マニフェストの取り違えとは【用語集詳細】
マニフェストの取り違え(Manifest Confusion)あるいはマニフェスト・コンフュージョンは、JavaScript向けパッケージ・マネージャであるNPMに内在するセキュリティ上の問題です。
この問題は、NPMレジストリに表示されるパッケージ・マニフェストデータと、実際のpackage.jsonファイルに存在するデータが不一致であることで生起します。
攻撃者はパッケージのマニフェストデータを操作し、パッケージ(package.json)上には存在している特定のスクリプトや依存関係を、NPMレジストリ上に表示させないようにします。パッケージをインストールした開発者は、未知の依存関係や未知のスクリプトの実行等の侵害を受ける可能性があります。
この問題は元GitHubおよびnpm開発マネージャーのDarcy Clarke氏によって公表されました。その後、セキュリティ研究者がマニフェストの不一致をチェックするツールを公開しています。
