プロテストウェア
プロテストウェア とは何ですか?
プロテストウェアオープンソースソフトウェアのメンテナが政治的動機からメッセージ表示や特定国とみなしたユーザーへの妨害コードを意図的に追加するソフトウェア。
プロテストウェアは賛否両論あるカテゴリで、人気 OSS のメンテナが意図的に政治的スローガンを表示したり、実行を拒否したり、極端な場合は特定地域に地理位置情報が一致するマシンのデータを破壊する更新を公開します。最も有名なのは 2022 年 3 月の node-ipc で、ロシアまたはベラルーシに地理位置情報が一致するシステム上のファイルを削除するバージョンが公開され、援助団体を含む無関係な多くの組織にも被害が及びました。faker.js や colors.js では報酬を伴わない貢献への抗議としてメンテナ自らがパッケージを破壊しました。動機にかかわらず、ほとんどの企業セキュリティポリシーではサプライチェーン攻撃として扱われます。対策はロックファイル、上流変更の精査、OpenSSF Scorecard、SBOM ベースのインシデント対応です。
● 例
- 01
node-ipc(2022 年 3 月): peacenotwar/wiper コードがロシアとベラルーシの IP を標的化。
- 02
colors.js と faker.js(2022 年): メンテナが資金不足への抗議として無限ループを混入。
● よくある質問
プロテストウェア とは何ですか?
オープンソースソフトウェアのメンテナが政治的動機からメッセージ表示や特定国とみなしたユーザーへの妨害コードを意図的に追加するソフトウェア。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
プロテストウェア とはどういう意味ですか?
オープンソースソフトウェアのメンテナが政治的動機からメッセージ表示や特定国とみなしたユーザーへの妨害コードを意図的に追加するソフトウェア。
プロテストウェア からどのように防御しますか?
プロテストウェア に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
プロテストウェア の別名は何ですか?
一般的な別名: 政治的動機のパッケージ, サボタージュ更新。