RubyGemsは多要素認証の推進でセキュリティ対策を強化

ソフトウェア パッケージ レジストリは、潜在的なソフトウェア サプライ チェーン攻撃の原因となるアカウント乗っ取りのリスクを軽減するために、ゆっくりと、しかし確実に多要素認証 (MFA) を導入しています。

今週、Ruby 開発コミュニティにサービスを提供しているパッケージ レジストリである RubyGems は、MFA を採用していない最も人気のある 100 個の RubyGems パッケージのメンテナーに対して、コマンド ライン ツールを通じて警告を表示し始めたと発表しました。

「アカウント乗っ取りは、ソフトウェアサプライチェーンにおける2番目に多い攻撃です」と、Rubyコミュニティのメンバーであり、Shopifyのシニアフロントエンド開発者であるベティ・リー氏はブログ記事で説明しています。「この種の攻撃への対策はシンプルです。MFAを有効にすることです。そうすれば、アカウント乗っ取り攻撃の99.9%を防ぐことができます。」

ソフトウェアサプライチェーン攻撃は、2020年12月にセキュリティ企業FireEyeが自社のシステムが侵害されたと発表して以来、オンラインセキュリティの懸念事項として最前線に立っています。その後、ロシアの情報機関がSolarWindsの監視ツールOrionにマルウェアを注入していたことが明らかになりました。SVRハッカーは約1万8000社にバックドアを設置し、そのうち約100社に攻撃を仕掛けました。

ソフトウェア パッケージ レジストリが毎日何百万ものコード ライブラリを配布し、アカウント侵害や概念実証攻撃が繰り返し報告されていることから、オープン ソース パッケージ レジストリを監督する人々は、セキュリティ対策を強化するようプレッシャーを受けています。

ソフトウェア開発者は積極的に行動していないため、そうすべきです。最近の調査では、自社のアプリケーションで使用されているオープンソースライブラリの出所を確認していると回答したCIOはわずか47%でした。

RubyGemsは今年初めにMFA導入に向けた準備を開始しました。現在は推奨段階ですが、パッケージレジストリは2022年8月15日より、人気のあるGem（パッケージ）のメンテナーに対してMFAを必須化する予定です。

Li 氏は、これにより RubyGems のポリシーが NPM (Node Package Manager) レジストリとその所有者である Microsoft の GitHub のポリシーと一致することになると述べた。

RubyGemsは、パッケージのセキュリティ対策として署名付きパッケージもサポートしています。しかし、署名をきちんと行う開発者は少ないのが現状です。セキュリティ企業Tideliftによると、2020年3月時点で最新バージョンのGemのうち、署名付きだったのはわずか1.4%（157,640個のGemのうち2,216個）でした。

GitHubは2月、上位100のNPMパッケージのメンテナーにMFAの導入を義務付け、他のパッケージメンテナーにもMFAの導入義務を拡大するとともに、認証に使用できる二要素認証デバイスの種類を多様化してきました。GitHubは、2023年末までに、コードを提供するすべてのユーザーがMFA保護を利用できるようにすることを目指しています。

同じ月に、GitHib の親会社である Microsoft は、.Net パッケージ レジストリである NuGet でパッケージ作成者向けの MFA サポートを追加する取り組みを開始しました。

Python Package Index (PyPI) は、2020 年 1 月に早くから MFA とアップロード用 API トークンのサポートをリードしてきました。しかし、資金とサポート スタッフ (ユーザーが自分のアカウントからロックアウトされた場合にアカウント回復リクエストを処理するために必要) が不足しているため、これらのセキュリティ対策はまだ必須化されていません。

PyPI は、2022 年 8 月 25 日からアップロードに API トークンを要求する予定であり、PyPI をより効率的かつ安全に実行できるように人員を追加する作業が進行中です。

RubyGems やその他のパッケージ レジストリがより強力なアカウント乗っ取り防御を展開するにつれ、悪意のある人物が別の攻撃戦略を模索することが予想されます。たとえば、購入したコードを改ざんするためにパッケージ レジストリ アカウントを購入したり、不注意なユーザーを騙すために既存の人気ライブラリに似た名前を使用して悪意のあるパッケージを作成したりすることが考えられます。®