中露がオープンソースソフトに悪意あるコードを挿入－報告

(Image: Shutterstock)

By Vaughn Cockayne – The Washington Times – Monday, August 4, 2025

　企業や政府の業務でオープンソースソフトウエア（OSS）の採用が進む中、外国のアクターが悪意を持ってソフトウエアインフラに密かに侵入しているとする新しい報告書が出た。

　戦略的インテリジェンス企業ストライダーの報告書によると、OSSの急速な普及に対して必要なサイバーセキュリティー対策の整備が追いついていない。このため、高度な訓練を受けた「高度持続的脅威（APT）グループ」が、広く利用されているソフトウエアに悪意あるコードを仕込むことが可能になっている。

　OSSはソースコードが公開され、誰でも使用・改変できるようライセンスされたソフトウエアのことだ。多くは無料で、誰でも自由に修正できる。この考え方が、ロシア、中国、北朝鮮などの国家が関与したアクターによる悪意あるコードの拡散を許していると報告書は指摘している。

　「現在の地政学的状況を考えれば、このオープンな環境を守るための新しい手法が必要だ。APT41（中国）、ラザルス・グループ（北朝鮮）、コージーベア（ロシア）といった国家支援のサイバー脅威グループは、GitHubのようなオープンプラットフォームを利用し、国家としての戦略目的を推進してきた」

　調査では、現代のアプリケーションの90％以上にOSSが使われており、多くの商用ソフトウエアもOSSを一部に組み込んでいるという。そのため、もし国家的アクターがたった1行の悪意あるコードを紛れ込ませれば、多様な産業に波及する危険があると報告書は指摘する。

　こうした侵入は「業務の停止、データ漏えい、機密情報への不正アクセス、企業の信頼失墜」を引き起こす可能性がある。

　ストライダーによると、人気OSSに悪意あるコードを仕込むことは、APTグループにとって簡単なことではない。時には数年をかけて信頼を得て、有害なコードを仕込むこともある。

　ストライダー広報責任者のペイジ・ウォルツ氏は「長期的な関係を築いていくと、そこにはリスクが潜んでいることがある」と話す。

　「これまで見てきた中では、何年もかけて信頼を得て、40、50回とコードを提供した後、悪意のあるバックドアを仕込み始めるという事例もあった。その場合、チェックが入らない、または、自身が管理者になり、承認権限を持つため、発見されることはない」

　報告書は2021年の脆弱性「Log4Shell」悪用事件を例として挙げている。これはOSSの脆弱性を利用して任意のコードを実行するもので、複数の分野で大規模なデータ流出とシステム障害を引き起こした。

　サイバーセキュリティー企業、情報機関の調査では、中国、北朝鮮、イラン、トルコに関係するアクターが関与していたことが確認されている。

　この「Log4Shell」事件は1件あたり9万ドル以上の対応費用がかかり、業界全体で数十億ドル規模の損害となった。

　事件からほぼ2年がたった2023年時点でも、被害を受けた組織の72％が依然として攻撃を受け続けていると報告書は指摘している。

　ストライダーは、企業や政府機関に対してセキュリティー対策を構築する際には「コード投稿者に焦点を当てる方法」を推奨している。誰がコードを書いているのかを重視することで、採用するソフトウエアに関してより適切な判断ができるからだ。

　ウォルツ氏は「自社に北朝鮮のIT技術者が応募していないかどうかは把握すべきだし、同様に、PLA（中国人民解放軍）やロシアの情報機関に関わった人物が、社内にすでに入っていないかを把握すべきだ。このような人物は、社内の日常の作業で使用されているコードや開発中の技術や製品で使われるコードを投稿している可能性がある」と述べた。