オープンソースサプライチェーン攻撃:xzバックドアインシデント
2025-03-22
2024年3月、広く使用されている圧縮ソフトウェアxzにバックドアが発見されました。Jia Tanという偽名を使った悪意のあるメンテナーが、3年以上にわたってこのバックドアを密かに挿入していました。このバックドアは、sshがインストールされているマシンでリモートコード実行を可能にしました。その発見は偶然で、関連のないパフォーマンスの問題を調査していたPostgres開発者によって発見されました。この記事では、バックドアの仕組みと、ビルドの再現性を利用した検出方法について詳しく説明します。バックドアは、xzのビルドプロセスを変更して悪意のあるオブジェクトファイルを挿入し、glibcのifuncメカニズムを利用してsshのRSA_public_decrypt関数をフックすることで構成されていました。著者は、信頼できるソースからソフトウェアをビルドし、ビルドの再現性を利用してソフトウェアサプライチェーンのセキュリティを向上させることを提唱しており、GitHubリリースとメンテナー提供のtarballを比較することや、ビルドソース間でのバイナリの一貫性を確認することが含まれます。
(luj.fr)
テクノロジー
xzバックドア