開発者として、セキュリティ意識を定期的にアップデートしていくのは本当に大事。この2週間で意識が高まった2つの出来事を記録しておきます。
Slack/Chatworkで乗っ取り増加 → 2段階認証を設定(3月16日)
SlackとChatworkで乗っ取り事案が流行っているという話を聞きました。「これはマズい」と思って慌てて2段階認証を設定しました。
ちょっと恥ずかしい話、今まで設定していなかったことに今さら気づきました……。普段はパスワードを複雑にしているからいいかな、くらいの感覚でしたが、もはや2段階認証は必須レベルですね。
仕事系ツールで2段階認証を必ず入れる
- Slack / Chatwork / Discord
- GitHub / GitLab
- Google / Microsoft アカウント
- AWS / GCP / Cloudflare
クラウド時代、IDの守りは自分次第。「設定していない」は「無防備」と同義と肝に銘じました。
axiosサプライチェーン攻撃、対策まとめ(4月2日)
次はnpmエコシステムの話。axios関連のサプライチェーン攻撃のニュースが話題に。解説動画も出ていました。
参考動画: axiosサプライチェーン攻撃と対策を開発者目線で解説
今後の似たような事象の対策として、.npmrcファイルで以下を設定しておくと良いとのこと。
ignore-scripts=true
min-release-age=3ignore-scripts=true:postinstallスクリプトの自動実行を無効化min-release-age=3:公開から3日未満のバージョンをインストールしない(=マリシャスな直近リリースを避けられる)
範囲広すぎ問題
同じチャンネルのkujiraさんの投稿で、axios周りの影響範囲の広さを痛感しました。
- Slack Bot、NestJS、Twilio、SendGrid、Google Maps、Contentful、DeepL、Figma API、Jira、WooCommerce、Postmark、Mailgun、Mailchimp……
- いずれも「裏でaxiosを使っている」可能性があるサービス
なかなか範囲広そうで対策も大変ですが、知っているだけで動き方が変わります。
まとめ
セキュリティは「やり過ぎかな?」と思うくらいがちょうどいい。事故ってからでは遅いのがこの領域です。
コメント