2月9日にMicrosoftは「依存関係かく乱攻撃(Dependency Confusion)」または「置換攻撃(Substitution Attack)」と呼ばれる新種の攻撃手法を警告しました。この攻撃手法の仕組みは、テクノロジー企業のアプリのビルド時に用いられるプライベートライブラリーの名前を擬制し、悪意のあるコードのライブラリーに付けてパブリックなパッケージライブラリーに登録することです。
開発者が自社環境でアプリをビルドする際に、パッケージマネージャーが社内リポジトリーに格納されたライブラリーではなく、パブリックリポジトリーに格納されている同名の(悪意ある)ライブラリーを使用することで依存関係かく乱攻撃」が自社開発環境に乱入し、それを汚染させます。
この攻撃手法は私たち開発者、テクノロジー大手企業でも大きな障害です。今回「依存関係かく乱攻撃」を用いたソフトウェアによるその障害を回避するために、DevSamurai会社は6月9日にSonatypeとともに「依存関係かく乱攻撃」を用いたソフトウェアサプライチェーンのハッキングを回避する方法Webセミナーを共催します。「依存関係かく乱攻撃」の仕組みと回避方法を徹底的に解説されますのでご興味のある方はぜひご参加ください。
申込み方法:https://www.sonatype.com/resources/webinar-q2-2021-dependency-confusion-software-supply-chain-hack-japan?utm_campaign=q2+2021+devsamurai+dependency+confusion+webinar&utm_source=email&utm_medium=email&utm_content=devsamurai
