脆弱性がなくても突破される — オープンソース開発者を狙う「信頼ベース」攻撃の実態

 (cybersecuritynews.com)
12 ポイント 投稿者 darjeeling 17 일 전 | 3件のコメント | WhatsAppで共有

オープンソース開発者が新たなタイプの脅威に直面している。複雑なエクスプロイトやゼロデイ脆弱性ではなく、開発者コミュニティの**「信頼」**そのものを武器にするソーシャルエンジニアリング攻撃だ。

攻撃者は現在、Slack上でLinux Foundationの実在人物になりすまし、悪意あるファイルをインストールさせようとするキャンペーンを展開している。

事件の経緯

この攻撃は2026年4月7日、OpenSSF(Open Source Security Foundation)のCTO兼主任セキュリティアーキテクトであるChristopher "CRob" Robinsonが、OpenSSF Sirenメーリングリストに高リスクの勧告を投稿したことで初めて公になった。

攻撃の舞台は、Linux Foundation傘下のワーキンググループであるTODO GroupのSlackワークスペースと関連するオープンソースコミュニティだった。TODO Groupは、Open Source Program Office (OSPO) 実務担当者の集まりだ。

攻撃者は、よく知られたLinux Foundationリーダーの偽の身元を精巧に構築し、多くの開発者が信頼するプラットフォームであるGoogle Sitesにホストされたフィッシングリンクを含むSlack DMを被害者に送信した。

Socket.devの分析チームがこの攻撃を最初に調査し、技術的な挙動を文書化した。調査の結果、これは単なるフィッシングの試みではなく、オープンソースコミュニティ内で自然に形成された深い信頼を悪用するよう設計された多段階作戦であることが確認された。

おとり: 「あなたのPRがマージされるか事前に分かります」

攻撃者のメッセージは非常に巧妙に設計されていた。Linux Foundationリーダーを装った攻撃者は、オープンソースプロジェクトの力学を分析し、レビュアーが見る前にどのコード貢献(PR)がマージされるかを予測できる独自のAIツールを紹介した。

メッセージは「今は一部の人にだけ共有している」という希少性を強調し、フィッシングリンクとともに偽のメールアドレスとアクセスキーを提供して、偽のワークスペースを本物らしく見せていた。

攻撃の段階別分析

攻撃は全部で4段階に分かれる:

第1段階 — なりすまし (Impersonation)

Linux Foundationの実在人物のSlackプロフィールを複製して信頼を構築する。

第2段階 — フィッシング (Phishing)

Google Sitesにホストされたフィッシングリンクのクリックを誘導する。正規の認証フローのように見える偽ページが、メールアドレスと認証コードを盗み取る。

第3段階 — 認証情報の収集 (Credential Harvesting)

認証情報を窃取した後、フィッシングサイトは被害者に「Google証明書」を装った悪性ルート証明書のインストールを促す。

第4段階 — マルウェア配布 (Malware Delivery)

ルート証明書がインストールされると、攻撃者は被害者の端末とあらゆるWebサイトの間の暗号化トラフィックをひそかに傍受できるようになる。

プラットフォーム別の感染メカニズム

macOS

悪性ルート証明書のインストール後、スクリプトがリモートIP(2.26.97.61)からgapiという名前のバイナリを自動でダウンロードして実行する。このバイナリは、攻撃者にファイルアクセス、追加の認証情報窃取、リモートコマンド実行など、端末の完全な制御権を与える。

Windows

ブラウザの信頼ダイアログを通じて悪性証明書のインストールを促し、インストール後は同様に暗号化トラフィックの傍受が可能になる。

OpenSSFの勧告

OpenSSFは、オープンソースのSlackコミュニティで活動する開発者に対して、次のように勧告した:

  1. 帯域外(out-of-band)での本人確認: Slackの表示名やプロフィール写真だけで本人だと信用せず、別の既知のチャネルを通じて確認すること
  2. ルート証明書のインストール要求を拒否: チャットやメールで送られてきたリンクからルート証明書を絶対にインストールしないこと。正規のサービスがこれを要求することはない
  3. MFAを有効化: 認証情報が盗まれても被害を最小限に抑えられる

示唆

今回の攻撃は、技術的な脆弱性ではなく、コミュニティの信頼構造そのものを攻撃ベクトルにしている点で注目に値する。オープンソースのエコシステムのように緊密なコミュニティほど、見慣れた名前やもっともらしい提案の前でセキュリティ意識が鈍る可能性がある。

「PRがマージされるかをAIで予測する」というおとりが、開発者にとって特に魅力的に映りうる点も、この攻撃の巧妙さを示している。見慣れないリンクやルート証明書のインストール要求を前にしたときは、どれほど信頼できる発信元に見えても、もう一度疑ってみる習慣が必要だ。

この記事は Cyber Security News原文 を翻訳・編集したものです。

関連記事

3件のコメント

 
shakespeares 16 일 전

AIのせいでハッカーたちがさらに活発になっていますね。
 
happing94 16 일 전

IT は盾であって、槍には勝てない
 
tangokorea 17 일 전

AIはハッカーにとって大いに役立つのですね。