」と呼ばれる新種の攻撃技法について警告した。

 この技術は、パッケージマネージャーや、パブリックおよびプライベートなパッケージリポジトリー、ビルドプロセスといったコンセプトに基づくものとなっている。

 今日ではどのような規模の企業でも、アプリのビルド時にはパッケージマネージャーを用いて必要となるライブラリーをダウンロード/インポートしているはずだ。その後、ビルドツールを用いてそれらのパーツを組み立て、最終的なアプリを構築することになる。

 完成したアプリはその企業の顧客に提供されたり、従業員向けのツールとして社内で用いられたりする。

 しかしこれらアプリの一部にはその性質によって、プロプライエタリーなコードや、極めて機密性の高いコードが含まれる場合もある。企業はそういったアプリのためにしばしば、社内ネットワーク上でプライベートな(つまり内部)パッケージリポジトリーをホストし、そのリポジトリー内にプライベートなライブラリーを格納した上で、それを使用するという手段を採る。

 企業の開発者はアプリをビルドする際、これらのプライベートライブラリーと、「npm」や「Python Package Index(PyPI)」「NuGet Gallery」といったパッケージ管理用のパブリックなポータルからダウンロードしたパブリックライブラリーを混在させることになる。

 あるセキュリティ研究者のチームは、9日に公開した調査結果の中で、新たな「依存関係かく乱攻撃」というコンセプトの詳細を発表した。これは大企業でさまざまなライブラリーを混在させているアプリのビルド環境をかく乱させるという攻撃だ。

 研究者らによると、社内でアプリをビルドする過程で用いられているプライベートライブラリーの名前を攻撃者に知られた場合、攻撃者はそのライブラリーと同じ名前を付けた悪意あるコードのライブラリーをパブリックなパッケージリポジトリーに登録することで攻撃できるようになるという。

 「依存関係かく乱攻撃」は、開発者が自社環境でアプリをビルドする際に、パッケージマネージャーが社内リポジトリーに格納されたライブラリーではなく、パブリックリポジトリーに格納されている同名の(悪意ある)ライブラリーを使用することで成立する。

 同研究チームは今回の発見をテストするために、大手IT企業が誤って公開してしまったさまざまなライブラリーの名前と同じ名前を持つライブラリーをnpmや「RubyGems」、PyPIといったパッケージリポジトリー上に登録したという。

 研究者らはこの手法を用いて、AppleやMicrosoft、PayPal、Shopify、Netflix、Yelp、Uberなどを含む35の組織が使用しているアプリ内にコード(悪質なものではない)をロードさせることに成功したと述べた。

 しかも研究者らによると、npmやRubyGems、PyPIのほか、「JFrog」などのパッケージマネージャーも脆弱だという。

 同研究チームは、影響を受けた企業とパッケージリポジトリーすべてに対して通知したと述べており、Microsoftはこの問題の深刻さをどこよりも理解しているようだ。

 Microsoftは同研究チームの調査結果を受け、上述のホワイトペーパーを公開し、企業に対して社内のパッケージリポジトリーを確認するよう推奨している。

TOA セキュリティシステム総合カタログ No.A-5 2019.05

TOA セキュリティシステム総合カタログ No.A-5 2019.05

ALTools

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

ダウンロード | セキュリティソリューション | キヤノン ...

キヤノンマーケティングジャパンが提供するセキュリティソリューションの各種ダウンロードページです。体験版や評価版、製品カタログがダウンロードいただけます。

コンプリートカー販売 マジック

New Tシャツ販売開始! TCPMシャツ! 2019/12/11 新商品! ワイドボデイキットタイプTT バージョン2 フルキット 2019/12/11 新商品! フロントバンパーアッパーカナードタイプTT 2019/12/11 新商品! リアフェンダー ...

Management Console

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

アンインストールができない 【ウイルスセキュリティ ...

 · この質問を見た方はこちらも参照しています 【ウイルスセキュリティ】「削除ツール」でウイルスセキュリティをアンインストールするには? アンインストールの手順は? 【ウイルスセキュリティ】 削除したセキュリティソフトが表示されて、インストールできない 【ウイルスセキュリティ】

セキュリティパッチとは - IT用語辞典 e-Words

セキュリティパッチ【security patch】とは、ソフトウェアに保安上の弱点(脆弱性)が発見された際に利用者に配布される修正プログラム。現代ではインターネットを通じて配信するのが一般的となっている。脆弱性の含まれるプログラムファイルや設定ファイルなどを上書きし、問題が修正された最新版に置き換える。

Amazon Console

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

警察庁 サイバー犯罪対策

 · 平成29年度情報セキュリティ対策DVDを掲載しました H30.2.6 不正アクセス行為等の実態調査及びアクセス制御機能に関する技術の研究開発の状況等に関する調査結果について H29.12.25 ビジネスメール詐欺に関する注意喚起サイトを公開

【iOS 14.4】今すぐアップデートして! iPhoneのセキュリティ問 …

今すぐアップデートを! 現在配信されているiOS/iPad OS 14.4ですが、米Appleからはすぐにアップデートするよう呼びかけられています。Appleによると、以前のiOS/iPad OSのセ

COMMENTS


4088:
2021-02-13 23:34

/ Wifi6対応ルーターで お家のネット環境を快適に✨ \ テレワークも動画視聴もこれでばっちり❗ IOデータのルーターなら自動アップデート機能があるのでセキュリティも⭕ フォロー&RTで抽選で「WN-DAX1800GR」を2名様にプレゼン…

4083:
2021-02-13 22:12

セキュリティはこっち側でなんとかするから出してくれないかな〜

4090:
2021-02-13 17:46

セキュリティも万全、都内で家賃月30,000円からのシェアハウスって何?

4084:
2021-02-13 16:50

日本山岳ガイド協会のウェブサイトがhttpsでないので、セキュリティで接続できないです…。

4082:
2021-02-13 16:46

【脆弱王】史上最強の情報セキュリティ王者決定戦 @YouTubeより

4089:
2021-02-13 14:13

質感としては未だにEssentialPH-1が西京ちがう最強なのだが、セキュリティパッチも降ってこなくなって一年となると、画面を直して使い続けるか迷うなぁ。

4085:
2021-02-13 09:44

海警法では平時の海上セキュリティ任務と、軍事委・軍事関連法令の元で行われる防衛任務(軍事作戦)を明確に分けてる。 問題はその平時の海上セキュリティ任務で規定された外国軍艦・公船への(武器使用を含む)強制力行使が、国連海洋法条約の管轄権免除に反…

4092:
2021-02-13 09:18

設定→セキュリティ→ログインアクティビティ

4093:
2021-02-13 09:12

?「そいつの言っていることははったりだ」バーンッ ❤「ここ(オンボロ寮)のセキュリティがばくね?」 ?「お前は俺の番だ。俺たちはつねに一緒だったんだ」 ?「キングスカラー…猫は炬燵で丸くなっていなくていいのか?まだ寒いぞ」 ?「お前こそ冬な…

4080:
2021-02-13 07:22

私の過去の例で言うとセキュリティソフトのリアルタイムスキャンとファイヤーウォール切ったら直った事はありますよ|ω・)

4079:
2021-02-13 07:22

スマホの暗証番号変えるか セキュリティ対策は万全なので乱数生成してくる

4086:
2021-02-13 05:36

「辺鄙な所ですな、セキュリティも前時代的だ」 『昨今は衛星を用いた偵察が無節操に選択されています。"秘密基地建設"の為に搬入される重機や大規模な土木作業は露見する可能性を高めるだけ...既存の施設(サイト)に最低限の処理をするのみで十分です』 「...戦…

4081:
2021-02-13 04:27

2200円で買ってきた Qua Phone QZ。 ピンク色の画面がジャンク理由だったけど症状出ず。 外装程度良く2018年モデルということで買ってきたけど、Android9 Pie にアップデートできるのと、画面がフルHDだとい…

4087:
2021-02-13 02:55

漫画ドラゴンボールに、セキュリティの大家 徳丸先生が物申すの面白くて笑ってしまう

4091:
2021-02-13 01:02

フリーwifiが普及し始めていますがセキュリティ的に不安になるという人も多いでしょうし実際にその通りです。あくまで個人情報などの送受信はしないようにしましょう。

Recommended

TITLE
CATEGORY
DATE
東大、構内にクラウド基盤を構築 全国の研究機関に計算資源とストレージ提供
クラウドユーザー
2021-03-10 06:55
アップル、最高性能のM1チップ「M1 Ultra」を発表–「M1 Max」2基を接続
IT関連
2022-03-10 18:11
フジと産経、世論調査を再開へ 2020年6月にデータの不正入力が発覚
企業・業界動向
2021-01-17 23:24
再利用可能なパッケージを提供するReturnityが約3.6億円調達、ダンボールやプラスチックの使い捨て包装の廃棄物を減らす
IT関連
2022-02-20 06:27
MODE、生成AIとセンサーデータを活用するパートナープログラムを展開
IT関連
2024-06-13 12:13
Opera、Web3にフォーカスした「Crypto Browser」ベータ版公開–仮想通貨ウォレット搭載
IT関連
2022-01-21 19:41
OS、プログラミング言語、ソフトを選ばない、マイクロソフトのコードエディター「Visual Studio Code」
IT関連
2021-02-16 14:57
疑似量子の活用で材料開発期間を約20%削減–日立が有効性を実証
IT関連
2022-12-18 13:50
自動車の都デトロイトは今もハードウェアスタートアップにとってハードモード
ハードウェア
2021-04-14 18:42
牧野フライス製作所、ISIDのグループ経費精算システムを採用–経費精算SaaSから切り替え
IT関連
2023-11-03 12:00
マイクロソフト、「Azure Arc」に機械学習を実行できる新機能を追加
IT関連
2021-03-05 21:02
植物由来肉を人工脂肪でおいしく満足できるものにするYali Bio
IT関連
2022-02-24 23:07
事業拡大への次なる一手は何か–Boxのアーロン・レヴィCEOに聞いてみた
IT関連
2023-08-27 17:38
Docker Desktopの大手企業向け無料期間が終了。有料版Docker Businessの利点はシングルサインオンや統合管理、サブスクリプションは日本円と請求書払いにも対応[PR]
Docker
2022-04-05 14:51