上院情報委員会の委員長は、オープンソースソフトウェアのエコシステム内部に拡大しつつある国家安全保障上の盲点だと彼が述べる問題に対処するよう、ホワイトハウスに圧力をかけている。
関連資料: 混乱なく統合する:有効なPAM戦略
水曜日、国家サイバー局長ショーン・ケアンクロス宛ての書簡で、トム・コットン上院議員(共和党、アーカンソー州)は、外国の敵対勢力――とりわけ中国とロシア――が、信頼を前提とするオープンソース開発の性質を悪用し、連邦ネットワーク全体で依存されている広く利用されるソフトウェアプロジェクトに悪意あるコードを挿入していると警告した。
「OSSは、任務遂行上不可欠な防衛システムを含む米国政府システムの基盤であり、私たちはOSSの数多くの利点を活用して、技術を迅速に革新・開発・展開している」とコットンは書いた。「しかし、OSSへの依存を監視しないままにしておくことは、米国をますます危険なリスクにさらしている。」
同議員は、Linuxディストリビューション全体で使用される中核的な圧縮ライブラリであるXZ Utilsにバックドアが仕込まれていたことが昨年発見された事例を挙げた。Jia Tanという名を使う開発者が、2年にわたって進行した詐欺の中で、ユーティリティのメンテナーを操り、バックドアを含むコードを取り込ませることに成功した。バックドアは本番環境に入った直後に発見され、大きな危機を回避できた可能性が高いが、脅威アクターが侵害を実行する前に何年もかけて信頼を築き、ソフトウェア供給網全体に影響する侵害を引き起こし得ることを示す例だった(参照:広く使われるLinuxユーティリティXZでバックドアが発見され無力化)。
コットンは、国防総省での使用が承認されたソフトウェアスタック内に、外国のオペレーターが深く、検知されないアクセスを維持していることを懸念していると述べた。例として、数多くのDoDパッケージに統合されているオープンソースコンポーネントfast-globを監督するロシア拠点の開発者を挙げた。また、「アリババやファーウェイのような中国の巨大企業が、オープンソースへの世界的な貢献者ランキングで上位20位に入っている」ことにも言及した。
コットンは国家サイバー局(ONCD)に対し中心的な調整役を担うよう促し、同局こそが、オープンソースプロジェクト全体における外国の影響を監視し、連邦政府が依存するコードを誰が構築・保守しているのかを可視化する政府横断の取り組みを主導するのに最も適した立場にあると主張した。さらに、オープンソースへの貢献の出所を追跡し、敵対国で活動する開発者に関連するリスクを評価するための連邦の能力強化も求め、この問題を、民間機関、防衛システム、重要インフラにまたがる重大な脆弱性だと述べた。
連邦政府は、オープンソースソフトウェアの速度面・コスト面の利点とセキュリティリスクのバランスを取ることに引き続き苦慮している。コットンは、国防総省の最近の対応を、国家安全保障コミュニティがすでに姿勢を転換しつつある証拠として挙げ、敵対的な外国の影響を受けやすいソフトウェアを避け、防衛システムに悪意ある能力を持ち込むことを敵対者に許さないよう当局者に指示する国防総省のガイダンスを引用した。
「米国政府は、リスク評価に足る形で、自分たちがどのOSSを保有しているのか、あるいはどんなITが持ち込まれているのかを理解していない」と、Rivada Select Servicesの上級副社長で、軍によるオープンソース技術採用の長年の推進者であるジョン・スコットは述べた。「既知のソフトウェア脆弱性以外の精査がほとんどないまま、パッチや更新が毎週入ってくると状況はさらに悪化し、出所不明のまま未知のものがすべて入り込んでくる」と、彼はInformation Security Media Groupに語った。
翻訳元: https://www.databreachtoday.com/senate-intel-chair-warns-open-source-security-risks-a-30357
