情報セキュリティインシデント
11.Jan.2021
悪意あるハッカーによるサプライチェーン攻撃 スケープゴートになったオープンソースコミュニティ
ハッカーの攻撃手段および侵入パターンは日々多様化しています。社内イントラネットで長年橫行していたAPT攻撃も、だんだんとサプライチェーンセキュリティ分野に移りました。特にOSSセキュリティ問題は、サイバーセキュリティチームに一番見逃されやすいため、よくハッカーの目当てになります。有名なオープンソースコードプロジェクトであるGitHubがその例です。ハッカーがマルウェアを直接にオープンソースプロジェクトに組み込んだせいで、オープンソースコードを引用したすべてのオープンソース開発人員は、バックドアプログラムの作成協力者になってしまいます。バックドアプログラムの含んだ製品がリリースすると、ホームネットワークや社内イントラネット、重要インフラなどに拡散され、ハッカーの攻撃範囲が広がります。製造企業にとって、それに伴うのは脆弱性補修作業の増加、そして金銭的やのれんの損失です。
上述の状況を避けるには、開発中にサイバーセキュリティの意識を持つ必要があります。一番経済的な方法は、開発中に自動化ツールでサードパーティオープンソースコードパッケージの脆弱性を検出、管理、補修することです。そうすれば、利用されるリスクが軽減され、サプライチェーンセキュリティの突破口にならずに済みます。
上述の状況を避けるには、開発中にサイバーセキュリティの意識を持つ必要があります。一番経済的な方法は、開発中に自動化ツールでサードパーティオープンソースコードパッケージの脆弱性を検出、管理、補修することです。そうすれば、利用されるリスクが軽減され、サプライチェーンセキュリティの突破口にならずに済みます。
Onward Securityの解決策
オープンソースコードの脆弱性診断:【HERCULES SecFlow製品セキュリティ管理システム】ソフトウェア設計および開発段階で、使っているサードパーティオープンソースコードパッケージにおけるライセンス問題や、重大セキュリティ脆弱性を検出するシステムです。【HERCULES SecDevice自動脆弱性診断ツール】ネットワーク製品の環境配置の検測、セキュリティ評価などの自動化機能が含まれたツールです。140個以上のセキュリティテスト項目を提供し、開発中におけるIoT製品診断を通じ、バッファオーバーフロー、境界を越えた書き込みを引き起こすような未知脆弱性および既知脆弱性を検出し、製品の問題を根本から解決することを支援します。
サイバーセキュリティの国際標準化および認証/検証サービス:製品開発ライフサイクル管理の問題に応じて、適切なサイバーセキュリティ管理フロー、サイバーセキュリティ監査サービス、サイバーセキュリティおよび国際標準化の評価と改善サービスを提供し、国際サイバーセキュリティ認証を早速取得することを協力いたします。
Reference:
https://www.ithome.com.tw/news/137953 https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16401
https://www.mdeditor.tw/pl/29Sr/zh-tw https://www.securityweek.com/backdoor-found-rest-client-ruby-gem
https://github.com/rest-client/rest-client/issues/713 https://nvd.nist.gov/vuln/detail/CVE-2019-15224
https://www.zdnet.com/article/backdoor-found-in-webmin-a-popular-web-based-utility-for-managing-unix-servers/
https://nvd.nist.gov/vuln/detail/CVE-2019-15107 https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16401
サイバーセキュリティの国際標準化および認証/検証サービス:製品開発ライフサイクル管理の問題に応じて、適切なサイバーセキュリティ管理フロー、サイバーセキュリティ監査サービス、サイバーセキュリティおよび国際標準化の評価と改善サービスを提供し、国際サイバーセキュリティ認証を早速取得することを協力いたします。
Reference:
https://www.ithome.com.tw/news/137953 https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16401
https://www.mdeditor.tw/pl/29Sr/zh-tw https://www.securityweek.com/backdoor-found-rest-client-ruby-gem
https://github.com/rest-client/rest-client/issues/713 https://nvd.nist.gov/vuln/detail/CVE-2019-15224
https://www.zdnet.com/article/backdoor-found-in-webmin-a-popular-web-based-utility-for-managing-unix-servers/
https://nvd.nist.gov/vuln/detail/CVE-2019-15107 https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16401
