オープンソースソフトのセキュリティ強化へ　CISAがロードマップ発表

ソフトウェアベンダーへの攻撃にも懸念

　背景にあるのは、「Log4j」「Heartbleed」などオープンソースプロジェクトでみつかった重大な脆弱性だ。実際、2021年末に明らかになった「Log4j」脆弱性を受けて、OpenSSFは「Open Source Software Security Summit」を2022年年明けにホワイトハウスで開催した。

　これにはGoogle、Microsoft、IBMなどの主要なハイテク企業、Log4jのプロジェクトをホスティングしていたApache Software Foundation（ASF）、JavaのオーナーであるOracleなどがそろい、オープンソースソフトウェアの安全性について意見を交換したと伝えられている。

　ロードマップは、その宿題だったものだ。SC Magazineの解説では、CISAの取り組みは2つのシナリオ「OSSに含まれる可能性のあるコードの破損」と「ダウンストリームの顧客のIT環境にアクセスするためソフトウェアプロバイダを意図的に標的にする攻撃」を想定している。

　前者の例がLog4jやHeartBleedとすれば、後者の例は、Progress Softwareのファイル転送ソフトウェア「MOVEit」でのセキュリティインシデントと言える。

　MOVEitのサーバーにあるSQLインジェクションのゼロデイ脆弱性を利用して、サイバー犯罪グループが利用者に不正アクセスを行ったという事件で、今年8月に発覚した。

　すでに1000以上の被害者が確認されるなど、「今年最大のハッキング事件」（Tech Crunch）と言われている。被害は米国に集中しており、個人レベルでは6000万人以上が影響を受けたという。