サイバーホラー: XZ Utilsのバックドア事件(CVE-2024-)

インターネットのバックボーンに「バックドア」が秘密裏に設置されると、

世界最強の鍵で家を施錠したと想像してください。。。 しかし、あなたが最も信頼している「錠前屋」は、誰も知らないうちに家の裏に小さな秘密の穴をこっそり開けました。これは、インターネット世界のセキュリティシステムを永遠に破壊しかけた実話です。-XZ Utilsのバックドア事件(CVE-2024-3 0 9 4)

ラッセ・コリン:疲れ果てたシングル・ケアテイカー

事件の前、XZ UtilsプログラムはLasse Collin(Larhzu)によって15年以上(2009年以来)単一のボランティアとして監督されていました。補償はありませんでした。彼はすべてを負担しなければなりませんでした。精神的健康問題やストレスの中で、彼は多くを蓄積し、プロジェクトの活動が減少しました。

これは「誰か」が見て、完璧な浸透チャネルとして使用する弱点です。

オリジナルタイトル: Jia Tan(JiaT 75):The Devil in the Saint Stain,and a 2-Year Plot

2021年11月、ジャ・タンという謎のキャラクターが登場しました。彼は映画のモデルをハッキングしませんでしたが、冷静かつ残酷に社会工学を使用しました

•信頼を作る-小さなタスクを手伝うための良いコードを送信してください。

圧力をかける-複数のソックパペットアカウントを使用して、Lasse Collinに「アップデートが遅すぎる」または「できない場合は、他の人に渡してください」という圧力メールを送信します。

権力を握る-2022年、最も弱いラッセ・コリンは、ジア・タンを共同メンテナーとして受け入れます。2023年までに、ジア・タンはほぼすべてのプロジェクトを制御し、バックドアにマウントされたtarballのバージョンに署名します。

何が起こったか: Every Open Ghost Shackle（技術的なバックドアメカニズム）

後者は完全な力を手に入れ、Jia Tanは秘密裏にバックドアをバージョン5.6.0(2024年2月24日)と5.6.1(2024年3月9日)に埋め込みました。このコードは非常に複雑で、「肉眼で見ることはできない」とされています。

それを最も怖いものにするテクニックの詳細:

•バックドアはリリースのtarballにのみ隠されています（Gitリポジトリには隠されていません）、したがって一般的な開発者レビューに合格しています。

•通常のテストファイルのように見えるバイナリ（bad-3-corrupt_lzma 2. xzとgood-large_compresed.lzma）の2つのテストファイルを使用してください。

・build-to-host. m 4ファイルは、マルチレイヤースクリプトを実行するために変更されました(tarballでのみ利用可能):デコード→クラックファイル→liblzma-la-crc 64_fast.oという名前の共有オブジェクトを挿入します

•Open SSLのRSA_公開_復号機能を置き換えるために、glibc IFUNCメカニズムを使用してください。

・sshdがlibsystemdをロードして自動的にliblzmaをロードするようにする「サードパーティのパッチ」に頼る

・結果:ハッカーがユニークなEd 448キーを送信した場合、システムが検出せずに認証前にリモートコード実行（RCE）が命令される可能性があります。

SentinelOneは、5.6.1バージョンではノッチを隠し、「モジュラリティ」を追加することも改善しています（SentinelOneは、これが将来的に追加のバックドアインプラントを準備するためだと考えています）。

ターニングポイント:世界を変えたわずか0.5秒の遅さ。

アンドレス・フロイント（マイクロソフトのエンジニア）がいなければ、これはほとんど世界的な悲劇になりました。

Debian Sidをテストしているとき、彼は次のことを発見しました:

•SSHログインは500ミリ秒(0.5秒)遅くなります

•CPU使用率がわずかに高い+Valgrindエラー

彼は非常に深く掘り下げて、いくつかの外国コードの層を見つけ、このバージョンがわずか数日間大規模なプロダクションディストリビューションにプッシュされる前に、2024年3月29日にoss-securityを投稿しました!

プロジェクトの現在の状況(202 6)

•XZ Utilsはすぐに編集されます。Debian、Fedora、Red Hat、SUSEなどの大きなディストリビューションは、バージョン5.6. xを古いバージョンに戻します。

•Lasse Collinが通常のプロジェクトGitHubオープンリポジトリの責任者に戻りました

•Jia Tanも謎です。誰も本当の正体を知りません(government-sponsored俳優であることが期待されています。2年以上の忍耐と高い複雑さのため)。

•Debian Docker Hub上のいくつかのDebian Dockerイメージでもバックドアの「残骸」が発見されました（Binarlyが2025年8月に発見）が、Debianはそれを「歴史的な遺物」として残しました。なぜなら、それは開発用の建物であり、製品ではなかったからです。

結論:オープンソース世界の高価な教訓

XZ Utilsは、「信頼」が現代において最も危険な弱点であることを最大限に思い出させるものです。インターネットの世界は、Jia Tanのような悪い願いを持つ人々の浸透の可能性を許すために過労状態にあるLasse Collinのようなボランティアに依存しています。

このイベントは、オープンソースコミュニティに大きな変化をもたらしました:ガバナンスの強化、自動スキャン、そしてより良いメンテナーケア。

しかし、まだ誰もが悩んでいる質問はそれです。。。

Jia Tanはまだどこに隠れていますか?そして、彼は他のプロジェクトで次に何を計画していますか?

主な参照元（2026更新）

•Wikipedia: XZ Utilsのバックドア

•ワイアード:ジア・タンの謎

•SentinelOne: XZ Utilsのバックドア-脅威アクターがさらなる脆弱性を計画しています

•バイナリ: Dockerイメージにおける持続的なリスク(2025年)

アルス・テクニカ&ザ・ヴァージ

ラウンド⚽️

#トレンド

#プログラミング

#レモン8