ニュース
PythonなどOSSエコシステムを汚染する悪意あるパッケージが急増 リスクを避けるために何をすべきか:2022年から急増、2023年はさらに拍車
Snykは、2023年初めからこれまでに、オープンソースのPyPIおよびnpmパッケージのうち、悪意あるものが6762個見つかり、同社のデータベースに追加されたと報告し、2022年以降の悪意あるパッケージの急増について警告した。
ソフトウェア開発者向けのセキュリティプラットフォームを手掛けるSnykは2023年3月23日(米国時間)、2023年初めからこれまでに、PyPIおよびnpmレジストリに登録されたオープンソースパッケージのうち、悪意あるパッケージが6762個見つかり、同社のデータベースに追加されたと報告し、2022年以降の悪意あるパッケージの急増について警告した。
この6762個のうち、Snykが発見したものは922個だった。オープンソースソフトウェア(OSS)のレジストリに登録されたこうした悪意あるパッケージは、ユーザーの入力ミスに付け込むタイポスクワッティングや、ユーザーをだますフィッシングなどを通じてサイバー攻撃に使用され、エコシステムを汚染する。
Snyk(「スニーク」と発音)によると、同社がデータベースに追加した悪意あるパッケージは、2021年には82個だったが、2022年はその38.5倍の3157個に急増した。2023年は3月下旬の段階で、2022年の個数の2倍を優に上回っている。これらのうち同社が発見した悪意あるパッケージ数も、2021年の15個から2022年には1073個に跳ね上がっている。
関連記事
BitLockerの暗号化をバイパスできるWinRE(回復環境)の脆弱性解消法、隠しフォルダ対応も忘れずに
Windows OSが起動しなくなった際などに利用する「Windows回復環境」(WinRE)に、BitLockerによる暗号化機能をバイパスする脆弱(ぜいじゃく)性が見つかった。Windows 10/11に対し、更新プログラムを適用することで、システム上のWinREの脆弱性は解消できる。しかし、Windows 10/11が起動しなくなった際に使われる、隠しパーティションに格納されているWinREに対して脆弱性を解消するには、手動による更新プログラムの適用が必要になる。その方法を紹介しよう。
毎日10個以上の悪意あるパッケージが「npm」「rubygems」経由で公開されている OSS脆弱性調査
アプリケーションセキュリティベンダーのMendが公開した調査レポートによると、2022年1〜9月に同社が把握したオープンソースソフトウェアの脆弱性は、前年同期比で33%増加した。
クラウドネイティブな環境でも「やることは変わらない」――GMOペパボにおけるインフラセキュリティ管理、7つの取り組み
レンタルサーバやホスティング、EC支援など幅広く事業を展開するGMOペパボ。OpenStack、ベアメタル環境、クラウドとITインフラの変遷を反映したような同社のインフラ構成において、セキュリティ対策にどう取り組んでいるのか。@ITが2022年9月に開催した「Cloud Native Week 2022秋」でGMOペパボの山下和彦氏が紹介した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.