「バージョン管理システム(VCS)とソフトウェアサプライチェーンリスク」に関するDarkOwl社レポート
このレポートは弊社アナリストチームが調査、研究用に利用している米国DarkOwl社がバージョン管理システム(VCS)に関連するリスクについてまとめたものです。
GitHubなどのVCSにはSecretの漏洩などのリスクがありますが、合わせて悪意があるコードを流通、あるいは配布するためのインフラとしての一面もあります。
テリロジーワークスでは、本レポートを日本語に翻訳しました。23ページに渡るレポートは非常に興味深い内容です。ご希望の方は、フォームよりお申込みをお願いいたします。
バージョン管理システム(VCS)の悪用やサプライチェーンを狙った攻撃
※本レポートの「はじめに」より抜粋
この数か月、DarkOwlではマルウェア開発者が国際的なソフトウェアサプライチェーンに対する直接的な攻撃について言及あるいは議論する事例を頻繁に確認しています。多くの場合、こうした書き込みは、GitHubやBitbucketといった人気のオープンソースソフトウェアの開発者リポジトリや関連するソフトウェアデジタルサポートインフラを狙った計画の周辺で確認されています。
ソフトウェアのビルドプロセスならびにコードリポジトリの悪用により、マルウェアの拡散被害が増大し、ソフトウェアに対する不正アクセスも企業レベルに及びます。攻撃者は、ソフトウェアの開発・アップデートプロセスを悪用することで、ソーシャルエンジニアリングやメールの不正アクセス、ドライブバイダウンロードといった仕組みなしに、何千ものユーザーに対し悪意のあるコードを拡散させることが可能です。
バージョン管理システム(VCS)の悪用やサプライチェーンを狙った攻撃(ポイズニング)は特に目新しい攻撃経路というわけではありません。しかしながら、2021年のKaseya社を狙ったランサムウェア攻撃では、REvilというランサムウェア攻撃グループにより、単純な不正ソフトウェアアップデートが何千ものユーザーに配信され、ソフトウェアサプライチェーンならびにクラウドベースの商用ソフトウェアリポジトリに対する脅威が改めて浮き彫りになりました。
同様に2020年12月に発生したSolarwindsに対する攻撃でもエンタープライズ系ソフトウェアの完全性に対する国際的な懸念が示され、ゼロトラストアーキテクチャの広範な実装の必要性が強調されています。
デジタルサプライチェーンの脆弱性を悪用するもう一つの攻撃集団として、Lapsus$があります。最近活動頻度を上げているこの攻撃集団は、つい先日、サポートエンジニアのシンクライアント経由でデジタル認証事業者Oktaのネットワークへの特権アクセスを取得したことを発表しました。この不正アクセスにより、諜報活動の調査結果が漏えいリスクにさらされ、ソフトウェア開発とオペレーションライフサイクル全体が危険にさらされていることが強調されました。
今回の調査の過程で、DarkOwlのアナリストは、ソフトウェア開発のライフサイクルに不可欠なツールならびにインフラへの不正アクセス・攻撃によりソフトウェアサプライチェーンに対する危険が現実のものになったことをリアルタイムで実感したと証言しています。
レポートのアジェンダ
はじめに
バージョン管理システム(VCS)概要
マルウェアの直接配信に使用されるVCS
マルウェアの間接配信に使用されるVCS
注意が必要なその他の攻撃経路
続くサプライチェーンリスクの拡大
今後のセキュリティの取り組み
まとめ
フォームにご登録いただきますと、レポートをご覧いただけるURLをメールでお知らせいたします。
