ファーウェイとZTEの製品、政府調達から排除

ファーウェイとZTEの製品、政府調達から排除

日本政府は、国の安全保障の脅威になると判断した企業の製品やサービスは、購入しない仕組みとする。

 

米国は8月に成立させた「国防権限法」により、政府機関や政府との取引企業で2社の機器やサービスの利用を禁じた。米政府は、2社の携帯電話や半導体にはウイルスなどが仕込まれ、中国による不正傍受やサイバー攻撃に利用されているとして、日本を含む同盟国に利用の自粛を要請していた。

これを踏まえ、日本政府は、国の安全保障の脅威になると判断した企業の製品やサービスは、購入しない仕組みとする。中国を過度に刺激しないよう2社を名指ししない方向だが、「現段階でファーウェイとZTEの2社は排除対象」(政府関係者)となる。国内企業の製品でも、2社の部品を使っていれば排除対象とする方向だ。

「中国には、悪意のある目的のために、電気通信会社を通じて、米国で販売される中国製の電気通信の構成品およびシステムに、悪意のあるハードウエアまたはソフトウエアを埋め込む可能性がある」

 「電気通信の構成要素とシステムを改竄する機会は、製品の開発・製造の期間を通して存在する」

ファーウェイやZTEのような垂直的に統合された巨大産業は、中国の情報機関に、悪意のあるハードウエアまたはソフトウエアを、重要な電気通信の構成品およびシステムに埋め込む多くの機会を提供することができる

「中国は、このために、ファーウェイまたはZTEのような会社の指導部に対して、協力を求めるかもしれない」「たとえ会社の指導部がそのような要請を拒否したとしても、中国の情報機関は、これらの会社の中の現場レベルの技術者または管理者を雇いさえすれば十分である。」

「さらに、中国の法律の下では、ZTEとファーウェイは、中国政府によるどんな要請にでも、例えば、国家のセキュリティという名目の下に、悪意のある目的のために彼らのシステムを使用またはアクセスするという要請にも協力する義務がある」

「悪意のあるハードウエアまたはソフトウエアを米国の顧客向けの中国製の電気通信の構成品とシステムに埋め込むことによって、北京は、危機または戦争の時に、重要な国家安全保障上のシステムを停止または機能低下することができる」

 「送電網または金融ネットワークなどの重要インフラに埋め込まれた悪意のあるウイルスは、中国の軍事力の中でも驚異的な兵器となるであろう」

「中国製の悪意のあるハードウエアまたはソフトウエアは、センシティブな米国の国家安全保障システムに侵入するための強力なスパイ活動の道具でもある」

「同時に、センシティブな企業秘密、先進の研究開発データおよび中国との交渉もしくは訴訟に関する情報が蔵置されている外部と接続されていない米国企業のネットワークへのアクセスを提供する」

 

調査結果に基づき、本報告書は次のような提言を行っている(機器の排除に関する部分のみを抜粋)。

①米国政府のシステム、特にセンシティブなシステムには、ファーウェイまたはZTEの機器(部品を含む)を使用してはいけない。

同様に、政府契約者、特にセンシティブな米国プログラムの契約に関係する契約者は、彼らのシステムからZTEまたはファーウェイの機器を排除しなければならない。

ノートン セキュリティ 月額89円/台より

②米国のネットワーク・プロバイダとシステム開発者には、彼らのプロジェクトのために、ZTEやファーウェイ以外のベンダーを探すことが強く求められている。

以上の報告書に基づき、2012年から実質的に米国政府のシステムからファーウェイとZTEの機器は排除されているようである。

上記の報告書のいう「電気通信企業がもたらす安全保障上の脅威」とは、危機の際に、重要ネットワークと通信へのアクセスを獲得するまたは重要なシステムを制御する、もしくは機能低下させる能力を得るためにICTサプライチェーンを危殆化しようとする国家の企ての可能性であると言える。

ICTサプライチェーン攻撃

本項では、実例、定義および攻撃の態様を紹介する。

(1)実例

初めにサプライチェーン攻撃の実例を紹介する。

(この実例は、拙稿『北朝鮮のミサイル発射を失敗させた米国7つの手口』(JBpress2017.4.27)の中で紹介したものであるが、ICTサプライチェーン攻撃の脅威の大きさやインテリジェンス活動を理解するのに重要であるので、再録した)

「1980年代初頭、長大なパイプラインの運営に欠かせないポンプとバルブの自動制御技術をソ連は持っていなかった」

「彼らは米国の企業から技術を買おうとして拒絶されると、カナダの企業からの窃盗に照準を合わせた」

 「CIA(米中央情報局)はカナダ当局と共謀し、カナダ企業のソフトウエアに不正コードを埋め込んだ」

 「KGB(ソ連国家保安委員会)はこのソフトウエアを盗み、自国のパイプラインの運営に利用した」

「当初、制御ソフトは正常に機能したものの、しばらくすると不具合が出始めた。そしてある日、パイプの一方の端でバルブが閉じられ、もう一方の端でポンプがフル稼働させられた結果、核爆発を除く史上最大の爆発が引き起こされた」

この事例は、米国の元サイバーセキュリティ担当大統領特別補佐官リチャード・クラーク氏の著書『世界サイバー戦争』(徳間書店)の中で紹介されていることから極めて信憑性が高いと見ている。

(2)定義

(米・国立標準技術研究所(NIST)の定義などを参考に筆者が作成した定義である)

「情報システムのハードウエア、ソフトウエア、オペレーティング・システム、周辺機器またはサービスに対して、それらの据えつけ前に、論理爆弾(サイバー攻撃などに用いられるウイルスの一種で、対象のシステムの内部に潜伏し、あらかじめ設定された条件が満たされると起動して破壊活動などを行うもの)やバックドア型トロイの木馬」

 「またはマルウエアが埋め込まれた偽物とすり替えるなどの不正工作をし、ライフサイクルの間のいかなる時点かで、事前に埋め込んだマルウエアを始動させ、重要データの窃盗もしくは改竄したり、あるいはシステム/インフラを破壊するなどして任務遂行を不能とする」

ノートン セキュリティ 月額89円/台より

(3)攻撃の態様*2

ICTサプライチェーン攻撃は、一般的には商業的な結びつきを通してアクセス権を有する個人または組織によって実行または促進される。

ICTサプライチェーンへの攻撃機会には、上流、すなわち製造過程と、下流、すなわち流通過程がある。以下、それぞれの攻撃の態様を述べる。

ア.上流への攻撃の態様

ネットワーク・ルータおよびその構成要素である半導体集積回路(IC)の製造プロセスは、電気通信およびマイクロエレクトロニクスのハードウエアがもたらす潜在的な脆弱性の代表例である。

半導体産業の複雑さと融通性によって、多くの会社で働いている何百人もの人々によって世界中で設計されたICを、1つのチップに組み込むことが可能となる。

チップ設計と製造のこの世界的な分業は、生産ペースを速めて、新しい製品開発のコストを下げている。

しかし、チップがより大きなICに統合されるために次の場所に出荷される前に、何億ものトランジスタの中に隠された危険な回路を探知することは困難である。

熟練した人員とエンジニアリング資源を自由に使える洗練された敵対者は、プログラム可能なチップのソフトウエアを改竄することによって、チップが他の製品への統合のために出荷される前に、メーカーに対して上流攻撃をしかけることができる。

このように、ルータ、スイッチ、または他の電気通信ハードウエアのメーカーは、数えきれない改竄の機会にさらされている。

とはいえ、米国のICTサプライチェーンに対してチップ・レベルの不正工作を実行しようとする攻撃者は、作戦上の複雑な課題に直面する。

すなわち、政府機関、ネットワーク、または民間団体の一つを標的として、上流の製造過程で不正工作しようとする攻撃者は、不正工作したコンポーネントがどこに配送されるのかを予想できなければならない。

さもなければ、攻撃に成功できないばかりか、不正工作したハードウエアを世界中の顧客に出荷させることにもなる。

*2=米下院・情報常設特別委員会「中国の通信機器会社であるファーウェイとZTEによりもたらされる米国の国家安全保障問題に関する調査報告書」https://intelligence.house.gov/sites/intelligence.house.gov/files/documents/huawei-zte%20investigative%20report%20(final).pdf

イ.下流への攻撃の態様

標的とする組織に製品を供給している下流の流通経路を攻撃することは、上流の半導体製造サプライチェーンそのものに侵入しようとする複雑さに比べれば、あまり複雑でない。

多数のシナリオが可能であるが、最も成功しそうなシナリオは、トンネル会社を作り、卸業者への特定のブランド機器の再販業者として利用することである。

 それにより、敵対者は、アセンブリ(組み立て)の時にファームウエアまたはソフトウエアの中に読み込まれた「トロイの木馬」を含んだ偽物のハードウエアを埋め込むことができる。

あるいは、敵対者は、非常に関心のある標的を顧客としている再販業者と卸売業者を目的地とするブランド機器の積荷の中に完成した偽のハードウエアを混入することができる。

プロの情報機関であれば、市場で顧客リストを入手するのに時間あるいは資源などの大きな投資を必要としないであろう。

しかし、このような方法は、偽造品が発送または据え付けプロセスのいかなる点かで発見されるリスクがないわけでない。

我が国ではサプライチェーンは、物流やモノづくりに関わる問題としてとらえられることが多い。

そのため、オープン化、グローバル化が進むICTサプライチェーンを情報セキュリティ問題と結びつけて考えることは、最近に至るまでほとんど行われてこなかった。

現在もこの状況はあまり変わっていない。このため、我が国では、政府機関や企業の中国製IT機器に対する警戒心が皆無と言っても過言でない。

我が国の政府機関などの公共機関は、製品や役務(サービス)を調達する際には最低価格落札方式を原則としている。

しかし、政府機関や重要インフラ事業者の使用するシステム・機器には高い信頼性が要求されることは言うまでもない。

従って、これらの電気通信機器の整備に際しては最低価格落札方式でなく、ICTサプライチェーン脅威を考慮した新しい調達方式が必要となっている。

また、重要インフラシステムのICTサプライチェーン・リスクへの対応は, 企業だけではできるものではなく、国と企業が一体となって進めなければならない。

まずは、ICTサプライチェーン・リスクに係る包括的な調査研究を、官民で協力して実施し、同調査研究成果を公表して、官民のICTサプライチェーン・リスクに対する認識を向上させることから始めなければならないであろう。

そして、最終的にはICTサプライチェーン・リスクマネージメント(SCRM)のべストプラクティスを策定しなければならない。

さて、我が国は、公的調達からファーウェイを排除しろという米国の働きかけにどのように対応するのであろうか。

我が国は、自ら件の中国企業の脅威を調査していないので、米国の調査結果をうのみにすることもできない。さりとて、同盟国の誘いをむげに断るわけにもいかない。そのうえ、国益と民間企業の利益は必ずしも一致しない。

都合のいいことに、WTO(世界貿易機関)政府調達協定第3条(旧協定第23条)は、加入国が「国家安全保障」のために必要な措置をとることを妨げないとしており、各国が「国家安全保障」を理由として他国企業の応札を拒絶することを許容している。

従って、我が国も、「国家安全保障」を理由としてファーウェイの製品を入札から排除することも可能である。

報道によると、米当局者の一人は今回の説得工作について米紙WSJに「米国および同盟諸国と中国のどちらがデジタル網でつながった世界の支配権を握るかをかけた『技術冷戦』の一環だ」と指摘したとされる(産経11月23日)。

米中の覇権争いの渦中にあって、我が国としては同盟国米国を選ぶしか選択肢がないであろう。

ノートン セキュリティ 月額89円/台より

中国の動向カテゴリの最新記事