XZ Utils バックドア(CVE-2024-3094)
XZ Utils バックドア(CVE-2024-3094) とは何ですか?
XZ Utils バックドア(CVE-2024-3094)2024 年に発覚した、あと一歩で成功するところだったサプライチェーン攻撃。長年の貢献者が、ほぼすべての Linux ディストリビューションで使われる xz/liblzma 上流ライブラリに難読化された SSH バックドアを仕込んだ。
XZ Utils バックドア(CVE-2024-3094)は、2024 年 3 月 29 日にマイクロソフトのエンジニア Andres Freund が公表したソフトウェアサプライチェーン侵害です。彼は Debian sid 上で sshd の異常な CPU 使用と Valgrind の警告に気付き、調査を進めました。その結果、xz/liblzma の上流メンテナを名乗っていた 'Jia Tan' という人物 ——約 2 年かけてプロジェクトの信頼を勝ち取った人格—— が難読化されたビルドスクリプトをコミットしていたことが判明します。これらのスクリプトは、rpm や deb 系ディストリビューションで systemd の libsystemd → liblzma 依存とともにパッケージ化された際、IFUNC リゾルバを経由して OpenSSH サーバの関数を置き換え、特定の Ed448 秘密鍵を持つ者にリモートコード実行を許す仕組みでした。悪意あるコードは xz-utils 5.6.0 と 5.6.1 に同梱され、Debian testing/unstable、Fedora 40/41(Rawhide)、openSUSE Tumbleweed、Kali、Arch にまで到達しましたが、多くの安定版リリース前に発見されました。この事件は、単独メンテナ依存、IFUNC を悪用したステルス、長期貢献者への信頼の限界について業界の認識を大きく塗り替えました。
● 例
- 01
Andres Freund は Debian unstable 上でログイン失敗時に sshd の応答が想定より約 500 ミリ秒遅いことに気付き、バックドアを発見した。
- 02
各ディストリビューションは xz-utils を 5.4.x 系へ戻し、5.6.0 や 5.6.1 を一時的にでも実行したシステムでは SSH ホスト鍵をローテーションした。
● よくある質問
XZ Utils バックドア(CVE-2024-3094) とは何ですか?
2024 年に発覚した、あと一歩で成功するところだったサプライチェーン攻撃。長年の貢献者が、ほぼすべての Linux ディストリビューションで使われる xz/liblzma 上流ライブラリに難読化された SSH バックドアを仕込んだ。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
XZ Utils バックドア(CVE-2024-3094) とはどういう意味ですか?
2024 年に発覚した、あと一歩で成功するところだったサプライチェーン攻撃。長年の貢献者が、ほぼすべての Linux ディストリビューションで使われる xz/liblzma 上流ライブラリに難読化された SSH バックドアを仕込んだ。
XZ Utils バックドア(CVE-2024-3094) はどのように機能しますか?
XZ Utils バックドア(CVE-2024-3094)は、2024 年 3 月 29 日にマイクロソフトのエンジニア Andres Freund が公表したソフトウェアサプライチェーン侵害です。彼は Debian sid 上で sshd の異常な CPU 使用と Valgrind の警告に気付き、調査を進めました。その結果、xz/liblzma の上流メンテナを名乗っていた 'Jia Tan' という人物 ——約 2 年かけてプロジェクトの信頼を勝ち取った人格—— が難読化されたビルドスクリプトをコミットしていたことが判明します。これらのスクリプトは、rpm や deb 系ディストリビューションで systemd の libsystemd → liblzma 依存とともにパッケージ化された際、IFUNC リゾルバを経由して OpenSSH サーバの関数を置き換え、特定の Ed448 秘密鍵を持つ者にリモートコード実行を許す仕組みでした。悪意あるコードは xz-utils 5.6.0 と 5.6.1 に同梱され、Debian testing/unstable、Fedora 40/41(Rawhide)、openSUSE Tumbleweed、Kali、Arch にまで到達しましたが、多くの安定版リリース前に発見されました。この事件は、単独メンテナ依存、IFUNC を悪用したステルス、長期貢献者への信頼の限界について業界の認識を大きく塗り替えました。
XZ Utils バックドア(CVE-2024-3094) からどのように防御しますか?
XZ Utils バックドア(CVE-2024-3094) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
XZ Utils バックドア(CVE-2024-3094) の別名は何ですか?
一般的な別名: CVE-2024-3094, Jia Tan バックドア, liblzma バックドア。
● 関連用語
- attacks№ 1234
サプライチェーン攻撃
信頼されたサードパーティのソフトウェア・ハードウェア・サービス提供者を侵害し、その下流顧客に到達する攻撃。
- appsec№ 1186
ソフトウェアサプライチェーンセキュリティ
ソースコード・依存関係・ビルド・署名・配布・デプロイに至るまで、ソフトウェア製造の各リンクを改ざん・悪意あるコード・完全性喪失から守る取り組み。
- malware№ 095
バックドア
通常の認証やアクセス制御を回避し、攻撃者に将来のシステムアクセス手段を提供する隠された仕組み。
- network-security№ 1205
SSH
RFC 4251 で規定されたポート 22 上の暗号化ネットワークプロトコルで、信頼できないネットワーク上でも認証・暗号化・完全性保護されたリモートログイン、コマンド実行、トンネリングを提供する。
- attacks№ 719
悪意ある npm パッケージ
インストール時にデータ窃取、マルウェア導入、下流アプリ侵害を狙う隠しコードを含む npm パッケージ。
- appsec№ 335
依存関係混同攻撃(Dependency Confusion)
攻撃者が組織内部の依存関係と同じ名前の悪意あるパッケージをパブリックレジストリに公開し、ビルドツールにパブリック版を取得させるサプライチェーン攻撃。