ビジネスを悩ませるオープンソース ソフトウェアの脆弱性

公開: 2022-06-30

オープンソース コーディングは、ソフトウェアを作成する企業と、円滑な業務運営のためにソフトウェアを利用する必要がある企業に多くのメリットをもたらします。 オープンソース ソフトウェアは、オープンソース コーディングを使用してコーディングされたソフトウェアです。 これは、コーディングがオープンであり、人々が比較的簡単に表示および操作できることを意味します。 その主な精神は、誰が特定のコードにアクセスできるかをある程度まで分散化および民主化することです。

これは非常に汎用性が高いですが、不安定なコーディングでもあり、Web、アプリ、ソフトウェア開発者にとって主な選択肢です。 このような多用途で簡単に操作できるオープンソース コードの脆弱性は、ソフトウェアのダウンタイムや安全性の問題を引き起こし、ビジネスを悩ませる可能性があります。 探検してみましょう。

目次の表示
  • オープンソース コードとは何ですか?
  • それは企業にどのような問題を引き起こす可能性がありますか?
  • オープンソース ソフトウェアの脆弱性の例
    • 2017年 Equifaxデータ侵害
    • アマゾン ウェブ サービス
  • 企業に対するサイバー攻撃の蔓延
  • 解決策は何ですか?
  • 最後の言葉

オープンソース コードとは何ですか?

攻撃コードサイバーデータハックセキュリティ

オープンソースとはもともとオープンソースソフトウェアを指す言葉です。 そのソフトウェアの構成はオープンコーディングになります。 これは、公開されているため、誰でも自由に閲覧、変更、配布できることを意味します。 代替案はクローズドソース コーディングです。これは、オープンソース ソフトウェアと同様に、クローズドソース ソフトウェアを指します。 そのクローズドソース ソフトウェアの背後にはクローズド コーディングがあり、これは自由にアクセスできないことを意味します。

コーディングを変更する機能を除く最も顕著な違いは、オープン ソース ソフトウェアとクローズド ソース ソフトウェアの開発方法です。 クローズドソース ソフトウェアは通常、ソフトウェアのコーディングへのマスター アクセス権を持つ 1 人または小規模のソフトウェア開発者チームの作業によって実現します。 ソフトウェアの開発をいつ、どのように継続するかを決定します。

オープンソース ソフトウェアでは、ソフトウェアを作成するために大規模なコラボレーションが行われます。 オープンソースがオープンである理由は、大規模なコラボレーションです。 大人数のチームにとって簡単にアクセスできる必要があります。 1 つの開発者グループが複数の異なる国で共同作業を行う可能性がありますが、それ自体が問題を引き起こします。 複数の人が同じ部屋で同じプロジェクトに取り組んでいると、共同作業が容易になります。 しかし、開発者が異なる国で作業していると、開発、アップデート、パッチの提供が妨げられる可能性があります。

あなたにおすすめ:ネットワーク セキュリティ 101: オンラインの脅威からオフィス ネットワークを保護する 15 の最良の方法。

それは企業にどのような問題を引き起こす可能性がありますか?

オフィス ソフトウェア デザイナー 開発者 プログラマー チームワーク

クローズドソース ソフトウェアにも脆弱性はありますが、オープンソース ソフトウェアほど多くはありません。 オープンソース ソフトウェアの主な弱点は、コーディングによりほぼ誰でも操作できるようになってしまうことです。 これが、2021 年にオープンソース ソフトウェアに対する攻撃が 650% 増加した理由の 1 つです。脅威評価の実行やコードの暗号化などのアプリケーション セキュリティのベスト プラクティスにより、より安全なソフトウェアを作成できます。 しかし、オープンソース コーディングが非常にアクセスしやすいことに内在するリスクは依然として存在します。

もう 1 つの問題は、ユーザビリティに集中しています。 オープンソース ソフトウェアは通常、ユーザーのニーズを考慮せずに開発者のニーズに適合します。 企業は、アプリがユーザーのニーズを満たしていることを確認するために、アプリの設計とテストに関与する必要があります。 使いやすさに関連するもう 1 つの問題は、何か問題が発生した場合に利用できるサポートが不足していることです。 互換性などの問題は、オープンソース ソフトウェアでは大きな問題となる可能性があります。 異なる場所にいる複数の開発者がソフトウェアの作業を完了しているため、開発者からのフォローアップ サポートが必ずしもあるわけではありません。

オープンソース ソフトウェアとその背後にあるコーディングに依存している企業は、開発者の不適切な慣行や統合の監視の甘さに直面する可能性もあります。 完璧な例は、2021 年の SolarWinds ハッキングです。これは、サプライ チェーンに対する歴史上最も被害を与えたハッキン​​グであると考えられています。

オープンソース ソフトウェアを使用して運用されていた Orion システムへの侵入により、250 以上の企業や政府機関が影響を受けました。 2 回のソフトウェア更新中に、ハッカーがネットワーク全体にマルウェアをばらまき、数百の企業がクラッシュしました。 サプライチェーン全体がほぼ機能しなくなった。 ハッキングの影響は依然として企業や政府機関に及んでいます。 回復には何年もかかるだろうと言う人も多い。

オープンソース ソフトウェアの脆弱性の例

コードプログラミング開発者プロジェクタープレゼンテーションデータ

オープンソース ソフトウェアを利用した企業に対するサイバー攻撃の例は数多くあります。 これは、非常に多くの企業がオープンソース ソフトウェアを使用しており、結果的にカモになっているという事実と関係しています。 以下は、最も注目すべき 2 つのイベントと、企業がそこから学んだことです。

2017年 Equifaxデータ侵害

脆弱性-オープンソース ソフトウェア-1

2017 年の Equifax データ侵害は、オープンソース ソフトウェアの真の脆弱性を明らかにしました。 サイバー攻撃につながった複数のセキュリティ上の欠陥により、多くの Web 開発者や企業は同様に、そのような攻撃を防ぐためにソフトウェアを強化しました。 なぜ会社と開発者の両方なのでしょうか? 両方とも過失があったからです。 ハッカーは広く知られている脆弱性を悪用し、消費者苦情 Web ポータルを通じて侵入しました。 これらの脆弱性は Equifax によってパッチされるべきでしたが、そうではありませんでした。

Web ポータルを通過すると、ハッカーはシステム内を移動して、何百万もの顧客の個人データを盗むことができます。 その数日前に、ソフトウェア内の既知の脆弱性に対するパッチがリリースされました。 しかし、Equifax は十分な時間内にパッチを実装しないことを選択しました。

彼らは攻撃から何を学んだのでしょうか? Equifax は、パッチに実装が必要な場合は、リリース時に実装する必要があることを発見しました。 特に、最も脆弱なのは大規模な組織です。 中小企業は、大規模な顧客ベースを持つ組織ほどターゲットにされることはありません。 だからこそ、何百万もの顧客の財務データを保有する企業である Equifax は、より早く変更の導入に取り組むべきだったのだ。

アマゾン ウェブ サービス

脆弱性-オープンソース ソフトウェア-2

これはまだ起こっていません。 しかし、ハッカーは最新のサプライ チェーン ソフトウェア攻撃になろうとバックグラウンドで密かに活動しています。 Python と PHP の開発者は、報告されたいくつかの成功したハッキン​​グによって徐々に危険にさらされています。 しかし、ハッカーはまだ目標に到達していません。 彼らが攻撃しているパッケージは、Python CTX と PHP の phpass です。 どちらも、長年にわたって企業にサービスを提供してきた古いソフトウェア パッケージです。

現在、影響を受けるのはパッケージを使用しているソフトウェア開発者ですが、侵入が顕著に増加しているため、ソフトウェア パッケージを使用している企業に対しても警告が発せられています。

あなたも好きかもしれません:すべての企業が知っておくべき 12 種類のエンドポイント セキュリティ。

企業に対するサイバー攻撃の蔓延

コード-バイト-デジタル-暗号化-サイバー-電子-暗号化-アルゴリズム-データ

問題はオープンソース ソフトウェア攻撃だけではありません。 企業全体に対するサイバー攻撃が顕著かつ広範に増加しています。 たとえば英国では、攻撃が急増する中、政府は企業や慈善団体に対しサイバーセキュリティ慣行の強化を促す報告書を最近発表した。

パンデミックにより、多くの企業が仮想的な事業の継続を可能にするソフトウェアに投資したためだと多くの人が考えています。 ある研究では、パンデミック中およびパンデミック後の数か月間で攻撃が 300% 増加したことがわかりました。 しかし、パンデミックだけが原因ではありません。たとえば、5G も攻撃の増加に寄与しています。 世界はより高速な帯域幅を求めていました。 しかし、帯域幅を増やすと、IoT デバイスは攻撃に対してより脆弱になります。

組織内のサイバーセキュリティスキルのギャップも、攻撃増加の一因となっているようです。 多くの従業員は、危険なサイバー行為のリスクと結果をまったく理解していません。 さらに、多くの企業には専任のサイバーセキュリティ チームさえ存在しません。 フィッシングメールなどの問題について教育し、安全なサイバー慣行を奨励するのは経営者の責任です。

解決策は何ですか?

開発者-コーダー-プログラミング-チーム-作業-オフィス

解決策は、オープンソース ソフトウェアの使用をやめることではありません。 脆弱性とそれに関連するリスクを考慮し、どのオープンソース ソフトウェアがそれらのリスクを可能な限り緩和するかを決定します。 企業は、自社のニーズに最も適したソフトウェアを選択する必要があります。 たとえば、より安価な代替品を探しているブランドにとっては、オープンソース ソフトウェアの方が適している可能性があります。 通常、オープンソース ソフトウェアの価格はクローズドソース ソフトウェアと同じではありません。

クローズドソース ソフトウェアには、より高い安定性とセキュリティが備わっており、ソフトウェアがハッカーからの攻撃を受けることはありません。 前述したように、オープンソース ソフトウェアには重大なセキュリティ上の欠陥があり、2021 年にはサイバー攻撃が 650% 増加しました。企業がそうしたいと思ったとしても、セキュリティ チェックを実行してコーディングを暗号化するのは企業ではありません。 そうする必要があるのは、開発者の大規模なコラボレーションです。

ブランドは開発者とのコラボレーションにも時間をかける必要があります。 ソフトウェアの弱点を特定し、パッチがリリースされたら実装する必要があります。 Equifax ハッキングの場合と同様、ソフトウェア開発者は攻撃の数日前にパッチをリリースしました。 彼らはパッチを適用していたため、攻撃は発生しなかったでしょう。 同様に、定期的なアップデートの実装は不可欠ですが、これには、アップデートが安全にリリースされるようにするために開発者と協力することも必要です。 SolarWinds の例と同様、Orion システムの 2 つのアップデートにより、ハッカーが即座に悪用した弱点が明らかになりました。

クローズドソース ソフトウェアは多くのブランドにとって実行可能な選択肢ではありません。 より良い代替案は、専任のサイバー セキュリティ チームに投資するか、従業員の教育にもっと時間をかけることかもしれません。 たとえば、多くの注目を集めたサイバー攻撃はパスワードの不適切な使用から始まりましたが、解決するのは比較的簡単な問題です。 2021 年のチケットマスターへの攻撃は、従業員が安全なパスワードを持たない場合に何が起こるかを示す好例です。

こちらもおすすめです:失敗しないサイバーセキュリティ ポリシーを作成するための 17 のクールなヒント。

最後の言葉

脆弱性-オープンソース ソフトウェア-ペスト-ビジネス-結論

技術的に言えば、クローズドソース ソフトウェアにもオープンソース ソフトウェアと同じ脆弱性があります。 彼らはそれほど目立たないだけです。 オープンかクローズドかにかかわらず、評判の高い開発者が作成したソフトウェアを慎重に選択することで、企業自身がリスクを軽減できます。

しかし、明らかなことは、世界中のビジネス、特にオープンソース ソフトウェアを使用するサプライ チェーンを保護するために何をする必要があるかということです。 サイバー攻撃の急増は、企業や消費者がサイバー攻撃に対していかに脆弱であるかを証明しています。 サイバー犯罪者は現在、高度なソフトウェアにアクセスできるようになりました。 開発者とブランドは、攻撃を防ぐためにサイバーセキュリティにさらに精通する必要があります。