ファーウェイの通信機器を巡る「疑惑」は、実は悪用可能なバグだった？英政府機関が指摘｜WIRED.jp - WIRED.jp

NEWS 2019.03.30 SAT 19:00

通信機器大手であるファーウェイの製品に使われているソフトウェアに基礎的だが非常に深刻な欠陥があり、安全保障上のリスクになる──。英政府の諮問機関が、こうした内容の報告書を公表した。トランプ政権は以前から情報流出の懸念から、5G関連機器を中心に同社製品を使わないよう各国政府に圧力をかけている。だが今回の調査結果は、単に悪用可能なバグであるとの可能性も示唆している。

TEXT BY LILY HAY NEWMAN
TRANSLATION BY CHIHIRO OKA

WIRED(US)

Huawei

ファーウェイの消費者向け事業を率いる余承東（リチャード・ユー）。同社は英政府の報告書で指摘された脆弱性について、対策に取り組んでいるとしている。PHOTO: MARLENE AWAAD/BLOOMBERG/GETTY IMAGES

中国の通信機器大手ファーウェイ（華為技術）が新たな難局に見舞われている。英政府の諮問機関が、同社の製品に使われているソフトウェアには基礎的だが非常に深刻な欠陥があり、安全保障上のリスクになるとの報告書を公表したのだ。

問題の脆弱性の原因は、ソフトウェアの開発過程にあるとされる。ファーウェイはこうした点について以前にも指摘を受けており、対応すると約束していた。

トランプ政権は以前から、5G関連機器を中心にファーウェイの製品を使わないよう各国政府に圧力をかけている。米国の主張によると、同社は中国政府とつながっており、国家指導部から要求されれば自社の機器にスパイ目的の仕掛けを施す恐れがあるというのだ。

地政学的な対立が深まるなか、今回の報告書はファーウェイのシステムの欠陥は「基本的なエンジニアリング能力とサイバーセキュリティ」に関連したもので、誰でも悪用が可能だと結論付けた。つまり、中国政府の要求によって意図的に組み込まれたセキュリティホールかどうかはわからないというのだ。

疑惑はファーウェイが「中国企業」だから？

もちろん、誰でも悪用できるバグがあるというのは大きな問題だ。理論的には、ファイブアイズ［編註：英国、米国、カナダ、オーストラリア、ニュージーランドの5カ国］のどの情報機関も、こうしたバグを利用して諜報活動を展開できる。ただ、ホワイトハウスがこれを懸念しているとは考えにくい。

元国務省高官で米戦略国際問題研究所（CSIS）のディレクターを務めるジェームズ・ルイスは、「バックドア（裏口）などありません。なぜなら、ファーウェイはそんなものを必要としていないからです。必要なら“正面玄関”を使うでしょう」と話す。

「英政府は中国からのハッキングに非常に悩まされています。例えば、スウェーデンのハッカーが企業秘密を盗もうとして毎週攻撃を仕掛けてくるようなことは起こりません。ファーウェイがスウェーデンかブラジルか、とにかく中国以外の国の企業であれば問題はないのです。ただ、中国企業であるために政府の手先だと思われてしまうのです」

ほかのメーカーの機器にも問題の可能性

米議会は2012年にファーウェイに関する調査報告書を明らかにし、同社の製品が安全保障上の脅威となる可能性があるとの見解を示した。米国の通信大手は以来、基本的には同社とのかかわりを避けている。トランプ大統領は2月、米国の通信網にファーウェイとZTE（中興通訊）の機器を使用することを禁じる大統領令への署名を検討していると報じられた。

ただ、米国の外に目を向けると、他国の通信会社はファーウェイの高性能で低コストな機器を利用しながらも安全なネットワークを構築する努力を続けてきた。英国は2010年にファーウェイ・サイバーセキュリティ評価センター（HCSEC）を設立し、国内に入ってくる同社の製品の監視と評価に着手した。今回の報告書もHCSECの監督委員会が作成したものだ。

報告書には、調査対象となったソフトウェアが本当にファーウェイ製品で使われているものであることを証明するのは困難だとの但し書きがあった。ファーウェイ製品のリスク評価における課題は、メーカー独自のソフトウェアの中身をどこまで正確に検証できるのかという、より一般的な疑問につながる。

報告書で指摘された脆弱性のいくつかは、驚くほど基礎的なものだ。ほかのメーカーの製品に対してもこうしたリスク評価を行えば、似たようなセキュリティホールが見つかる可能性は高いと、専門家は指摘する。ファーウェイ製品ほどではないにしろ、他社の機器に問題がないというわけではないのだ。

ファーウェイを巡るリスクは管理できない？

オックスフォード大学のCenter for Technology and Global Affairsの研究員であるルカシュ・オレイニクは、「企業側はもちろん外部からのリスク評価でそんなことを指摘されたくはありません。このためにセキュリティに関する内部基準を設け、品質保証を行なっているのです」と話す。

今回の報告書では、ファーウェイの製品に情報収集を目的とした罠が仕掛けられているという話は出なかった。しかし、そこで明らかにされた欠陥の深刻さを考えれば、米政府が同盟国に対して同社の製品を使うなという要求をやめる可能性は低いだろう。英国は過去10年弱にわたり、安全保障上の懸念に注意しつつも自国の通信ネットワークにファーウェイの機器を使用してきたが、報告書は現状に警鐘を鳴らしている。

オレイニクはこう説明する。「英国はこれまで、スパイ疑惑は技術的なことからは切り離して扱おうとしてきました。セキュリティホールなどテクニカルな面での問題については対処が可能であり、またいずれにしろ、こうしたリスクは常に存在するとしていたのです。ただ、今回の報告書ではファーウェイを巡るリスクは管理できるという政府の立場に否定的な見方が示されています」

問題に対処できていないファーウェイ

ファーウェイはこれを受け、開発過程におけるセキュリティの強化に取り組んでおり、世界の通信ネットワークにおける安全性の確保に向けた各国の規制当局とテック産業との連携を支持するとの声明を明らかにした。

「HCSECの今年の報告書では、弊社のソフトウェアエンジニアリングの能力に関する懸念の詳細が述べられています。弊社は変革に向けた努力を進めていますが、報告書の内容はそのために不可欠な情報となるでしょう」

ファーウェイは先に、こうした問題に対処するために20億ドルを投じる方針を示している。一方で、同社は問題に対処すると言いながら結局はたいしたことはしておらず、今後も大きな変化が起きる可能性は低いとの見方が一般的だ。仮にファーウェイが意図的にバグを忍び込ませることに利益を見出しているとするなら、なおさらそうだろう。