トム・コットン上院議員、中国とロシアが信頼に基づくOSSエコシステムを組織的に悪用し、米国防衛システムを侵害していると警告
2025年12月20日 — 国の最高サイバーセキュリティ責任者に対する厳しい警告として、上院情報委員会委員長のトム・コットンは、米国の防衛システムを支えるオープンソースソフトウェア(OSS)エコシステムに外国の敵対勢力が関与していることに起因する、彼が「重大な国家安全保障上のリスク」と呼ぶ問題の概要を示した。
アーカンソー州選出の共和党議員であるコットンが12月17日に国家サイバー局長ショーン・ケアンクロスに送った書簡は、憂慮すべきパターンを詳述している。中国とロシアの国家支援を受けた開発者が、オープンソース開発の協調的で信頼に基づく性質を利用し、国防総省で使用されるものを含む米政府システムに対する潜在的なサプライチェーン攻撃に備えて足場を築いているというのだ。
オープンソースの中核にある「信頼のパラドックス」
コットンの書簡は、現代のソフトウェア開発における根本的な緊張関係を浮き彫りにしている。オープンソースソフトウェアがデジタルインフラの基盤となったのは、善意の参加を前提に、世界中の貢献者コミュニティに依拠しているからにほかならない。しかし、この同じ開放性が、長期戦をいとわない敵対者に機会を与えてしまう。
「OSSは、ソフトウェアをアクセス可能で安全に保ち、更新し続けるために、信頼に基づくグローバルな貢献者コミュニティに依存しています」とコットンは書いた。「残念ながら、国家支援のソフトウェア開発者やサイバー諜報グループが、貢献者は善意であるという前提に立つこの共同体的環境を悪用し、広く利用されているオープンソースのコードベースに悪意あるコードを挿入し始めたという報告があります。」
書簡は、特に次の3つの懸念すべき動向を挙げている。
XZ Utilsのバックドア:2024年初頭、セキュリティ研究者のアンドレス・フロイントは、Linuxディストリビューション全体で使用される重要な圧縮ライブラリであるXZ Utilsに、巧妙なバックドアが仕込まれていることを発見した。悪意あるコードは「Jia Tan」として知られる人物によって挿入され、同人物は約3年にわたりプロジェクト内で信用を築いた後、バージョン5.6.0および5.6.1でバックドアを導入した。
XZの事案は、これまでに発見されたオープンソースのサプライチェーン攻撃として、おそらく最も高度なものを示している。Jia Tanは、見せかけのソックパペット(なりすまし)アカウントを用いて、プロジェクトのメンテナーにコミット権限を付与するよう圧力をかけるなど、精巧なソーシャルエンジニアリングを展開した。権限を得ると、Jia Tanは慎重に悪意あるコードを挿入し、侵害されたSSH実装を使用するシステム上で攻撃者にリモートコード実行能力を与える可能性があった。
セキュリティ専門家は、このバックドアが主に偶然によって発見されたと指摘した。フロイントが定期テスト中に異常なCPU使用率に気づいたのだ。もし未発見のまま安定版Linuxディストリビューションに取り込まれていれば、世界中の数億台のシステムに対する「マスターキー」を攻撃者に提供していた可能性がある。
fast-globの懸念:より差し迫って問題視されるのは、ロシア拠点のYandex社員が、国防総省の少なくとも30のソフトウェアパッケージに組み込まれているオープンソースユーティリティfast-globの唯一のメンテナーを務めているという事実が明らかになったことだ。このパッケージは週あたり約7,000万回ダウンロードされ、5,000以上の公開プロジェクトで使用されている。
現時点で悪意ある活動の証拠はないものの、Hunted Labsのサイバーセキュリティ研究者は、メンテナーであるデニス・マリノチキンについて、「日常業務の中で(ロシア連邦保安庁)や国家安全保障関係者に遭遇する可能性が高く、強要にさらされ得る」と警告した。このパッケージは、ペンタゴンが審査したソフトウェア構成要素のリポジトリであるPlatform OneのIron Bankに掲載されている。
マリノチキンは7年以上にわたりプロジェクトを維持しており、「fast-globを操作したり、プロジェクトに隠れた変更を導入したり、システムデータを収集して共有するよう求められたことは一度もない」と述べている。しかし、構造的な脆弱性は残る。国家による強要の可能性にさらされ得る単独メンテナーが、防衛システムに組み込まれたコードを管理しているのだ。
中国企業による貢献:コットンはまた、中国のテクノロジー大手であるアリババとファーウェイが、Open Source Contributor Indexにおいて世界の上位20貢献者に入っていることを強調した。中国の国家安全保障法は企業に対し、政府目的を推進するための技術支援提供を義務付けているため、重要なオープンソースプロジェクトにおける中国系組織の戦略的な位置取りについて疑問が生じる。
政府システム全体にまたがる体系的な脆弱性
影響は個別パッケージにとどまらない。コットンは、オープンソースソフトウェアが、任務遂行上不可欠な防衛インフラを含む米政府システムの基盤を成していると強調した。政府はOSSを活用して迅速に技術を革新・開発・展開しているが、貢献者の出自や動機が不透明なままでは、そのスピードはリスクを伴う。
「OSSへの依存を監視しないまま放置すれば、米国はますます危険なリスクにさらされることになります」とコットンは書簡に記した。
上院議員は、2025年7月に国防長官ピート・ヘグセスが出した覚書を指摘した。同覚書は国防総省に対し、「敵対的な外国の影響を受けやすいハードウェアまたはソフトウェアを調達しない」こと、そして「当該敵対者が、同省が利用する製品およびサービスに悪意ある能力を導入することを防ぐ」ことを指示している。コットンの書簡は、その覚書が現実というより願望にとどまっていることを示唆している。
問題の規模
オープンソースのエコシステムにおける外国の影響の真の範囲を理解するには、いくつかの厳然たる現実と向き合う必要がある。
- オープンソースコンポーネントは、現代のソフトウェアアプリケーションのコードの大半を占める
- 重要インフラのプロジェクトは、小規模チーム、あるいは個人ボランティアが保守するコードに依存していることが多い
- 連邦政府は、使用しているソフトウェアの完全な依存関係ツリーを把握できていないことが多い
- 更新とパッチは継続的に流入し、既知の脆弱性スキャン以外の精査が最小限にとどまることが多い
Rivada Select Servicesの上級副社長ジョン・スコットはInformation Security Media Groupに対し、政府は「どのOSSを保有しているのか、あるいはどんなITが実質的に(組織に)流れ込んでいるのかを、リスク評価に足る形で理解していない。パッチや更新が毎週のように入り、既知のソフトウェア脆弱性以外の精査がほとんどないと、出自不明の未知のものが、出自不明のまま入ってくるので、状況はさらに悪化する」と語った。
コットンの行動要請
上院議員の書簡は、この脆弱性に対処するため、国家サイバー局(ONCD)に具体的な措置を求めている。
- 連邦政府の能力を構築し、オープンソースソフトウェアの来歴(プロベナンス)に関する認識を維持する
- OSSプロジェクトに対する外国の影響を追跡する
- 敵対国の開発者からの貢献を監視する
- オープンソースのリスクに関する政府横断のサイバーセキュリティ政策を調整する
コットンは、政府全体にわたる国家サイバー政策の実施調整という権限を踏まえ、この取り組みを主導するのにONCDが最適な立場にあると位置づけた。
より広い文脈:戦場としてのサプライチェーン
この警告は、ソフトウェアのサプライチェーンが国家安全保障上の重要な戦場であるという認識が高まる中で発せられた。中国、ロシア、北朝鮮、イランはいずれも、サプライチェーン攻撃における高度な能力を示してきた。
2025年初頭のStrider Technologiesの調査では、これらの国々に関連する国家系ハッカーが、世界中の組織や政府で使用される主要な公開ソフトウェアに、バックドアやエクスプロイトを密かに挿入しようとしていることが判明した。
課題が特に深刻なのは、敵対者が長期戦を戦える点にある。XZ Utilsへの攻撃は、攻撃に踏み切る前に何年もかけて信用を築く意思があることを示した。この忍耐強いアプローチは、オープンソースソフトウェアを成功させている仕組みそのもの—コミュニティの信頼、分散開発、実力主義的な貢献モデル—を悪用する。
コットンの書簡は、セキュリティとオープンソースのコミュニティ内で、オープンソースを強力にしている協調的な精神とセキュリティをどう両立させるかについて議論を呼んだ。
一部の開発者は、メンテナーがコード品質ではなく国籍や雇用主で判断されるべきだという含意に不満を示している。fast-globのメンテナーは、ソースコードは「潜在的な利用者によって完全に公開され監査可能」であり、オープンソースは「信頼と多様性の上に成り立っている」と強調した。
一方で、特に防衛システムに組み込まれたソフトウェアについては、国家安全保障上の含意が重大すぎて無視できないと主張する人々もいる。この議論は根本的な問いを浮かび上がらせる。敵対者がソフトウェアサプライチェーンを正当な標的と見なす大国間競争の時代に、オープンソースモデルは生き残れるのか。
セキュリティ実務者にとっての意味
CISOやセキュリティチームにとって、コットンの書簡は次の重要な要請を強調している。
SBOM(Software Bill of Materials)実践の導入:ソフトウェアスタックの完全な依存関係ツリーを理解することは、もはや任意ではない。組織は直接依存だけでなく、コンポーネントの連鎖全体を可視化する必要がある。
メンテナーリスクの評価:国籍だけで貢献者を排除すべきではないが、単独メンテナーのプロジェクト、監督の欠如、国家による強要の可能性が組み合わさると、評価すべき現実のリスクが生じる。
重要依存関係の分散:可能な限り、敵対国にいる個人が管理するプロジェクトへの単独依存を避けること。特にセキュリティ上重要なアプリケーションではなおさらだ。
エコシステムの防御への参加:オープンソースソフトウェアに大きく依存する組織は、セキュリティ監査へのリソース提供、メンテナーの多様化支援、セキュリティ重視の開発への資金提供を検討すべきである。
異常の監視:XZ Utilsのバックドアは、誰かが異常な挙動に気づいたことで発見された。重要コンポーネントの継続的な監視と行動分析は、侵害の早期警戒を提供し得る。
今後の道筋
コットンの書簡が直ちに政策変更につながる可能性は低いが、オープンソースのサプライチェーンリスクに対する議会の認識が高まっていることを示している。オープンソースのサイバーセキュリティ改善を目的とした過去の立法の試みは、2023年に上院で頓挫した。
政策立案者が直面する課題は、米国の技術競争力に不可欠となったオープンソースエコシステムを損なうことなく、正当なセキュリティ懸念にどう対処するかである。過度に強硬な制限は、才能をオープンソース開発から遠ざけたり、エコシステムを地政学的に整列したフォークへと分断したりする恐れがある。
より洗練されたアプローチとしては、次のようなものが考えられる。
- オープンソース全体を規制しようとするのではなく、防衛上重要なソフトウェアに対する審査強化
- 不審なコード変更を検出できる自動セキュリティ解析ツールへの投資
- 単独個人への依存を減らすためのメンテナーコミュニティ支援
- 政府システムで使用されるソフトウェアに対する透明性要件
- 同盟国間でのオープンソースセキュリティ標準に関する国際協力
結論:信頼せよ、しかし検証せよ—スケールをもって
コットン上院議員の警告は、デジタル時代の根本的な課題を浮き彫りにしている。重要インフラを動かすソフトウェアは、動機や忠誠が米国の利益と一致しない可能性のある、世界的な貢献者コミュニティによって構築されている。
XZ Utilsの事案は、高度な敵対者がすでにオープンソース開発の信頼ベースの性質を悪用していることを証明した。fast-globの状況は、防衛システムの中に、今この瞬間にも潜在的な脆弱性が存在することを示している。主要なオープンソースプロジェクトにおける中国とロシアの戦略的な位置取りは、重要インフラに影響を及ぼすための長期的計画を示唆する。
解決策はオープンソースを放棄することではない—それは不可能であり、逆効果でもある。むしろ、セキュリティコミュニティは、オープンな協働の利点を維持しつつ、敵対者による悪用から守るためのツール、プロセス、制度的能力を विकसितしなければならない。
そのためには、暗黙の信頼から、スケールを伴う厳格な検証へと転換する必要がある。セキュリティツールへの投資、メンテナー支援、依存関係の可視化が求められる。何より重要なのは、オープンソースソフトウェアのセキュリティが単なる技術課題ではなく、国家安全保障上の要請であるという認識だ。
国家サイバー局長に宛てたコットンの書簡は、行動を促す呼びかけである。今問われているのは、コットンがこれほど明確に示した脆弱性を敵対者が悪用する前に、政府がオープンソースエコシステムを守る能力を構築できるかどうかだ。
関連リソース:
- コットン上院議員の書簡全文: cotton.senate.gov
- XZ Utilsバックドアのタイムライン: CISA勧告
- 外国ソフトウェアの影響に関するヘグセス国防長官の覚書
- 連邦サイバーセキュリティ政策におけるONCDの調整役割
