Security:”サプライチェーン”に攻撃を仕込むと…

今年6月にM3AAWGというセキュリティーとかメールとかの団体のイベントに行ってきました。この団体の成果物としてホワイトペーパーがあるのですがその中の主要なものの一つで Windowsで使えるツールとして “CCleaner” が紹介されています。

Operation Safety-Net Helps Business and Government Leaders Understand Global Online Security Best Practices | M3AAWG

The report was jointly developed by the Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) and the London Action Plan (LAP), and describes the latest recommendations to protect users and networks from illicit Internet, mobile and telephony attacks.

でなんと最近”CCleaner”にバックドアが仕込まれているのが公開されていたのを知り驚きました。以下のMorphisecが最初に見つけたようです。

Morphisec Discovers CCleaner Backdoor Saving Millions of Avast Users

callback functions was probably altered by a modification of the visual studio runtime file

“Visual Studio”が最初にクラックされたようです。開発環境に悪意のあるモジュールを忍び込ませることについてWIREDも3日前に記事にしてます。

CCleaner Malware Shows Software’s Serious Supply-Chain Security Problem | WIRED

hackers distributed a fake version of the Apple developer tool Xcode

“サプライチェーン”って言うんですね。MacOSでも似た例があったようです。

さて今本棚に並んでいるSoftware Design誌はVuls特集もありセキュリティーの話題が多いようです。連載の方では”サプライチェーン”っていうIT本ではあまり見ない用語が出てきてます。この記事は要チェックです。

Software Design 2017年10月号|技術評論社

セキュリティ実践の基本定石
【48】ソフトウェアのサプライチェーンとそこに潜む脅威……すずきひろのぶ

Advertisements

One thought on “Security:”サプライチェーン”に攻撃を仕込むと…

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s