中露がオープンソースソフトに悪意あるコードを挿入-報告

(2025年8月6日)

(Image: Shutterstock)

By Vaughn Cockayne – The Washington Times – Monday, August 4, 2025

 企業や政府の業務でオープンソースソフトウエア(OSS)の採用が進む中、外国のアクターが悪意を持ってソフトウエアインフラに密かに侵入しているとする新しい報告書が出た。

 戦略的インテリジェンス企業ストライダーの報告書によると、OSSの急速な普及に対して必要なサイバーセキュリティー対策の整備が追いついていない。このため、高度な訓練を受けた「高度持続的脅威(APT)グループ」が、広く利用されているソフトウエアに悪意あるコードを仕込むことが可能になっている。

 OSSはソースコードが公開され、誰でも使用・改変できるようライセンスされたソフトウエアのことだ。多くは無料で、誰でも自由に修正できる。この考え方が、ロシア、中国、北朝鮮などの国家が関与したアクターによる悪意あるコードの拡散を許していると報告書は指摘している。

 「現在の地政学的状況を考えれば、このオープンな環境を守るための新しい手法が必要だ。APT41(中国)、ラザルス・グループ(北朝鮮)、コージーベア(ロシア)といった国家支援のサイバー脅威グループは、GitHubのようなオープンプラットフォームを利用し、国家としての戦略目的を推進してきた」

 調査では、現代のアプリケーションの90%以上にOSSが使われており、多くの商用ソフトウエアもOSSを一部に組み込んでいるという。そのため、もし国家的アクターがたった1行の悪意あるコードを紛れ込ませれば、多様な産業に波及する危険があると報告書は指摘する。

 こうした侵入は「業務の停止、データ漏えい、機密情報への不正アクセス、企業の信頼失墜」を引き起こす可能性がある。

 ストライダーによると、人気OSSに悪意あるコードを仕込むことは、APTグループにとって簡単なことではない。時には数年をかけて信頼を得て、有害なコードを仕込むこともある。

 ストライダー広報責任者のペイジ・ウォルツ氏は「長期的な関係を築いていくと、そこにはリスクが潜んでいることがある」と話す。

 「これまで見てきた中では、何年もかけて信頼を得て、40、50回とコードを提供した後、悪意のあるバックドアを仕込み始めるという事例もあった。その場合、チェックが入らない、または、自身が管理者になり、承認権限を持つため、発見されることはない」

 報告書は2021年の脆弱性「Log4Shell」悪用事件を例として挙げている。これはOSSの脆弱性を利用して任意のコードを実行するもので、複数の分野で大規模なデータ流出とシステム障害を引き起こした。

 サイバーセキュリティー企業、情報機関の調査では、中国、北朝鮮、イラン、トルコに関係するアクターが関与していたことが確認されている。

 この「Log4Shell」事件は1件あたり9万ドル以上の対応費用がかかり、業界全体で数十億ドル規模の損害となった。

 事件からほぼ2年がたった2023年時点でも、被害を受けた組織の72%が依然として攻撃を受け続けていると報告書は指摘している。

 ストライダーは、企業や政府機関に対してセキュリティー対策を構築する際には「コード投稿者に焦点を当てる方法」を推奨している。誰がコードを書いているのかを重視することで、採用するソフトウエアに関してより適切な判断ができるからだ。

 ウォルツ氏は「自社に北朝鮮のIT技術者が応募していないかどうかは把握すべきだし、同様に、PLA(中国人民解放軍)やロシアの情報機関に関わった人物が、社内にすでに入っていないかを把握すべきだ。このような人物は、社内の日常の作業で使用されているコードや開発中の技術や製品で使われるコードを投稿している可能性がある」と述べた。

中国、チベット・印パへ攻勢拡大 米印関係の悪化受け

(2025年08月26日)

中国が空挺部隊による台湾奇襲を計画 ロシアが協力か

(2025年08月22日)

トランプ氏が大統領の間は台湾侵攻しない-習主席

(2025年08月19日)

大飢饉からレストラン経営まで、脱北女性が赤裸々証言

(2025年08月18日)

中国の「人道に対する罪」を非難、少数派が標的に-米人権報告

(2025年08月18日)

北極海で中国「調査」船の活動が活発化-沿岸警備隊

(2025年08月16日)

GM、中国軍需企業とバッテリーで提携 米議会が懸念

(2025年08月15日)

裁かれる韓国の大統領経験者ら 正義か復讐か政治的見せ物か

(2025年08月13日)

中国系企業が銅鉱山取得へ 公約に反しホワイトハウスは前向き

(2025年08月11日)

アジア各地で脅かされる信仰 宗教会議に世界から指導者300人超-韓国

(2025年08月10日)
→その他のニュース