アップストリームを狙う攻撃が急増ーー米Sonatypeが報告書

　米Sonatypeは8月12日（米国時間）、オープンソースのエコシステムに関する報告書「2020 State of the Software Supply Chain」を発表した。オープンソースライブラリにおける次世代型の悪意あるコンポーネントの数は、430％増加したと報告している。

　Sonatypeはソフトウェアサプライチェーンの自動化技術を提供するベンダー。State of the Software Supply Chainは同社が毎年作成するオープンソースのエコシステムに関する年次レポート。今年で6回目となり、5600人以上のソフトウェア開発者を対象に、約2万4000のオープンソースプロジェクト、約1万5000の開発組織を調べた。

　調査の結果、2019年7月から2020年5月の10ヶ月の間、Sonotypeが「次世代型」と位置付ける攻撃は929件を観測した。なお、2015年2月から2019年6月の累計は216件、1年で430％の増加としている。

　これら「次世代型」攻撃は、GitHubリポジトリを感染させたことで知られるOctopus Scannerなどを指し、Equifaxなどが新しいゼロディ脆弱性に対するパッチ適用の前に攻撃するという手法をとるのに対し、アップストリームのオープンソースプロジェクトを狙うことで、ダウンストリームでディストリビューションされると脆弱性が悪用されるという手法をとると区別している。

　レポートではまた、オープンソースソフトウェアコンポーネントの脆弱性に対する企業ソフトウェア開発チームのレスポンスについても報告している。それによると、47％がオープンソースの脆弱性に気がつくまでにかかる時間が1週間後、51％がオープンソースの脆弱性の修正措置をとるのに1週間を要しているという。

　なお、開発者がアプリケーションに組み込むオープンソースコンポーネントの11％が既知の脆弱性を持ち、平均すると38件の脆弱性が発見されていることも報告している。

「2020 State of the Software Supply Chain」
https://www.sonatype.com/2020ssc