リポジャッキングとは【用語集詳細】
リポジャッキング(Repo Jacking)はソフトウェア依存関係を狙った攻撃の1つであり、Git等バージョン管理システム(Version Control System)のリポジトリを攻撃者が乗っ取ることで行われます。
攻撃者は標的となるリポジトリの管理者を乗っ取ることで悪性コードやマルウェアを挿入し、ソフトウェアサプライチェーンを悪用し攻撃を実行します。
代表的な方法として、ユーザーの名前変更を悪用するケースがあります。あるリポジトリを管理するユーザーが名前を変えた場合、このリポジトリを使用するプロジェクトはリダイレクトによって新しいユーザーネーム下にあるリポジトリを参照します。
このとき攻撃者が、変更前の旧ユーザー名で悪性コードを含むリポジトリを作成した場合、前述のリダイレクトが無効となり、標的のリポジトリを利用するプロジェクトは、攻撃者が作成した悪性リポジトリを参照することになります。
2023年、この手法がGitHubの多数のリポジトリに対して有効であることがセキュリティベンダーによって公表されました。
