「XZ Utils」にバックドア（CVE-2024-3094）の問題　Fedora、Debian、Alpine、Kali、OpenSUSE、Arch Linuxの開発版、実験版に影響：OSSコミュニティーに衝撃

主要なLinuxディストリビューションなどで広く使用されている「XZ Utils」に、悪意あるコードが挿入された問題（CVE-2024-3094）が確認された。

» 2024年04月04日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　2024年3月29日（米国時間）、主要なLinuxディストリビューションなどで広く使用されているファイル可逆圧縮ツール「XZ Utils」に、悪意あるコードが挿入された問題（CVE-2024-3094）が確認されたとして、同ツールの開発元Tukaani Projectの開発者やディストリビューター、セキュリティ企業などが情報を公開した。

　JPCERTコーディネーションセンター（JPCERT/CC）によると、この悪意あるコードは、XZ Utilsの開発に関わる共同開発者によって2024年2月24日ごろに挿入された。このコードが挿入されたバージョンのXZ Utilsがインストールされたシステムは、特定条件下で、SSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性がある。

　CVE-2024-3094の影響を受けるXZ Utilsのバージョンは、「XZ Utils 5.6.0」と「XZ Utils 5.6.1」だ。使用中のXZ Utilsのバージョンを確認する際は、影響を受けるバージョンを使用している可能性を考慮し、xzコマンドによる確認は避け、各種パッケージ管理ソフトウェアのバージョン確認コマンドを使うよう推奨している。

　JPCERT/CCは、これらを使用している可能性があるLinuxディストリビューションを利用している場合、同ツールの開発者や各ディストリビューターが公開する最新情報を参照し、影響の有無の調査や必要な対処の実施を検討することも推奨している。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM
使用していたオープンソースのソフトウェアに使われていたライブラリに脆弱性があったことに気付かないでいたことで、攻撃を受けてしまったという事例が発生しています。これはLinuxだけでなく、Windows OSでも起こり得る事態です。こうしたリスクを軽減する方策として、SBOMと呼ばれるOSSのサプライチェーン管理の手法があります。今回はSBOMとはどういったものなのかについて解説します。
「Microsoft Copilot for Security」一般提供開始　日本語のプロンプトにも対応
Microsoftは「Microsoft Copilot for Security」の一般提供を開始した。同社によると、自然言語で応答し、人間が見逃す予兆を自動で検知できるなどの機能を備えているという。
「サプライチェーン攻撃」とは何か？　弱点を発見する方法は？　どう対策すべきか？
あらゆる業種、あらゆる規模の組織が“自分事”として捉えられるよう「サプライチェーン攻撃」の現状と対策を整理する特集『日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか』。初回は、日本ハッカー協会代表理事の杉浦隆幸氏の講演「サプライチェーン攻撃の実態」をレポートする。