XZ Utils侵入事件後、Docker Hub上でバックドア付きDebianイメージ発見

【2025年8月15日】2024年3月に発覚したXZ Utilsのバックドア事件は、Linuxコミュニティ全体に大きな衝撃を与えたが、その余波は現在も続いている。セキュリティ研究者による最新の調査で、Docker Hub上に公開されていたDebian公式イメージの一部に、XZ Utilsバックドアが組み込まれた改ざん版が含まれていることが判明した。

このバックドアは、"Jia Tan"と名乗る開発者が2年にわたって信頼を築いた後、広く利用される圧縮ライブラリに悪意あるコードを挿入したことで発生。liblzma.soライブラリを経由してOpenSSHの暗号機能にフックをかけ、SSHサーバーを標的としていた。その影響範囲は極めて広く、Debian、Fedora、OpenSUSEといった主要なLinuxディストリビューションが、知らぬ間に改ざんされたパッケージを配布してしまっていた。

今回のDocker Hub上での発見は、ソフトウェアサプライチェーンの脆弱性が依然として深刻であることを示しており、専門家は公式配布元やコンテナイメージの検証手順を強化する必要性を強調している。