プロテストウェア
プロテストウェア とは何ですか?
プロテストウェアオープンソースソフトウェアのメンテナが政治的動機からメッセージ表示や特定国とみなしたユーザーへの妨害コードを意図的に追加するソフトウェア。
プロテストウェアは賛否両論あるカテゴリで、人気 OSS のメンテナが意図的に政治的スローガンを表示したり、実行を拒否したり、極端な場合は特定地域に地理位置情報が一致するマシンのデータを破壊する更新を公開します。最も有名なのは 2022 年 3 月の node-ipc で、ロシアまたはベラルーシに地理位置情報が一致するシステム上のファイルを削除するバージョンが公開され、援助団体を含む無関係な多くの組織にも被害が及びました。faker.js や colors.js では報酬を伴わない貢献への抗議としてメンテナ自らがパッケージを破壊しました。動機にかかわらず、ほとんどの企業セキュリティポリシーではサプライチェーン攻撃として扱われます。対策はロックファイル、上流変更の精査、OpenSSF Scorecard、SBOM ベースのインシデント対応です。
● 例
- 01
node-ipc(2022 年 3 月): peacenotwar/wiper コードがロシアとベラルーシの IP を標的化。
- 02
colors.js と faker.js(2022 年): メンテナが資金不足への抗議として無限ループを混入。
● よくある質問
プロテストウェア とは何ですか?
オープンソースソフトウェアのメンテナが政治的動機からメッセージ表示や特定国とみなしたユーザーへの妨害コードを意図的に追加するソフトウェア。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
プロテストウェア とはどういう意味ですか?
オープンソースソフトウェアのメンテナが政治的動機からメッセージ表示や特定国とみなしたユーザーへの妨害コードを意図的に追加するソフトウェア。
プロテストウェア はどのように機能しますか?
プロテストウェアは賛否両論あるカテゴリで、人気 OSS のメンテナが意図的に政治的スローガンを表示したり、実行を拒否したり、極端な場合は特定地域に地理位置情報が一致するマシンのデータを破壊する更新を公開します。最も有名なのは 2022 年 3 月の node-ipc で、ロシアまたはベラルーシに地理位置情報が一致するシステム上のファイルを削除するバージョンが公開され、援助団体を含む無関係な多くの組織にも被害が及びました。faker.js や colors.js では報酬を伴わない貢献への抗議としてメンテナ自らがパッケージを破壊しました。動機にかかわらず、ほとんどの企業セキュリティポリシーではサプライチェーン攻撃として扱われます。対策はロックファイル、上流変更の精査、OpenSSF Scorecard、SBOM ベースのインシデント対応です。
プロテストウェア からどのように防御しますか?
プロテストウェア に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
プロテストウェア の別名は何ですか?
一般的な別名: 政治的動機のパッケージ, サボタージュ更新。
● 関連用語
- attacks№ 647
悪意ある npm パッケージ
インストール時にデータ窃取、マルウェア導入、下流アプリ侵害を狙う隠しコードを含む npm パッケージ。
- attacks№ 1116
サプライチェーン攻撃
信頼されたサードパーティのソフトウェア・ハードウェア・サービス提供者を侵害し、その下流顧客に到達する攻撃。
- malware№ 1243
ワイパー型マルウェア
金銭目的ではなく、データ・ファームウェア・ブートレコードを不可逆的に消去・破壊することを主目的とする破壊的マルウェア。
- attacks№ 1183
Typosquatting パッケージ
人気ライブラリと非常に似た名前で公開され、開発者が打ち間違いなどで誤って導入してしまう悪意あるオープンソースパッケージ。