CISTEC Journal 3月号掲載［2019.4.1］

今そこにあるサプライチェーン・サイバーセキュリティ

1. 実際にあったサプライチェーン・サイバーセキュリティ脅威

過去には、例えば中国レノボ社製のノートPCに最初から組み込まれている広告ソフトに不具合が見つかっている。このソフトはPCのセキュリティを変更して、PC上のインターネット・ブラウザ（あらゆる種類のもの）による閲覧データへの外部からのアクセスを可能にしていたという³。また同様に韓国サムスン社製Androidスマートフォン、ギャラクシーに最初から組み込まれていたキーボード・ソフトウェアにも問題が発見されている。この問題を利用することによって通話を盗聴したり、データを窃取したり、カメラやマイク、GPSを遠隔で起動したりできたという⁴。

だからといってアジアの製品だけが危険という結論にはならない。米国製品もまたサプライチェーン・サイバーセキュリティ脅威の常連である。シスコ社製ルーターにはバックドア（外部からネットワークを介しシステムに侵入する「裏口」となる仕組み）となり得る不具合が繰り返し発見されているし、2015年にジュニパー・ネットワークス社製ファイアーウォールに組み込まれていた情報窃取のコードは、何者が書き込んだものか不明のままとなった（第4回第4節で詳述）^5,6。また、米国家安全保障局（NSA）が海外向けシスコ社製品にバックドアを仕掛けているとの暴露が2012年にされているし、米国製品や中国製品のバックドアを同組織が利用しているとのリーク情報もある^7,8。

【過去にあった主なサプライチェーン・サイバーセキュリティ脅威（1/2）～2015年】

1997年	チェックポイント社製品にイスラエルによるバックドアの噂9。
2012年	NSAによって海外向けシスコ社製品にバックドアが仕掛けられているとの指摘7,8。
2014年	ジュニパー・ネットワークス社、シスコ社、ファーウェイ社などのバックドアをNSAが利用との情報が流布10。 サムスン社製Androidスマートフォンのキーボード・ソフトウェアにセキュリティ上の問題が発見される。これを利用することによって通話を盗聴したり、データを窃取したり、カメラやマイク、GPS を遠隔で起動したりできた4。
2015年	ジュニパー・ネットワークス社が同社製ファイアーウォールの一部にVPN通信の窃取を可能とする「許可されていない」コードが埋め込まれていることを発見する6。 レノボ社製ノートPCに出荷時にインストールされていた広告ソフトが、検索エンジンによる結果を変更していたことや、PCのセキュリティを変更して、外部からの閲覧データへのアクセスを可能にしていたことがわかった3。

2. 「モノ」のサプライチェーン・サイバーセキュリティ

サプライチェーン・サイバーセキュリティの対象はソフトウェアやファームウェア（ハードウェアを制御するために読み出し専用記憶装置などに組み込まれたソフトウェア）だけではない。ハードウェアに対しても行われる。2018年10月に米ブルームバーグ誌で報道された事件などは、まさに専門家たちの懸念が具現化したかのようなものであった。同誌によると、米スーパーマイクロコンピュータ社製マザーボード上に非常に小さな米粒大のIC チップが搭載されていることが分かったという。これは本来のデザイン上は存在しないはずのものであったという。このチップによって、米アマゾン社やアップル社を始めとする米国の30社のデータが中国に送られていた可能性が指摘されている。これに対し、スーパーマイクロコンピュータ社は調査の結果、そのようなことを示す証拠は見つからなかったとしている。報道したブルームバーグ社は同記事に自信を持っていると主張するが、関連する各社はこの発見を否定しており、第三者による検証が待たれるところである。

このようなハードウェアを用いたサプライチェーン攻撃が果たして可能なのかというと、インテリジェンス（諜報）先進国の米国ではある程度可能なのかもしれないと思わせる情報がある。NSAから流出したとされるサイバー・スパイツールカタログとでも呼ぶべきある資料には、48種のツールが値段付きで掲載されている。このカタログを見た米中央情報局（CIA）職員などが発注するためのものなのであろう。その中に、いくつか極小のチップが紹介されている。スパイ対象のPCへのアクセスを可能とするチップCOTTONMOUTH-IはUSB端子の頭に潜ませることのできるサイズだし、モニターに映るVGA画面を転送するチップRAGEMASTERは8ミリ角の小ささである。このカタログの日付は2008年となっており、10年以上が経過した今ならば、もっと小型化されているかもしれない。米国にしてみれば、自国が他国に対してやっていることであれば、中国などの他国が自国に向けてやってきていることを懸念するのは自然なことだろう（第7回第1節も参照）

ちなみにリーク情報を鵜呑みにすることは、国営メディアを鵜呑みにすることに次ぐくらいは危険かもしれない。そこにはリークした者が容易に嘘を盛り込む余地があるからである。大量の未公開のリーク情報に少量の嘘を忍ばせることほど効果的な嘘があるだろうか。それでも尚、上記リーク情報に見られるようなスパイツール・リストを米国のインテリジェンス機関が持つようなことは、技術先進国であり、かつ現役で戦争を行っている国としてはありそうなこととは思うのである。

【過去にあった主なサプライチェーン・サイバーセキュリティ脅威（2/2）2016年～】

20016年	一部のAndroidスマートフォンが72時間毎に全テキストメッセージデータ、位置情報、住所録を中国のサーバーに送信していたことが分かる。中国企業製ファームウェアによるもの11。
2016年	インド軍がスパイウェアの疑いから42の中国関係スマートフォンアプリの使用を禁じる12。
2018年	シスコ社製ルーターに5つのバックドアが発見される5。 米スーパーマイクロコンピュータ社のマザーボード上に米粒大の不正なチップが発見されたと報道される。これによってアマゾン社やアップル社を始めとする米大手30社の情報が中国に送られていたことが疑われた。同社は調査の結果、そのようなことを示す証拠は見つからなかったとした13,14。

3. 求められ始めた民間企業の対応

このようなサプライチェーン・サイバーセキュリティ上の問題は、米政府では早くから認識され、取り組みが始まっていたようだ。第1回第2節で触れたように、ジョージ・W・ブッシュ政権時代の2005年には米ランド研究所がファーウェイ社やZTE社など4社と中国政府、人民解放軍との密接な関係をレポートし、中国資本の米国内通信システムへの進出に懸念を示している。また同政権末期の2008年1月、「総合的国家サイバーセキュリティ構想（CNCI）」なるものが発行され、後にオバマ政権に継承された。この構想でサプライチェーン危機管理の必要性が訴えられ、プロジェクトが立ち上げられている。同構想ではサプライチェーン攻撃（サプライチェーン・サイバーセキュリティ上の問題を突いた攻撃）によって、不正にデータにアクセスされることやデータ改ざんや通信の傍受が行われ国家の安全保障が脅かされることに懸念が表明されていた。

ジョージ・W・ブッシュ時代のCNCIは過度な機密性のもとに扱われ、限定的にしか公開されなかったため、結果として民間の協力や公共への説明責任を欠くこととなったとの指摘を米政府説明責任局（GAO：日本の会計検査局に相当する）から受ける事態となってしまった。この反省を活かしてか、同構想を継承したオバマ政権では2015年10月にCNCIの内容を公開している。

CNCIの最初の発行から9年を経た2017年1月、米国立標準技術研究所（NIST）はサイバーセキュリティ・フレームワーク（米国内企業に示されるサイバーセキュリティのガイダンス）の改定案にサプライチェーンのリスク管理の追記を試み始める。そして同改定案はサイバーセキュリティ・フレームワーク・バージョン1.1として2018年4月に発行される。サプライチェーン・サイバーセキュリティへの対応はホワイトハウスでの動きから10年近い歳月を経た後、いよいよ、広く民間企業に求められ始めたのである。

（つづく）

参考文献

3. Rosenblatt, Seth. Lenovo’s Superfish security snafu blows up in its face. CNET. (オンライン)2015年2月20日. (引用日:2019年1月10日.) https://www.cnet.com/news/superfish-torments-lenovo-owners-with-more-than-adware/.
4. Gibbs, Samuel. Samsung keyboard bug leaves 600m Android devices exposed to hackers. the Guardian. (オンライン)2015年6月17日. (引用日:2019年1月10日.) https://www.theguardian.com/technology/2015/jun/17/samsung-keyboard-bug-android-hack.
5. Armasu, Lucian. Backdoors Keep Appearing In Cisco’s Routers. Tom’s Hardware. (オンライン)2018年7月19日. (引用日:2018年12月25日.) https://www.tomshardware.com/news/cisco-backdoor-hardcoded-accounts-software,37480.html.
6. Zetter, Kim. Secret Code Found In Juniper’s Firewalls Shows Risk of Government Backdoors. Wired. (オンライン)2015年12月18日. (引用日:2018年12 月27日.) https://www.wired.com/2015/12/juniper-networks-hidden-backdoors-show-the-risk-of-government-backdoors/.
7. Snyder, Bill. Snowden: The NSA planted backdoors in Cisco products. InfoWorld. (オンライン)2014年5月15日. (引用日:2018年10月18日.) https://www.infoworld.com/article/2608141/internet-privacy/snowden–the-nsa-planted-backdoors-incisco-products.html.
8. Greenwald, Glenn. No Place to Hide. New York : Picador, 2014. ページ: 147-151.
9. Ollmann, Günter. Exploiting the firewall beachhead: A history of backdoors into critical infrastructure. Vectra. (オンライン)2016年9月28日. (引用日:2018年12 月26日.) https://blog.vectra.ai/blog/exploiting-the-firewall-beach-head-history-backdoors-critical-infrastructure.
10. Appelbaum, Jacob, Horchert, Judith , Stöcker, Christian. Shopping for Spy Gear. Spiegel Online. (オンライン)2013年12月29日. (引用日:2018年12月25日.) http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-fornumerous-devices-a-940994.html.
11. Apuzzo, Matt , Schmidt, Michael S. Secret Back Door in Some U.S. Phones Sent Data to China, Analysts Say. the New York Times. (オンライン)2016年11月15 日. (引用日:2019年1月7日.) https://www.nytimes.com/2016/11/16/us/politics/china-phones-software-security.html.
12. Pubby, Manu. Indian troops on China border told to format smartphones, delete 42 apps. the Print. (オンライン)2017年11月28日. (引用日:2018年9月12日.) https://theprint.in/security/troops-told-to-format-smartphones-delete-42-apps-afterchinese-spyware-threat/19042/.
13. Robertson, Jordan , Riley, Michael. The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies. Bloomberg Businessweek. (オンライン)2018年10月4日. (引用日:2018年10月18日.) https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies.
14. Mihalcik, Carrie. 中国製スパイチップは「証拠なし」–Super Micro が調査結果を発表. CNET Japan. (オンライン)2018年12月12日. (引用日:2018年12月31日.) https://japan.cnet.com/article/35129982/.