ファーウェイに疑問投げた英国　ソフトの脆弱性を意図的に放置か＝山崎文明

2019年6月24日

　中国通信機器大手の華為技術（ファーウェイ）製品を許可なく販売することを禁じた米トランプ政権の制裁措置に先立ち、英国政府はファーウェイの通信機器に関する評価報告書を今年３月に発表していた。

「英国家安全保障顧問への報告」と題されたこの年次報告書によると、「ファーウェイ製品には数百のセキュリティーに害を与える脆弱(ぜいじゃく)性が確認されており、これが放置され続けていることは英国の通信インフラに重大な影響を及ぼす」と結論付けた。

　その１カ月前の２月に英国の国家サイバーセキュリティーセンター（ＮＣＳＣ）が、「次世代高速通信規格の５Ｇにファーウェイ製品を利用した場合でも、リスクは抑制可能だ」との判断を示したばかりだったが、それを覆した。

瑕疵を認めたファーウェイ

　実は、英政府発表の報告書を作成したのは、ファーウェイの英国支社の一部門と位置づけられる「ファーウェイ・サイバーセキュリティー評価センター（ＨＣＳＥＣ）」である。

　ＨＣＳＥＣはファーウェイ製品に特化した検証機関だ。ファーウェイが、自社の通信機器を導入することに危機感を抱く消費者の信頼を得るために、英国政府に働きかけてＨＣＳＥＣを設置し、２０１０年から同社製品の検証作業に当たっている。

　ファーウェイの関連組織が自ら自社製品を検証することに、果たして公正な結果が期待できるのか──という疑問が湧く。これについてＨＣＳＥＣは、スタッフ38人全員が、ＮＣＳＣが開発した「ベッティング・セキュリティークリアランス」という英国国家機関に志願する人物に対する身元調査を受け、「問題なし」と判定された英国人であり、検証作業もファーウェイから独立して行うとしている。また、14年にはＨＣＳＥＣ自体を監視する「ＨＣＳＥＣ監視委員会」も設置され、その議長は、ＮＣＳＣの最高経営責任者が兼務している。こうした措置によって公正さを担保しているというわけだ。

　ＨＣＳＥＣの活動は過去８年にわたるが、年次報告書を出したのはこれで５度目だ。今回の報告書は、18年３月～19年２月までの活動成果をまとめたもの。このうち、最も重大な指摘は、前年の18年の報告書で指摘されていたファーウェイ製品の脆弱性、つまり、情報漏洩(ろうえい)などの原因となる“瑕疵(かし)”の多くが、バージョンが刷新された後も存在し続けているという点だ。

　ＨＣＳＥＣが疑問を投げかけているのは、ファーウェイの「ソフトウエア製造能力」だ。端的に言えば、ファーウェイ製ソフトの安全性に疑問符を付けたのである。

　ＨＣＳＥＣは、18年末までに英国内で使用されていたファーウェイ製品35機種について検証するため、機器に組み込まれたプログラムに問題がないか調べた。つまり、プログラムのソースコードが中国国内で一般的に製造されているファーウェイ製通信機器のものと同じであるか、確認しようとした。

　ところが、ファーウェイ側は、なぜか35機種のうち、４機種のプログラムコードしか、ＨＣＳＥＣに提供しなかった。提供された４機種のコードについては、中国国内で販売されているものと同一と確認できたが、ほかの31機種については確認できていないのである。

　35機種は全体のほんの一部に過ぎない。しかも、英国内で使用されているものは、基本的に中国で販売されているものから英国向けにカスタマイズ（改造）されるため、コードにも変更が加えられる。これでは、ＨＣＳＥＣが調査スタッフを増強したとしても、安全性の検証は限りなく難しい。

　結局、ＨＣＳＥＣは「エンド・ツー・エンド（端から端まで経路全体）の通信の安全性が保証されない」との認識を示した。これに対してファーウェイは、ＨＣＳＥＣの指摘を受け入れ「改善には５年を要する可能性がある」と応じた。つまり、“安全性に問題のある製品を供給していた”ことを認めたことになる。

　いまの時代、通信機器をサイバー攻撃の兵器に仕立てるには、事前に通信機器に盗聴チップを紛れ込ませたり、盗聴プログラムを組み込んだりする必要はない。

　通信機器を制御するプログラムのソースコードを持っているメーカーであれば、製品のアップデートと称して特定の機器に対して、盗聴機能を持たせることができる。サイバーセキュリティーの任務に当たる者は常識として知っておかなければならない。

　したがって、ＨＣＳＥＣの検証は、安全性の検証の手法としては不十分であった。それでも、ファーウェイ製品の問題を指摘した点は評価できる。