マイク・ピーターソン
· 2分で読めます
クレジット: Apple
セキュリティ研究者が「依存性の混乱」と名付けたサプライチェーン攻撃を使って、Apple、Microsoft、PayPalなどの大手企業の内部システムをハッキングした。
この攻撃は、開発者がパッケージや依存関係に利用する多くの一般的なインストーラーに内在する脆弱性を悪用したものでした。Mediumに投稿された記事によると、研究者のAlex Birsan氏は、オープンソースリポジトリにマルウェアをアップロードすることで、これらのインストーラーを騙して悪意のあるコードをダウンロードさせることに成功しました。
Appleの場合、BirsanはJavaScriptのパッケージマネージャーであるnpmにアップロードしたNode.jsパッケージ内の悪意のあるコードをダウンロードさせ、社内ネットワーク内の複数のマシンに侵入することに成功しました。具体的には、Apple ID認証システムに関連するプロジェクトに侵入しました。
Appleは研究者に対し、この脆弱性を利用してAppleのサーバー上でリモートコード実行が可能だった可能性があると述べた。ビルサン氏が、攻撃者がApple IDにバックドアを仕掛けることができたかどうかを尋ねると、同社は「運用中のサービスにバックドアを仕掛けるには、より複雑な一連のイベントが必要であり、これは非常に特殊な用語で、特別な意味合いを持つ」と答えた。
クパチーノを拠点とするテック大手のビルサン氏は、この脆弱性が明らかになってから2週間以内に修正しました。彼は2020年8月にAppleにこの脆弱性を報告していましたが、2021年2月にMediumの記事を執筆する前は、バグ報奨金の支払いを受け取ったばかりだったとビルサン氏は述べています。
サプライチェーン攻撃は、多くの開発者がこれらのパッケージインストーラー(npm、Pythonのpip、RubyのRubyGemsなど)を信頼していることを悪用しています。もう一つの重要な要素は、公開リポジトリには存在しない内部パッケージの使用です。Birsanは、これらの内部使用パッケージの名前でマルウェアをアップロードすることで、一部のプログラムを騙し、正規のパッケージではなく悪意のあるコードをダウンロードさせることに成功しました。彼はDNSを利用して、密かにデータを盗み出しました。
ビルサン氏は、企業のバグ報奨金プログラムの範囲内でのみ活動し、侵害されたシステムから機密性のないデータのみを収集しましたが、彼の研究により、多くの企業の内部構成の欠陥を指摘することができました。
研究者はこれまでに合計35の組織で依存関係の混乱を引き起こす脆弱性を発見しました。その大半は従業員数が1,000人以上の企業であり、これは「大規模組織では社内ライブラリの利用率が高い」ためだと研究者は考えています。
ビルサン氏はバグ発見報奨金として13万ドル以上を獲得しました。Shopify、Apple、PayPalからそれぞれ3万ドルが支払われました。マイクロソフトからは、ビルサン氏の研究により同社史上最高額となる4万ドルが支払われました。マイクロソフトはこの問題に関するホワイトペーパーも公開しました。
研究者はまた、この問題は今後も拡大し続けるだろうと考えている。
「具体的には、内部パッケージ名を漏らす新しい巧妙な方法を見つけることで、さらに脆弱なシステムが露出することになるだろうし、標的とする別のプログラミング言語やリポジトリを調べることで、依存関係の混乱バグに対する追加の攻撃対象領域が明らかになるだろうと私は考えている」とビルサン氏は書いている。
