人気の Go Library fsnotify：コントリビューター削除がサプライチェーンに懸念を引き起こす

Popular Go Library fsnotify Raises Supply Chain Alarms After Maintainer Access Changes

2026/05/11 CyberSecurityNews — 広く使用される Go ライブラリ fsnotify が、メンテナー・アクセスの突然の変更を契機としてオープンソース・コミュニティ全体に影響を及ぼし、サプライチェーン・セキュリティ上の懸念を引き起こしている。このプロジェクトは、Windows／Linux／macOS／BSD／illumos 上で動作するアプリケーションに対して、クロスプラットフォームなファイル・システム通知を提供するものだ。事前の説明もなく、GitHub からコントリビューターが削除されているが、それが単なる整理のためのアクションなのか、より深刻な問題なのかを、ユーザーが即座に判断できない状況となっている。

この不安は、ライブラリの影響範囲を考えれば当然である。GitHub データによると、fsnotify は 10,700 以上のスター、969 のフォーク、321,000 以上の依存プロジェクトを持つ。

このライブラリは、開発ツール／CLI／開発サーバ／インフラ・パイプラインの下層に位置する。これほど重要なライブラリに対する変更権限の不確実性は、下流に対して即座に影響を及ぼす。

Socket.dev の研究者たちは、この事象を継続的に観測し、潜在的なサプライチェーン侵害と一致する、複数の表面的な兆候が存在すると指摘している。悪意のコードは確認されていないが、人気依存関係／最近のリリース／メンテナー権限変更／削除された公開投稿／リリース・パイプライン権限の不明確性が懸念を形成している。

Go 開発者である Yasuhiro Matsumoto (mattn) が、自身が fsnotify の GitHub 組織から削除されたと X に投稿したことで、このインシデントが発覚した。

この投稿は、日本語で記述され、後に削除されたが、自身の貢献に対する叱責や、オリジナル作者の削除といった記述が含まれていた。この投稿が翻訳／共有されると、ユーザーはリリース履歴やフォークの評価に走った。

人気 Go ライブラリ fsnotify がサプライチェーン警戒を引き起こす

Oshi Yamaguchi (Grafana) は GitHub issue を作成し、この変更を問題として提起した。主要オープンソースに fsnotify が組み込まれている点を指摘し、下流ユーザーに対する説明の必要性を強調した。

この issue はコミュニティの注目を集め、メンテナー Martin Tournoij に説明を求める圧力となった。

Tournoij は GitHub スレッドで直接反論し、乗っ取りという見方を否定した。削除されたアカウントは、歴史的な理由で commit 権限を持っているに過ぎず、実質的なアクティブ・メンテナーではなかったと説明した。

さらに、最近の変更がレビュー不足の状態で急速にマージされ、複数のプラットフォームへの影響の検証が不十分であり、長年のクリーンアップ作業を損なうリスクがあったと指摘した。

権限削除の一因として、資金ファイルの変更が挙げられた。Tournoij によると、Matsumoto は事前議論なしにスポンサー設定を main ブランチへ直接コミットした。これが、アクセス権剥奪の主要理由の一つであった。後に Matsumoto は、この変更を誤りと認めて謝罪し、削除投稿にも誤り (オリジナル作者のアクセス喪失など) が含まれていたと説明した。

サプライチェーン懸念と Kubernetes の反応

さらに、懸念は下流へと波及した。Kubernetes の GitHub issue “fsnotify/fsnotify: Healthy or not?” では、状況監視とフォーク検討が提案された。Matsumoto はアクセスを喪失した後に “gofsnotify/fsnotify” という別リポジトリを作成しており、これも監視対象として挙げられた。

Sebastiaan van Stijn (Docker) は、fsnotify のような低レイヤライブラリは見落とされやすく、Dependabot のようなツールにより、十分な検証なしに更新される可能性があると指摘した。

このコメントは、信頼されたライブラリを通じて攻撃が静かに伝播する、サプライチェーンの問題の本質を示している。サプライチェーン侵害の初期段階と、メンテナー間の対立は、外部からほぼ同一に見えると、Socket.dev は分析している。いずれも、予期しないリリース／アクセス変更／矛盾する公開情報を伴う。

先日の xz-utils バックドア・インシデントは、この脅威が現実であることを示す例であり、開発者は基盤ライブラリの異常挙動に対して一層慎重になっている。

セキュリティ・チームにとって必要なことは、重要な依存関係におけるメンテナー活動の監視／紛争時のリリース履歴検証／ガバナンス不明確時のフォーク評価である。

訳者後書：多くのプロジェクトで利用される Go ライブラリ fsnotify において、 メンテナーの権限が突如変更されたことで、サプライチェーン上に不安が広がったニュースです。 問題の原因は、 運営方針や寄付金の扱いを巡るメンバー間の対立により、功労者のアクセス権が事前の説明なく剥奪されたことにあります。このライブラリは、30 万以上のソフトウェアから依存されており、管理体制の混乱は悪意あるコードの混入リスクを想起させます。幸いなことに悪用は確認されていませんが、近年の大規模なサプライチェーン攻撃の事例を受け、基礎的なライブラリのガバナンスの変化が大きな波紋を呼ぶことを、象徴する出来事となりました。利用者はリリース内容を注視し、信頼性を慎重に見極める必要があります。よろしければ、Golang での検索結果も、ご参照ください。