Axiosサプライチェーン攻撃の手口をPostmortemで読んだら、まるでルパン三世だった
> Source: Qiita_Trend_RSS
Execute Primary Source
// Problem
ソフトウェアベースの2FA(TOTP)は、RATによる画面情報の窃取で突破される脆弱性がある。また、CI/CDを経由せずローカルPCから直接npm publishが可能であったことが、攻撃者に完全な制御権を許す要因となった。
// Approach
物理的な操作を必要とするハードウェアFIDO2キーの導入、CI/CD環境経由でのみ公開を許可する運用、およびOIDCを用いた認証情報の管理が、RATによる認証突破を防ぐための有効な対策となる。
// Result
攻撃はコミュニティの迅速な対応により3時間で解消されたが、人間を標的にした高度なソーシャルエンジニアリングに対し、技術的な防御策(ハードウェアキーやCI/CD強制)の重要性が浮き彫りとなった。
Senior Engineer Insight
> 人間の判断ミスを前提とした「仕組みによる防御」が不可欠である。認証を「知識や所有」から「物理的な存在」へとシフトさせ、権限をローカルからCI/CDへ移譲することがサプライチェーン保護の鍵となる。