「600万個の偽スター」衝撃のICSE 2026論文

深刻化するGitHubの偽スター問題 章01深刻化するGitHubの偽スター問題 図表01_01

2026年4月にブラジルで開催されたICSE(The International Conference on Software Engineering)のResearch Trackにおいて、最も注目を集めた発表の一つが、CMUのPh.D.学生であるHao He氏を筆頭著者とする論文「Six Million (Suspected) Fake Stars on GitHub: A Growing Spiral of Popularity Contests, Spams, and Malware」である。共同研究者にはCMUのBogdan Vasilescu准教授およびChristian Kästner准教授、ノースカロライナ州立大学のAlexandros Kapravelos氏、そしてSocket社のデータサイエンティストPhilipp Burckhardt氏らが名を連ねる。

研究チームはGHArchiveから20テラバイトものGitHubメタデータを解析し、合計67億件のイベント・3億2,600万件のスターを対象に、独自検出ツール「StarScout」を開発した。StarScoutは「単発のリポジトリしかスターしない極端に活動量の少ないアカウント」と「短期間に同一リポジトリ群を同調してスターする50件以上の口座クラスター(Lockstep Pattern)」という2つのシグナルを組み合わせて異常検知を行う。その結果、18,617リポジトリにまたがる約600万個のスターが偽装である強い疑いを持たれ、参加アカウント数は約30万1,000に上った。

論文の信頼性を裏付けるように、StarScoutが不正と判定したリポジトリの90.42%は2025年1月時点でGitHubによってすでに削除されており、アカウントも57.07%が凍結されていた。通常のリポジトリ削除率が約5.03%、アカウント削除率が約3.54%であることを考えると、極めて高い一致率である。Vasilescu准教授はCMUの公式発表で「スキャムと偽スターの結びつきは以前から指摘されていたが、我々を驚かせたのは、その『量』だった」と述べ、さらに「GitHubのエコシステム全体は、SNS同様の『アテンション・エコノミー』として機能している」とコメントした。

特筆すべきは、2022年初頭までほぼゼロに近かった偽スターキャンペーンが、2024年7月には100倍規模に膨張したという点である。同月単月では、50スター以上を持つリポジトリのうち16.66%が偽スターキャンペーンに関与していた可能性が高いとされた。

公然と販売される「GitHubスター」――実在するマーケットの全貌

深刻化するGitHubの偽スター問題 章02深刻化するGitHubの偽スター問題 図表02_01

「偽スター」と聞くと、影でひっそりとやり取りされる闇市場を想像する読者も多いかもしれない。しかし現実はまったく逆で、正規のECサイト、24時間カスタマーサポート、EU圏準拠インボイス発行までを備えた複数の事業者が、GitHubスターを「商品」として堂々と販売している。以下、シリコンバレーのファウンダーやVCの間でも頻繁に名前が挙がる代表的な販売元を列挙する。偽スター問題は噂話ではなく、既に経済活動として定着した現実なのである。

Baddhi Shop(インド・バンガロール拠点)

ソーシャルメディア・グロース専門のBaddhi Shopは、Instagramフォロワー・YouTube再生回数・TikTokいいねと並ぶ正規メニューとしてGitHubスターを販売している。相場は1,000スターで64米ドル(約9,600円)と極めて安価で、OSSファウンダーや成長コンサルタントの間で最も言及されるベンダーの一つだ。DagsterのFraser Marlow氏が自社のダミーリポジトリ(frasermarlow/tap-bls)を立ち上げて行った実測検証では、Baddhi Shop経由で購入したスターの約75%が1か月以内にGitHubによって削除された一方、短期集中でTrendingアルゴリズムを刺激するには十分な瞬発力を発揮したと報告されている。

GitHub24(ドイツ・ミュンヘン拠点)

GitHub24は、ミュンヘンで商業登記された法人Moller und Ringauf GbRが運営するヨーロッパ発の正規事業者である。価格は1スターあたり€0.85(約138円)とBaddhi Shopの約13倍だが、Dagster社の実験では購入スターがほぼすべて数か月間残存し、「高品質・永続型スター」としての立ち位置を確立している。法人登記情報・銀行口座・EU圏準拠のインボイス発行までが透明化されており、経費計上可能な『マーケティング費用』として購入できるという合法性の装いは、スタートアップの財務担当者にとって心理的ハードルを大きく下げる仕組みになっている。

シリコンバレー界隈で著名な米国系ベンダー群

CheckmarxのYehuda Gelb氏が「The GitHub Black Market」で列挙した米国系販売元には、SocialPlug.io(多通貨決済と24時間サポートを提供、ネバダ州登記)、Buy.fans(Twitter/Instagram/GitHubのクロスセル型)、GitHubPromoter.com(GitHub専業の老舗)、Boost-Like.store(最小5スターから注文可)、Followdeh.comVurike.comなど十数社が含まれる。これらのベンダーに共通するのは、「Silicon Valley Developer Credibility Package」「Seed-Stage Founder Boost」といったシリコンバレー文脈を明示した商品ラインナップを揃えている点である。販売ページには「YC(Y Combinator)デモデー前」「シリーズA調達前」などの具体的シーンがターゲット顧客として明記されており、VCのソーシング・パイプラインを意識した露骨なセールストークが展開されている。

Fiverr・Telegram上の流通チャネル

米フリーランスマーケットのFiverrでは、「GitHub Star Boost」「GitHub Fork Service」「GitHub Trending Service」といったキーワードで検索すると数百件のgig(単発サービス)がヒットし、1件5米ドルから注文できる。さらにTelegram上では英語圏・ロシア語圏・中国語圏それぞれの専用チャネルが常時稼働しており、暗号通貨・ルーブル・人民元に対応する販売グループが観測されている。The Hacker NewsおよびBleepingComputerの継続的な追跡報告では、グローバルなマーケットが地域ごとに棲み分けて運営されている構図が明らかになっている。

最上位セグメント:1アカウント75万円の「エイジド・アカウント」市場

最も高価な商品は、1アカウント5,000米ドル(約75万円)前後で取引される「既製のGitHubペルソナ」である。2年以上前に作成され、継続的なコミット履歴・フォロワー・フォーク実績を持ち、人間のベテラン開発者と区別がつかないレベルまで"育成"されたアカウントを指す。DEV Communityの取材によれば、こうしたアカウントはOSS起業家の経歴偽装、採用応募時のプロフィール偽装、マルウェアリポジトリの信用付け、さらにはVC向けピッチスライドに添える「コアメンテナ一覧」の捏造まで、用途を問わず転用される。1アカウント75万円という価格帯が市場として安定的に成立していること自体、偽エコシステムには相応の経済合理性と恒常的な需要が存在することの何よりの証左である。

このように「偽スター」は、もはや一部のハッカーが闇で売買する例外的商品ではなく、プロフェッショナルな事業者が製品ページを公開してクレジットカード決済で販売する正規サービスと化している。シリコンバレーのVCやOSSファウンダーにとって衝撃的なのは、競合他社や投資先候補が、自分たちと同じ公開ウェブから、たった一つのクレジットカード決済でこれらを購入できてしまう、という事実そのものだ。以降の章では、これらの販売元を利用した結果として顕在化した投資詐欺・マルウェア事件と、Tier 1 VCが採り始めた具体的な防衛策を順に追っていく。

シリコンバレーVCが抱く「評判バブル」への警戒

深刻化するGitHubの偽スター問題 章03深刻化するGitHubの偽スター問題 図表03_01

Tier 1 VCは、この問題を単なる技術的な不正ではなく、「Due Diligence(投資精査)の根幹を揺るがすリスク」として捉え始めている。Redpoint Ventures(レッドポイント・ベンチャーズ)のパートナーであるJordan Segall氏が過去に公開したデータ駆動型のファンドレイジング・ガイド「So How Many Stars Is Enough?」は、80社超のデベロッパーツール企業の分析結果として、シード資金調達時の中央値が2,850スター、シリーズA時点では4,980スターという具体数値を提示したことで、業界のベンチマークとして広く参照されてきた。Segall氏は同記事の中で「多くのVCは自社で独自のスクレイピングプログラムを書き、急成長中のGitHubプロジェクトを発掘しようとしている。その際に最も参照されるメトリクスがスターだ」と率直に述べており、スター数がVCのソーシング・パイプラインに直結している実態を裏付けている。

しかしこの「2,850スターがシード相当」という経験則が広く知られたことで、逆方向のインセンティブが生まれた。GitHub24(ドイツ・ミュンヘンの登記法人Moller und Ringauf GbRが運営)のような合法的な見た目のサービスでは1スターあたり€0.85(約138円)で取引されているため、2,850スターを偽造するのに必要な予算はおよそ€2,422(約39万5,000円)、シリーズA中央値の4,980スターでも€4,233(約68万9,000円)に過ぎない。同時期のシード調達額の中央値が100万〜1,000万ドル(約1.5億〜15億円)であることを踏まえると、ROIは3,500倍から最大117,000倍という異常な比率になる。シリコンバレーのSaaS専門メディアSaaStrや、The Informationの投資家向けニュースレターは、この「非対称な投資対効果」をこぞって取り上げ、「GitHubスターはもはや独立した意思決定指標ではない」と警鐘を鳴らしている。

Awesome Agents誌が2026年4月に掲載した特集「Inside GitHub's Fake Star Economy」では、シリコンバレーの複数のベンチャーパートナーが匿名ベースで「過去2年の投資判断のうち、少なくとも数件はスター履歴を後から検証すれば再考したはずだ」と語ったと報じており、Tier 1 VCでも自浄作用が効かなくなりつつある状況が示唆された。

VC(ベンチャーキャピタル)を欺く「投資詐欺」事例

深刻化するGitHubの偽スター問題 章04深刻化するGitHubの偽スター問題 図表04_01

GitHub偽スターを用いた投資詐欺は、すでに具体的な判例レベルで現れている。テスト自動化スタートアップのHeadSpin(ヘッドスピン)のCEOだったManish Lachwani氏は、売上を実績の約4倍に水増しし、Apple社やAmerican Express社を偽の顧客として投資家に提示したとして、電信詐欺(Wire Fraud)と証券詐欺で起訴された。総額8,000万ドル(約120億円)相当の資金調達を欺いたとして、2024年4月に18か月の実刑判決と100万ドル(約1億5,000万円)の罰金が言い渡されている。法律専門家はこの判決を「ソフトメトリクスの水増しが刑事罰の対象になり得る」ことを明示した重要な判例と位置付けており、「投資家がスター数を根拠に資本を投下した場合、偽スターの購入は電信詐欺のフレームワークに該当しうる」との見解が広がっている。

また、ベンチャーキャピタルのRuna Capitalが公表している「ROSS Index(Runa Open Source Startups Index)」では、2025年第2四半期のランキングでUnion Labs(ブロックチェーン関連のスタートアップ)が四半期54.2倍のスター成長率と合計74,300スターを記録し、堂々の第1位を獲得した。しかしStarScoutが後年解析したところ、Union Labsのスターのうち47.4%が偽スターの疑いと判定され、スターアカウントの32.7%が「リポジトリを1つも持たない」口座、52%が「フォロワーゼロ」の口座であったことが判明した。Fork対Star比率は0.052と健全なプロジェクトの平均0.16を大きく下回る異常値を示し、投資サイクルを駆動するランキング自体が汚染されていた可能性を示した。ROSS Indexは世界中のVCが「新興OSSスタートアップ発掘ツール」として参照しており、その信頼性が揺らぐ影響は計り知れない。

米連邦取引委員会(FTC)は2024年10月に「Consumer Review Rule(消費者レビュー規則)」を最終化し、商業目的でSNSの影響力を偽装する行為を明示的に禁じた。違反には1件につき最大53,088ドル(約800万円)の民事制裁金が科されるため、エクイティ資金調達の過程で偽スターを使った場合には、SECに加えてFTCからの処分リスクも発生することになる。

ブラッシュアップされた「ボット・ファーム」の隠蔽

深刻化するGitHubの偽スター問題 章05

2024年以前のボット・ファームは、作成直後のアカウントがプロフィールも空欄のまま一斉にスターを付けるなど「見るからに怪しい」ものが主流であった。しかし2025年以降のボット・ファームは、長期間の「育成(エージング)」を経たアカウントを活用することで、人間と区別がつきにくくなっている。

StartupHub.aiが2026年4月に掲載した分析によれば、現行世代の偽エンゲージメントは「複数段落にわたる技術レビューを自動生成し、再現手順付きのIssueを起票し、意味のあるコード変更を含むPull Requestを送る」レベルまで進化している。さらにAI生成プロフィール画像、月単位の継続的な偽コミット履歴、フォークしたリポジトリ、バイオテキスト、フォロワーなど、全方位の「社会的文脈」が演出される。こうした「エイジド・アカウント」の市場価格は1スターあたり$0.80〜$0.90(約120〜135円)と、使い捨てアカウントの10倍以上で取引されている。

DagsterのCEOだったFraser Marlow氏は同社のエンジニアリングブログで、「資金調達前の時期、私は『GitHubスター』にかなりの時間を費やしていた」と率直に告白しつつ、検証のために自社でダミーリポジトリ(frasermarlow/tap-bls)を立ち上げ、Baddhi Shop(1,000スターで64ドル:約9,600円)GitHub24など複数のベンダーから実際にスターを購入して挙動を検証した。Baddhi Shopの場合は1か月以内に75%が削除された一方で、GitHub24のスターはほぼすべて残存するという「価格通りの品質差」も浮かび上がった。

「GitHub Trending」タブのアルゴリズム・ハック

深刻化するGitHubの偽スター問題 章06

GitHubの探索(Explore)タブに表示される「Trending」は、新規ユーザーがプロジェクトを発見する重要な入口である。偽スターキャンペーンが検知されたリポジトリのうち78件がGitHub Trendingに登場しており、これはアルゴリズムが確実にハックされていることを実証している。たとえば、あるリポジトリが1週間で10スターから500スターへと急増すれば、Trendingアルゴリズムが「急上昇」として増幅し、フロントページで実在開発者の目に触れ、そこから「本物のスター」が連鎖的に付いていく──いわゆるブートストラップ効果を生む。

SecurityメディアのBleepingComputerは、この仕組みを「投資家と開発者の双方から信頼されるトップランキングを短期間で獲得できるため、マルウェアリポジトリにとっては極めて有効な配布チャネル」と表現した。さらにCheckmarxのYehuda Gelb氏が「The GitHub Black Market: Gaming the Star Ranking Game」で明らかにしたように、SocialPlug.io、Buy.fans、Boost-Like.store、GitHubPromoter.com、Followdeh.com、Vurike.comなど、少なくとも十数社の事業者がスター販売を公然と提供し、Fiverrや複数のTelegramチャネルでも日常的に取引されている状況が続いている。

ライバル企業への「ネガティブ・ボット」攻撃

深刻化するGitHubの偽スター問題 章07

GitHubにはSNSのような「ネガティブ評価」ボタンこそ存在しないが、それに相当する効果を狙ったボット攻撃も顕在化している。具体的には、ライバル企業のリポジトリに対して大量の「報告(Report spam/abuse)」を送信してGitHub Trust & Safetyチームに自動停止を誘発する、あるいは意図的に無意味な大量Issueや低品質PRを送りつけてメンテナの時間を奪う、といった手口である。

StepSecurityが2026年3月に報告した「hackerbot-claw」事件はこの新たな局面を示す。2026年2月21日から3月2日にかけて、自称「autonomous security research agent」を名乗るAI駆動ボット(Claude-Opus-4.5を内部で利用していたと主張)が、Microsoft、DataDog、CNCFを含む少なくとも7つの主要なオープンソース・プロジェクトのCI/CDパイプラインを標的に、5種類の攻撃手法を自動的にローテーションしながらリモートコード実行を繰り返した。1つの著名リポジトリでは書き込み権限付きのGitHubトークンを奪取することに成功しており、単なる愉快犯ではなく「競合排除や金銭的利益を目的にした自律型AI攻撃」の先駆けとみなされている。

さらに2026年4月には「prt-scan」と呼ばれるキャンペーンが確認され、攻撃者が26時間のうちに475件もの悪意あるPRを著名組織と個人開発者に送りつけた。受け側のメンテナがレビューで手一杯になる間に、別の攻撃ベクトルに注意を逸らす典型的な撹乱攻撃である。GitHub社のTrust & Safety責任者はこれを受け、2026年第2四半期中にPRレートリミットとAIゲート審査の試験導入を発表している。

サプライチェーン攻撃(マルウェア拡散)事例

深刻化するGitHubの偽スター問題 章08

偽スターの最大の危険性は、「信頼性を偽装したリポジトリを通じたマルウェア拡散」である。CMUの研究では、偽スターが付与されたリポジトリの多くは短命な「パイレート・ソフト」「ゲームチート」「暗号資産ボット」を装うフィッシング型マルウェアリポジトリだった。Socket社の分析でも、VirusTotalがマルウェア判定したリポジトリのうち28件は、発表時点でGitHub上に残存していた。代表例として、Socket researchersが名指ししたSolmonster/PhantomSniper-Solana-Sniper-Botは、Solana向けの「スナイプボット」を装いながら、隠しspawn()呼び出しで難読化されたリモートスクリプトを起動し、ユーザーの暗号資産ウォレットから資金を抜き取る設計になっていた。発覚時点で109の偽スターを保有し、多数の被害者がIssueスレッドに警告を書き込んでいた。

さらに規模の大きい事件として、2025年3月に発生したtj-actions/changed-filesのサプライチェーン侵害(CVE-2025-30066)がある。このGitHub Actionは23,000以上のリポジトリで利用されており、攻撃者が@tj-actions-botのPATを奪取したうえで、すべてのバージョンタグを悪性コミットに書き換え、CIランナーのメモリダンプ経由でAWSのアクセスキー・GitHub PAT・npmトークン・RSA秘密鍵などの機密情報をワークフローログに漏洩させた。CISA(米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)、Wiz、Unit 42、Semgrep、Cycodeといった主要セキュリティベンダーが相次いで警告を発し、影響は同時期に改ざんされたreviewdog/action-setup@v1(CVE-2025-30154)にも連鎖した。

そして2025年11月にはnpmエコシステムを標的とする「Shai-Hulud 2.0」キャンペーンが発生。Unit 42、Microsoft Security、Wiz、CheckPoint、Arctic Wolf、Zscalerが相次いで詳細レポートを公開したが、被害規模は25,000以上のGitHubリポジトリと、Zapier、ENS Domains、AsyncAPI、PostHog、Browserbase、Postmanを含む数百のnpmパッケージに及んだ。攻撃者はpreinstallフェーズでsetup_bun.jsbun_environment.jsを実行し、被害者のnpmトークン、GitHubトークン、SSH鍵、クラウドクレデンシャル、CI/CDシークレットを奪取した上で、被害アカウント配下に「Shai-Hulud」という名前の公開リポジトリを生成して漏洩情報をそこにコミットするという、自己複製型の挙動を示した。

このような高度な攻撃において、偽スターは「最初の入口」として機能する。ツール発見の動線を汚染することで、被害発生確率が大幅に増幅されるのである。The Hacker Newsが2025年12月に報じたPyStoreRATキャンペーンでは、OSINTツールやGPTユーティリティを装ったリポジトリが偽スターで信頼性を装い、Discordや技術ブログ経由で実在開発者にリーチした結果、数万件のダウンロードを記録した。

「採用・ブランディング」目的の偽装

深刻化するGitHubの偽スター問題 章09

偽スターの悪用は、企業評価に留まらず個人の採用プロセスにも広がっている。企業の採用担当者やマネージャーはGitHubプロフィールを「開発者としての実力の代替指標」として参照するため、求職者側が自分のプロフィールを偽造するインセンティブが強く働く。DEV Communityの報告によれば、1アカウントあたり約5,000ドル(約75万円)で、成熟した経歴・多数のフォロワー・スター付きリポジトリを備えた「既製のGitHubペルソナ」が取引されている。

反対に、攻撃者が採用担当者に成りすますケースも増えている。ReversingLabsが報告した事例では、LinkedInとGitHubを用いた偽リクルーターが「当社のコーディングテストをご自宅のターミナルで実行してください」というメッセージを送り、プロジェクトに含まれた悪意のあるPythonパッケージが実行された瞬間にマルウェアを展開する手口が確認された。このVMConnectキャンペーンは、北朝鮮の攻撃集団Lazarus Groupとの関連が指摘されている。Mediumでコミュニティ研究者のHeiner氏が2024年に公表した調査では、「女性の写真と似たバイオを共有する」少なくとも250の偽リクルーター・アカウントが確認された。

さらに、攻撃者がGitHub上で「パッチ」を装った罠リポジトリを用意し、自社の脆弱性を調べていたセキュリティリサーチャーをそこに誘導して逆にマルウェアを感染させる事例も、Palo Alto Networks Unit 42から報告されている。スター数の多さはこの罠にリアリティを加えるための小道具として機能する。

他方で、採用候補者の過度な理想化にもリスクがある。StartupHub.aiは「企業のCTOが面接候補者のGitHubスター数を重視するほど、候補者は自分のスター数を買いたくなる」との負のフィードバックループを指摘している。スター数が候補者評価の主因となる文化そのものが、偽プロフィール経済を拡大させているという主張である。

2026年現在、賢い経営層・エンジニアが取っている対策

深刻化するGitHubの偽スター問題 章10深刻化するGitHubの偽スター問題 図表10_01

スター数の信頼性が崩壊した世界で、Tier 1 VCやCTOはスターに頼らない代替指標の組み合わせを採用し始めている。これは単一の「魔法の指標」を探す作業ではなく、複数の独立した視点を交差検証するアプローチに近い。

Star History(スター履歴)のグラフ形状の検査

第一の検査は、スターが付与されたタイミングの分布を可視化することだ。自然な成長は、ニュース、カンファレンス登壇、メジャーリリースなどを契機に小さなスパイクを挟みつつも、全体としてはなだらかな曲線を描く。これに対して偽スターは、24時間から48時間のあいだに垂直な絶壁(スパイク)を描き、Issue・PR・Discussionの増加とまったく連動しない。この違いは人間の目にも極めて明瞭であり、star-history.comのようなビジュアライザーで確認する文化が2026年春時点では事実上の標準になっている。Medium上でJoe Junior Frecce氏が2026年4月に寄稿した「Your GitHub Stars Might Be Fake」では、「投資家はあなたのスター成長曲線を観察する。地理的分布が広い緩やかな成長のほうが、1週間集中のスパイクよりはるかに信頼されるようになった」と述べている。

実使用メトリクス(NPM/PyPIダウンロード数)の重視

スター数は「そのリポジトリを認知した人の数」に過ぎないが、NPMやPyPIのダウンロード数は「そのパッケージを実際にインストールして利用した件数」を表すため、利用実態に近い指標となる。もっとも、開発者のAndy Richardson氏がAWS Lambdaの無料枠だけで自作パッケージを週100万ダウンロード近くまで押し上げる実験を公開したことからも明らかなように、ダウンロード数自体も単独では鵜呑みにできない。そこで2026年のベストプラクティスは、ダウンロード数の「地理分布」「時間帯分布」「バージョン間の移行パターン」を併せて見ることである。Socket社やSnyk、libraries.io、npmtrends.comが提供する可視化ダッシュボードは、こうした複合的なチェックを簡便にする。

Fork(フォーク)の「質」

Forkはスターよりも粘着性の高いアクションだが、やはり数だけでは買収しうる。本当に重要なのは、フォークしたアカウントがそのコードに独自のコミットを積み、自分のプロジェクトで活用しているかという「アクティブなフォーク」の比率である。健全なOSSプロジェクトではFork数がStar数の15〜25%に位置するとされ、CMU論文で紹介されたUnion Labsの0.052という極端に低い比率や、FreeDomainの0.017(しかもスターの81.3%が「フォロワーゼロ口座」)は、肉眼でも偽装を読み取れる水準だった。

依存リポジトリ数(Used by)

GitHubの依存関係グラフが有効で、対応するパッケージエコシステム(npm、PyPI、Go modulesなど)に公開されており、100以上のリポジトリから依存されている場合、リポジトリ画面右サイドバーに「Used by」セクションが表示される。これはサプライチェーン上の「上流性」を示すため、偽造が極めて困難な指標である。Tier 1 VCや大手テック企業のCTOは、買収候補や導入検討ソフトウェアの審査時に、この「Used by」のアバター群を一覧し、依存元の顔ぶれの質(匿名アカウントか、著名組織か)まで確認する文化が定着しつつある。

「Unique Monthly Contributors」を重視するベッセマーの指針

Bessemer Venture Partners(ベッセマー・ベンチャー・パートナーズ)は、オープンソース投資における「ノーススター指標」をUnique Monthly Contributor Activity(月間ユニーク貢献者数)と定義している。同社のアトラス資料によれば、貢献者とは「Issue作成、Issueコメント、PR、コミットのいずれかを月内に行ったユーザー」を指す広義の定義であり、100人/月に安定して到達すれば有望、250人/月を継続的に超えればトップクラスと評価される。この定義の広さは、巧妙なボットでも一定期間継続的にIssue・PR・コミットを演出するコストが飛躍的に高いという性質を逆手に取っている。

自動化された偽スター検知ツールの統合

独立したエンジニアリングチームも検出技術を公開している。Dagster社が公開するdagster-io/fake-star-detectorはDagster、dbt、BigQueryを組み合わせたパイプラインで、Fraser Marlow氏のチームの検証では精度98%・再現率85%を達成している。Ullaakut/astronomerは「スターした人間が本物である確率」をアカウントの過去行動から推定するCLIツールで、m-ahmed-elbeskeri/Starguardは偽スターだけでなく依存先のハイジャック兆候やライセンスの赤信号までを一括審査するOSS監査ツールとして、セキュリティチームとVCの両方に採用されている。mercurialsolo/realstarsはCMUのStarScout研究を応用したChrome拡張+Claude Codeプラグインで、ブラウザ上で直接リポジトリを評価できる。2026年以降、これらのツールがCI/CDやソフトウェア構成分析(SCA)パイプラインに組み込まれる動きは急速に広がっている。

VC業界の制度的対応

Sequoia CapitalやAndreessen Horowitz(a16z)はこの状況に対して、公式ブログでは直接的言及を避けつつも、内部のDue Diligenceチェックリストに「スター履歴の機械学習分析」「コントリビューター分布の人手レビュー」「NPM/PyPIとGitHubのクロスチェック」などを追加したとされる(StartupHub.aiおよびHacker News匿名スレッドでの投稿より)。Linux Foundationは2024年以降のXZ Utilsバックドア事件(Jia Tan名義の攻撃者が2年以上かけて共同メンテナ権限を奪取)を受け、「ソーシャルエンジニアリングを前提としたメンテナ・リスク評価」のガイドラインを公開しており、OSSプロジェクトの「活動量」だけでなく「人間関係の健全性」をVCが評価する動きにも繋がっている。

報道機関の反応と今後の展望

深刻化するGitHubの偽スター問題 章11

英Computing誌、米Slashdot、Bleeping Computer、The Hacker News、TechTarget、DevOps.com、How-To Geekといった主要テック媒体は、CMU/Socket論文の発表以降、偽スター問題を「単なるGitHubの内政問題」ではなく「OSS全体のサプライチェーン信頼性」の課題として扱い始めた。日本のGIGAZINEも2026年4月21日付で「GitHubの偽スター経済の恐ろしい現実」という解説記事を公開し、スター経済の歪みと投資判断の危うさを詳細に紹介した。

シリコンバレーの複数のVCは「スターを見るのをやめるわけではないが、スターを『入り口』としてしか使わない」と口を揃える。真のDue Diligenceは、コードのコミット履歴、Issueの質、依存関係グラフ、コントリビューター分布、コミュニティの会話の「温度」など、複層的な人間活動の総体を読み取ることに重心を移している。GitHubは2025年後半以降、「重み付きスター(Weighted Stars)」や不正アカウントの自動シャドウバン機能の試験導入を検討していると報じられているが、プラットフォーム側の対応が追いつくまでの間は、投資家と開発者双方に「目利き力」が要求される状況が続くだろう。

Vasilescu准教授が指摘したとおり、「どんなソフトウェアも今日ではゼロから書かれることはなく、できる限り既存のものを再利用する」。だからこそ、OSSコミュニティの信頼基盤を汚染する偽スター経済は、単なる詐欺ではなく、ソフトウェア産業の土台そのものを蝕む問題として受け止められているのである。

Sources