📗
owasp-open-source-software-top-10-ja
  • OWASP Open Source Software Top 10 ja
  • OWASP オープンソースソフトウェア Top 10 日本語版
    • オープンソースソフトウェア Top 10
    • OSS-RISK-1 既知の脆弱性 (Known Vulnerabilities)
    • OSS-RISK-2 正規パッケージの侵害 (Compromise of Legitimate Package)
    • OSS-RISK-3 名前混乱攻撃 (Name Confusion Attacks)
    • OSS-RISK-4 メンテナンスされていないソフトウェア (Unmaintained Software)
    • OSS-RISK-5 古いままのソフトウェア (Outdated Software)
    • OSS-RISK-6 追跡されていない依存関係 (Untracked Dependencies)
    • OSS-RISK-7 ライセンスのリスク (License Risk)
    • OSS-RISK-8 未成熟なソフトウェア (Immature Software)
    • OSS-RISK-9 未承認の変更 (Unapproved Change)
    • OSS-RISK-10 過小または過大な依存関係 (Under/over-sized Dependency)
Powered by GitBook
On this page
  1. OWASP オープンソースソフトウェア Top 10 日本語版

OSS-RISK-3 名前混乱攻撃 (Name Confusion Attacks)

PreviousOSS-RISK-2 正規パッケージの侵害 (Compromise of Legitimate Package)NextOSS-RISK-4 メンテナンスされていないソフトウェア (Unmaintained Software)

Last updated 1 year ago

説明:

攻撃者は正規のオープンソースやシステムのコンポーネントの名前に似た名前のコンポーネントを作成したり (typo-squatting)、信頼できる作成者を示唆したり (brand-jacking)、さまざまな言語やエコシステムで一般的な命名パターンを利用 (combo-squatting) する可能性があります。

悪意のあるコードはエンドユーザーシステム上や、依存するソフトウェアを開発や運用する組織に属するシステム (ビルドシステムや開発ワークステーションなど) 上で実行される可能性があります。システムおよびそのうえで処理や保存されるデータの機密性、完全性、可用性がリスクにさらされます。

事例:

  1. (PyPI, 2018): 正規の Python パッケージ "colorama" に対するタイポスクワッティング攻撃により、ビットコインの送金を攻撃者の管理するウォレットにリダイレクトします。

対応:

コンポーネントをインストールや使用する前に:

  1. コードの特定 (インストール前後のフック、エンコードされたペイロードなど) とプロジェクトの特性 (ソースコードリポジトリ、管理者アカウント、リリース頻度、ダウンストリームユーザーの数など) を主要なリスク指標でチェックします。

    一部のコンポーネントメタデータはパッケージリポジトリによって検証されていないため、攻撃者によって簡単に偽造される可能性があることに注意してください。

  2. コンポーネントが信頼できる当事者からの署名を持っていることを検証します (署名をサポートや要求するエコシステムの場合)

参照:

  1. (S2C2F)

  2. Create Name Confusion with Legitimate Package (AV-200)

  3. (SLSA)

  4. MITRE ATT&CK

Colourama
Secure Supply Chain Consumption Framework
Risk Explorer for Software Supply Chains
Supply chain Levels for Software Artifacts
T1195.001 Compromise Software Dependencies and Development Tools