日本だけ気づいていない中国製監視カメラの脅威 Wedge ONLINE(ウェッジ・オンライン) (ismedia.jp)
欧米では、政府機関を中心にした中国製アプリの使用禁止の動きが激しい。その代表とされるのがTikTokである。
中国にデータが流出しているとの疑念から米国では、昨年12月に連邦政府職員が公務で使用する携帯電話でのTikTokの使用を禁じる「TikTok連邦政府デバイス利用禁止法」が成立している。2月23日には欧州連合(EU)の執行機関である欧州委員会(EC)、2月27日にはカナダ政府、3月16日に英国政府、3月17日にはニュージーランド議会が公務で使用する機器でのTikTokの使用を禁止している。
(alice-photo/iZhenya/gettyimages)
背景にある中華人民共和国国家情報法
米国政府はさらに、TikTokを中国以外の国の企業へ売却するように求めているようだ。その背景にあるのは、中国が2017年から施行している「中華人民共和国国家情報法」にある。
この法律は、第7条で「いかなる組織および個人も法に基づき国の情報活動に協力し、国の情報活動に関する秘密を守る義務を有し、国は、情報活動に協力した組織および個人を保護する」としている。国からデータの提出を求められれば、中国企業や中国人はそれに逆らえない。
TikTokと同様に中国へデータ流出している懸念があるのが、監視カメラである。米国では、すでに華為技術(ファーウェイ)と中興通訊(ZTE)といった電子機器メーカーが安全保障上の理由により販売禁止されているが、中国政府が株式の4割を保有している監視カメラ大手の杭州海康威視数字技術(ハイクビジョン)や浙江大華技術(ダーファ・テクノロジー)も米国商務省産業安全保障局のエンティティリスト(貿易上の取引制限リスト)に掲載されている。
また、英国政府では、昨年11月に機密情報を扱う政府庁舎などに中国製の監視カメラを設置することをやめるよう各省庁に指示しているし、豪州政府では今年2月に国防施設に中国製の監視カメラを排除する指示を出している。
日本では安値を武器にシェア拡大
一方、日本国内では、低価格を武器に中国製のネットワーク型監視カメラ(IPカメラ)が売上を伸ばしている。ネットワーク型監視カメラとは、個々の監視カメラがIPアドレスを持っており、ネットワークインフラ経由で遠隔地からでも映像を見ることができ、首振り(パンチルト)やズームといった操作が可能なカメラシステムで、監視カメラでは主流となっている技術だ。
中国製監視カメラは、その価格の安さを理由に、大手警備会社はじめ複数の警備会社が代理店販売している。このままでは、日本の警察がやりたくてもできないでいる複数の事業者が設置した防犯カメラ映像を連携させて犯人の逃走経路を瞬時に追跡していく仕組みを、先に中国のクラウドサーバーで実現されるのではないかと思えるほどだ。
日本政府は、松野博一官房長官が2月9日の会見で「特定の国や企業の製品を一律に排除するような取り組みは行っていない」と述べた上で「情報の窃取・破壊・情報システムの停止など、悪意ある機能が組み込まれる恐れもあり、いわゆるサプライチェーンリスクに対応することは重要であると認識している。この対象には監視カメラも含まれている」と発言している。
問題は認識しているようだが、具体策もなく、まして「中華人民共和国国家情報法」の本当の怖さについて、どこまで真剣に考えているのか計り知れない。
仕込まれたバックドア
2015年に韓国のKAISTシステムセキュリティ研究室とセキュリティ企業NSHCが共同で、輸入された中国製監視カメラの2つの製品で、密かに情報を抜き取れるバックドアが意図的に隠されていたと発表している。KAISTは韓国大田市に位置する情報セキュリティ大学院である。
2つのメーカー名は公表されていないようだが、発見されたバックドアは暗号化されており、高度に隠蔽されていたため意図的に仕込まれたバックドアだとしている。この製品は、IPカメラで、中国に設置されたクラウドサーバーからしかアクセスできず、クラウドシステムに接続された監視カメラをリモートで操作できるほか、内部ネットワークにも容易に侵入できることがわかった。
また、監視カメラの管理者ホームページも杜撰なつくりで、監視カメラにアクセスする時に必要なIDとパスワードが平文でクラウドシステムに保存され、管理者権限を簡単に取得できるためクラウドシステムから監視カメラへのアクセスや画像転送など各種設定が変更できるとしている。
バックドアが仕込まれるリスクは韓国だけではない。日本国内でもすでにバックドアが組み込まれた中国製IT機器が発見されている。過去には、公益財団法人核物質管理センターが台湾から調達した中国製NAS(Network Attached Storage)と呼ばれるファイルサーバーからバックドアを検出した。
同財団が公表した調査報告書(16年5月12日)によると、検出されたバックドアはファイル共有型ソフトウェアで、中国国内のサーバーにデータ転送していたことが判明している。ネットワークの監視を新たに開始したことで、意図しない中国国内との通信が発見されたということだが、ネットワークを監視していなければ、延々とデータ流出が続いていたことになる。
ちなみにこのNASファイルサーバーの調達は、最低価格落札方式が取られ、圧倒的な価格優位性で台湾が販売する中国製品が採用されている。
日本にも必要な認証制度の導入
こうした監視カメラのバックドア問題を受け、韓国では韓国情報通信技術協会(TTA)が、18年に監視カメラのセキュリティを審査する「公共機関用IPカメラ/NVRセキュリティ性能品質TTA Verified認証」試験制度を導入している。NVRとはネットワークビデオレコーダーのことでIPカメラ用のビデオレコーダーのことである。
公共機関用映像装置がハッキングされた場合、民間で使用する監視カメラよりも影響が大きいとの判断から、国家安全保障と国民の安全を守るためとして、試験規格を設けたのだ。認証を受けた中国のメーカーがアップデートと称して、製品にバックドアを作るようなケースにこの認証制度がどこまで対応できるのか疑問だが、韓国ではこの認証制度ができてから地方自治体や公共機関での監視カメラの導入に少なからず影響を与えているのも事実だ。
松野官房長官が言うように、日本は、未だ特定の国や企業の製品を一律に排除するような取り組みができないでいる。米国のようにファーウェイやハイクビジョン、ダーファ・テクノロジーなどを名指しで規制できる「国防権限法」のような法律を制定しておらず、規制できないのが現状だ。
現場では、公共機関が監視カメラを導入する際も最低価格落札方式が採用されており、いくらでも中国の付け入る隙があるのが現状である。せめて韓国政府に倣って、監視カメラのセキュリティ認証制度を作って、この問題に対処して欲しいものだ。
『Wedge』2021年12月号で「日常から国家まで 今日はあなたが狙われる」を特集しております。
いまやすべての人間と国家が、サイバー攻撃の対象となっている。国境のないネット空間で、日々ハッカーたちが蠢き、さまざまな手で忍び寄る。その背後には誰がいるのか。彼らの狙いは何か。その影響はどこまで拡がるのか─。われわれが日々使うデバイスから、企業の情報・技術管理、そして国家の安全保障へ。すべてが繋がる便利な時代に、国を揺るがす脅威もまた、すべてに繋がっている。
特集はWedge Online Premiumにてご購入することができます。
