マイクロソフト、企業アプリを狙う「依存関係かく乱攻撃」について警告

今回は「マイクロソフト、企業アプリを狙う「依存関係かく乱攻撃」について警告」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftは米国時間2月9日、「3 Ways to Mitigate Risk When Using Private Package Feeds」(プライベートなパッケージフィードを使用する際にリスクを緩和する3つの方法)というホワイトペーパーを公開し、企業のアプリ開発環境上でビルドプロセスを汚染するために使用可能な「依存関係かく乱(dependency confusion)攻撃」、または「置換攻撃(substitution attack)」と呼ばれる新種の攻撃技法について警告した。

 この技術は、パッケージマネージャーや、パブリックおよびプライベートなパッケージリポジトリー、ビルドプロセスといったコンセプトに基づくものとなっている。

 今日ではどのような規模の企業でも、アプリのビルド時にはパッケージマネージャーを用いて必要となるライブラリーをダウンロード/インポートしているはずだ。その後、ビルドツールを用いてそれらのパーツを組み立て、最終的なアプリを構築することになる。

 完成したアプリはその企業の顧客に提供されたり、従業員向けのツールとして社内で用いられたりする。

 しかしこれらアプリの一部にはその性質によって、プロプライエタリーなコードや、極めて機密性の高いコードが含まれる場合もある。企業はそういったアプリのためにしばしば、社内ネットワーク上でプライベートな(つまり内部)パッケージリポジトリーをホストし、そのリポジトリー内にプライベートなライブラリーを格納した上で、それを使用するという手段を採る。

 企業の開発者はアプリをビルドする際、これらのプライベートライブラリーと、「npm」や「Python Package Index(PyPI)」「NuGet Gallery」といったパッケージ管理用のパブリックなポータルからダウンロードしたパブリックライブラリーを混在させることになる。

 あるセキュリティ研究者のチームは、9日に公開した調査結果の中で、新たな「依存関係かく乱攻撃」というコンセプトの詳細を発表した。これは大企業でさまざまなライブラリーを混在させているアプリのビルド環境をかく乱させるという攻撃だ。

 研究者らによると、社内でアプリをビルドする過程で用いられているプライベートライブラリーの名前を攻撃者に知られた場合、攻撃者はそのライブラリーと同じ名前を付けた悪意あるコードのライブラリーをパブリックなパッケージリポジトリーに登録することで攻撃できるようになるという。

 「依存関係かく乱攻撃」は、開発者が自社環境でアプリをビルドする際に、パッケージマネージャーが社内リポジトリーに格納されたライブラリーではなく、パブリックリポジトリーに格納されている同名の(悪意ある)ライブラリーを使用することで成立する。

 同研究チームは今回の発見をテストするために、大手IT企業が誤って公開してしまったさまざまなライブラリーの名前と同じ名前を持つライブラリーをnpmや「RubyGems」、PyPIといったパッケージリポジトリー上に登録したという。

 研究者らはこの手法を用いて、AppleやMicrosoft、PayPal、Shopify、Netflix、Yelp、Uberなどを含む35の組織が使用しているアプリ内にコード(悪質なものではない)をロードさせることに成功したと述べた。

 しかも研究者らによると、npmやRubyGems、PyPIのほか、「JFrog」などのパッケージマネージャーも脆弱だという。

 同研究チームは、影響を受けた企業とパッケージリポジトリーすべてに対して通知したと述べており、Microsoftはこの問題の深刻さをどこよりも理解しているようだ。

 Microsoftは同研究チームの調査結果を受け、上述のホワイトペーパーを公開し、企業に対して社内のパッケージリポジトリーを確認するよう推奨している。

TOA セキュリティシステム総合カタログ No.A-5 2019.05

TOA セキュリティシステム総合カタログ No.A-5 2019.05

ALTools

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

ダウンロード | セキュリティソリューション | キヤノン ...

キヤノンマーケティングジャパンが提供するセキュリティソリューションの各種ダウンロードページです。体験版や評価版、製品カタログがダウンロードいただけます。

コンプリートカー販売 マジック

New Tシャツ販売開始! TCPMシャツ! 2019/12/11 新商品! ワイドボデイキットタイプTT バージョン2 フルキット 2019/12/11 新商品! フロントバンパーアッパーカナードタイプTT 2019/12/11 新商品! リアフェンダー ...

Management Console

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

アンインストールができない 【ウイルスセキュリティ ...

 · この質問を見た方はこちらも参照しています 【ウイルスセキュリティ】「削除ツール」でウイルスセキュリティをアンインストールするには? アンインストールの手順は? 【ウイルスセキュリティ】 削除したセキュリティソフトが表示されて、インストールできない 【ウイルスセキュリティ】

セキュリティパッチとは - IT用語辞典 e-Words

セキュリティパッチ【security patch】とは、ソフトウェアに保安上の弱点(脆弱性)が発見された際に利用者に配布される修正プログラム。現代ではインターネットを通じて配信するのが一般的となっている。脆弱性の含まれるプログラムファイルや設定ファイルなどを上書きし、問題が修正された最新版に置き換える。

Amazon Console

詳細の表示を試みましたが、サイトのオーナーによって制限されているため表示できません。

警察庁 サイバー犯罪対策

 · 平成29年度情報セキュリティ対策DVDを掲載しました H30.2.6 不正アクセス行為等の実態調査及びアクセス制御機能に関する技術の研究開発の状況等に関する調査結果について H29.12.25 ビジネスメール詐欺に関する注意喚起サイトを公開

【iOS 14.4】今すぐアップデートして! iPhoneのセキュリティ問 …

今すぐアップデートを! 現在配信されているiOS/iPad OS 14.4ですが、米Appleからはすぐにアップデートするよう呼びかけられています。Appleによると、以前のiOS/iPad OSのセ

COMMENTS


4088:
2021-02-13 23:34

/ Wifi6対応ルーターで お家のネット環境を快適に✨ \ テレワークも動画視聴もこれでばっちり❗ IOデータのルーターなら自動アップデート機能があるのでセキュリティも⭕ フォロー&RTで抽選で「WN-DAX1800GR」を2名様にプレゼン…

4083:
2021-02-13 22:12

セキュリティはこっち側でなんとかするから出してくれないかな〜

4090:
2021-02-13 17:46

セキュリティも万全、都内で家賃月30,000円からのシェアハウスって何?

4084:
2021-02-13 16:50

日本山岳ガイド協会のウェブサイトがhttpsでないので、セキュリティで接続できないです…。

4082:
2021-02-13 16:46

【脆弱王】史上最強の情報セキュリティ王者決定戦 @YouTubeより

4089:
2021-02-13 14:13

質感としては未だにEssentialPH-1が西京ちがう最強なのだが、セキュリティパッチも降ってこなくなって一年となると、画面を直して使い続けるか迷うなぁ。

4085:
2021-02-13 09:44

海警法では平時の海上セキュリティ任務と、軍事委・軍事関連法令の元で行われる防衛任務(軍事作戦)を明確に分けてる。 問題はその平時の海上セキュリティ任務で規定された外国軍艦・公船への(武器使用を含む)強制力行使が、国連海洋法条約の管轄権免除に反…

4092:
2021-02-13 09:18

設定→セキュリティ→ログインアクティビティ

4093:
2021-02-13 09:12

?「そいつの言っていることははったりだ」バーンッ ❤「ここ(オンボロ寮)のセキュリティがばくね?」 ?「お前は俺の番だ。俺たちはつねに一緒だったんだ」 ?「キングスカラー…猫は炬燵で丸くなっていなくていいのか?まだ寒いぞ」 ?「お前こそ冬な…

4080:
2021-02-13 07:22

私の過去の例で言うとセキュリティソフトのリアルタイムスキャンとファイヤーウォール切ったら直った事はありますよ|ω・)

4079:
2021-02-13 07:22

スマホの暗証番号変えるか セキュリティ対策は万全なので乱数生成してくる

4086:
2021-02-13 05:36

「辺鄙な所ですな、セキュリティも前時代的だ」 『昨今は衛星を用いた偵察が無節操に選択されています。"秘密基地建設"の為に搬入される重機や大規模な土木作業は露見する可能性を高めるだけ...既存の施設(サイト)に最低限の処理をするのみで十分です』 「...戦…

4081:
2021-02-13 04:27

2200円で買ってきた Qua Phone QZ。 ピンク色の画面がジャンク理由だったけど症状出ず。 外装程度良く2018年モデルということで買ってきたけど、Android9 Pie にアップデートできるのと、画面がフルHDだとい…

4087:
2021-02-13 02:55

漫画ドラゴンボールに、セキュリティの大家 徳丸先生が物申すの面白くて笑ってしまう

4091:
2021-02-13 01:02

フリーwifiが普及し始めていますがセキュリティ的に不安になるという人も多いでしょうし実際にその通りです。あくまで個人情報などの送受信はしないようにしましょう。

Recommended

TITLE
CATEGORY
DATE
Google、アプリストアの「セーフティセクション」をプレビュー
アプリ・Web
2021-07-30 18:42
アップルがメッセージアプリで送受信される性的な画像を検知し子どもと親に警告する新技術を発表
ソフトウェア
2021-08-08 22:38
スケール展開が難しいサブスク事業の構築に必要なツールを提供するRevenueCat
ソフトウェア
2021-05-31 06:41
ジョニ・ミッチェルもニール・ヤングに続き、新型コロナワクチン誤報問題でSpotifyから楽曲を削除
IT関連
2022-01-31 13:27
社内向け生成AI機能は25歳以下が熱心に利用–日本情報通信
IT関連
2023-12-19 15:30
SBペイメントサービス、5年にわたるプラットフォーム変革の取り組みを米国で発表
IT関連
2024-09-14 16:04
パロアルトネットワークス、中小企業向けの販売戦略を大幅強化
IT関連
2024-08-10 19:06
マイクロソフト、米国本社オフィスの全面再開を9月7日以降に延期の可能性
IT関連
2021-04-05 06:41
ドコモと近畿大、ドローンでキャンパス内を自動巡回 実証実験に成功
DX
2021-04-20 18:57
三井住友カード、Sansanで顧客データ基盤を構築
IT関連
2024-08-21 12:28
AWSが新たなアプリケーション移行支援サービスを発表
IT関連
2021-05-18 18:21
Celonis、大阪で業務プロセスを変革する「メソッド」を提示
IT関連
2023-12-19 08:04
厚労省、COCOA不具合の検証結果を公表 業者任せ、多重下請けなどの課題が浮き彫りに
企業・業界動向
2021-04-17 02:05
安価に大量生産が可能な6G通信の電波制御のための新規材料「三次元バルクメタマテリアル」を開発
IT関連
2022-03-16 05:28