以下は、総力大特集 習近平に反撃せよ!Zoom,TikTok,ファーウェイ…、核より怖い中国サイバー兵器、と題して、月刊誌Hanada今月号に掲載された、情報安全保障研究所首席研究員山崎文明の論文からである。
日本国民のみならず世界中の人たちが必読である。
中国ビジネスから即撤退を
米国司法省は七月二十一日、米国にある新型コロナウイルス感染症(COVID―19)のワクチン研究機関の情報を盗もうとした中国人、李嘯宇(三十四歳)と董家志(三十三歳)の二人を起訴したと発表した。
国家安全保障担当のジョン・デマーズ司法次官補によると、両容疑者は、米国をはじめ日本を含む数百社から知的財産を盗んだ疑いがあるほか、中国本土や香港の人権活動家らも標的としていたという。
日本企業が狙われたケースではゲームソフトのソースコード、高性能ガスタービンの図面や仕様書、医療機器のデータなどが詐取されたという。
二人は中国・成都の電子科技大学の同級生で、中国の情報機関、国家安全部の職員とつながりがあるとされており、被害は米国、日本以外に英国、ドイツ、オーストラリア、スウェーデン、ベルギー、オランダ、スペイン、韓国に及んでいる。
二人は現在、米国の法執行管轄権の及ばない中国にいるとみられている。
七月十四日には、米国のセキュリティ会社トラストウェイヴが、中国政府が企業に導入を義務付けている納税ソフト「ゴールデン・タックス・インヴォイシング・ソフト」(GTS)にコンピュータウイルスが潜んでいることを突き止めた。
FBIは、これを受けて七月二十三日に「中国政府が導入を義務付けている税務ソフトウェアにバックドアアクセスを可能にするマルウェアが含まれる」(アラート番号AC-0001291TT)文書を配布し、米国企業に注意喚起を通知した(バックドアとは不正アクセスを、マルウェアは不正ウイルスを意味する)。
GTSは中国の付加価値税である「増値税」(日本の消費税)の領収書を発行し、中国税務局への納税を行うシステムだ。
ところが、これをインストールするとコンピュータウイルスが同時にダウンロードされ、コンピュータの認証機能を回避し、以後、特権モード(すべての設定や管理などにアクセスできる)でコンピュータを自在に外部から操れるという。
その国の政府が導入を義務付けている公式ソフトウェアにウイルスが仕込まれているとは、誰が想像できようか。
中国政府には付加価値税を脱税する企業を摘発する目的があるといわれているが、「ゴールデン・スパイ」と名付けられたこのウイルスは、いったんコンピュータへ侵入すると、個人情報や知財情報に自由にアクセスできるため、企業の情報が丸裸にされる。
日本企業はこの一点をもってしても、中国ビジネスからの撤退を検討するに値する大事件だ。
米国が排除した「五社」
七月十四日、米国連邦政府は、二〇一八年に成立した国防授権法(NDAA)889条に基づく措置として、中国通信機器大手の華為技術(ファーウェイ)、中興通訊(ZTE)、海能達通信(ハイテラ)、海康威視数字技術(ハイクビジョン)、浙江大華技術(ダーファ・テクノロジー)の五社と取引を行っている企業を、八月十三日を以て連邦政府の調達先から排除することを官報に掲載した。
これは、昨年八月十三日に施行された、五社と連邦政府との取引を禁止する措置の第二弾である。
香港国家安全法(中華人民共和国香港特別行政区国家安全維持法)の施行に対する米国の抗議活動の一環と見る向きもあるが、あくまでも昨年からの既定路線の施策である。
ファーウェイとZTEは、ともに通信機器大手として日本でも知られているが、ハイテラもそれに次ぐ大手無線機メーカーだ。
ハイクビジョンとダーファーテクノロジーは監視カメラメーカーで、その製品の安さから米国や日本でも大量に採用されている。
米国連邦政府と取引している日本企業は八百社以上とされており、少なからず日本への影響もあるだろう。
たとえば、ソニーはハイクビジョンに超高感度イメージセンサーなどを供給している。
中国通信機器排除の動きは米国だけではない。
二〇一八年に排除を決めたオーストラリアに続いて七月十四日に、英国政府は英国内の5Gネットワークからファーウェイ製品を排除すると発表した。
英国国立サイバーセキュリティセンター(NCSC)の最新のアドバイスを受けて決定されたものとされており、今年十二月三十一日以降、ファーウェイの5G製品は全面的に購入が禁止される。
これにより、英国政府は5Gの展開が二、三年遅れ、最大二十億ポンド(約二千六百九十五億円)のコストがかかるとしているが、「国家安全保障は国民に対する政府の重要な義務であり、これを全ての問題に優先する」(デジタル・文化・メディアースポーツ相オリバー・ダウデンの声明文)とし、二〇二七年末までに完全にファーウェイ製品を排除する。
なぜ世界は排除へ動いたか
日本ではあまり知られていないが、ファーウェイは英国政府からの信頼を勝ち取るため二〇一〇年にファーウェイの英国法人内にファーウェイ・サイバーセキユリテイ評価センター(HCSEC)を設置し、自社の通信機器の安全性を検証してきた。
ここで出された検証報告書は、二〇一四年にNCSCに設置された「ファーウェイ・サイバーセキユリテイ評価センター監督委員会」に送られ、毎年、最終審査を受けることになっている。
検証作業に当たっているHCSECの三十八名のスタッフ全員は、NCSCが開発したベッテイング・セキュリテイクリアランス(Vetting SecurityClearance)という英国家機関に志願する人物の身元調査をクリアしており、HCSECは検証結果の中立性を強調している。
そのHCSECが昨年二月に、いったんは「5Gにファーウェイ製品を利用した場合のリスクは抑制可能」と報告していた。
それが今回、5Gネットワークからのファーウェイ製品の排除を英国が決定した背景には、ファーウェイの技術力と製品への拭い難い不信感があった。
NCSCは、今年一月二十八日に発表した「英国の通信ネットワークにおけるリスクの高いベンダーの機器の使用に関するNCSCのアドバイス」のなかで、ファーウェイを排除すべき理由としてこう述べている。
「私たちの経験から、ファーウェイのサイバーセキュリティとエンジニアリングの品質は低く、そのプロセスは不透明であることがわかりました。たとえば、HCSEC監督委員会は、二〇一八年にファーウェイのエンジニアリングプロセスについて重大な懸念を表明しました。二〇一九年の報告では、二〇一八年の報告書で報告された技術的な問題の修正においてファーウェイによって『重大な進展はなかった』ことが確認され、以前は特定されていなかった『さらなる重大な技術的問題』が強調されました」
つまり二〇一八年に一部の製品について検証を行った結果、数百の脆弱性が見つかったが、昨年の検証結果でもそれら脆弱性に対する修正が行われていないどころか、新たな技術的問題が見つかった。
ファーウェイには技術力がないと言わざるを得ない、というわけだ。
実は、ファーウェイもこの点については認めており、「改善するには五年はかかるだろう」との声明を出している。
脆弱性とは、コンピュータやOS(Operating System)、ソフトウェアにおいて不具合や設計ミスを指す言葉として用いられるが、一年以上も問題を放置する姿勢は意図的脆弱性(ハッキングを可能とするために意図的に脆弱性を作りだす行為)といわれても仕方がない。
NCSCが指摘した「さらなる重大な技術的問題」とは、ファーウェイから検証用に提供されている四製品のソースコードが、英国で実際に使用されている製品のソースコードと一致しないことを指している。
検証用と実際の製品とが異なるコードを持つなどというのは、HCSECの業務を根底から覆す、あり得ない事態である。
ルーターに盗聴機能が
問題はファーウェイだけではない。
今年一月には、格安W‐i-Fiルーターで日本でもシェアを伸ばしているテンダ(Tenda)製品のパスワードがインターネット上に公開される事件が発生した。
この問題を発見した米国ボルティモアに拠点を置くサイバーセキュリティ会社ISE(Independent Secunty Evaluators)によると、このパスワードはルーターに書き込まれた固定のパスワード(ハードウェアに書き込まれたデフォルトパスワード‥初期パスワード)で、同じモデルのどのテンダのルーターにも使用できるものだという。
したがって、ハツカーがそのパスワードを使用すると遠隔でルーターにアクセスできるため、情報詐取が容易に行えてしまう。
ルーターをはじめとする通信機器には、事前に盗聴チップを紛れ込ませたり、あらかじめ盗聴プログラムを組み込んだりする必要はない。つまり、通信機器を制御するプログラムのソースコードを持っているメーカ―が、その気になれば製品のアップデート(更新)と称して特定の機器に対して盗聴機能を持たせることができるのだ。
通信機器(ルーター)に盗聴プログラムが仕掛けられることは、サイバーセキユリテイの脅威としては最大級のリスクだ。
通常、企業などのネットワークはファイアーウォールという境界防御装置で守られているが、ルーターはその外側に設置される機器で、データが不正に転送されても誰も気がつかない。
テンダは一月に問題が発覚したあと、半年以上経ったいまも対応していない。
発見された脆弱性が半年以上も放置されている点は、ファーウェイの通信機器と同じだ。
未だにテンダからの説明は無いようだが、まさか「新たな脆弱性が見つかったから対応が遅れている」とでもいうのだろうか。
あるいは、このデフォルトパスワードが設計ミスだとでもいうのだろうか。
どちらも通常あり得ない、意図的に行ったとしか思えない事態が起きているのだ。
実は、通信機器などハードウェアに盗聴プログラムが仕込まれている例は、日本国内でもすでに起きている。
二〇一五年七月に公益財団法人核物質管理センターが購入した台湾製ハードディスクから、ビットトレントと呼ばれるファイル共有ソフトウェアが検出。
ウイルスが検出されたハードディスクは、台湾のメーカー、ディーリング社のものだが、製造は中国国内で行っていた。
公益財団法人のような準公的機関では、入札価格でのみ購入先を決定する「最低価格落札方式」が取られるため、台湾や中国のメーカーが採用されるケースが圧倒的に多い。
核物質管理センターでは、「米国などのサーバーから698回の不正アクセスを受けたが情報流出はなかった」としているが、ファイル共有ソフトウェアはハードディスクの中身を自動的に転送してしまうソフトウェアであることから、転送された情報が実に気がかりである。
「台湾製」といえども中国で生産している以上、バックドアと呼ばれる情報詐取のための細工が組み込まれるのは避けられない。
最近、日本への進出が目覚ましい中国製ロボットなど、内部に組み込まれたルーターやタブレットがファーウェイ製ということもある。
このように、中国メーカーが、社名や国籍だけではわからなくなってきているのが実態だ。
この稿続く。
最新の画像[もっと見る]
-
It was a popular page yesterday, 2022/11/11.
46秒前
-
It was in the top 50 searches for the past week of 2023/11/11.
5分前
-
国連人種差別撤廃委員会を構成しているのは総数18人の二流の人間たちである!
10分前
-
It was a popular page yesterday, 2023/11/11.
16分前
-
It was in the top 50 searches for the past week of 2024/11/11.
27分前
-
The World's Biggest Human Rights Violator is Running the UN Human Rights Council.
29分前
-
It was a popular page yesterday, 2024/11/11.
41分前
-
These are the top 10 real-time search numbers as of 8:14 on 28/7/2024.
51分前
-
These are the top 10 real-time search numbers as of 8:14 on 28/7/2024.
54分前
-
Repost! It was a popular page yesterday, 2024/7/28.
1時間前
「全般」カテゴリの最新記事
It was a popular page yesterday, 2022/11/11.
It was in the top 50 searches for the past week of 2023/11/11.
国連人種差別撤廃委員会を構成しているのは総数18人の二流の人間たちである!- It was a popular page yesterday, 2023/11/11.
- It was in the top 50 searches for the past week of 2024/11/11.
The World's Biggest Human Rights Violator is Running the UN Human Rights Coun...
It was a popular page yesterday, 2024/11/11.
These are the top 10 real-time search numbers as of 8:14 on 28/7/2024.- These are the top 10 real-time search numbers as of 8:14 on 28/7/2024.
Repost! It was a popular page yesterday, 2024/7/28.
