インタビュー オープンソースソフトウェアの開発者やメンテナーに貢献の対価を支払うといった良いアイデアも、サイバー犯罪者に悪用されずに済むことはない。Tea Protocolと2つのトークン・ファーミング・キャンペーンでも、まさにそれが起きた。
どちらの事件も、金銭的利益を追うために攻撃者がどこまで、そしてどれほど速く動くのかを、プロジェクト創設者たちにリアルタイムで見せつけた。そしてそれは、来年初頭に予定されているTeaネットワークのメインネット立ち上げで展開される「抜本的な変更」を形作る助けになったと、共同創設者兼CEOのTim LewisはThe Registerに語った。
Tea Protocolは、オープンソースのパッケージマネージャーHomebrewを作ったMax Howellと、分散コンピューティング・プロジェクトを支援する助成金を配布する非営利団体DEVxDAOを設立したLewisによって創設された。目的は、金銭的インセンティブを通じてオープンソース開発者に報酬を与え、ソフトウェア・サプライチェーンの安全性を高めることだ。
「さまざまなパッケージ管理のエコシステムを考えると、それぞれに異なる“門番”がいるが、どれも金銭的な門番ではなかった」とLewisはインタビューで述べた。
「前に座って門番を務める人間が必要だが、すべてのデータに目を通すのは人間に負担がかかり、それは悪化する一方だ」と彼は言う。「AIが誘発するプルリクエストの増殖がある。これは素晴らしい面もあるが、DDoS攻撃のようになってしまった」
昨年、2人はTea Protocolのテストネットを公開した。これは本質的に、オープンソース開発者が価値あるコードや修正に対して暗号資産(具体的にはTeaトークン)を獲得できるインセンティブ・プログラムの試運転だ。一方ユーザーは、特定プロジェクトを支援するためにTeaをステークして報酬を得ることもできる。プロトコル報酬の一部は、プロジェクトのメンテナーと、トークンをステークしたユーザーに分配される。
「繰り返すが、これは将来的に価値を持つ可能性はあるものの、当時は“偽のインターネット・ポイント”のためのテストネットだった」とLewisは言う。「その期間のインセンティブは約3週間しか続かなかった」
私たちはこれが起きる様子をリアルタイムで見て、人々がワームのような挙動をするスクリプトを作るために、どれほど速く、どこまでやったのかを認識した
2024年4月、Teaチームは、Teaポイントを稼ぐためにnpmレジストリへ約15,000件のスパム的パッケージが流入した後、インセンティブ・プログラムの報酬を停止した。これらは有用な機能がほとんど、あるいはまったくなく、開発者の評判を水増しして支払いを得ようとして、Teaアカウントに紐づく「tea.yaml」メタデータが仕込まれていた。
「私たちはこれが起きる様子をリアルタイムで見て、人々がワームのような挙動をするスクリプトを作るために、どれほど速く、どこまでやったのかを認識した」とLewisは述べた。
そして事態はさらに悪化した。2025年には、先のTeaファーミング・キャンペーンがIndonesianFoodsおよびIndonesian Teaキャンペーンへと拡大し、npmの1%超をスパムパッケージで汚染した。さらに11月には、Amazonが別のTeaトークン・ファーミング・キャンペーンに紐づく15万件超の悪意あるnpmパッケージを発見し、クラウド大手はこれを「オープンソース・レジストリ史上最大級のパッケージ氾濫事件の一つ」と表現した。
「私はこれを炭鉱のカナリアだと見ている」とLewisは言った。
これらのトークン・ファーミング・キャンペーンでは、詐欺師たちはレジストリをスパムで埋め尽くした。暗号資産やその他の秘密情報を盗むコードを混入させるのとは対照的だが、後者も仮説ではない。北朝鮮のLazarus Groupなどの高度な攻撃者は、これらの不正目的で以前からnpmを標的にしてきた。
「Lazarus Groupのような破壊的組織であれば、同じ手法を使って[サプライチェーンを]攻撃するインセンティブがある」とLewisは言う。「だから中核を直す必要がある」
安全なコードに報酬を与え、スパムに罰を与える方法
この目的のため、Teaの創設者たちは、2026年初頭のメインネット立ち上げ時にインセンティブ・プログラムが悪用されないよう、プロトコル設計の修正に取り組んでいる。
これには、パッケージとプロジェクトに所有権および来歴(プロベナンス)のチェックを求め、貢献が単なる自動化スパムではないことを担保することが含まれる。Teaチームはまた、Sybil攻撃を検知し、低品質パッケージ作成の急増や不審なIDをフラグ付けする監視機能も設計している。
悪意が疑われるパターンが検出された場合、その開発者は報酬を受け取れず、登録は隔離され、追加のレビューを待つことになる。
さらに重要な品質・セキュリティ改善は、Howellが書いたPKGWとの統合によって実現される。これは、プロジェクト向けにコンテナ化された環境を作成し、環境をまたいで開発者ツールを管理するパッケージランナーだ。PKGWは暗号学的署名と本人確認チェックでメンテナーを検証し、さまざまなプロジェクトへの貢献を品質面で評価するとともに、セキュリティ態勢や依存関係も評価する。
このレジストリは、プロトコルのメインネット立ち上げ時にTeaと直接統合され、必要に応じて、登録後ではなく登録時点でスパム的パッケージを自動検出してペナルティを科しつつ、正当な貢献をしたメンテナーには報酬を与える。
自動化されたSBOM、バグバウンティ
将来的には、この設計により、企業がバグバウンティを自動化し、ソフトウェアに含まれるすべての構成要素の棚卸しを提供するSBOM(ソフトウェア部品表)も自動化できるようになるとLewisは言う。これにより大企業は依存関係を把握しやすくなり、見つかった重大なセキュリティ問題を修正した開発者に報酬を与えられるようになる。
「企業として、私のエコシステムで問題になっている上位100件に対して5万ドルの基金を用意できる」とLewisは言う。「メンテナーとして問題を解決すれば、バウンティの仕組みを通じて、リポジトリを登録している限り、このバウンティの20%を受け取る権利がある。そしてコードベースをクリーンに保つのは私の仕事だ」
実際、複数の銀行がすでにパイロットのバウンティ・プログラムに参加しており、Lewisは名前を明かさないものの、それぞれがオープンソースコードの安全性向上のために25万ドルの報酬を拠出すると約束している。
「どこかのCISOは毎日、自分が使用を承認した何万ものパッケージを見ていて、今やそれらが安全かどうかの責任を負っている」とLewisは言う。「部門内の人員全員が、ネブラスカの誰かにプルリクエストをレビューしてもらい、自分のアーキテクチャにとって致命的なバグを一括で解決してもらうために、時間のすべてを費やすわけにはいかない。私たちは、インパーマネントロスなしに、その価値分配を大規模に可能にするツールになることを期待している」
Lewisの目標は、「課題の完了に対して、1日あたり数百万ドル規模が回収される」状態を見ることだという。
プロジェクトの開発者とメンテナーが修正を書き、最高セキュリティ責任者は取締役会に対して依存関係と重要コードが安全であることを確認できる。「さらに、これらの問題の解決までの平均時間も短くなる。そして、北朝鮮のLazarusのような集団に資金を提供することにもならない」と彼は付け加えた。
要するに、Teaの目標が結実するということだ。オープンソース・プロジェクトのメンテナーは価値ある仕事の対価を得て、コードはより安全になり、金銭目的の集団はシステムを不正に攻略できなくなり、世界はより良くなる。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/17/tea_ceo_fends_off_token_farmers/
