誰もが信頼している製品・サービスに潜む脆弱性
■ユーザー企業だけでなく、専門組織も標的になる ――製品ベンダーや開発側、さらにセキュリティ専門組織などが攻撃された事例はありますか。 佐々木:有名なものに、2020年に発生したアメリカのSolarWinds社の事件があります。同社の製品アップデートサーバーが侵害され、Orionというソフトウェアのアップデートファイルを通じ、世界中の組織にバックドア(システム内部に不正侵入するための入り口)がインストールされました。
また国内では、富士通が運営するプロジェクト情報共有ツール「ProjectWEB」の情報漏洩の事例があります。富士通はセキュリティに特化した専門企業という枠ではないですが、SI企業として大規模なITシステムの開発などを請け負い、セキュリティ対策や監視サービス、SOC(Security Operation Center)サービスなども提供しています。そんな企業のサービスが侵害され、顧客の情報が漏洩しました。
――オープンソースソフトウェアなどに悪意のある脆弱性が組み込まれた事例はありますか。 福本:直近では2024年3月末に発覚した、圧縮ツールのXZ Utilsの例があります。このメンテナーとして2年ほど前にコミュニティに参加していたメンバーが、故意にバックドアを仕込んだのです。 このケースは、信頼を得ていた正規のメンテナーによるソーシャルエンジニアリング的な手法だったので、かなり注目を集めました。これを受け、オープンソースソフトウェアのセキュリティ強化を目的としたグローバルコミュニティのOpenSSFは、ソーシャルエンジニアリングによるプロジェクト乗っ取りに関する注意喚起を出しました。
佐々木:背景には、オープンソースプロジェクトの人手不足もあるでしょう。外部からの侵入には技術的な対策を打てますが、コミュニティに悪意のある人が紛れ込むことへの対応はかなり難しいです。 ――さまざまなリスクが懸念される中、開発者は何を気にかけておけばよいでしょうか。 佐々木:まずは開発しているものについて、どのような部品が入っているかを把握するのがベースラインです。そのために「SBOM(Software Bill of Materials)」(ソフトウェア部品表のデータ)などを使うのもよいでしょう。そのうえで、悪意あるものが紛れ込んでいるかを判別し、迅速に対処するのが次のステップです。