前に、10/27、JJUG CCCに行ってきた話を書いた
けど、ちょと間が開いてしまったけど、今日はその続き。
テーマは
端末が簡単にリモートから操作されるデモを通じて
ソフトウェアサプライチェーン攻撃の重要性を
理解しよう
というもの(長いけど、これで1つのテーマ)なんだけど
Log4Shell = Log4jを使って「端末が簡単にリモートから操作される」マルウェア
ソフトウェアサプライチェーン攻撃=ある防御が厳しいサイトに対して、取引先など、”そのサイトとネットワークがつながっていて、セキュリティが甘いサイト”があった場合、その取引先を攻撃し、そこからセキュリティの厳しいサイトに入る攻撃
っていう2つの話が表題に入っている。
で実際の話は↓のとおりで、
自分には(ソフトウェアサプライチェーン攻撃はちょこっとあったけど)
ほぼLog4Shellの話に聞こえ、
この話から「ソフトウェアサプライチェーン攻撃の重要性を理解」はできなかったので、話をあまり理解していないのかもしれない…?
P.S
途中に出て来たSBOMについて
ソフトウェア構成分析(SCA)について
SLSAについて