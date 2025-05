2025年05月07日 20時00分 ソフトウェア

オープンソースプロジェクト「Easyjson」はロシアで開発されているとの指摘、アメリカ国防総省などでも使われており国家安全保障上のリスク大



オープンソースのGo言語ライブラリである「Easyjson」が、ロシア政府と協力関係にあるIT企業で、欧米の制裁対象者がCEOを務めていることでも知られているVKontakte(VK)によって開発されており、アメリカの政府系機関や大手企業などで広く使われていることから、潜在的な「デジタル版スリーパーセル(潜伏工作員)」として悪用された場合のリスクが極めて高いとセキュリティ企業のHunted Labsが警鐘を鳴らしました。



The Russian Open Source Project That We Can’t Live Without - Hunted Labs

https://huntedlabs.com/the-russian-open-source-project-that-we-cant-live-without/



From Russia with doubt: Go library's Kremlin ties stoke fear • The Register

https://www.theregister.com/2025/05/06/from_russia_with_doubt_go/



Easyjsonは、JSONのシリアライズとデシリアライズのプロセスを最適化するように設計されたGo言語用パッケージで、クラウドネイティブのエコシステム全体に広く普及しており、Kubernetesを始めとするさまざまなオープンソースプロジェクトや企業向けソフトウェアにとって不可欠なライブラリとなっています。





2025年5月5日に発表した報告書で、Hunted Labsは、Easyjsonが「ロシア版Facebook」とも呼ばれているソーシャルメディア企業のVKによって開発されていることを指摘しました。



Hunted Labsはレポートの中で「ロシア政府が直接手を下さなくても、国家支援のハッカーに働きかけて、一見無害なオープンソースプロジェクトをアメリカの技術スタックの奥深くに忍び込ませることで、彼らはアメリカのシステムを監視し、いざという時に操ることができます。このような、巧妙に仕掛けられたバックドアやバグは、スリーパーセルのデジタル版となり、ペンタゴンから個人のiPhoneに至るまで、あらゆる範囲に影響を及ぼす可能性があります」と述べました。





VKは、ロシアのインターネットユーザーの95%がサービスを利用している大手テクノロジー企業で、国営のガス会社であるガスプロムを通じてロシア政府とつながっているほか、ロシア政府高官のセルゲイ・キリエンコ氏の息子であり、EUやイギリス、アメリカから制裁を受けているウラジミール・キリエンコ氏がCEOを務めていることでも知られています。



VKは特に、2022年から続くロシアのウクライナ侵攻で、ロシア政府の意向を受けたコンテンツの検閲を行っていると非難されており、国の代わりに反体制派の監視や検閲をするのに利用されているソーシャルメディアである点に留意する必要があると、Hunted Labsは強調しました。





以前から、EasyjsonはVK傘下のメール会社・Mail.ruのGitHubアカウントでホストされていましたが、Hunted Labsによる今回の調査で、ロシアのコントリビューターが当該リポジトリを管理しており、全コミットの85%以上を占めていることが判明しました。



Easyjsonのライブラリに悪意あるコードが埋め込まれているのが見つかったわけではありませんが、圧縮ライブラリ「XZ Utils」にバックドアが仕掛けられていたことが発覚した経緯もあることから、自由主義陣営と対立している国の政府と関係が深い組織の開発者によって作られたオープンソースプロジェクトが「武器化」されることに対する懸念が深まっています。



Hunted Labsの共同設立者兼最高技術責任者であるヘイデン・スミス氏は「はっきりさせておきますが、ロシアや中国で活動する全ての人が悪者だと言っているわけではありません。肝心なのは、過去にアメリカに対する疑わしい活動に関与したことがある組織に所属している人によって開発されたソフトについて、私たちは真剣に考え直さなければならないということです」と話しました。