本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
Googleは31日、npm上で配布されたJavaScriptライブラリ「Axios」の侵害について、北朝鮮関係の攻撃者によるものと説明した。TechCrunchなどによると、Google Threat Intelligence Groupはこの攻撃をUNC1069に帰属させており、信頼された開発ツールを悪用するサプライチェーン攻撃として警戒が広がっている。
Google、Axios侵害を北朝鮮関係の攻撃者に結び付け
アクシオスなどによると、侵害はnpmで配布されたAxiosを通じて起きた。Googleは継続中の事案として説明しており、信頼された開発ツールが認証情報を盗むマルウェアの配布経路に変えられたとみている。
Google Threat Intelligence Groupは、この攻撃を北朝鮮関係が疑われるUNC1069に帰属させた。TechCrunchによると、悪意ある版は公開からおよそ3時間以内に削除されたが、短時間でも更新経路そのものが汚染された点が、今回の事案を重くしている。
広く使われるライブラリが狙われた
Axiosはnpmで配布される広く使われるJavaScriptライブラリで、TechCrunchなどは週あたり数千万回規模でダウンロードされると報じた。利用者の裾野が広い分、改ざんが短時間でも下流の開発環境へ波及しやすい。
今回は単なる1件のパッケージ改ざんではなく、日常的な更新作業そのものが攻撃の入口になり得ることを示した。信頼されたソフトウェアを通じて利用者側へ被害を広げるサプライチェーン攻撃の典型として、開発ツールの管理が改めて前面に出ている。
日本でもnpmに依存する企業や開発チームは、侵害版を取り込んでいないかの確認に加え、認証情報の更新や依存パッケージの監視を急ぐ必要がある。今回の帰属が北朝鮮関係の攻撃者とされたことで、プラットフォーム側の削除対応だけでなく、利用企業側でも短時間の改ざんを前提にした点検と情報共有を厚くする作業が増える可能性がある。
参考・出典
- North Korean hackers implicated in major supply chain attack
- North Korean hackers blamed for hijacking popular Axios open source project to spread malware | TechCrunch
- North Korea-linked hackers suspected in Axios open-source hijack, Google analysts say – Nextgov/FCW
- The Day Axios Was Compromised: Inside the npm Supply Chain Attack
