PoCのようでPoCでない
PoCはProof Of Conceptです。概念実証です。
新しい手法などの実現可能性を見出すために、試作開発に入る前の検証を指す言葉です。
用語を使用する領域によってニュアンスは変化するかもしれませんが、コンピュータセキュリティの領域ではたとえば脆弱性が悪用可能であることを実証するために実装されたコードのことを指したりします。
多くのセキュリティ研究者が日々研究を継続しており、その成果として多くのPoCコードを公開しています。
そしてそれらのPoCコードはときには閲覧され、またあるときには別の研究者の環境にダウンロードされて検証されたりします。
脆弱性を悪用するコードは危険です。
そのため、試す際にはサンドボックスを使用するなどの配慮が必要です。
しかし概念実証を目的とするコードは脆弱性の悪用が可能なことを示すことを目的に実装されていると閲覧者が期待し、十分な安全性が確保された十分に生活環境と隔絶された環境で実行されない場合もあるかもしれません。
ここを狙うものが出てきていることが確認されています。
セキュリティ研究者がGit上に表れます。
この人はセキュリティ会社に所属し、脆弱性について研究し、PoCコードを作成します。
作成したPoCコードをGitで公開します。
GitのアカウントはTwitterアカウントにも紐づけられています。
そしてアカウントのプロフィールには写真も公開され、他の研究者とのつながりも見ることができます。
これらのほとんどが偽物です。
何が偽物なのでしょうか。
- 名前
そのような人物は存在しません。 - 会社
そのような会社は存在しません。 - 他の人とのつながり
繋がっている人も存在しません。 - PoCコード
PoCコードとして公開されているものはPoCコードではありません。
公開されているコードにはマルウェアを展開する機能が実装されています。
偽物ではないものが1つありました。
写真です。
写真はどこかにいる実在のセキュリティ研究者の顔写真です。
勝手にそれを拝借して架空の人物の写真として使います。
ある意味これも偽物といえるのかもしれません。
GitHubをはじめとして、いろいろな場所でいろいろな説明のついたコードが公開されています。
公開されたコードを有効に活用することは有益です。
しかし添えられた説明の文面を全面的に信頼し、コードの中身を理解しないままそれを実行するなどの行為は悲劇を生むことになる場合があります。
よく内容を吟味し、十分に隔離されたサンドボックスを用意したうえでその実行を考える必要がありそうです。
参考記事(外部リンク):Fake Security Researcher GitHub Repositories Deliver
Malicious Implant
vulncheck.com/blog/fake-repos-deliver-malicious-implant
