サプライチェーン・サイバーセキュリティが世界を揺るがす(4) ― 終わらないファーウェイ、ZTE 問題 ―

CISTEC Journal 3月号掲載[2019.4.1]

アップル・FBI暗号解読論争に見る企業の本音

1. アップル社はFBIから顧客情報を守った?

 しかしそれでは、国家情報法のような法律がない国の民間企業は、果たして国家のスパイ行為に加担「しない」だろうか。このことを考えるとき、2015年から2016年に掛けて起こった米連邦捜査局(FBI)と米アップル社との暗号解錠を巡る紛糾が思い起こされる。ことの始まりは2015年12月に発生した米西部サン・バーナディーノで起こった銃乱射事件であった。FBIは犯行の裏にあるネットワークを探るため、同事件の犯人が持っていたiPhoneを調べようとした。もちろんそのiPhoneには多くの人がそうしているように、他人にいじられないようにロックが掛かっていたので、FBIはロックを解除するなどして、その中の暗号化された情報へどうにかしてアクセスする必要があった。FBIはアップル社にこのロック解除のための具体策を示し依頼したが、アップル社はついに最後までこの要求に応じなかったのである。

 このときのアップル社の行為は、結果だけを見ると、顧客の情報を国家権力に求められたときにさえ守り抜いたように見える。しかも、このときは、その顧客は疑いもない犯罪者であった。アップル社は個人情報を預かる企業として、その顧客の素性にかかわらず個人情報を守り抜いたのだろうか。そうではなく、彼らを押し留めたものはバックドアを作るということへの技術的な懸念であったということが同社の主張である。同社CEOのティム・クック氏は公式サイトに発表した声明文で、テロリストには一切シンパシーを感じていないし、技術者をFBIに派遣して可能な限りの協力を申し出たとしている18

2. 情報協力者に名を連ねていたアップル社

 当事者の弁明を抜きにしても、これを支持するような客観的事実もある。2013年にNSAを始めとする米国インテリジェンス・コミュニティ(CIAやFBI、DEAなどの国家情報機関全体を指す言葉)の情報活動へ協力していた企業名が記された機密文書がリークされたことがあるが、そのときにはアップル社の名前もそこに記載されていたのである19。このことから、アップル社は国家に機密情報を提供「しない」会社では決してなく、ケース・バイ・ケースで対応していたということがわかる。

 2013年にリークされたこの資料はNSAの内部文書であったが、ここに描かれたPRISM というシステムで得られる情報はFBI、CIAといった米国のインテリジェンス・コミュニティで利用されるものであった。同システムは米国の民間企業9社(マイクロソフト社、ヤフー社、Google社、フェイスブック社、パルトーク社、Youtube社、スカイプ社、AOL社及びアップル社)から通信情報の記録や、チャット、Eメール、動画などの情報の提供を直接サーバーから受け、海外からのテロリストを追うのに利用しようというものだった。ただし、提供されるデータは企業によって異なるとされているので、各社とも全ての個人情報を提供していたのかどうかは必ずしもはっきりしない。

図2. リークされたPRISMシステムの概要

3.アップル社の本当の思い

 それでは、NSAのPRISMに協力していたようなアップル社に、今回に限ってFBIの求めるロック解除への協力を思いとどまらせたものは何だったのだろうか。これら二つの協力の間にある最も大きな違いは、その協力によってインテリジェンス・コミュニティに提供される情報がアップル社がすでに持っているものなのか、これから入手されるものなのかという点にある。アップル社がNSAのPRISMシステムへの協力を受け入れたのは、同資料によれば2012年10月のことであるが、先述の通り、これによって同社のサーバー上の情報に、直接、米インテリジェンス・コミュニティがアクセスできることになる。尚、これは個別の令状は省かれるとはいえ、FISA(外国情報監視法)裁判所の特別な監督下で行われるなど、法的なプロセスを経たものであったとされている。

 しかし、FBIから持ち込まれたケースはこれとは異なった。iPhoneは10回までロック解除を試すことができるが、それを超えて入力を間違えるとデータが破壊されるという厳しい形で端末内の情報を守っていた。アップル社は、このような厳しいセキュリティ機能を回避した特殊なOSを開発し、それを犯人のiPhoneにインストールすることをFBI から求められていたのだった。アップル社によれば、iPhone上の暗号化された情報には同社といえどもアクセスすることはできないという。そしてFBIが求めるようなシステム(アップル社のいうところの「バックドア」)を作ることは、全てのiPhone内の情報を危険にさらすことになるというのであった18。当時FBI長官を務めていたジェームズ・コミー氏はこれに対して、全てのアップル社製品に「いわゆるバックドア」を作らなくても、犯人のiPhoneだけに入り込むノウハウをアップル社は持っているのだと反論している20

 ロックを破り、iPhoneの情報を抜き出す者がアップル社であるにせよFBIであるにせよ、これは、未入手の情報へのアクセスを積極的に行う行為、またはそれへの協力であった。アップル社は手持ちの顧客情報を正式な手続きを経た司法にさえ出し渋る企業という訳ではなかった。官製の「バックドア」を作るという形で、積極的なインテリジェンスへの参加、または下請けをすることを避けたように見える。また、このようなことを引き受けることによって脆弱性が高まるというアップル社の懸念は、実は前例が示すところでもあるのである。

4. 「官製バックドア」を企業が恐れるわけ

 第2回第1節の年表にも挙げているが、2015年に当時米国第二位の通信機器メーカーだったジュニパー・ネットワークス社が自社製ファイアーウォールに2つの認められていないコード(プログラム言語で書かれた命令群)を発見し、修正パッチを配布するとともに警鐘を鳴らしている。一つはハードコードされた(プログラム中に直接書き込まれた)パスワードによって、管理者権限によるリモート・アクセスを可能にしてしまうという致命的なものだった。そして、もう一つはVPN(仮想プライベートネットワーク:公衆回線上で仮想的な組織内ネットワークを提供する)上でやり取りされた暗号化された通信を解読する手段を与えるものだった。市場に出回った後に感染してこうなったわけではなく、製品のオペレーティング・システム(OS)そのものに書き込まれていたことからして、これはサプライチェーン・サイバーセキュリティ脅威の如実な一例といえる。

 この前者は雑なコードであったが、後者はそもそも、通信の傍受をしない限り使い道がなかったことから、通信傍受ができている組織、即ち国家機関によるものであることが疑われた。それぞれ、独立して働くものであったことから、前者は中国やフランス、イスラエルなどが書き込んだもので、後者はNSAによって書き込まれたものではないかと疑う研究者もあった。また、両方とも同じ者が書き込んだと見る研究者もいた。そもそもどこかの政府機関からの要請でジュニパー・ネットワークス社自らが書き込んだものが、誰かに気づかれたことが明らかになったために、(あたかも自らが被害者であるかのように装って)公表したのではないかと疑う向きもあった。この疑念に対し、同社は深刻に受け止めるとし、同時に強く否定している。もしこれが同社自身によるものであったとしたら、顧客のプライバシー保護に無頓着であると見られる大きなリスクを冒したことになる。

 尚、このとき、二つのうち、どちらのコードも攻撃者だけでなく、不特定の他者による利用が容易に想像されるものであったことも問題であった。二つのうち政府機関によるものと疑われているVPNのバックドアであるが、これを解析することによって、既に別の手段で傍聴済みの(暗号未解読の)データを持っている組織(どこかの国の諜報機関など)があった場合、この脆弱性を使用して後からでも全て解読が可能になるという。結果的に、仕掛けた者以外に解読の機会を与えてしまっているのである。

 もう一つの脆弱性、ハードコードされた管理者権限のパスワードも同様の問題を持つ。オランダのセキュリティ会社は修正パッチが公開された後、それを参考にファイアーウォールのプログラムを調べ、6時間後にはそのパスワードを見つけてしまったという。サプライチェーン攻撃によって、ファイアーウォールに脆弱性を与えた本人でなくても、この脆弱性を利用することが可能なのである6

 例え自国政府の要請で自社製品に脆弱性を植え付けたとしても、それを利用するのはその政府だけとは限らないということが、特に企業側にとっては問題と認識されるだろう。NSAは米国製品だけでなく、中国企業であるファーウェイ社やZTE社の機器にも脆弱性を見つけて、それを介してのスパイ活動をも用意していたというリーク情報もある。このように、脆弱性を自国の製品に仕込むことは、他者なり他国なりの傍聴をも可能にするという側面を持つのである。FBIの求めに従って「いわゆるバックドア」を作り込むことにアップル社が抵抗した背景にはこのような認識があっただろう。

(つづく)

参考文献

6. Zetter, Kim. Secret Code Found In Juniper’s Firewalls Shows Risk of Government Backdoors. Wired. (オンライン)2015年12月18日. (引用日:2018年12 月27日.) https://www.wired.com/2015/12/juniper-networks-hidden-backdoors-show-the-risk-of-government-backdoors/.
18. Cook, Tim. A Message to Our Customers. Apple.com. (オンライン)2016年2月16日. (引用日:2019年1月24日.)https://www.apple.com/customer-letter/.
19. the Washington Post. NSA slides explain the PRISM data-collection program. the Washington Post. (オンライン)2013年6月6日. (引用日:2019年1月24日.) https://www.washingtonpost.com/wp-srv/special/politics/prism-collection-documents/.
20. Lee, Dave. Apple boss Tim Cook hits back at FBI investigation. BBC News. (オンライン)2016年2月25日. (引用日:2019年1月24日.) https://www.bbc.com/news/technology-35656553.

PAGE TOP