パスワードを忘れた? アカウント作成
13988882 story
Ruby

RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される 37

ストーリー by headless
休眠 部門より

RubyGemパッケージ「rest-client」のメインテナーのRubyGem.orgアカウントが不正アクセスを受け、悪意あるコードを含むバージョンが立て続けに公開されていたそうだ(rest-client Issue#713The Registerの記事CVE-2019-15224)。

不正に公開されたのはバージョン1.6.10/1.6.11/1.6.12/1.6.13の4バージョン。1.6.13では外部にデータを送信するコードをpastebinからダウンロードして実行するコードが含まれていたという。1.6.x系列は2014年に1.7.0で置き換えられた非常に古いバージョンで、何らかの理由により最新版へアップグレードできない場合のために残されているものだが、1.6.13は1,061回ダウンロードされていたそうだ。

不正アクセスを受けたメインテナーのHacker Newsへの投稿によると、RubyGems.orgアカウントと他サービスでパスワードを共有しており、そのパスワードは他サービスから漏洩していたという。RubyGems.orgアカウントは10年以上前に作成したもので、最近はほとんど活動していなかったことからパスワードの安全性にも注意を払っていなかったとのこと。攻撃の流れとしては、価値の高いターゲットライブラリを選んでアカウント名を取得し、流出パスワードのリストと照合したとの見方を示している。

RubyGems.orgは影響を受けるバージョンをすべて公開停止し、1.6.9と同じ内容の1.6.14を新バージョンとしてリリースしている。さらに、二要素認証の使用などメインテナーに求めるセキュリティプラクティスの確立や、アクティブなメインテナーの維持に関するポリシーの導入などを計画しているとのこと。なお、これに関連して不正なコードを含むパッケージが多数見つかり、すべて公開停止となっている。

RubyGems.orgアカウントへの不正アクセスとしては、3月にバックドアを含むbootstrap-sass 3.2.0.3が公開されたことがスラドでも話題になったが、6月にもバックドアを含むstrong_password 0.0.7が公開されていたとのことだ。不正アクセスを受けたstrong_passwordのオーナーも他サービスで流出した古いパスワードの使用していた点や最近活動していなかった点など、rest-clientのメインテナーと状況が似通っている。

  • by Anonymous Coward on 2019年08月25日 12時36分 (#3674986)

    最近怖くてオープンソースの物使いにくい
    マイナーなものは特に

    ここに返信
    • by Anonymous Coward on 2019年08月25日 13時11分 (#3674991)

      しかも最近はビルド時勝手にオンラインで引っ張ってくるという凶悪さ

      • by Anonymous Coward on 2019年08月25日 17時59分 (#3675066)

        酷いとHTTPの平文でな。

      • by Anonymous Coward

        オプソかプロプラかを問わず、インストールしようとした時に自動的に「ソフトの依存するソフトの依存するソフトの…の依存するソフトを自動的にインストール」となって関係者の数が増えすぎる(==ポンコツ開発者が混じってる可能性が高まる)のが怖いんだよね

      • by Anonymous Coward

        オンライン上のインストール用のシェルスクリプトのファイルをsudoで直で実行してインストール、という方法も頭おかしいと思うんだけど、
        結構使われてるよね・・・

        • by Anonymous Coward

          ダウンロードしてsudoなり管理者権限のパッケージマネージャでインストールなりでもリスクは大差ないよ。
          あえて気にするならHTTPSかHTTPかを気にすべき。

    • by Anonymous Coward on 2019年08月26日 3時12分 (#3675188)

      supply chain attackを考えればOSSに限ったことではないです。

      例えば最近ではASUSやCCleaner等の更新がマルウェア内蔵に置き換えられています。
      https://www.pandasecurity.com/mediacenter/mobile-news/supply-chain-asus/ [pandasecurity.com]

      Chromeの機能拡張が買収された後にadwareを仕込まれた話等も枚挙に暇がありません。
      OSSだけが危険だというのは危険な考えです。

    • by Anonymous Coward

      >最近はほとんど活動していなかったことからパスワードの安全性にも注意を払っていなかった

      塩漬けアカウント的なのは、仕事じゃないから発生するでしょうなぁ…
      一定期間後にアカウント無効化かなぁ…

    • by Anonymous Coward

      オープンソースと何も関係ない件
      Google Playに偽物アプリが公開されるのと何が違うの

  • by Anonymous Coward on 2019年08月25日 13時12分 (#3674992)

    Chrome拡張でもちらほら起きてるけど
    こういう悪さする連中防ぐのどうしたらいいんだろう

    ここに返信
    • by Anonymous Coward

      gemに署名付ける仕組みはあるみたいだけど今回のパッケージは署名付いてたのかな?
      アカウントハックされたぐらいだから,検証に使用する証明書も差し替えられちゃう感じ?

      プログラミング系の独自パッケージ配布システムは,性善説により過ぎてるような気がする.
      第三者のレビューを通過して初めてpublishできるようなリポジトリがあっても良いかも.

    • by Anonymous Coward

      いくつか対策もストーリー本文に書かれているけど、
      まずアカウントを乗っ取られやすい認証システムを見直す必要がある気がする。

      パスワードを使い回すユーザーが出現するという脆弱性を修正できないか。

  • by Anonymous Coward on 2019年08月25日 13時35分 (#3674998)

    そろそろ「パスワードをユーザに決めさせてはいけない」というのが浸透して欲しい。

    ここに返信
    • by Anonymous Coward

      紛失した場合の回復手段を悪用されるだけなので無駄

      • by Anonymous Coward

        Chromeに記憶させておけば紛失はしないでしょ

        いやGoogleアカウントが消されたとかログイン出来なくなったとかだとアレだが

        • by Anonymous Coward

          セブンペイの初期考察のような話だろ。
          紛失するかどうかしたかどうかは関係ない。

        • by Anonymous Coward

          > Chromeに記憶させておけば紛失はしないでしょ

          マシンが故障して、バックアップもなかったら紛失するよ。
          まあ RubyGem デベロッパーならバックアップくらいは期待してもいいかもしれないけど
          一般論としてはまったく期待できない。

          パスワードが必要なら、それはサービス側で自動生成してユーザーに渡した方がいいってのは同感だけど、
          それがユーザーに受け入れられるかは不安がある。

      • by Anonymous Coward

        いつものメアド使ったやつでええやん?

    • by Anonymous Coward

      ソルトのように、ユーザー決定部分の他にサイト決定部分の連結文字列にすれば良いんだよね。

      • by Anonymous Coward

        サイト決定部分がユーザーごとに別で、推測が難しいならいいけど、それだったら、パスワード全体をサイトが決めてもよくね?

        • by Anonymous Coward

          サイト側で決めるんなら入力も面倒だし証明書認証でよくね?

          # そして証明書が漏洩して振り出しに戻る

        • by Anonymous Coward

          覚えられない→メモに書いておく→メモが流出というリスク。
          メモっとく部分(サイト毎に違う)+覚えとく部分(全サイト同じ)にすれば良いか。

          • by Anonymous Coward

            実際のところ、メモが流出して大事故になった例がどれほどあるというのか。
            昨今の流出事故を顧みると、もはやユーザーが自分でパスワードを設定できるといこと自体がセキュリティーホール。

            • by Anonymous Coward

              オンラインのパスワード管理システムだとそれ自身が狙われるのでイケてないこともあるけど、
              ローカルのプレーンテキストだとマルウェア踏んだ状況ですら、
              機械的に盗まれる可能性はそこまで高くなさそうだしね。
              もうその時点でロガーとか仕込まれる方が現実的リスクになる。
              攻撃可能なのは物理アクセス可能な相手が主体で、
              ストレージ暗号化してマメにロックしてればショルダーハック警戒すれば事足りる。

              ただ、事例ベースで話をするとパスをメモる時点で論外扱いされて、
              それによる副次被害が余程大きくないと話題にならず認知されないことも多い。

    • by Anonymous Coward

      そろそろVirusTotalみたいにhttps://haveibeenpwned.com/とかGoogleが買い上げて、パスワード使いまわしさせないシステムとか作ってもいいと思うの。

      • by Anonymous Coward

        ユーザーがパスワードを自分で決めれないようにすれば良いだけで、そんなものは不要だよ。

        • by Anonymous Coward

          それができないからでしょ?

    • by Anonymous Coward

      now.sh のようにパスワードなしでメールのみで認証しているサービスもありますね。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...