XZ Utils バックドア サプライ チェーン攻撃により、数年前の同様の脆弱性インシデントが発覚

最近明らかになったXZ Utils のバックドアは、オープンソースの Android アプリ リポジトリである F-Droid の開発者に過去の事件を思い出させました。PostgreSQL のメンテナーである Andres Freund 氏は、3 月末に Liblzma (XZ Utils) データ圧縮ライブラリで見つかったバックドアについて警告を発しました。このライブラリは開発者によって広く使用されており、さまざまな Linux ディストリビューションにプリインストールされています。当初は SSH 認証のバイパスを可能にするものと考えられていましたが、さらに調査を進めると、実際にはリモート コード実行を容易にすることが判明し、CVE-2024-3094 の脆弱性として指定されています。

オープンソース ソフトウェアに対するサプライ チェーン攻撃は珍しくありませんが、この事件の特徴は、数年にわたって続いているように見えることです。F-Droid のメンテナーである Hans-Christoph Steiner 氏は、2020 年に同様の事件があったことを思い出しました。その事件では、SQL インジェクションの脆弱性を挿入する試みが行われました。しかし、阻止されました。2 つの事件の類似点は、無作為のアカウントによって悪意のあるコードを含めるように圧力がかけられたことにあります。

シュタイナー氏は、提出者のアカウントがその後削除されたことから、脆弱性を挿入する試みは意図的なものだったと考えている。XZ Utils のケースでは、バックドアは Jia Tan または JiaT75 という人物によるものとされたが、これは洗練された脅威アクターによって作成された架空の ID である可能性がある。Jia Tan のプロジェクトへの関与は 2021 年 10 月に無害な形で始まり、2023 年半ばまでに徐々に重要な貢献へとエスカレートし、バックドアの準備が行われた可能性がある。

バックドアは最終的に2024年2月に追加され、1か月後にフロイント氏によって発見され、その後広く配布された。XZ Utilsの主要開発者であるコリン氏は、この件について調査を行っている。ソフトウェアサプライチェーンのセキュリティ専門家であるダン・ロレンク氏は、2022年のポッドキャストでこのような長期攻撃について警告し、政府のハッキングチームが関与している可能性を示唆した。

残る疑問は、おそらく同じ、あるいは別の脅威アクターによって仕組まれた類似の事件が将来的に表面化するかどうかだ。コリン氏が調査をさらに深めるにつれ、より多くの詳細が明らかになり、XZ Utils バックドアの範囲と影響が明らかになると予想される。