PythonなどOSSエコシステムを汚染する悪意あるパッケージが急増　リスクを避けるために何をすべきか：2022年から急増、2023年はさらに拍車

Snykは、2023年初めからこれまでに、オープンソースのPyPIおよびnpmパッケージのうち、悪意あるものが6762個見つかり、同社のデータベースに追加されたと報告し、2022年以降の悪意あるパッケージの急増について警告した。

» 2023年03月30日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　ソフトウェア開発者向けのセキュリティプラットフォームを手掛けるSnykは2023年3月23日（米国時間）、2023年初めからこれまでに、PyPIおよびnpmレジストリに登録されたオープンソースパッケージのうち、悪意あるパッケージが6762個見つかり、同社のデータベースに追加されたと報告し、2022年以降の悪意あるパッケージの急増について警告した。

　この6762個のうち、Snykが発見したものは922個だった。オープンソースソフトウェア（OSS）のレジストリに登録されたこうした悪意あるパッケージは、ユーザーの入力ミスに付け込むタイポスクワッティングや、ユーザーをだますフィッシングなどを通じてサイバー攻撃に使用され、エコシステムを汚染する。

　Snyk（「スニーク」と発音）によると、同社がデータベースに追加した悪意あるパッケージは、2021年には82個だったが、2022年はその38.5倍の3157個に急増した。2023年は3月下旬の段階で、2022年の個数の2倍を優に上回っている。これらのうち同社が発見した悪意あるパッケージ数も、2021年の15個から2022年には1073個に跳ね上がっている。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

BitLockerの暗号化をバイパスできるWinRE（回復環境）の脆弱性解消法、隠しフォルダ対応も忘れずに
Windows OSが起動しなくなった際などに利用する「Windows回復環境」（WinRE）に、BitLockerによる暗号化機能をバイパスする脆弱（ぜいじゃく）性が見つかった。Windows 10／11に対し、更新プログラムを適用することで、システム上のWinREの脆弱性は解消できる。しかし、Windows 10／11が起動しなくなった際に使われる、隠しパーティションに格納されているWinREに対して脆弱性を解消するには、手動による更新プログラムの適用が必要になる。その方法を紹介しよう。
毎日10個以上の悪意あるパッケージが「npm」「rubygems」経由で公開されている　OSS脆弱性調査
アプリケーションセキュリティベンダーのMendが公開した調査レポートによると、2022年1～9月に同社が把握したオープンソースソフトウェアの脆弱性は、前年同期比で33％増加した。
クラウドネイティブな環境でも「やることは変わらない」――GMOペパボにおけるインフラセキュリティ管理、7つの取り組み
レンタルサーバやホスティング、EC支援など幅広く事業を展開するGMOペパボ。OpenStack、ベアメタル環境、クラウドとITインフラの変遷を反映したような同社のインフラ構成において、セキュリティ対策にどう取り組んでいるのか。＠ITが2022年9月に開催した「Cloud Native Week 2022秋」でGMOペパボの山下和彦氏が紹介した。