IT ニュース&コラム 2024/4/8 通巻866号 ニュース版  ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■ オープンソースを狙う攻撃者 - XZ Utilsメンテナーが仕掛けた罠 ■■ オープンソースの圧縮・解凍ツール「XZ Utils」に重大な脆弱性が見つかりました。 この脆弱性は、2022年にメンテナーに就任したJia Tan氏によって 意図的に埋め込まれたバックドアであることが判明しています。 Jia Tan氏は2021年11月、脆弱性を含むプルリクエストを作成し、議論もなくマージしました。 その後、Jigar KumarやDennis Ensといった複数のアカウントから元メンテナーの ラッセ・コリン氏に圧力がかけられ、2022年6月、Jia Tan氏がメインのメンテナーに就任しました。 2023年6月以降、Jia Tan氏はHans Jansenというアカウントと協力し、 バックドアにつながるフックを提供するパッチを次々とマージ。 2024年2月24日、問題のバージョン5.6.0を公開し、バックドアを設置しました。 バックドアは3月28日、アンドレス・フロイント氏によって発見されました。 Jia Tan氏の正体は依然として不明ですが、コミット時間帯などから、ロシアやウクライナ、 中東地域に住んでいる可能性が指摘されています。 Jigar KumarとDennis Ens、Hans Jansenの3人は、いずれもnameNNN@mailhost という形式のメールアドレスを使用していました。 NNNは数字の連番で、他のインターネット上のサービスではこれらのメールアドレスは使われていないことから、 今回の攻撃のために作られた可能性が高いと見られています。 このように、実在しない人物を装ってメールアドレスを作成し、 オープンソースプロジェクトのメンテナーを攻撃する手口は、 プロジェクトの信頼性を損ねる悪質な行為だと言えるでしょう。 メンテナーの身元確認を徹底することに加え、匿名性の高いメールアドレスからの 執拗な要求には注意が必要だという教訓が得られます。 プロジェクトの継続的な運営のためには、メンテナーの心身の健康や、攻撃への耐性も重要な要素です。 オープンソースコミュニティ全体で、メンテナーをサポートし、守っていく仕組み作りが求められると言えるでしょう。 GitHub Actionsは、GitHubに組み込まれた自動化機能で、 コードのビルド、テスト、デプロイなどを自動的に実行できます。 今回のインシデントでは、Jia Tan氏がこのGitHub Actionsを悪用していました。 2023年6月22日以降、Hans Jansenによるバックドアにつながるフックを提供するパッチが Jia Tan氏によってマージされましたが、変更時にGitHub Actionsで自動チェックが行われる際、 Jia Tan氏が以前プロジェクトに貢献していたと表示されていました。 貢献していたことは事実ですが、それを誇張するものと考えられます。 GitHub Actionsのようなツールは便利ですが、悪用されるリスクもあることを認識する必要があります。 自動化ツールにおけるチェック内容は、第三者による監査も必要でしょう。 また、長期間コントリビュートのない開発者のコードは特に慎重にレビューするなど、 不正な変更を見抜くための工夫が求められます。 オープンソースプロジェクトの信頼性を担保するには、技術的対策とともに、 レビュープロセスの継続的な改善が欠かせません。 トラストレスな環境でこそ、コミュニティによる監視の目を光らせていくことが重要だと言えます。 Generated by ChatGPT Claude 3 Opus Input for ChatGPT: #// ここは構造化ドキュメンテーションの形式(typrm)です 構造化ドキュメンテーション: #ref: https://qiita.com/Takakiri/items/07bffe39940075b9a8ce プロンプト: 下の YAML 形式のメモを元にブログの文章を作ってください。時系列は簡略して構いません。 また、今回のインシデントから得られる教訓を列挙してください。 概要: XZ の脆弱性 .tar.xz というファイルの拡張子なら見たことある人が多いだろう 登場アカウント: ラッセ・コリン氏: 以前からの XZ のメンテナー Jia Tan: 2022年にメンテナーに就任。セキュリティ ホール を埋め込んだ人 Jigar Kumar: コリン氏に圧力をかけたアカウント。メールアドレスは nameNNN@mailhost 形式。 他ではインターネットのどこにも使われていない。攻撃のために作られた可能性が高い Dennis Ens: 同じくコリン氏に圧力をかけたアカウント。Jigar Kumar と同様のメールアドレスで他で使われていない。 Hans Jansen: ifunc のコードを更新したアカウント。Jigar Kumar と同様のメールアドレスで他で使われていない。 アンドレス・フロイント氏: バックドア発見者 #// アカウントは同一人物の可能性も考えられます 時系列: #// Google のエンジニアである ラス・コックス氏の 2024-03-29 のブログ。ただし、以下はいくつか省略している。 2021-11-02: Jia Tan が脆弱性を含む libarchive のプルリクエストを作成。議論もなくマージ https://github.com/libarchive/libarchive/pull/1609 2022-04-22: Jigar Kumar が Jia Tan のパッチが配信されないという苦情メールを何度も送信 2022-05-19: コリン氏が謝罪。「私のリソースがあまりにも限られており、長期的には何かを変える必要がある」 2022-05-27: Jigar Kumar「現在のメンテナは興味を失っておりもうメンテナンスを行うつもりがありません」 https://www.mail-archive.com/xz-devel@tukaani.org/msg00565.html 2022-06-08: Dennis Ens「メンタルヘルスの問題を抱えている人がメンテナーになっていていいのか」 https://www.mail-archive.com/xz-devel@tukaani.org/msg00566.html 2022-06-08: Jia Tan の役割を高く評価 2022-06-10: コリン氏がパッチをマージ https://git.tukaani.org/?p=xz.git;a=commitdiff;h=aa75c5563a760aea3aa23d997d519e702e82726b 2022-06-21: ちょっとした修正と同時に Jia Tan にメインのメンテナーにするようなパッチを作成 https://github.com/JiaT75/oss-fuzz/commit/6403e93344476972e908ce17e8244f5c2b957dfd 2022-06-22: この日以降 Jigar Kumar というアカウントは使われていない https://www.mail-archive.com/search?l=xz-devel@tukaani.org&q=Kumar&x=0&y=0 2023-06-22: Hans Jansen によるバックドアにつながるフックを提供するパッチを Jia Tan がマージ。 以後、変更時は GitHub Actions(自動チェック)で Jia Tan が以前プロジェクトに貢献していたと表示させている。 https://github.com/google/oss-fuzz/pull/10667 2023-07-19: Jia Tan が、C言語の警告を抑制するためのパッチを作成 https://github.com/llvm/llvm-project/issues/63957 2024-02-11: XZ の連絡先 URL を tukaani.org/xz/ から xz.tukaani.org/xz-utils/ に変更。 変更先は Jia Tan が編集しやすいホームページ。 2024-02-24: バックドアを設置。問題の v5.6.0 を公開。 バイナリテスト入力ファイルの多くは16進数エディタを使用して手動で作成されており、じっくりとはレビューされません。Jia Tanはこれを利用したとのこと。 https://git.tukaani.org/?p=xz.git;a=commitdiff;h=cf44e4b7f5dfdbf8c78aef377c10f71e274f63c0 2024-02-24: Gnetoo によるバグ報告 https://bugs.gentoo.org/925415 2024-03-04: RedHat liblzma の _get_cpuid で Valgrind エラー。今回のバックドアの入り口。次の日にマージ 2024-03-08: Jia Tan が Valgrind の修正と称する内容をコミット 2024-03-09: 別のバックドアを設置 https://git.tukaani.org/?p=xz.git;a=commitdiff;h=6e636819e8f070330d835fce46289a3ff72a7b89 2024-03-25: Hans Jansen が Debian に xz-utils 5.6.1 に更新するようにバグとして報告。 name###@mailhost 形式のアドレスから多数の擁護メール 2024-03-28: Jia Tan が Ubuntu に xz-utils 5.6.1 に更新するようにバグとして報告 2024-03-28: アンドレス・フロイント氏がバックドアを発見。RedHat は脆弱性の ID、CVE-2024-3094 を割り当て。 Debian はロールバックした 5.6.1+really5.4.5-1 をリリース。 Jia Tan が誰なのか: IRC: jiatan@185.128.24.163 185.128.24.163: WHOIS によるとシンガポール。ボエス氏によると VPNサービス WiTopia で使われている Jia Cheong Tan: Cheong は広東語でよく使われる名前ですが、Jia は広東語ではめったに使われないそう コミットの時間帯: UTC+02 もしくは UTC+03 の地域に住んでいる可能性が高いとのこと。 フィンランド、ロシア、ウクライナ、イスラエル、ギリシャ、シリア、トルコ、サウジアラビア、イラクなど 参考: https://gigazine.net/news/20240404-xz-utils-jia-tan/ https://gigazine.net/news/20240403-timeline-of-xz-open-source-attack/ https://research.swtch.com/xz-timeline ■■ 注目ニュース 一覧 ■■ ◇ Claude 3 Opus が GPT-4 を抜き1位に。Chatbot Arenaランキングで。 https://japan.cnet.com/article/35217107/ … 文書の読みやすさは Claude3 Opus のほうが上。プログラミングはまだ ChatGPT-4 が上。 ◇ ついにAmazonが悪質なダークパターンで消費者をだましたとして12億円の罰金を科される。 https://gigazine.net/news/20240328-amazon-dark-pattern-design/ … アマゾンといえばロングテール。在庫がないと取り寄せになるが、売買契約が無いので即時キャンセルすべき ◇ 大企業や富裕層が税金対策に悪用するペーパーカンパニーの所有者を見つけるコツをジャーナリストが解説。 https://gigazine.net/news/20240404-tracking-shell-companies-secret-owners/ … 代理店が偽の情報で登記。政治家の秘書がやったと同じ ◇ 動画再生アプリ VLC のAndroid版がアップデートされない理由は秘密鍵をGoogleに渡したくないから。 https://gigazine.net/news/20240327-vlc-android-update/ … Google が改良ついでに秘密鍵を要求。なりすましができる。 ◇ 実名必須のインターネットになれば議論の質が向上するのか? https://gigazine.net/news/20240317-online-anonymity-online-discussion/ … 特定もできる匿名であることが良い。 ◇ OpenAIの取締役会にサム・アルトマン氏が復帰、そもそも解任する必要はなかったとの調査結果も発表。 https://gigazine.net/news/20240310-openai-announces-sam-altman/ … 騒動のおかげで取締役会を見直すことになったと思う。 ◇ Google DeepMind の共同創設者が Microsoft で新設されたAI部門 Microsoft AI のCEOに就任。 https://gigazine.net/news/20240320-google-deepmind-co-founder-microsoft/ … 人の扱いが下手なグーグル。 ◇ 世界初の AI規制法を欧州議会が賛成多数で承認。 https://gigazine.net/news/20240314-european-parliament-artificial-intelligence-act/ … 透明性要件を満たす必要がある。 ◇ 国連がAIに関する初の世界決議を全会一致で採択、個人情報の保護・AIのリスク監視など。 https://gigazine.net/news/20240322-un-general-assembly-resolution-on-ai/ … アメリカが提案し、中国やロシアもと協議。 ◇ 周波数6.2GHzを達成したIntel Core i9-14900KS が登場、性能も価格も高いので金に糸目をつけない愛好家向けとの評価。 https://gigazine.net/news/20240315-intel-core-i9-1400ks/ … シングルスレッドでは最速。 ◇ コピペ禁止の入力フォームでコピペを可能にする拡張機能「Don’t F*** With Paste」レビュー。 https://gigazine.net/news/20240316-copy-paste-input-form/ … そもそも2回入力は タイプ ミス を防ぐためだから、貼り付け禁止は意味が無い。 ■■ ソフトウェアデザイン館 Sage Plaisir 21 ■■ ホームページ >>> http://www.sage-p.com/ メルマガ >>> http://www.mag2.com/m/0000083983.html ブログ >>> http://blog.livedoor.jp/sage_p/ ツイッター >>> http://twitter.com/Ts_Neko ダウンロード >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災 >>> http://www.sage-p.com/saigai.html メール >>> mail◇tzneko.com ←◇を@に変えてください 緊急メールは件名に「うどんメール」を付けてください。 このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm