大規模サプライチェーン攻撃:放棄されたAmazon S3バケット経由でのマルウェア配信
2025-02-12
研究者らは約400ドルで約150個の放棄されたAmazon S3バケットを登録し、それらがまだ使用されているソフトウェアライブラリを含んでいることを発見しました。これらのバケットは2ヶ月で800万件のリクエストを受け取り、大規模な脆弱性を浮き彫りにしました。攻撃者はこれらのライブラリにマルウェアを簡単に注入し、ソフトウェアアップデートを通じて広く拡散させることができます。これは、SolarWinds攻撃と同様ですが、はるかに大規模なものです。これらのバケットの放棄により、開発者は脆弱性を自動的に修正できなくなり、攻撃者はアップデートを制御し、ベンダーによる影響を受けたソフトウェアの特定を妨げます。これは、ソフトウェアサプライチェーンセキュリティの深刻な欠陥を強調しています。修正するには、困難で高コストになります。