米連邦政府から排斥されたカスペルスキー社製品
1. カスペルスキーの「熱」すぎる夏
ユージン・カスペルスキー(Eugene Kaspersky)(図1)にとって2017年夏は熱すぎる夏となった。2017年9月、カスペルスキー社の製品及びサービスが、米国連邦政府との取引から締め出された。更に、その前後には、カスペルスキー社を批判するいくつもの記事が各種メディアから相次いで発信され、カスペルスキーは説明や反論に追われた。きっと、その尻に火が着いたように感じていたに違いない。
カスペルスキーが共同創業者となり、その姓を社名に冠したサイバーセキュリティ企業カスペルスキー社はモスクワを拠点とした世界的企業である。その主力とする商品は、アンチウィルスソフトウェアであるが、これはコンピュータが起動されてから終了されるまで、その外部とのやり取りを監視し、マルウェアからの防護、検索、検出、削除などを定常的に行うソフトウェアである。同社の提供するアンチウィルスソフトウェアは2019年1月時点の集計で見ると、ウィンドウズOSにおいて、シェア6.4%を占め、第6位とされる人気ソフトウェアである1。
2017年夏に見られた一連の動きを、カスペルスキーは後に、第二次コード・ウォーズ(Cord Wars II)と表現している。ちなみに、第一次コード・ウォーズは2012年にワイアード(WIRED)誌に掲載された記事から始まったというが、これに関しては後述する2。
通信インフラなどにおける中国製品の使用を安全保障上の問題として懸念した米国政府は、特に昨年(2018年)来、ファーウェイ社を始めとする中国企業の締め出しに向けて大きく動いている。これは広い意味で、サイバーセキュリティにおけるサプライチェーン問題(サプライチェーン・サイバーセキュリティ問題)といえるだろう3。しかし、このようなサイバーセキュリティ上の懸念は、ハードウェアだけにあるものではない。ソフトウェアにおいても同様である。本稿では、米国のサプライチェーン問題への対応の全体像を理解するために、他国製ソフトウェアに対する米国の対応をカスペルスキー社に関する各種報道とあわせて見ていきたい。

図1. カスペルスキー社の共同創業者でCEOのユージン・カスペルスキー。
会話も服装も格式張ったものは好まないという。
Web Summit on Visualhunt.com / CC BY
2. サプライチェーン問題に対する米国の動き
まず、ハードウェアに対するサプライチェーン問題に対して、米国はどう動いてきたかを見ていきたい。ここでいう(懸念される)ハードウェアにはルーターやスイッチャーといったネットワーク通信機器、情報端末であるスマホ、インターネット回線を経由して中国内のサーバーとつながる監視カメラなどといったものが挙げられる。また、米国では、これらハードウェアに対する締め付けと並行して、ファーウェイ社の産業スパイ問題や輸出規制違反への対応が行われている。これらを総合して、ファーウェイ社に対する対応を見てみると、昨年8月の国防権限法施行、同12月のファーウェイ社孟晩舟CFOの逮捕、そして、今年5月の米商務省による、米国製技術を使用した製品のファーウェイ社への提供の制限、及び安全保障上の懸念のある外国製品の、米企業による調達を禁止する大統領令への署名と、矢継ぎ早に動きが起こっている3, 4。
ソフトウェアに対する懸念もまた、ハードウェアに対するものと同様である。大規模なソフトウェアには、ハードウェア同様に多くの国々の多くのエンジニアの手が加わっており、そのプロセスで仕込まれた悪意のコード(プログラム言語で書かれた命令群)は、容易に潜り込ませられる上に発見が難しい5。カスペルスキー社はパソコンにインストールされるアンチウィルスソフトウェア以外にも、米国の大手通信機器メーカーであるジュニパー・ネットワークス社などを含む120もの外部企業にライセンス(ソフトウェアの使用許諾)を提供し、それらの企業の提供するソリューション(通信システムなど)内で、対マルウェア(悪意のソフトウェア)機能を受け持っているという6。こうしてシステムに組み込まれることを考えると、アンチウィルスソフトウェア自体の脆弱性は、ソフトウェアのサプライチェーン問題といえる。
3. 排斥されたカスペルスキー社製品
これら米国政府によるハードウェアに対する制限より遡ること凡そ一年、2017年9月のこと、米国でカスペルスキー社製ソフトウェアやサービスに対する動きが見られた。国土安全保障省(DHS)が連邦政府機関に対して、カスペルスキー社及び同社に関係する組織のセキュリティ製品やサービスの調達を禁じたのである。また、これら製品、サービスの使用を90日以内に停止し始めることをも求めていた。このDHSによる命令書では、ロシアの法律がロシアの情報機関に同社の協力を要求または強要することを可能にしていると指摘している7。これを受けて、連邦政府機関への製品と通信環境の供給を受け持つ米国共通役務局(GSA:General ServicesAdministration)は、購入許可企業リストから同社を削除している8。
カスペルスキー社の説明によれば、この取引停止令の同社への直接的なインパクトは決して大きくない。カスペルスキー社の米連邦政府からの利益は、そもそも2万5千ドル未満しかなかったという。
しかし、この政府の施策よりも、同時期に相次いだカスペルスキー社に批判的な報道がもたらす、より広範に影響を及ぼし得る空気は、最終的な利益に影響を与えてくるのではないかと、同社は見込んでいる。具体的には、北米における収益が前年度比5~8%程度は押し下げられるものと見込まれている。また、欧州においても、収益は横ばいになるものと見込まれている。
これらの見込が悪いものなのか良いものなのかは、北米、欧州以外の地域における、同社の見込と比較するとよくわかる。これら以外の地域では二桁の成長率が続くものと見込まれているのである。カスペルスキーはロンドンでの2017年11月の記者会見で、米国のメディアや政府による攻撃(カスペルスキーのいうところの第二次コード・ウォーズ)を、同社の評判を落とすための計画的で仕組まれたものであるとして非難している2。
参考文献