セキュリティ業界で加速する“Shift Left”──西尾素己氏が語る「ガバナンス回帰」が必要な理由

ソフトウェアの“開発環境”を狙った脅威、すでに大規模な訴訟も

　ここ数年で、ソフトウェアの“開発環境”がサイバー攻撃者に狙われるケースが増えている。西尾素己氏はその代表例として、2020年12月に発生したSolarWinds社のインシデントを紹介した。この事件では、ロシアのAPT29という攻撃グループが、SolarWinds社の「Orion Platform」というソフトウェアの開発環境に侵入し、ソースコードを改ざんした。

　「この改ざんによって、ソフトウェアを利用している約1万8000のユーザー環境にバックドアが仕込まれる恐れが生じました。開発環境で起こった侵害が、一気に大規模なソフトウェアサプライチェーン問題へとつながったのです」（西尾氏）

　同氏によれば、Orion Platformのユーザーには米国の政府機関やNASA、Fortune 500の有名企業なども含まれていたという。これらの企業・組織に対して「ロシアの攻撃者がバックドアを保有する可能性」を与えてしまったことも大きな問題になった。この事態を受けて、SolarWinds社はSEC（米国証券取引委員会）から詐欺罪で提訴されることとなったのである。

　「SolarWinds社は自社製品のユーザーである政府機関や企業に対し、『我が社の製品は安全です。十分にセキュリティに配慮しています』『製造過程も非常にセキュアです』と喧伝していたにもかかわらず、こうした事態となってしまいました。これが、詐欺罪という不名誉な罪状で提訴される結果になってしまったのです」（西尾氏）

　この事件以降、Lazarusなどの攻撃グループによるソフトウェア開発環境への攻撃が急増した。今日でも、CI/CDツールのゼロデイ脆弱性を突いたり、開発者個人を狙ったりといった攻撃が増加していることは皆さんもご存じだろう。LofyGangという新たな攻撃グループも登場し、ソフトウェアサプライチェーン攻撃のためのRaaS（Ransomware as a Service）プラットフォームを広く提供している。

　ソフトウェアベンダーの内部で働く開発者に巧みに近づき、金銭などを提供する代わりにソフトウェアのソースコードにバックドアのコードを挿入させる手法も増えてきている。こうした攻撃で最も有名な事例の1つが、「XZ-Utils事件」だ。この事件では、OSSツール「XZ-Utils」のコミッターとして長年に渡って活動しており、周囲からも高い信頼を得ていた人物が、突然プロジェクトにバックドアを仕込むという事態が発生した。

　「この事件では、幸いにもRed Hatのチームによって不正コードが検知され、事なきを得ました。しかし、XZ-Utilsは多くのLinuxディストリビューションで使用されているため、危うく世界中のLinuxシステムにバックドアが仕込まれる事態に発展するところでした」（西尾氏）

　こうした潮流を背景に、ソフトウェア開発のライフサイクルにおいて、セキュリティ対策をより早い段階から組み込む「Shift Left（シフトレフト）」に注目が集まっている。