多発するオープンソースへのセキュリティ攻撃

　フリーのオープンソースソフトを配布するサーバへのオンライン経由の攻撃が、最近何件か発生し、開発者たちは警戒感を強めている。

　ここ4カ月の間に、Linuxカーネル開発チームやDebian Project、Gentoo Linux Project、GNU Projectが公開しているプログラムやコードをホスティングするサーバに、何者かが侵入し、セキュリティを侵害する事件が起きている。GNU Projectは、Linuxやその他のUnixに類似したシステムで使われている数多くの重要なプログラムの開発を管理している。こうした攻撃の発生を受けて、オープンソースプロジェクトのリーダー達は、セキュリティの見直しを始めている。

　「オープンソースサーバや、オープンソース開発の中核となるサーバが標的にされたことは、全く驚きに値する」と、Gentoo Linuxのコードの配信システムを監督するインフラチームのメンバー、Corey Shieldsは言う。「心配なのは、誰かがその気になれば、中核となるソフトウェアに悪質な変更を加えられるため、ユーザーが改ざんされたパッケージを利用してしまう恐れがあることだ」（Shields）

　オープンソースモデルは、米MicrosoftのWindows--長い間、ハッカーたちの標的とされているオペレーティングシステム（OS）と競合するOSの開発において、非常に大きな進歩を遂げてきたが、大きな成功を収めたこれらのプロジェクトがいま攻撃者を引き寄せてしまっているように見える。皮肉な誉め言葉になるが、攻撃者はLinux OSや他のオープンソースアプリケーションの人気に目をつけて、こうしたソフトウェアを標的としているのだ。開発システムには適切な安全策が施されていると考える開発者でさえ、最近の傾向には恐怖を感じている。

　「次に狙われるのは自分ではないことを祈りながら、悪者の一枚上手を行くように努力しなければならない、という状況だ」と、Samba Projectの共同設立者で開発者でもあるJeremy Allisonは述べている。Samba Projectは、Windowsネットワークとシームレスに統合できる、人気の高いオープンソースのファイルサーバ開発プロジェクトだ。

　12月1日のGentoo Linuxに対する攻撃では、Gentooのソースコード公開用としてボランティアが運営している105のサーバのうち1つが被害にあった。しかしこの攻撃では、メインのソースコードデータベースに被害は及んでいない。さらに、標的にされたサーバのセキュリティソフトウェアが攻撃をすぐに検知し、詳細な記録を残している。

　11月にも、Linuxカーネルのサーバが攻撃された。このときも、別のシステム--この場合はある開発者のシステムが侵害され、攻撃の踏み台として利用されている。攻撃者は、侵入した開発者のシステムを使って、セカンダリサーバの1つにコードを送信した。そのコードは、システムにインストールされると、攻撃者がそのシステムにアクセスできる仕組みになっていた。この攻撃も24時間以内に検知されている。

　多発する攻撃事件の中には、もっと深刻なものもあった。

　GNU Projectの開発用システム、Savannahにも、何者かが侵入する事件が発生している。また、これとは別の事件で、LinuxのDebianディストリビューションの開発やコミュニティでの取り組みを管理しているDebian Projectのサーバ4台も、何者かに侵入されている。

　この2つの攻撃の手口は似通っている。攻撃者は、一般ユーザーのログイン名とパスワードを入手して、Linuxカーネルに最近見つかった脆弱性を利用し、そのシステムのオーナーに与えられたフル権限を獲得するというやり方を取った。DebianおよびGNU Projectのリーダーらは、システムの安全性が保証されるまでシステムをオフラインにし、開発者がアクセスできないようにしている。

　GNU Projectでは、今回の攻撃と、今年3月にあった同プロジェクトのファイル転送サーバへの攻撃を受けて、プロジェクトのリーダーが変更を行なうことにしたという。

　「我々は、Savannahへの攻撃事件を受け、何らかの対策を打つつもりだ」とGNU Projectを管理しているFree Software Foundationの法務担当、Eben Moglenは述べている。プロジェクトのリーダーは、開発者が提出するコードにデジタル署名を必ず付けさせるほか、無料ソースコードの管理システム--Concurrent Versions System（CVS）という名でよく知られているもの--に機能の追加を行い、変更を受け付ける前に開発者のデジタル署名をチェックする計画などが対策のなかには含まれている。

　「システムに含まれるコードが改ざんされていないことを保証する上で、（デジタル署名の追加は）1つの技術的変更としては最も有効なものだと考えている」（Moglen）

　GNU Projectは、LinuxやUnixシステムに必要なソフトウェアを多数開発しているプロジェクトだ。同プロジェクトでは、プログラムはGNU Public Licenseにしたがって配布されるため、ソフトウェアを「フリー」としている。GNU Public Licenseでは、アプリケーションやソースコードの利用や変更は、その結果のコードが同じ条件で再配布される限り自由に行なえる。その目的は、利用や改善、共有を自由に行なえる一連のソフトウェアを、一般に公開することだ。

　しかしながら、こうしたソフトウェア開発モデルには隠れた負担も存在すると批判する人々もいる。攻撃でセキュリティが損なわれていないことを厳密に保証したい企業は、コードを自ら調べる必要がある、と米Microsoftの情報セキュリティ総合責任者、Greg Woodは述べている。LinuxやApacheウェブサーバなど多数のオープンソースソフトウェアプロジェクトと競合している同社は、こうしたオープンソースプロジェクトへの反対を公に表明している。

　「事業プロセスについて言えば、オープンソースにはコストがかかる。セキュリティが損なわれていないことを自らチェックしたり、ソフトウェアを構築したりするプロセスのコストを抱えることになると思う」（Wood）