悪意のある Xz Utils アップデートが世界中の Linux システムに壊滅的なサイバー攻撃を引き起こしそうになった経緯

xz Utils に悪意のあるアップデートが行われたため、 最近発覚したバックドア インシデントによって世界が感染寸前になりました。この影響は、ロシアのハッカーが多くの米国政府機関の中核に侵入することを可能にした 2020 年のSolarWinds 攻撃と同様の壊滅的な被害を引き起こす可能性がありました。

この攻撃は成功に「恐ろしく近かった」とされ、ソフトウェアおよび暗号エンジニアのフィリッポ・ヴァルソルダ氏は、おそらくこれまでに観測された「最もうまく実行されたサプライチェーン攻撃」だったと評したと Ars Technica は報じている。

インターネットのクラウドソーシングされたコードの多くは、悪意のある人物や国家による侵入に対して脆弱です。エコノミスト誌は、オープンソース ソフトウェアは「インターネットの中心」であり、主に少数のボランティアによって維持管理されているため、企業や政府にとって大きなセキュリティ リスクになっていると報告しています。オープンソース ソフトウェアは、コストが低いため、デジタルインフラストラクチャ全体に広く導入されています。デジタル世界全体に埋め込まれているこのインフラストラクチャは、さまざまな敵対国家による攻撃を受けています。

最近の xz Utils オープンソースの恐怖

2024年3月29日、マイクロソフトのソフトウェアエンジニアであるアンドレス・フロイント氏は、「Linuxオペレーティングシステムの一部であるソフトウェアに隠されたバックドア」を発見した。このバックドアは、改ざんされたxz Utilsのソースコードから来たもので、影響を受けるバージョンを使用しているシステムへの不正アクセスを可能にしていた。侵害されたソースコードは、Linuxシステムのオープンソースデータ圧縮ユーティリティであるxz Utilsのものだった。ニューヨークタイムズ紙は、このエンジニアが「歴史的なサイバー攻撃になる可能性があった」と報じた。

xz Utils はオープンソース ソフトウェアなので、公開されているコードとその変更内容を誰でも確認できます。

Jia Tan という名の開発者がプロジェクトに有益なコードを提供し始め、徐々に信頼を獲得していった。その後、時間が経つにつれて、悪意のある人物がマルウェアを密かに持ち込んだ。攻撃の背後にいると疑われているロシアの対外情報機関 SVR は、SolarWinds 攻撃の背後にいる情報機関と同じである。

Open Source Security Foundation (OSSF) は、xz Utils 攻撃はおそらく孤立した事件ではないと警告しました。悪意のある人物が同様のソーシャル エンジニアリング戦術を使用して、JavaScript プロジェクト向けのOpenJS Foundationなどの他のプロジェクトを乗っ取ろうとしているのが見つかりました。

オープンソースソフトウェアの脆弱性

オープンソース ソフトウェアの専門家であるライアン ウェア氏は、Frontsight メディアのインタビューで、現在生じているリスクの大きさについて次のように説明しました。

「私たちのデジタル インフラストラクチャは非常に脆弱です」とウェア氏は言います。「現在までに、177,914 件の CVE が公開されています。議論のために、オープンソースのコードが 10 億行あるとしましょう (実際はもっと多いのですが、その議論は別の機会に残しておきます)。また、議論のために、これらの CVE の半分がオープンソース用だとしましょう (端数を切り捨てて 90,000 とします)。つまり、オープンソース コードでは、11,111 行のコードにつき 1 件の脆弱性しか見つかっていないということです」とウェア氏は言います。

「企業は、11,000 行のコードに対して脆弱性が 1 つしか見つからないようなクリーンなコードを手に入れるために、どんな犠牲も払うでしょう」。「さらに、現在作成されているオープンソース ソフトウェアの量は若干減少していますが、作成されているコードの量は依然として過去最高です」とウェア氏は説明した。同氏は、脆弱性が 1 つ見つかるごとに、コードが健全になるまでにさらに 5 ～ 10 個の脆弱性が見つかるというシナリオを説明した。

xz Utils からの教訓

XZ Utils のニアミスの重大さは、クラウドソーシング ソフトウェアの脆弱性と、フェイルセーフ インストールの緊急の必要性をはっきりと思い出させるものであると、Ware 氏はさらに説明しています。

「国家がソフトウェアのセキュリティを破壊しようとしていることは、私たちは完全に知っています。必要なのは、そこにあるAPTのリストを見ることだけです」とウェア氏は述べ、さらに「歴史的に、これらの脅威アクターは、ゼロデイ脆弱性を利用して目的を達成することに重点を置いてきました」と説明しました。しかし、彼はまた、「運用上、これらの脅威アクターはゼロデイを見つけてすぐにそれを悪用するわけではありません。彼らはゼロデイ脆弱性を蓄え（独自の調査で発見するか、購入します）、運用上の目的を満たすものが必要になったときにそれを使用します」とも指摘しました。

一方、ウェア氏は、脆弱性の存在とソフトウェア開発者がシステムにパッチを適用するまでの期間が長いことを指摘した。修復の遅れが続くと、脅威アクターは脆弱性を長期間にわたって抱え込む可能性がある。

ソフトウェア操作に対する不明確なビジョン

これまであまり目立たなかったのは、国家がソフトウェアを操作するために何をしてきたかということだ。「xz の事件全体は、国家がどのようなリソースを投入できるかを含め、このことの一部について少し明らかにしてくれた」とウェア氏は言う。しかし、xz の事件は、このソーシャル エンジニアリングの高度な手法が試みられたことを示す唯一の証拠ではない。「正直に言って、私が心配しているのは、オープンソース ソフトウェアと商用ソフトウェアの両方の領域で国家が何をしてきたかであり、現時点ではそれがわからない」とライアン氏は強調した。

SolarWinds 事件が最近の記憶から消えたかどうかという質問に対して、ウェア氏は、それは誰に聞くかによって異なると見ている。

「SolarWinds の教訓が政府関係者から消え去ったとは思いません。OpenSSF におけるソフトウェア サプライ チェーン セキュリティ (SLSA や GUAC など) に関する作業の多くは、CISA がこの分野での解決策を求めているために行われています」と彼は語った。

「これは間違いなく一般の意識から消え去ったと思うが、同時にそれが一般の意識にどの程度浸透したかはわからない」とウェア氏は付け加え、多くの場合「一般の意識」の一員である平均的な趣味のソフトウェア開発者にとって意味のある視点を強調した。