新規会員は2カ月無料!「年末とくとくキャンペーン」実施中です!

国際・政治 エコノミストオンライン

ファーウェイに疑問投げた英国 ソフトの脆弱性を意図的に放置か=山崎文明

英国も5Gネットワークの構築を急ぐが・・・・・・ (Bloomberg)
英国も5Gネットワークの構築を急ぐが・・・・・・ (Bloomberg)

 中国通信機器大手の華為技術(ファーウェイ)製品を許可なく販売することを禁じた米トランプ政権の制裁措置に先立ち、英国政府はファーウェイの通信機器に関する評価報告書を今年3月に発表していた。

「英国家安全保障顧問への報告」と題されたこの年次報告書によると、「ファーウェイ製品には数百のセキュリティーに害を与える脆弱(ぜいじゃく)性が確認されており、これが放置され続けていることは英国の通信インフラに重大な影響を及ぼす」と結論付けた。

 その1カ月前の2月に英国の国家サイバーセキュリティーセンター(NCSC)が、「次世代高速通信規格の5Gにファーウェイ製品を利用した場合でも、リスクは抑制可能だ」との判断を示したばかりだったが、それを覆した。

瑕疵を認めたファーウェイ

 実は、英政府発表の報告書を作成したのは、ファーウェイの英国支社の一部門と位置づけられる「ファーウェイ・サイバーセキュリティー評価センター(HCSEC)」である。

 HCSECはファーウェイ製品に特化した検証機関だ。ファーウェイが、自社の通信機器を導入することに危機感を抱く消費者の信頼を得るために、英国政府に働きかけてHCSECを設置し、2010年から同社製品の検証作業に当たっている。

 ファーウェイの関連組織が自ら自社製品を検証することに、果たして公正な結果が期待できるのか──という疑問が湧く。これについてHCSECは、スタッフ38人全員が、NCSCが開発した「ベッティング・セキュリティークリアランス」という英国国家機関に志願する人物に対する身元調査を受け、「問題なし」と判定された英国人であり、検証作業もファーウェイから独立して行うとしている。また、14年にはHCSEC自体を監視する「HCSEC監視委員会」も設置され、その議長は、NCSCの最高経営責任者が兼務している。こうした措置によって公正さを担保しているというわけだ。

 HCSECの活動は過去8年にわたるが、年次報告書を出したのはこれで5度目だ。今回の報告書は、18年3月~19年2月までの活動成果をまとめたもの。このうち、最も重大な指摘は、前年の18年の報告書で指摘されていたファーウェイ製品の脆弱性、つまり、情報漏洩(ろうえい)などの原因となる“瑕疵(かし)”の多くが、バージョンが刷新された後も存在し続けているという点だ。

 HCSECが疑問を投げかけているのは、ファーウェイの「ソフトウエア製造能力」だ。端的に言えば、ファーウェイ製ソフトの安全性に疑問符を付けたのである。

 HCSECは、18年末までに英国内で使用されていたファーウェイ製品35機種について検証するため、機器に組み込まれたプログラムに問題がないか調べた。つまり、プログラムのソースコードが中国国内で一般的に製造されているファーウェイ製通信機器のものと同じであるか、確認しようとした。

 ところが、ファーウェイ側は、なぜか35機種のうち、4機種のプログラムコードしか、HCSECに提供しなかった。提供された4機種のコードについては、中国国内で販売されているものと同一と確認できたが、ほかの31機種については確認できていないのである。

 35機種は全体のほんの一部に過ぎない。しかも、英国内で使用されているものは、基本的に中国で販売されているものから英国向けにカスタマイズ(改造)されるため、コードにも変更が加えられる。これでは、HCSECが調査スタッフを増強したとしても、安全性の検証は限りなく難しい。

 結局、HCSECは「エンド・ツー・エンド(端から端まで経路全体)の通信の安全性が保証されない」との認識を示した。これに対してファーウェイは、HCSECの指摘を受け入れ「改善には5年を要する可能性がある」と応じた。つまり、“安全性に問題のある製品を供給していた”ことを認めたことになる。

 いまの時代、通信機器をサイバー攻撃の兵器に仕立てるには、事前に通信機器に盗聴チップを紛れ込ませたり、盗聴プログラムを組み込んだりする必要はない。

 通信機器を制御するプログラムのソースコードを持っているメーカーであれば、製品のアップデートと称して特定の機器に対して、盗聴機能を持たせることができる。サイバーセキュリティーの任務に当たる者は常識として知っておかなければならない。

 したがって、HCSECの検証は、安全性の検証の手法としては不十分であった。それでも、ファーウェイ製品の問題を指摘した点は評価できる。

「名ばかり集団」

 筆者と同じ見解を表明した国の一つにチェコ共和国がある。チェコ共和国の「国家サイバー情報セキュリティー庁(NCISA)」は18年12月、報告書を出し、次のように警告した。

「ファーウェイおよび中興通訊(ZTE)、その子会社の技術的またはプログラムツールの使用は、サイバーセキュリティーに脅威を与える。(中略)これらの会社と中国政府との間には、組織的・個人的なつながりがある。中国の利益がこれらの会社のユーザーの利益より優先される懸念がある」

 ここから読み取れるのは、ファーウェイやZTEが中国国家情報法などの法律に従わざるを得ないことへの危惧感である。

 英国政府の報告書が指摘するように、セキュリティーに影響を及ぼす脆弱性が1年以上も放置されていることは、意図的に脆弱性を放置していると言っても過言でない。それとも低品質な製品を出荷し、後で問題を修正しようという姿勢は、最先端技術者集団とは“名ばかり”の集団なのかとの疑問を禁じ得ない。

 英国政府は、国家安全保障会議(NSC)の結論として5Gネットワークインフラのアンテナなどの非中核部分へのファーウェイの参画を認める決定を下した。制限付きとはいえ参入を認めたことは中国政府への配慮からだろう。だが、この決定は、将来に禍根を残すものになるだろう。

(山崎文明・情報安全保障研究所首席研究員)

インタビュー

週刊エコノミスト最新号のご案内

週刊エコノミスト最新号

11月26日号

データセンター、半導体、脱炭素 電力インフラ大投資18 ルポ “データセンター銀座”千葉・印西 「発熱し続ける巨大な箱」林立■中西拓司21 インタビュー 江崎浩 東京大学大学院情報理工学系研究科教授、日本データセンター協会副理事長 データセンターの電源確保「北海道、九州への分散のため地産地消の再エネ [目次を見る]

デジタル紙面ビューアーで読む

おすすめ情報

編集部からのおすすめ

最新の注目記事