米軍の上級司令官は、オープンソースのソフトウェアの脆弱性を通じてアメリカのデジタルインフラストラクチャを妥協するために、外国の敵による調整された努力について厳しい警告を発しました。米国のサイバー司令官であるポール・M・ナカソン将軍は、上院軍事委員会の前で、中国とロシアが重要な米国セクターで利用される公的に利用可能なソフトウェアに悪意のあるコードを積極的に挿入していると証言した。
ターゲットを絞ったオープンソースソフトウェアは、アメリカのインフラストラクチャの複数の重要なセクター内で運用のバックボーンを形成します。ナカソーン将軍は、これらの妥協したプログラムは「米軍、政府、民間部門によって広く使用されている」ことを強調し、体系的な脆弱性を生み出した。オープンソースソフトウェアの固有の透明性は、誰でも公にアクセス可能で修正可能になりますが、電源グリッドや通信ネットワークなどの重要なシステムで広く採用されているにもかかわらず、このような国民国家浸透の影響を特に敏感にします。
「私たちはそれをさまざまな方法で見ています」とナカソンは聴聞会で述べました。 「私たちは敵、特に中国とロシアを見ています。 [engaging] オープンソースソフトウェアに悪意のあるコードを挿入します。」一般は、これらの秘密作戦の洗練された性質を強調しました。これらは、アメリカのデジタルエコシステム内の永続的なアクセスポイントを確立することを目的としています。
この啓示は、壊滅的な2020 SolarWinds CyberTackに続くソフトウェアサプライチェーンのセキュリティに関する高度な懸念に基づいています。ロシアの国が後援するハッカーに起因するこの事件は、信頼できるソフトウェア更新メカニズムを活用することにより、複数の米国政府機関や民間企業にわたってネットワークを侵害しました。この違反は、組織がサードパーティのソフトウェアコンポーネントをどのように検討するかに基本的な弱点を明らかにしました。
米国政府は、近年、ソフトウェアサプライチェーンの保護に焦点を当てています。これらの懸念は、バイデン大統領の2025年5月の大統領命令で頂点に達しました。包括的なサイバーセキュリティの改善を義務付け、サプライチェーンの脆弱性に対処する特定の規定があります。この命令は、連邦政府に販売されたソフトウェアの強化されたセキュリティ基準を確立し、サイバーインシデントのより厳しい報告要件を作成しました。
ナカソンは、現在の脅威を、最高レベルの政府で「非常に真剣に」とられていると説明しました。 Cyber Commandは、埋め込まれた悪意のあるコードを特定して中和するために、民間部門のパートナーと広く協力しています。 「私たちはこれを特定できるように、民間部門のパートナーと非常に緊密に協力しています」と彼は確認し、国家サイバー防衛における業界コラボレーションの重要な役割を強調しました。
一般的には、アメリカのソフトウェアサプライチェーンをめぐる強化された保護対策を特に求めており、現在の保護措置は、洗練された国民国家のアクターに対する不十分なラベル付けされています。彼は、敵が徹底的なセキュリティ審査なしで、オープンソースコンポーネントが商業製品や政府システムに日常的に統合されている現代のソフトウェア開発の相互接続された性質を活用していると指摘しました。
ナカソーンは、課題をグローバルな規模として枠組みし、一方的な行動には不十分であると強調しました。 「これはグローバルな課題であり、私たちはそれに対処するために協力する必要があります」と彼は主張し、デジタルの脅威に合わせて集合的に対抗するために強化された提携を提唱しました。中国とロシアの両方の関与は、調整された国際的なサイバーセキュリティ政策と情報共有を要求するサイバー敵の間の戦略的収束を示しています。
セキュリティアナリストは、オープンソースの妥協が敵対的な国の力の乱れを表しており、単一の脆弱性を通じて何千もの組織を同時にターゲットにできるようにすることを指摘しています。個々のネットワークの普及を必要とする従来のサイバー攻撃とは異なり、毒されたソフトウェアコンポーネントは、ルーチンの更新中にすべてのユーザーにマルウェアを自動的に配布できます。
この警告は、攻撃が侵害された開発ツールとソフトウェアの依存関係を通じて検出されるずっと前にますます発生するサイバー戦争の進化する性質を強調しています。サイバーセキュリティの専門家は、そのような戦術は、ソフトウェアのエコシステム内での「事前位置」への戦略的変化を反映して、将来の破壊的な運用を可能にすることを観察しています。
連邦政府機関は、コード署名要件の強化やソフトウェア請求書(SBOM)の実装など、ソフトウェアの整合性を検証するための新しいフレームワークを開発していると伝えられています。政権はまた、オープンソースメンテナーが改善されたセキュリティ慣行を採用するためのインセンティブを検討しており、多くの重要なプロジェクトは、重要なインフラストラクチャでの広範な展開にもかかわらず、限られたリソースで動作していることを認めています。
アメリカのデジタル財団に対する脅威が進化し続けるにつれて、この証言は、洗練された国民国家の脅威に対してますます複雑なソフトウェアサプライチェーンの景観を確保するための政府、民間部門、および国際的な取り組みを橋渡しする包括的な戦略に対する緊急の必要性を強調しています。
