Aikido

サプライチェーン攻撃に対する防御のための実践的チェックリスト

現在のサプライチェーン攻撃に直面しているエンジニアリングチームのための実用的なチェックリストです。ここでの推奨事項は、侵害されたパッケージがレジストリからパイプラインを経て、チームが作業を行うマシンに至るまでの経路に沿って示されています。侵害されたパッケージがインシデントに発展するのを防ぐための具体的な対策についても解説しています。

サプライチェーン攻撃に対する防御策

  • 何かをインストールする前に、パッケージの有効期限に関するポリシーを適用する

    パッケージのインストール時には、コードが1行もインポートされる前に、開発者の権限でパブリッシャーが管理するスクリプトが実行されます。最低48時間の待機期間ポリシーにより、急速に拡散するマルウェアが開発者に到達する前にブロックされます。

  • 依存関係 紐付ける

    タグとブランチ名は変更可能です。アクションを乗っ取った攻撃者は、ワークフローファイルに手を加えることなくタグを移動させることができます。その代わりに、すべてのアクションとパイプラインの依存関係を、変更不可能なコミットSHAに固定してください。

  • フィッシング対策機能を備えたMFAを適用する

    FIDO2とパスキーこそが目指すべき標準です。TOTPやSMSコードは、偽のログインページで盗み取られ、本物のサイトでリアルタイムに再利用される可能性があり、メンテナのアカウントは主な標的となっています。

  • MCPサーバーをサードパーティの依存関係として扱う

    MCPサーバーは、他の依存関係と同様にサプライチェーン上のリスクを抱えており、多くの場合、より広範なアクセス権限を持って稼働しています。MCPサーバーは、検証済みのソースからのみインストールし、整合性ハッシュまたはコミットSHAを使用して固定し、インストール前にサーバーがメンテナンスされているリポジトリを持ち、発行元が判明していることを確認してください。

まとめ

攻撃者は、本番アプリケーションを標的とするから、それらを構築するシステムを標的とするように移行しましたが、防御側は依然として、それらのシステムに何が流入するかを制御しています。 ロックファイル、パイプラインの設定、トークンのスコープ、そして開発者マシンのツール類は、すべてあなたが管理しています。優位に立つエンジニアリングチームとは、誰かが脆弱な侵入経路を先に発見する前に、その管理権限を活用しているチームです。このチェックリストには、依存関係、パイプライン、コンテナ、開発環境、そしてチームが頼りにし始めているエージェント型ツールにわたる、実践的な防御策が盛り込まれています。

学べること

著者:
ニコラス・トムソン

ニコラス・トムソンは、 Aikido Securityのコンテンツマーケティングライターです。それ以前は、DatadogおよびEdge Deltaでテクニカルライターとして勤務していました。テクノロジー業界に入る前は、Penguin Random Houseで編集者として働いていました。

主な調査結果

  • 何かをインストールする前に、パッケージの有効期限に関するポリシーを適用する

    パッケージのインストール時には、コードが1行もインポートされる前に、開発者の権限でパブリッシャーが管理するスクリプトが実行されます。最低48時間の待機期間ポリシーにより、急速に拡散するマルウェアが開発者に到達する前にブロックされます。

  • 依存関係 紐付ける

    タグとブランチ名は変更可能です。アクションを乗っ取った攻撃者は、ワークフローファイルに手を加えることなくタグを移動させることができます。その代わりに、すべてのアクションとパイプラインの依存関係を、変更不可能なコミットSHAに固定してください。

  • フィッシング対策機能を備えたMFAを適用する

    FIDO2とパスキーこそが目指すべき標準です。TOTPやSMSコードは、偽のログインページで盗み取られ、本物のサイトでリアルタイムに再利用される可能性があり、メンテナのアカウントは主な標的となっています。

  • MCPサーバーをサードパーティの依存関係として扱う

    MCPサーバーは、他の依存関係と同様にサプライチェーン上のリスクを抱えており、多くの場合、より広範なアクセス権限を持って稼働しています。MCPサーバーは、検証済みのソースからのみインストールし、整合性ハッシュまたはコミットSHAを使用して固定し、インストール前にサーバーがメンテナンスされているリポジトリを持ち、発行元が判明していることを確認してください。

まとめ

攻撃者は、本番アプリケーションを標的とするから、それらを構築するシステムを標的とするように移行しましたが、防御側は依然として、それらのシステムに何が流入するかを制御しています。 ロックファイル、パイプラインの設定、トークンのスコープ、そして開発者マシンのツール類は、すべてあなたが管理しています。優位に立つエンジニアリングチームとは、誰かが脆弱な侵入経路を先に発見する前に、その管理権限を活用しているチームです。このチェックリストには、依存関係、パイプライン、コンテナ、開発環境、そしてチームが頼りにし始めているエージェント型ツールにわたる、実践的な防御策が盛り込まれています。

学べること

現在のサプライチェーン攻撃に直面しているエンジニアリングチームのための実用的なチェックリストです。ここでの推奨事項は、侵害されたパッケージがレジストリからパイプラインを経て、チームが作業を行うマシンに至るまでの経路に沿って示されています。侵害されたパッケージがインシデントに発展するのを防ぐための具体的な対策についても解説しています。

著者:
ニコラス・トムソン

ニコラス・トムソンは、 Aikido Securityのコンテンツマーケティングライターです。それ以前は、DatadogおよびEdge Deltaでテクニカルライターとして勤務していました。テクノロジー業界に入る前は、Penguin Random Houseで編集者として働いていました。