米国がファーウェイを恐れる本当の理由は、ネットワークの「裏口」の威力を認識しているからだった?
米国がファーウェイのネットワーク機器を使用しないよう国内外に求めている問題で、新たな火種が持ち上がった。米政府高官が、ファーウェイにはモバイル通信のデータを傍受する能力があるのだとして公然と非難したというのだ。ここまで米国がファーウェイを恐れ、“攻撃”する理由は、同時期に明らかになった米国による過去の諜報活動からも透けて見えてくる。
TEXT BY LILY HAY NEWMAN
WIRED(US)
![facebook share](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="114" height="37"><rect fill-opacity="0"/></svg>)
HENRIQUE CASINHAS/SOPA IMAGES/LIGHTROCKET/GETTY IMAGES
これまで米国政府の当局者は同盟国に対し、自国の5Gネットワークでファーウェイ(華為技術)の機器を使用しないよう明確な圧力をかけてきた。そして今度は、ファーウェイにはモバイル通信のデータを傍受する能力があるのだとして、公然と非難している──。
『ウォール・ストリート・ジャーナル』が2月11日(米国時間)に報じた内容が正しければ、ここ数カ月ずっと抽象的な議論に終始していた米国は、ファーウェイに抱く懸念を初めて明確に表明したことになる。
アクセスポイントをファーウェイがのぞき見?
ことの真偽の詳細は曖昧なままだが、報道によると、司法当局が使用するアクセスポイントをファーウェイがのぞき見できる可能性が指摘されている。記事でコメントしている米政府高官は、ファーウェイが実際にそのようなことを実行に移したかどうかについて、言及することを明らかに避けている。
だが、不正な監視活動の潜在的な仕組みの存在を示唆したことで、米国とファーウェイとの議論を白熱させることになった。それと同時に、米政府高官側が問題を深く自覚していることも示唆している。
実際に米国の情報活動コミュニティでは、根本的な理由でファーウェイが恐れられている。その理由とは、米国のこれまでの振る舞いと同様に、中国はあらゆる機会を利用してくるだろうというものだ。
米政府側はこれまで、ファーウェイ製品の使用差し止めや同社の機器に中国政府のバックドア(裏口)が含まれている可能性について、正当性を説明する必要はないと語っていた。しかし複数の米国の同盟国は、異なるやり方でこの問題に対処している。ファーウェイの機器を全面禁止にするのではなく、潜在的なリスクを制御できる方法があると考えているからだ。
例えば英国は、中国のファーウェイ本社の近くに監査機関を長年置いている。また英国で実施された昨年のセキュリティ分析では、ファーウェイにとっては中国のスパイ活動よりも、ずさんな欠陥コードによるセキュリティ問題のほうが差し迫った問題であると判明している。一方、ドイツ議会は近く、ファーウェイが自社のセキュリティ保護の完全性について確約した場合に、国内の5Gインフラでファーウェイ製品の使用を許可する法案を採決する。
具体的に何が問題なのかは不透明
それでもなお、ほかのメーカーがもっていないようなネットワークへのアクセス手段をファーウェイが維持しているという米国の新たな主張について、技術レヴェルで米側が具体的に何を言おうとしているのかわからないと、研究者は指摘する。
「何らかの結論を得るためには、さらなる詳細が必要でしょう」と、サイバーセキュリティ研究者兼アドヴァイザーのルーカス・オレジニクは言う。「わたしたちは、そのような種類の技術的に合法な傍受が、すべての世代の移動体通信の仕様の特徴であることを理解しています。しかし、ウォール・ストリート・ジャーナルの記事に登場する政府高官が、具体的にどの部分に言及しているのかは不明です」
もしファーウェイが、司法当局のアクセス権限を悪用してユーザーの通信データを密かに収集したり、漏洩したりしているなら、それが米政府高官が警告している類のバックドアの例になるのだろう。
「米側の発言は、ファーウェイや通信会社が、サイバーセキュリティのリスク管理に投じている莫大な投資やベストプラクティスを完全に無視している」と、ファーウェイはコメントを出している。「わたしたちは米国政府がサイバーセキュリティの問題を利用してファーウェイをおとしめる努力を惜しまないことに大きな憤りを感じている」
米国自身が関与していた事例も
ファーウェイは、不正な監視活動を実施したり、自社のネットワークシステムにバックドアを埋め込んで中国政府に協力しているといった指摘を一貫して、躍起になって否定している。これに対して米政府の高官は中国について、政府の要求による企業協力に関する法律のある権威主義の国だと指摘している。
さらに言えば米国は、諜報活動や技術的な制御のために民間企業が外部から“侵入”される可能性があることをよく知っている。米情報機関の管理下で秘密の活動を数十年にわたって続けてきたスイス企業、Crypto AGの例を見てみよう。同社は機密通信や関連機器を手がけていた企業である。
活動内容が長い年月の間に明らかにされていったにもかかわらず、Crypto AGは2018年まで活動し続け、弱められた暗号を備えたセキュリティツールを外国の政府に販売していた。
『ワシントン・ポスト』の2月11日の報道は、その活動内容を広範囲に暴露している。Crypto AGは1940年代から、米中央情報局(CIA)と西ドイツの諜報機関(のちのドイツ連邦情報局=BND)が共同で所有・管理していたとされる。この関係はBNDがCIAに利権を売る90年代はじめまで続いたという。
報道によるとCrypto AGは、インドやパキスタン、イランなど120以上の国にセキュリティ機器を販売し、安定したビジネスを展開していた。旧ソヴィエト連邦(ソ連)や中国はCrypto AGの機器を一度も購入しなかったが、西側政府とのつながりを懸念していたためと推定される。
サプライチェーンのセキュリティには限界がある
こうして新たな“告発”があったとしても、ファーウェイの問題は依然として国家がサプライチェーンを巡るセキュリティ問題にどう対処すべきかという点に集約されるだろう。技術的なツールのメーカーや生産環境が信頼できない場合、その機器にバックドアが隠されていたり、ほかの根本的な欠陥が入り込んでいたりする可能性を考えなくてはならないのだ。
この点に関しても、米国の例を挙げればこと足りる。2013年の報告によると、米国家安全保障局(NSA)が、シスコやジュニパーネットワークスなどの法人向けIT機器を物理的に傍受したり、技術的なバックドアを追加したりしてデータアクセスを強化していたことが明らかになっている。
それこそが、英国のような部分的な緩和策によって民間企業にまつわるリスクを管理することが、極めて困難な理由だ。市販のデヴァイスに意図的なバックドアが紛れていないか入念に調べるのは、とても難しい。特に、ほとんど感知できない方法で暗号化アルゴリズムを弱体化させるような設計が施されたものであれば、なおさらだろう。
コードの正確なリヴァースエンジニアリングによってシステムの働きを正しく理解した上で、暗号文を徹底的に数理解析する必要がある。これらのプロセスがいくら網羅的であろうと、巧妙に設計された欠陥が検出をすり抜ける可能性は常にある。
「データの安全性を確保するために、使用しているデヴァイスの暗号コードを完全に監査することは不可能なのです。それをすべての組織は理解し、受け入れるべきです」と、元NSAのアナリストでセキュリティ企業Rendition Infosecを創業したジェイク・ウィリアムズは語る。「政府機関によってハードウェアに侵入された可能性を示す歴史は世界中にあります。したがって、もしバックドアが仕掛けられていたとしても、リスクが最小の機器を選ぶ必要があります。サプライチェーンのセキュリティには弱点がありますから」
米国自身の歴史から見えてくること
したがって、ファーウェイに関する議論は堂々巡りになる。新に暴露された内容とは関係なく、リスクが制御可能なのかという疑問や、米国や同盟国がファーウェイ製品を完全にやめるべきなのかという疑問は残る。
「テクノロジーは、これまでにないほど国家の安全保障の問題になっています」と、サイバーセキュリティ研究者のオレジニクは言う。「一般的に重要なのは、ハードウェアやソフトウェア全体を管理することです。しかもボトムアップで、フルスタックでなくてはなりません。誰を信用するのかって? それは“デジタル主権”の問題です」
米国の無線ネットワークの中心に位置する機器について言えば、ファーウェイに対する米国政府の根本的な懸念が理解できるだろう。特に世界各地のテクノロジーにバックドアを仕掛けてきた米国自身の歴史を振り返れば、なおさらである。
※『WIRED』によるファーウェイの関連記事はこちら。RELATED
SHARE
![謙虚に耳を澄ませば、建築はやがて「未来の記憶」になる。──田根剛](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="110" height="110"><rect fill-opacity="0"/></svg>)
