セキュリティ研究者は、広く使用されているオープンソースツールが米国に「永続的な」リスクをもたらすと警告している

3年以上前にロシア軍がウクライナに侵攻して以来、ロシアのテクノロジー企業とその幹部は、クレムリンを支援したとして広く制裁を受けてきた。その中には、ウラジーミル・プーチン大統領の側近の息子で、ロシア版FacebookであるVKを運営するVKグループのCEOを務めるウラジーミル・キリエンコ氏も含まれる。VKは、ロシアの政権による抑圧的な姿勢をますます強めている。

現在、サイバーセキュリティ研究者たちは、キリエンコ氏の会社と関連し、ロシアの開発者によって管理されている、広く使用されているオープンソースコードが、米国にとって「永続的な」国家安全保障上のリスクとなる可能性があると警告している。このオープンソースソフトウェア（OSS）「easyjson」は、米国国防総省で広く使用されており、金融、テクノロジー、ヘルスケア分野のソフトウェアで「広範囲に」使用されていると、この主張の背後にあるセキュリティ企業Hunted Labsの研究者らは述べている。懸念されているのは、ロシアがeasyjsonを改ざんしてデータを窃取したり、その他の方法で悪用したりする可能性があることだ。

「クラウド ネイティブ エコシステムの要となる非常に重要なパッケージが、疑わしい経歴を持つ組織に属するモスクワを拠点とする個人グループによって保守されているのです」と Hunted Labs の共同設立者、ヘイデン・スミス氏は語る。

数十年にわたり、オープンソースソフトウェアはテクノロジー業界の大部分と、人々が日々利用するシステムを支えてきました。オープンソース技術は、誰もがコードを閲覧・修正できるため、改善やセキュリティ上の脆弱性の検出、そして巨大企業のクローズドテクノロジーにはない独立した審査の適用に役立ちます。しかしながら、地政学的規範の崩壊や、ステルス性の高いサプライチェーン攻撃の脅威により、「外国製」コードのリスクレベルに関する疑問が高まっています。

EasyjsonはGoプログラミング言語用のコードシリアライゼーションツールであり、他のオープンソースソフトウェアにも搭載されており、クラウドエコシステム全体で広く使用されているとHunted Labsは述べています。このパッケージは、メール会社VKが2021年にリブランディングした後、VKが所有するMailRuアカウントによってGitHub上でホストされています。VKグループ自体は制裁対象ではありません。Easyjsonは2016年からGitHubで公開されており、アップデートのほとんどは2020年以前に行われています。キリエンコ氏は2021年12月にVKグループのCEOに就任し、2022年2月に制裁を受けました。

WIREDが入手したHunted Labsの分析によると、近年このプロジェクトで最も活発に活動している開発者は、モスクワを拠点としていることが明らかになった。スミス氏によると、Hunted Labsはeasyjsonのコードに脆弱性を発見していないという。

しかし、制裁対象となったCEOの会社との関連性に加え、ロシアによる国家支援を受けた積極的なサイバー攻撃が、潜在的なリスクを高める可能性があるとスミス氏は指摘する。Hunted Labsの調査では、コードシリアル化ツールが悪意のあるハッカーによってどのように悪用される可能性があるかが詳述されている。「ロシアが管理するソフトウェアパッケージは、『スリーパーセル』として利用され、米国の重要なインフラに深刻な損害を与えたり、スパイ活動や影響力行使キャンペーンに利用されたりする可能性がある」と報告書は述べている。

「国民国家は戦略的な立場を取る」と、国家安全保障局（NSA）元副局長で、NSAに36年間勤務し、現在はハンテッド・ラボのシニアアドバイザー兼投資家を務めるジョージ・バーンズ氏は述べている。バーンズ氏によると、ロシアの諜報機関のハッカーは、easyjsonを将来的に悪用する潜在的な機会と捉える可能性があるという。

「これは完全に効率的なコードです。既知の脆弱性はなく、他の企業も問題を特定していません」とバーンズ氏は言う。「しかし、実際にこれを所有しているのは、クレムリンと密接な関係にあるVKという偽装組織です」と彼は言う。「もし私がGRUやFSBに座って、膨大な数のチャンスを目の当たりにしていたとしたら…これは完璧です。まさにそこに転がっているのです」とバーンズは、ロシアの対外軍事機関と国内治安機関に言及しながら言った。

VKグループは、easyjsonに関するWIREDのコメント要請に応じなかった。米国国防総省も、easyjsonを自社のソフトウェア設定に組み込むことについてコメント要請に応じなかった。

「NSAはこの特定のソフトウェアについてコメントする立場にありません」と国家安全保障局（NSA）の広報担当者は述べている。「NSAサイバーセキュリティ・コラボレーションセンターは民間企業からの情報提供を歓迎しています。情報提供を受けたNSAは、脅威を完全に理解するために、独自の知見と照らし合わせてトリアージを行い、裏付けがあれば関連する緩和策をコミュニティと共有します。」第2次トランプ政権下で大きな混乱に直面している米国サイバーセキュリティ・インフラセキュリティ局（CISA）の広報担当者は、「Hunted Labsに再度問い合わせるようご案内します」と述べている。

マイクロソフトが所有するコードリポジトリであるGitHubは、問題を調査し、ポリシー違反があれば措置を講じるとしているものの、easyjsonに悪意のあるコードが含まれていることは認識しておらず、VK自体も制裁対象ではないとしている。他のテクノロジー企業のVKへの対応は様々である。例えば、英国が2022年9月にVKの株式を保有するロシアの銀行幹部に制裁を科した後、AppleはVKのソーシャルメディアアプリをApp Storeから削除した。

サプライチェーンセキュリティ企業ChainguardのCEO、ダン・ロレンク氏は、easyjsonにおけるロシアとの繋がりは「明白」であり、他のソフトウェアライブラリよりもサイバーセキュリティリスクが「わずかに高い」と述べている。また、他のオープンソース技術に関する危険信号はそれほど明白ではないかもしれないと付け加えている。

「オープンソースの世界では、ほとんどの場合、人々がどこにいるのかさえ必ずしも把握できていません」とロレンク氏は述べ、多くの開発者がオンラインで自分の身元や所在地を公開しておらず、たとえ公開していたとしても、その詳細が正しいかどうかを確認できないこともあると指摘する。「私たちが信頼しなければならないのはコードであり、コードとそのコードを構築するために使われるシステムです。人は重要ですが、信頼を個人にまで押し付けることができるような世界には、私たちはまだいないのです」とロレンク氏は言う。

ロシアによるウクライナへの本格的な侵攻が進むにつれ、オープンソースシステムの利用と、開発に関わる組織への制裁の影響に対する監視が強化されています。昨年10月、Linuxカーネルのメンテナーが、オープンソースプロジェクトに関わっていたロシア人開発者11名を、制裁措置を理由に広く削除しました。そして今年1月、Linux Foundationは国際的な制裁がオープンソースに及ぼす影響に関するガイダンスを発行し、開発者は誰と関わり、その性質について慎重になるべきであると述べています。

リスク認識の変化は、サプライチェーン攻撃の脅威と相まって深刻化しています。昨年、Jia Tanとして知られる謎の攻撃者が、広く使用されているXZ Utilsソフトウェアに密かにバックドアを仕掛けたことで、企業の開発者やオープンソース界は大きな衝撃を受けました。XZ Utilsは2年間、何のトラブルもなく更新を続けてきたにもかかわらず、Jia Tanはこっそりとバックドアを仕掛けたのです。このバックドアは偶然発見されたものでした。

「数年前、OSSは互いに顔見知りの信頼できる開発者による少人数のグループによって開発されていました」と、カーネギーメロン大学ソフトウェア工学研究所のフェローであるナンシー・ミード氏は述べています。「当時は、信頼できる開発者がハッカーであるとは誰も予想していませんでしたし、比較的ゆっくりとしたペースで開発されていたため、レビューのための時間も確保されていました。しかし、今日では、自動リリース、アップデートの組み込み、そしてOSSの幅広い利用により、古い前提はもはや通用しなくなっています。」

カーネギーソフトウェア工学研究所のシニアテクニカルスタッフであるスコット・ヒッサム氏は、オープンソースプロジェクトに携わるメンテナーの数や組織の数についてはしばしば考慮されるものの、OSSプロジェクトのその他の詳細を考慮する「大規模な動き」は今のところ見られないと述べています。「しかし、今後はそうした動きが見られるでしょう。OSSプロジェクトの詳細情報を収集する活動がいくつかあり、OSSの利用者はそれらを活用してOSSプロジェクトとその活動についてより深く理解することができます」とヒッサム氏は述べ、2つの例を挙げました。

Hunted Labのスミス氏は現在、他のオープンソースプロジェクトの起源と、それらに伴うリスクについて調査中だと述べています。これには、米国企業へのサイバー攻撃を行ったことが知られている国を精査することも含まれます。彼は、オープンソースソフトウェアを避けるよう人々に勧めているのではなく、リスクに関する考慮事項は時代とともに変化してきたと述べています。「オープンソースを利用する際には、リスクを十分に考慮した上で、適切な判断を下すようお願いしているのです」と彼は言います。「オープンソースソフトウェアは、基本的に良いものですが、そうでなくなるまでは良いものです。」