2024年3月29日、CVE-2024-3094 Xz: malicious code in distributed source^[1](XZ Utils配布ソース内の悪意あるコード)として脆弱性情報が公開された。XZ UtilsはUn*x系システムで使われているデータ圧縮ソフトウェアである。歴史ある圧縮ツールとしては比較的新しいが、初リリースが2009年1月で、2011年3月にLinux圧縮カーネルブートプロセスでxz圧縮がサポートされるようになる^[2]。当時、標準的だったgzip、bzip2に比較して、高圧縮率で圧縮コストはかかるが伸張はbzip2より速いという特徴がありbzip2の置き換えとして普及している。

XZ Utilsコード侵害攻撃はソースコードのビルドと配布のプロセスでのみ発動するよう巧妙に仕組まれており、リモートログインに広く使われるsshの認証を侵しバックドア化することを狙いとしていた^[3]。攻撃者はOSS開発、配布の最上流にコードを忍び込ませるため2021年から活動の痕跡を見せ始め、XZ Utils開発プロジェクトのコミッター、メンテナーとして信頼と地位を得ようとインフルエンス・オペレーションまで仕掛けていた。最終局面ではサブドメインxz.tukaani.orgを奪取し、XZプロジェクトのURLを乗っ取り、パッケージビルド用のtarballを配布することに成功している。

OSSの中でも最も汎用的に使われる圧縮ツール開発プロジェクトを介した侵害行為は、OSSの仕組みそのものとOSS利用を基盤とするICT社会を揺るがす重大事件である。その深刻さにもかかわらず、日本国内では、テック系ニュースとしてしか取り上げられない。

米国のPOLITICOは3月31日(日)にホワイトハウス国家サイバー長官室技術補佐官と元NSA技術員2名に取材し記事を公表している^[4]。さらに翌4月1日(月)には毎週月曜に配信する"Weekly Cybersecurity"^[5]でも取り上げた。POLITICOとは、ワシントンD.C.(米国連邦政府)の政治と政策を中心に、法律・政策コンサルタントや企業幹部、ロビイスト、政策関係者などの専門家を対象とするPOLITICO PROを有償提供するなど、米国の外交・貿易・環境政策、国際関係に関する情報を求める人達にとって有力な情報源となっている影響力のあるメディアである^[6]。4月2日(火) The Guardian^[7]及びThe Economist^[8]、3日(水) New York Times^[9]、4日(木)再度The Economist^[10]、5日(金)Reuters^[11]がOSSプロジェクトXZ Utilsに対する攻撃と侵害の重大性を報じた。いずれも経済、政治、社会、文化を扱う一般読者層を持つ新聞社及び通信社である。

こうしたメディアの反応の差は、社会が持つサイバーに対する感度の違い、危機意識の違いを表している。

参考文献

1. CVE Website(MITRE), 2024/03/29, "CVE-2024-3094 Xz: malicious code in distributed source" (2024/04/05閲覧)
2. Kernelnewbies, 2011/03/14(公開), 2017/12/30(更新), "Linux26_38 - Linux Kernel Newbies" (2024/04/05閲覧)
3. ビルド工程に不正コードを仕込みバックドアを組み込む手口は、Ken Thompsonのチューリング賞授賞講演で示されたアイディアとそれを密かに実装していたという伝説が想起される。Ken Thompson, 1984/08/01, "Reflections on trusting trust" (2024/04/05閲覧), Tom Li., 2022/09/27, 'Ken Thompson Really Did Launch His "Trusting Trust" Trojan Attack in Real Life' (2024/04/05閲覧)
4. John Sakellariadis(POLITICO), 2024/03/31(EDT), "Thwarted supply-chain hack sets off alarm bells across DC" (2024/04/05閲覧)
5. Joseph Gedeon(POLITICO), 2024/04/01(EDT), "Open wounds on open source" (2024/04/05閲覧)
6. BCW(PR会社), 2023/10/12, "EU Media Poll 2023: POLITICO Just Beats The Economist In Tight Fight to the Top" (2024/04/05閲覧)
7. Alex Hern(The Guardian), 2024/04/02(BST), "TechScape: How one man stopped a potentially massive cyber-attack – by accident" (2024/04/05閲覧)
8. The Economist, 2024/04/02, "A stealth attack came close to compromising the world’s computers" (2024/04/07閲覧)
9. Kevin Roose(The New York Times), 2024/04/03, "Did One Guy Just Stop a Huge Cyberattack?" (2024/04/05閲覧)
10. The Economist, 2024/04/04, "A chilling near-miss shows how today’s digital infrastructure is vulnerable" (2024/04/07閲覧)
11. Raphael Satter(Reuters), 2024/04/05(公開), "Why a near-miss cyberattack put US officials and the tech industry on edge" (2024/04/05閲覧)