オープンソースソフトウェア(OSS)の利用が急増する中、Sonatypeの新たな調査結果によると、オープンソースのマルウェアが156%増加しました。
同社の第10回 年次「ソフトウェアサプライチェーンの現状」レポートによれば、2019年以降に特定された悪意あるパッケージは704,102件を超え、そのうち512,847件は2023年11月以降に発見されています。
Sonatypeによると、今年はオープンソース利用が過去最高を記録し、推定6.6兆回のダウンロードに達しました。
JavaScript(npm)は2024年に驚異的な4.5兆件のリクエストを占め、リクエスト数は前年比70%増となりました。
Sonatypeの調査結果によると、AIとクラウド導入に後押しされたPython(PyPI)は、2024年末までにパッケージリクエストが5,300億件に達すると推定され、前年比87%増となる見込みです。
npmはJavaScriptプログラミング言語のパッケージマネージャーで、PyPIはPythonのパッケージマネージャーです。
同社は、組織が効率的なリスク低減に引き続き苦戦していると述べました。また、Sonatypeの研究の焦点は汚染されたオープンソースプロジェクトの増加にある一方で、レポートでは、オープンソースであれ商用ソフトウェアであれ、いずれはバグが発生し、それが脆弱性へと発展することが指摘されています。
パッケージの99%以上で更新版が利用可能であるにもかかわらず、アプリケーションの依存関係の80%は1年以上アップグレードされないままです。
さらに、脆弱なコンポーネントが利用されるケースの95%では、すでに修正版が存在しています。
リスクは根強く、Log4shellの露見から3年が経過した現在も、Log4jのダウンロードの13%は脆弱なままです。
また、複数の脆弱性の修正に500日以上を要するなど、発行者がCVEの修正対応に追いつけていないことも指摘されました。
2013年から2023年の間に、CVEは463%増加しました。
レポートの中でSonatypeは、ソフトウェア製造者、利用者、規制当局に対し強固なセキュリティ対策を採用するよう呼びかけ、イノベーションとセキュリティのバランスはこれまで以上に重要だと述べました。
「この10年で、ソフトウェアサプライチェーン攻撃は巧妙化と頻発化が進み、特にオープンソースのマルウェアの増加が顕著でした。一方で、セキュリティの面では発行者と利用者は比較的停滞したままでした」と、SonatypeのCTO兼共同創業者であるブライアン・フォックス氏は述べています。「今後10年に向けて活力があり安全なオープンソースのエコシステムを確保するためには、オープンソースのマルウェアへの警戒、利用者の油断の低減、包括的な依存関係管理を通じて、プロアクティブなセキュリティの基盤を築かなければなりません。」
課題はあるものの、同社は規制当局が問題に追いつき始めているとも指摘しました。
新たな政策も登場しており、2024年10月17日に施行されるEUの改定版ネットワークおよび情報システム指令(NIS2) に加え、インドやオーストラリアでも今後の規制が表面化しています。これらの政策はソフトウェア部品表(SBOM)の採用を促進しており、過去1年間で60,000件を超えるSBOMが公開されました。
Sonatypeのレポートは、700万件を超えるオープンソースプロジェクトのデータに基づいています。
翻訳元: https://www.infosecurity-magazine.com/news/156-increase-in-oss-malicious/
