無縫地帯

スーパーマイクロ社によるバックドア疑惑はスノーデン事件に匹敵する大スクープか

米メディアがAmazon、Appleなどを標的に、スーパーマイクロ社が納品したハードウェアに通信傍受を目的とした米粒大のチップを埋め込むサプライチェーン攻撃のハッキング疑惑を報じ大ごとになっています。

世界中を震撼させたスノーデン事件が起きたのは2012年の年末でした。あれからすでに6年も月日が経っています。個人的にはあまりにも衝撃的過ぎてごく最近起きた事件のような感覚もありますが、今10代前半の若者であればまったく記憶に無いほどに遠い過去の話といえなくもありません。

しかし、あの事件が起きたことで、フィクションでしかありえないだろうと漠然と思われていた国家レベルによるICT周りの諜報活動が分かりやすい形で暴露されました。とくに米政府機関が市販製品にバックドアを自ら仕掛けていたという話はかなり衝撃的のものでありました。実際、アメリカの情報機関がアメリカ国内や敵対国だけでなく、同盟国であるはずの日本やイギリス、オーストラリアなどにも積極的に諜報作戦を仕掛けていたことが判明したのは、世界中から驚きをもって迎えられた大スキャンダルだったわけです。

NSAは輸出するCisco製品にバックドアツールを仕込んでいた――スノーデン氏関連の新刊書が暴露(ITmedia 14/5/15)

Cisco製品にバックドアというのは、出自が怪しい安物のITデバイスのセキュリティがダメという話とは根本的に次元が違いすぎて、この事件に関するニュースが報じられる度になかなか大変な時代になったなという感慨がありました。もちろん、当初は名指しされたCiscoも、また同様に政府に情報を提供させられていたベンダー、ソフトウェア会社、ウェブサービス会社、電子決済会社から大規模な名簿屋まで、あらゆる分野にまで情報網が張り巡らされていたことが暴露されたのは「話がデカすぎて、どこがどう問題なのか消化しきれない」事案であったのは間違いありません。

その後も民生品レベルではバックドアの仕込まれたPCやスマホが出回っているといったニュースは断続的にあり、また、日本でもトレンドマイクロ社やデンソーウェーブ社などのアプリが致命的な問題を起こしていまなお紛糾中であることは各所で既報の通りです。その意味では、いわゆるエンタープライズ市場向け製品についてはしばらく大きな事件は無かったように思いますが、ここに来てとんでもないニュースが飛び込んできました。

中国、マイクロチップ使ってアマゾンやアップルにハッキング(ブルームバーグ 18/10/4)

当局者によると、最終的に30社近くが攻撃対象となっていたことが分かった。大手銀行1行と政府と契約する業者やアップルも含まれていたという。ブルームバーグ
サプライチェーンに侵入してツールを仕込むという手法はすでに米NSAが過去に実行していたものですから、他の国家機関などが同様の諜報活動を行ったとしても全然不思議ではないのですが、ブルームバーグの報道をそのまま信ずる限りでは過去のNSAのものとは比べものにならないテクノロジーとスケールであるように見えます。しかも、サプライチェーンの震源とされる中国系製造業者に対する追跡は3年以上におよび、一部のセキュリティ関連のコミュニティでは中国系大手通信会社、ベンダー、ソフトウェア開発会社などが「共犯」として浮かび上がり、スノーデン問題を研究した中国政府(あるいは中国共産党)の指導のもと、NSA級の情報網の形成と、サイバー攻撃のための浸透を執念深く続けてきた疑いが強くなります。

すでに被害当事者の一部と報じられているAppleやAmazonはこうした事態の起きたことを否定するコメントを出しており、何がなにやらよく分かりません。もちろん、このタイミングで「特定のメディアやアメリカ当局担当者に対しシステムのハードウェア調達に関する情報をすべて渡して協力していました」と肯定するには訴訟リスクが大きく、より具体的な問題が明るみに出るまで企業側が否定するリリースやIR対応を行うことは当然とも言えます。また、これも当然ながら問題のチップが搭載されたというマザーボードを製造するSuper Micro Computer(スーパーマイクロ)社もそんなことが起きるはずはないと表明しています。

アップルとアマゾン、中国製スパイチップがハードウェアに組み込まれていたとの報道を否定(CNET Japan 18/10/5)

「Appleは常に、データを処理および保護する方法について透明性を確保することを尊重してきた」と述べた。「Bloomberg Newsが報じているような事件が万一あったとすれば、それを公表し、法執行機関と緊密に連携していたはずだ」CNET Japan
もし、ブルームバーグで報じられた通りの事態が起きていたとすれば、先に述べた通りの訴訟リスクがあるだけでなく、被害にあった企業はユーザーから信用を失うことにもなりかねないため、そうした事実があったことを認めたがらないという側面はあるでしょう。しかしながら、Amazonについては別の報道で妙な憶測話も出てきており、これはこれで気になります。

Amazonが中国のサーバー事業を処分したのはそれらが侵犯されたかららしい(TechCrunch 18/10/5)

こちらの記事を読む限りは伝聞に憶測を重ねるような内容になっておりなんともおぼつかないのですが、ここでも「中国」がかかわっているという点はひっかかるものがあります。

記事には具体名こそ明記されていませんが、2013年6月に英・ガーディアンや、親中国共産党系のサウスチャイナ・モーニングポストにNSA関連の暴露を行ったスノーデン氏の事件よりも前の12年6月、シンガポールで「自殺」として処理された科学者シェーン・トッド氏の暗殺の疑いもまた、クローズアップされる可能性は否定できません。トッド氏は、中国ファーウェイ(HUAWEI)社製のハードウェアが行う一部の通信において不正な通信が行われている問題をセキュリティ関連のコミュニティに証拠付きで投稿し、騒ぎになっていたものと見られます。

シンガポールで米科学者変死、「自殺を装った殺人」 米検視局(AFP 13/5/21)

シンガポール怪死の「不都合な真実」 (FACTA 14年4月号)

そして、このサプライチェーン攻撃の対象になっている企業についていえば、日本においても大手通信キャリアやSIベンダーなどの調達先も入っており、汚染の可能性は否定できなくなっています。今回はメディアのスクープという形態を取っていますが、実際には米中間のサイバー戦争における国家機密とネットワーク防衛のための戦いの一端ではないか、と見るのが正確ではないかと思います。

なお、我が国政府筋でも、産経新聞が非常にふわっとした記事を掲載していますが、その後沙汰止みのように続報も無いのはそういう理由ではないかと思いますし、では具体的にこれらの中国系事業者を政府系調達からの入札禁止にするとしてもどの法律で禁止するべきかという根拠のところで揉めることになります。そのうえ、実際には政府調達と言っても国内の通信網はもちろん大手通信事業者が行っているわけですから、例えばソフトバンクが自社の通信網で5G向けパケット増強のためのインフラ投資において機器調達コストが安いからという理由でHUAWEI製通信機器を大規模に採用し、またNTTのGC局にHUAWEI製機器を打ち込んでしまうと他のネットワークで行われている通信も中国系に傍受される恐れが強くなります。

中国通信機器2社を入札から除外日本政府方針安全保障で米豪などと足並み(1/2ページ)(産経ニュース 18/8/26)

この手の問題を日本の担当省庁や当局関係者が知っていて対応できていないのだとすれば、対応が遅れるほど日本の通信インフラにおいて情報が守られず、結果として日本国民のデータ資産が危機に晒されることになってしまいます。

いずれにしても本件については今後続報がいろいろと入ってくるものと思われますのでそれを待ちたいところです。はたしてスノーデン事件に匹敵する大スクープに発展するのでしょうか。