ロシアを標的とした「抗議ウェア」、オープンソース界に衝撃
コネクティビティ

Activists are targeting Russians with open-source "protestware" ロシアを標的とした「抗議ウェア」、オープンソース界に衝撃

ロシアのウクライナ侵攻に抗議する「プロテストウェア」がオープンソース・ソフトウェアの利用者らに衝撃を与えている。少なくとも一つのOSSプロジェクトに、ロシアとベラルーシにあるコンピューターのファイルを消去することを目的とした悪意のあるコードが追加されていた。 by Patrick Howell O'Neill2022.03.25

ロシアのウクライナ侵攻に対する抗議メッセージを表示するよう改変されたオープンソース・ソフトウェア「プロテストウェア(protestware、プロテストは抗議の意味)」の広がりを受けて、ロシア最大の銀行がユーザーにソフトウェアのアップデート中止を呼びかけている。

プロテストウェアのほとんどは反戦や親ウクライナ派のメッセージを表示するだけで、ユーザーに実害はない。ただ、少なくともある一つのプロジェクトでは、ロシアやベラルーシにあるコンピューターのファイル消去を目的としたコードがソフトウェアに追加されており、意図しない巻き添え被害に怒りの声も上がっている。

ロシアの銀行最大手であるスベルバンクは、リスクを回避するためソフトウェアのアップデートを一時的に実施しないこと、アップデートが必要なソフトウェアについてはソースコードを手動で確認するよう勧告した。ただ、これはほとんどのユーザーにとって非現実的な対応だ。

ロシアメディアやサイバーセキュリティ企業が報じた声明によると、スベルバンクは、「ユーザーにはソフトウェアのアップデートを今すぐ中止するよう求めるとともに、開発者には外部のソースコードの使用に対する管理を強化するよう求めます」と述べている。

ウクライナ侵攻が始まったとき、ロシアに制裁を加えるため、テック企業はロシアのユーザーに対するソフトウェア・アップデートの提供を取りやめるべきだ、との意見が一部で上がっていた。プロテストウェア運動を追跡している観測筋によると、実際にアップデートの提供をやめたテクノロジー企業はないものの、二十数件のオープンソース・ソフトウェア・プロジェクトで、反戦を訴えるコードの追加が確認されている。オープンソース・ソフトウェアは、誰もが改変や検査ができるソフトウェアだ。透明性が高く、少なくともこの場合は破壊行為に対してもオープンになっていると言える。

巻き添え被害?

これまでで最も深刻なプロテストウェアは、「ノード・ドット・IPC(node.ipc)」で発生した。ノード・ドット・IPCは、毎週100万回以上ダウンロードされている人気のオープンソース・プロジェクトだ。開発者であるRIAエバンジェリスト(RIAEvangelist)は、「ピースノットウォー(PeaceNotWar)」という戦争に抗議するコードを書いていた。ギットハブ上の説明によると、このコードはユーザーのデスクトップに「平和のメッセージ」を追加するものだという。

「このコードは、ノード・モジュールの制御がなぜ重要なのかを示す、非破壊的な例となります」と開発者は記している。「また、たった今世界を脅かしているロシアの侵攻に対する非暴力的な抗議の意味も込められています。(中略)はっきり言って、これはプロテストウェアです」。

だが、実際のノード・ドット・IPCには、ユーザーの位置を特定し、ロシアやベラルーシ内で実行された場合にコンピューター内のファイルを消去するコードが追加されていた。

サイバーセキュリティ企業、スニーク(Snyk)の研究者であるリラン・タルによると、悪意のあるコードは3月15日に追加されていた。Base64でエンコードされたデータ内に隠匿されていたため、発見が難しくなっていたという。

改変されたノード・ドット・IPCがダウンロードされた直後、実際にベラルーシにある米国のNGOによって運営されているサーバーが被害に遭い、「ロシア軍と政府高官によるウクライナでの戦争犯罪を記録した3万件以上のメッセージやファイルの消去につながってしまった」との主張がギットハブに投稿された。

スニークの調査によると、このコードがパッケージの一部として残っていたのは一日足らずだという。米国のNGOからとされる前のメッセージは検証されておらず、どの団体からも被害についての公式発表はない。

「抗議が目的とはいえ、今回の問題は、ソフトウェアのサプライチェーンが直面しているより大きな問題を浮き彫りにしています。コード内の推移的な依存関係が、セキュリティに大きな影響を与える可能性があります」とタル研究員は記している。

オープンソース・ソフトウェアの開発者自らがプロジェクトを妨害するのは、今回が初めてではない。今年1月には、「カラーズ(colors)」と呼ばれる別の人気プロジェクトの作者が、無限ループを追加してしまい、問題が修正されるまで同ソフトを実行していたすべてのサーバーを使い物にならなくしてしまった。

新たな動き

プロテストウェアは、ロシアの検閲を突破して反戦メッセージを届けるために活動家たちが実行した多数の技術的な試みの1つだ。活動家たちはターゲット広告を使ってニュースを発信している。ウクライナ侵攻に関するニュースを、加速する検閲と偏在する国家プロパガンダに翻弄されているロシア国民に届けているのだ。クラウドソース化されたレビューの書き込みや反戦のポップアップ・メッセージは、ロシア軍の侵攻が始まって以来採用されている戦術となっている。

プロテストウェアは、ウクライナ周辺で展開されている「サイバー戦争」のうち、目に見えるものの多くが、何よりもまず情報戦とプロパガンダ戦争に直接関係していることをさらに証明するものだ。

プロテストウェアは反戦メッセージを伝えることができるが、オープンソース・コミュニティは、破壊工作の可能性、特に単純な反侵略メッセージを超えてデータを破壊し始めた場合に、オープンソースのエコシステムが損なわれることを懸念している。商用ソフトウェアほど知名度はなくとも、インターネットのあらゆる面を動かすためにオープンソース・ソフトウェアは非常に重要な存在だ。

「パンドラの箱が今開かれました。これからオープンソースを使う人々は、かつてないほどの外国人排斥を経験するようになります。誰もがそこに含まれます」。ギットハブのあるユーザーであるNM17はこう記している。「オープンソースの信頼性は、開発者の善意に基づくものでしたが、今では事実上失われ、今やますます多くの人々が、ある日突然、自分のライブラリーやアプリケーションが、インターネット上の開発者の誰かが『正しい行動だった』と考えたことを実行したり発言するために悪用される可能性があることに気づいています。この『抗議』から何一つ良いことは生まれていません」。