NZ、5G通信網に中国の華為技術製品を使う計画を却下

中国の通信機器大手・華為技術(ファーウェイ)のロゴ(2018年7月8日撮影)。(c)WANG ZHAO / AFP〔AFPBB News


 米政府は、2018年5月13日に成立した2019会計年度国防授権法(National Defense Authorization Act for Fiscal Year 2019)により、全政府機関に対して、中国共産党の情報機関と関係しているファーウェイ(華為技術)およびZTE(中興通訊)が製造した通信機器の使用を禁止した。


 米国に続いて、豪、印およびニュージーランドの各政府は、それぞれ5月、9月および11月に、自国の高速大容量の第5世代(5G)移動通信システムへのファーウェイの参入を正式に禁止した。

カナダ・バンクーバーで逮捕されたファーウェイの創業者の長女、孟晩舟(マン・ワンジョウ)最高財務責任者(CFO)(ファーウェイのHPより)


 また、米紙ウォールストリート・ジャーナル(WSJ)は、11月22日に米政府が日本やドイツ、イタリアなどの同盟国に対し、ファーウェイの製品を使わないように求める説得工作を始めたと報じた。


 以上のように、各国で、中国の2大電気通信企業であるファーウェイとZTEを電気通信インフラ市場から排除する動きが広まっている。


 その背景には、中国の電気通信企業がもたらす安全保障上の脅威がある。


 その脅威とはサイバー攻撃であり、なかんずくICT(情報通信技術)サプライチェーン攻撃である。


 重要インフラに対するICTサプライチェーン攻撃は、その重要インフラが提供するサービスを中断・停止させ、社会に大混乱をもたらす。


 以下、初めに米下院・情報常設特別委員会がかつて作成・公表した調査報告書について、次に、ICTサプライチェーン攻撃ついて解説する。


1.米下院・情報常設特別委員会の調査報告書

 今回、注目を集めている事象の起源は、米下院・情報常設特別委員会が2012年10月に公表した「中国の通信機器会社であるファーウェイとZTEによりもたらされる米国の国家安全保障問題に関する調査報告書*1」にある。


 若干長くなるが本調査報告書の経緯について述べる。


 2010年1月、米下院・情報常設特別委員会のマイケル・ロジャーズ委員長は、「ファーウェイやZTEを含む中国企業により米国のセキュリティと通信インフラが脅威にさらされている」として予備調査を命じた。


*1=米下院・情報常設特別委員会「中国の通信機器会社であるファーウェイとZTEによりもたらされる米国の国家安全保障問題に関する調査報告書」https://intelligence.house.gov/sites/intelligence.house.gov/files/documents/huawei-zte%20investigative%20report%20(final).pdf


米国の情報機関や民間企業との一連の会合、聴取、調査を行った結果、この脅威が、米国にとって最優先となる国家安全保障上の懸念につながると判断し、2011年11月に本格的調査を開始した。


 委員会の調査は、米国の電子通信インフラ市場に機器を売り込もうとしている中国の電気通信装置メーカーの上位2社であるファーウェイとZTEに集中した。


 両会社の現または元従業員に対する何時間ものインタビュー、大規模かつ度重なる文書要請、公開情報の調査などが行われ、約1年に及ぶ調査の結果を受けて、本報告書が作成・公表された。


 本報告書は、両社がもたらす安全保障上の脅威について次のように述べている。


 「中国には、悪意のある目的のために、電気通信会社を通じて、米国で販売される中国製の電気通信の構成品およびシステムに、悪意のあるハードウエアまたはソフトウエアを埋め込む可能性がある」


 「電気通信の構成要素とシステムを改竄する機会は、製品の開発・製造の期間を通して存在する」


 「そして、ファーウェイやZTEのような垂直的に統合された巨大産業は、中国の情報機関に、悪意のあるハードウエアまたはソフトウエアを、重要な電気通信の構成品およびシステムに埋め込む多くの機会を提供することができる」


 「中国は、このために、ファーウェイまたはZTEのような会社の指導部に対して、協力を求めるかもしれない」


 「たとえ会社の指導部がそのような要請を拒否したとしても、中国の情報機関は、これらの会社の中の現場レベルの技術者または管理者を雇いさえすれば十分である」


 「さらに、中国の法律の下では、ZTEとファーウェイは、中国政府によるどんな要請にでも、例えば、国家のセキュリティという名目の下に、悪意のある目的のために彼らのシステムを使用またはアクセスするという要請にも協力する義務がある」


 「悪意のあるハードウエアまたはソフトウエアを米国の顧客向けの中国製の電気通信の構成品とシステムに埋め込むことによって、北京は、危機または戦争の時に、重要な国家安全保障上のシステムを停止または機能低下することができる」


 「送電網または金融ネットワークなどの重要インフラに埋め込まれた悪意のあるウイルスは、中国の軍事力の中でも驚異的な兵器となるであろう」


 「中国製の悪意のあるハードウエアまたはソフトウエアは、センシティブな米国の国家安全保障システムに侵入するための強力なスパイ活動の道具でもある」


 「同時に、センシティブな企業秘密、先進の研究開発データおよび中国との交渉もしくは訴訟に関する情報が蔵置されている外部と接続されていない米国企業のネットワークへのアクセスを提供する」


上記の調査結果に基づき、本報告書は次のような提言を行っている(機器の排除に関する部分のみを抜粋)。


①米国政府のシステム、特にセンシティブなシステムには、ファーウェイまたはZTEの機器(部品を含む)を使用してはいけない。


 同様に、政府契約者、特にセンシティブな米国プログラムの契約に関係する契約者は、彼らのシステムからZTEまたはファーウェイの機器を排除しなければならない。


②米国のネットワーク・プロバイダとシステム開発者には、彼らのプロジェクトのために、ZTEやファーウェイ以外のベンダーを探すことが強く求められている。


 以上の報告書に基づき、2012年から実質的に米国政府のシステムからファーウェイとZTEの機器は排除されているようである。


 上記の報告書のいう「電気通信企業がもたらす安全保障上の脅威」とは、危機の際に、重要ネットワークと通信へのアクセスを獲得するまたは重要なシステムを制御する、もしくは機能低下させる能力を得るためにICTサプライチェーンを危殆化しようとする国家の企ての可能性であると言える。


2.ICTサプライチェーン攻撃

 本項では、実例、定義および攻撃の態様を紹介する。


(1)実例


 初めにサプライチェーン攻撃の実例を紹介する。


(この実例は、拙稿『北朝鮮のミサイル発射を失敗させた米国7つの手口』(JBpress2017.4.27)の中で紹介したものであるが、ICTサプライチェーン攻撃の脅威の大きさやインテリジェンス活動を理解するのに重要であるので、再録した)


 「1980年代初頭、長大なパイプラインの運営に欠かせないポンプとバルブの自動制御技術をソ連は持っていなかった」


 「彼らは米国の企業から技術を買おうとして拒絶されると、カナダの企業からの窃盗に照準を合わせた」


 「CIA(米中央情報局)はカナダ当局と共謀し、カナダ企業のソフトウエアに不正コードを埋め込んだ」


 「KGB(ソ連国家保安委員会)はこのソフトウエアを盗み、自国のパイプラインの運営に利用した」


 「当初、制御ソフトは正常に機能したものの、しばらくすると不具合が出始めた。そしてある日、パイプの一方の端でバルブが閉じられ、もう一方の端でポンプがフル稼働させられた結果、核爆発を除く史上最大の爆発が引き起こされた」


 この事例は、米国の元サイバーセキュリティ担当大統領特別補佐官リチャード・クラーク氏の著書『世界サイバー戦争』(徳間書店)の中で紹介されていることから極めて信憑性が高いと見ている。



(2)定義


(米・国立標準技術研究所(NIST)の定義などを参考に筆者が作成した定義である)


 「情報システムのハードウエア、ソフトウエア、オペレーティング・システム、周辺機器またはサービスに対して、それらの据えつけ前に、論理爆弾(サイバー攻撃などに用いられるウイルスの一種で、対象のシステムの内部に潜伏し、あらかじめ設定された条件が満たされると起動して破壊活動などを行うもの)やバックドア型トロイの木馬」


 「またはマルウエアが埋め込まれた偽物とすり替えるなどの不正工作をし、ライフサイクルの間のいかなる時点かで、事前に埋め込んだマルウエアを始動させ、重要データの窃盗もしくは改竄したり、あるいはシステム/インフラを破壊するなどして任務遂行を不能とする」

(3)攻撃の態様*2


 ICTサプライチェーン攻撃は、一般的には商業的な結びつきを通してアクセス権を有する個人または組織によって実行または促進される。


 ICTサプライチェーンへの攻撃機会には、上流、すなわち製造過程と、下流、すなわち流通過程がある。以下、それぞれの攻撃の態様を述べる。



ア.上流への攻撃の態様


 ネットワーク・ルータおよびその構成要素である半導体集積回路(IC)の製造プロセスは、電気通信およびマイクロエレクトロニクスのハードウエアがもたらす潜在的な脆弱性の代表例である。


  半導体産業の複雑さと融通性によって、多くの会社で働いている何百人もの人々によって世界中で設計されたICを、1つのチップに組み込むことが可能となる。


 チップ設計と製造のこの世界的な分業は、生産ペースを速めて、新しい製品開発のコストを下げている。


 しかし、チップがより大きなICに統合されるために次の場所に出荷される前に、何億ものトランジスタの中に隠された危険な回路を探知することは困難である。


 熟練した人員とエンジニアリング資源を自由に使える洗練された敵対者は、プログラム可能なチップのソフトウエアを改竄することによって、チップが他の製品への統合のために出荷される前に、メーカーに対して上流攻撃をしかけることができる。


 このように、ルータ、スイッチ、または他の電気通信ハードウエアのメーカーは、数えきれない改竄の機会にさらされている。


 とはいえ、米国のICTサプライチェーンに対してチップ・レベルの不正工作を実行しようとする攻撃者は、作戦上の複雑な課題に直面する。


 すなわち、政府機関、ネットワーク、または民間団体の一つを標的として、上流の製造過程で不正工作しようとする攻撃者は、不正工作したコンポーネントがどこに配送されるのかを予想できなければならない。


 さもなければ、攻撃に成功できないばかりか、不正工作したハードウエアを世界中の顧客に出荷させることにもなる。


*2=米下院・情報常設特別委員会「中国の通信機器会社であるファーウェイとZTEによりもたらされる米国の国家安全保障問題に関する調査報告書」https://intelligence.house.gov/sites/intelligence.house.gov/files/documents/huawei-zte%20investigative%20report%20(final).pdf



イ.下流への攻撃の態様


 標的とする組織に製品を供給している下流の流通経路を攻撃することは、上流の半導体製造サプライチェーンそのものに侵入しようとする複雑さに比べれば、あまり複雑でない。

 多数のシナリオが可能であるが、最も成功しそうなシナリオは、トンネル会社を作り、卸業者への特定のブランド機器の再販業者として利用することである。


 それにより、敵対者は、アセンブリ(組み立て)の時にファームウエアまたはソフトウエアの中に読み込まれた「トロイの木馬」を含んだ偽物のハードウエアを埋め込むことができる。


 あるいは、敵対者は、非常に関心のある標的を顧客としている再販業者と卸売業者を目的地とするブランド機器の積荷の中に完成した偽のハードウエアを混入することができる。

 プロの情報機関であれば、市場で顧客リストを入手するのに時間あるいは資源などの大きな投資を必要としないであろう。


 しかし、このような方法は、偽造品が発送または据え付けプロセスのいかなる点かで発見されるリスクがないわけでない。


おわりに

 我が国ではサプライチェーンは、物流やモノづくりに関わる問題としてとらえられることが多い。


 そのため、オープン化、グローバル化が進むICTサプライチェーンを情報セキュリティ問題と結びつけて考えることは、最近に至るまでほとんど行われてこなかった。


 現在もこの状況はあまり変わっていない。このため、我が国では、政府機関や企業の中国製IT機器に対する警戒心が皆無と言っても過言でない。


 我が国の政府機関などの公共機関は、製品や役務(サービス)を調達する際には最低価格落札方式を原則としている。


 しかし、政府機関や重要インフラ事業者の使用するシステム・機器には高い信頼性が要求されることは言うまでもない。


従って、これらの電気通信機器の整備に際しては最低価格落札方式でなく、ICTサプライチェーン脅威を考慮した新しい調達方式が必要となっている。


 また、重要インフラシステムのICTサプライチェーン・リスクへの対応は, 企業だけではできるものではなく、国と企業が一体となって進めなければならない。


 まずは、ICTサプライチェーン・リスクに係る包括的な調査研究を、官民で協力して実施し、同調査研究成果を公表して、官民のICTサプライチェーン・リスクに対する認識を向上させることから始めなければならないであろう。


 そして、最終的にはICTサプライチェーン・リスクマネージメント(SCRM)のべストプラクティスを策定しなければならない。


 さて、我が国は、公的調達からファーウェイを排除しろという米国の働きかけにどのように対応するのであろうか。


 我が国は、自ら件の中国企業の脅威を調査していないので、米国の調査結果をうのみにすることもできない。さりとて、同盟国の誘いをむげに断るわけにもいかない。そのうえ、国益と民間企業の利益は必ずしも一致しない。


 都合のいいことに、WTO(世界貿易機関)政府調達協定第3条(旧協定第23条)は、加入国が「国家安全保障」のために必要な措置をとることを妨げないとしており、各国が「国家安全保障」を理由として他国企業の応札を拒絶することを許容している。


 従って、我が国も、「国家安全保障」を理由としてファーウェイの製品を入札から排除することも可能である。


 報道によると、米当局者の一人は今回の説得工作について米紙WSJに「米国および同盟諸国と中国のどちらがデジタル網でつながった世界の支配権を握るかをかけた『技術冷戦』の一環だ」と指摘したとされる(産経11月23日)。


 米中の覇権争いの渦中にあって、我が国としては同盟国米国を選ぶしか選択肢がないであろう。