大企業のOSSは脆弱だらけ?GitHubリポジトリ調査で判明したサプライチェーンセキュリティの実態
公開日
現代のソフトウェア開発において、オープンソースソフトウェア(OSS)のライブラリ活用は不可欠です。しかし、その利便性の裏側で、ソフトウェアの「部品」となるライブラリを経由して攻撃を仕掛ける「ソフトウェアサプライチェーン攻撃」のリスクが年々高まっています。自社で直接開発したコードに問題がなくても、その土台となっているサードパーティ製のライブラリに脆弱性が存在すれば、システム全体が危険に晒される可能性があるのです。
本記事では、Dmytro Kashchuk氏らによる論文「Measuring Enterprise Software Supply Chain Security using Public Repositories」に基づき、世界的な大企業が公開しているソフトウェアにどれほどの脆弱性が潜んでいるのか、その実態をデータと共に詳しく解説していきます。
Forbes Global 2000企業のコードを徹底分析:調査の概要
この調査は、世界の大企業2000社リスト「Forbes Global 2000」に掲載されている企業を対象に行われました。まず、各企業の公式な公開GitHubプロフィールを特定し、そこに含まれる34,368個すべてのリポジトリ(合計1.9TBのソースコード)をダウンロードしました。次に、SBOM(ソフトウェア部品表)生成ツール「Syft」で各プロジェクトが依存するライブラリをリストアップし、脆弱性スキャンツール「Grype」を用いて、それぞれのライブラリに既知の脆弱性(CVEやGitHub Security Advisories)が含まれていないかをチェックしました。
1割以上のライブラリに脆弱性:調査で明らかになった主要な発見
分析の結果、衝撃的な事実が明らかになりました。調査対象となった延べ3,791,834件の利用ライブラリのうち、実に11.7%にあたる444,439件で、少なくとも1つの既知の脆弱性が発見されました。 これは、多くの企業が脆弱性を抱えたままのソフトウェアを公開・利用している可能性が高いことを示唆しています。
「アクティブなリポジトリなら安全」は幻想だった
一般的に、頻繁に更新されている「アクティブな」プロジェクトは、開発が止まった「非アクティブな」プロジェクトよりも安全だと考えられがちです。しかし、調査結果はこの通説を覆しました。以下の図表1が示す通り、直近30日以内に更新されているアクティブなリポジトリの脆弱性を持つ割合(31.05%)は、非アクティブなリポジトリの割合(27.03%)と大差なく、むしろわずかに高いという結果になりました。
図表1: アクティブ・非アクティブリポジトリの脆弱性サマリー
| 脆弱性のあるリポジトリ数 | 全リポジトリ数 | 脆弱性のあるリポジトリの割合 | |
|---|---|---|---|
| アクティブリポジトリ | 1,032 | 3,324 | 31.05% |
| 非アクティブリポジトリ | 8,394 | 31,044 | 27.03% |
この結果は、プロジェクトが活発に開発されているという事実だけでは、セキュリティパッチが適切に適用されている保証にはならないことを示しています。自動的な依存関係の更新や、保守体制が整っていなければ、大企業のプロジェクトであっても、気づかぬうちにリスクを蓄積させてしまうのです。
他人事ではない?企業別の脆弱性対策状況
脆弱性の存在は、すべての企業に共通する課題ですが、その対策状況には大きな差があることも明らかになりました。
アクティブリポジトリ数上位企業に見る対策状況の差
図表2は、アクティブなリポジトリの数が特に多い上位5社の状況を示したものです。これを見ると、同じトップ企業であっても、脆弱性への対策状況には大きな差があることがわかります。
例えば、Microsoftは最も多くのリポジトリを保有していますが、脆弱性を持つリポジトリの割合は26%と、全社の中央値(31%)を下回っています。AlphabetやNVIDIAも同様に中央値を下回る水準です。一方で、同じくトップクラスに位置するAlibaba Groupは、脆弱性を持つリポジトリの割合が45%に達しており、アクティブなリポジトリに限ると82%で脆弱性が発見されるなど、企業によって対策状況に大きな開きがあることが見て取れます。
図表2: アクティブリポジトリ数上位5組織のリポジトリ特性
| 組織名 | 総リポジトリ数 | アクティブ率 (%) | 全体の脆弱性リポジトリ率 (%) | アクティブなリポジトリの脆弱性率 (%) |
|---|---|---|---|---|
| Microsoft | 7004 | 14 | 26 | 74 |
| Alphabet | 2786 | 20 | 22 | 68 |
| Alibaba Group | 455 | 36 | 45 | 82 |
| NVIDIA | 587 | 24 | 20 | 57 |
| Tencent Holdings | 217 | 59 | 35 | 64 |
脆弱性割合ワースト・ベストランキング
図表3は、テクノロジー企業と非テクノロジー企業に分け、脆弱性を持つリポジトリの割合が高い企業(ワースト)と低い企業(ベスト)をリストアップしたものです。テクノロジー企業ではVodafoneが57.9%、非テクノロジー企業ではCitigroupとResMedが75.0%と、非常に高い割合で脆弱性を含むリポジトリを保有していることが分かります。
その一方で、Quanta ComputerやCadence Design、Chevron、Bristol Myers Squibbのように、調査範囲では脆弱性が一切見つからなかった企業も存在します。この結果は、ソフトウェアサプライチェーンのセキュリティ管理が、企業のリスク管理体制によって大きく左右されることを明確に示しています。
図表3: テクノロジー企業と非テクノロジー企業別の脆弱性リポジトリ割合ワースト・ベスト
脆弱性リポジトリ割合ワースト TOP3
| テクノロジー企業名 | 脆弱性リポジトリ割合 (%) | 脆弱性あり (リポジトリ数) | 脆弱性なし (リポジトリ数) |
|---|---|---|---|
| Vodafone | 57.9 | 11 | 8 |
| Zebra Technologies | 53.8 | 7 | 6 |
| Intuit | 47.5 | 66 | 73 |
| 非テクノロジー企業 | 脆弱性リポジトリ割合 (%) | 脆弱性あり (リポジトリ数) | 脆弱性なし (リポジトリ数) |
|---|---|---|---|
| Citigroup | 75.0 | 24 | 8 |
| ResMed | 75.0 | 9 | 3 |
| US Foods | 70.0 | 7 | 3 |
脆弱性リポジトリ割合ベスト TOP3
| テクノロジー企業名 | 脆弱性リポジトリ割合 (%) | 脆弱性あり (リポジトリ数) | 脆弱性なし (リポジトリ数) |
|---|---|---|---|
| Quanta Computer | 0.0 | 0 | 25 |
| Cadence Design | 0.0 | 0 | 89 |
| Info Edge India | 0.0 | 0 | 11 |
| 非テクノロジー企業名 | 脆弱性リポジトリ割合 (%) | 脆弱性あり (リポジトリ数) | 脆弱性なし (リポジトリ数) |
|---|---|---|---|
| Chevron | 0.0 | 0 | 22 |
| Bristol Myers Squibb | 0.0 | 0 | 33 |
| Avnet | 4.5 | 6 | 126 |
広範囲に影響を及ぼす「システミックリスク」の脅威
この調査では、単一の脆弱性が、いかに多くの企業に影響を及ぼすかという「システミックリスク」の存在も浮き彫りになりました。図表4は、最も多くのリポジトリで発見された脆弱性トップ10です。
例えば、リストの2番目にある semver というJavaScriptパッケージの脆弱性(GHSA-c2qf-rxjj-qqgw)は、深刻度がHigh(高)に分類される特に注意すべきものです。 これはサービス停止攻撃につながる可能性があり、調査の結果、この単一の脆弱性が89社の805個のリポジトリで発見されました。
これは、調査対象企業(275社)のうち、約32%がこの単一の深刻な脆弱性の影響を受けている可能性があることを意味します。このように、広く使われているライブラリに一つ危険な脆弱性が見つかると、それがドミノ倒しのように多数の企業に影響を及ぼす危険性があるのです。
図表4: 最も多くのリポジトリで発見された脆弱性
| 脆弱性ID | ライブラリ名 | 深刻度 | 影響を受けるリポジトリ数 | 影響を受ける組織数 |
|---|---|---|---|---|
| GHSA-v6h2-p8h4-qcjw | brace-expansion | Low | 1225 | 108 |
| GHSA-c2qf-rxjj-qqgw | semver | High | 805 | 89 |
| GHSA-968p-4wvh-cqc8 | @babel/helpers | Moderate | 681 | 84 |
| GHSA-3xgq-45jj-v275 | cross-spawn | High | 717 | 86 |
| GHSA-9wv6-86v2-598j | path-to-regexp | High | 665 | 83 |
いまだに残る「Log4j」の脆弱性
また、本調査ではトップ10には入っていないものの、2021年に世界中を震撼させたJavaのロギングライブラリ「Log4j」の深刻なリモートコード実行の脆弱性についても分析しています。その結果、43社の151個のリポジトリで、依然としてこの危険な脆弱性が残存していることが確認されました。広く報道され、パッチも公開されているにもかかわらず、多くの企業の公開コードが未修正のままであるという事実は、サプライチェーンセキュリティ管理の難しさを示しています。
SBOM(ソフトウェア部品表)が必須の時代へ:今後の規制動向
このような状況を受け、ソフトウェアの透明性を確保するための SBOM(Software Bill of Materials:ソフトウェア部品表)の重要性が世界的に高まっています。SBOMは、ソフトウェアを構成するすべてのコンポーネント(ライブラリ、モジュールなど)とそのバージョン、ライセンス情報などを一覧にしたものです。
SBOMがあれば、今回調査されたLog4jのような新たな脆弱性が発見された際に、自社のソフトウェアが影響を受けるかどうかを迅速に特定できます。各国でSBOM提出を義務化する規制も進んでおり、主なものには以下があります。
- 米国大統領令14028: 米国政府機関にソフトウェアを供給する企業に対し、SBOMの提出を義務付けています。
- EUサイバーレジリエンス法(CRA): 2027年12月から、EU市場でデジタル製品を販売するメーカーに対し、SBOMの作成・保管を義務付けます。
- PCI DSS v4.0: 2025年3月31日以降、クレジットカード情報を扱う組織に対し、ソフトウェアコンポーネントの正確なリストを維持することを求めています。
これらの規制は、もはや一部の業界だけでなく、ソフトウェアを開発・提供するすべての企業にとって、SBOMの管理が事業継続に不可欠となる未来を示唆しています。
まとめ:調査結果から学ぶ、自社ソフトウェアを守るための次の一歩
今回紹介した調査は、世界的な大企業でさえ、ソフトウェアサプライチェーンのセキュリティ管理に大きな課題を抱えている実態を明らかにしました。重要なのは、この結果を他人事と捉えず、自社の状況を正しく把握し、対策を講じることです。
企業が今すぐ始めるべきことは、自社が開発・利用しているソフトウェアにどのようなOSSライブラリが含まれているかを可視化することです。まさにそのために、SBOMが有効な手段となります。本調査で使われたようなSBOMツールを活用し、自社のソフトウェア資産を棚卸しすることで、潜在的な脆弱性を特定し、修正の優先順位を付けることが可能になります。ソフトウェアサプライチェーンのセキュリティ確保は、もはや避けては通れない経営課題なのです。
Webサービスや社内のセキュリティにお困りですか? 弊社のサービス は、開発チームが抱える課題を解決し、生産性と幸福度を向上させるための様々なソリューションを提供しています。ぜひお気軽にご相談ください!
参考資料: