2024.04.24 三和コムテック
前回、同ブログの「新たなサプライチェーンリスク(OSS脆弱性)にご注意を!」にてSBOM管理の重要性について触れましたが、本稿では、実際に発生した海外での実例を通して、その重要性をご案内致します。
Brandon Nozaki Miller氏。1984年米国生まれの彼は、モーターサイクリストで且つ著名なWeb開発者としてwikipediaも存在する、著名な開発者です。
彼が8年以上に渡りメンテナンスしているnpmパッケージレジストリのnode-ipcパッケージは、特に広く利用され、最盛期には1週間で100万DLを記録していましたが、そんなMiller氏がある日を境に豹変?したようなのです。
2022年3月、ロシアのウクライナ侵攻への抗議の一環として、なんと悪質なコード(マルウェア)を含むとされるバージョンをリリースしたのです。このペイロードは、反戦メッセージを含む「WITH-LOVE-FROM-AMERICA.txt」という名前のファイルを、影響を受けたマシンのデスクトップに書き込み、さらに、ベラルーシとロシアのIPアドレスを持つマシンには、ペイロードがシステム上のすべてのファイルをハートの絵文字で上書きしていたしまった、とのことです。もっとも、Miller氏本人は、コードが悪質であったという主張を否定し、報復として叩かれたと語っているようですが…。
この事例から学ぶべき教訓とは、各種作成され、無償で提供される多くのOSSには、その作成者の意思や
思惑によって、突然マルウェアに変更されるリスクがある、ということです。ランサムウェアのような金銭目的の他にも、上記のようなハクティビズムによってマルウェアが流布されるリスクも想定したOSSの脆弱性、リスク管理が必要になるということです。その点において、SBOMの管理においても、個々のソースのバージョンや脆弱性に加えて、そのOSS(パッケージ)の作成者や成り立ちなどの管理も重要になってくると考えられます。
弊社では、引き続きSBOM管理のできるソリューションのを展開を目指しております。
参照元: WIKIPEDIA | Brandon Nozaki Miller
参照元: GitHub | Brandon Nozaki Miller
この記事が気に入ったら
いいねしよう!
