2014年3月27日木曜日

中国通信機器大手ファーウェイを巡る攻防

2012年2月の話です。米空軍が大量調達を予定していたiPadを、突如調達をキャンセルした事が報じられました。これを伝えたNextgovの記事では、調達要件に含まれていたiPad用ファイル管理の定番アプリケーション”GoodReader"がロシア製だった事がキャンセルの理由であると仄めかされています。

”GoodReader"。米「良いアプリです。ロシア製なのを除けば……」


翌3月に再び調達が告示されましたが、その際の要件に特定のアプリ名は記載されていなかったそうです。Nextgovの取材に対し、GoodReaderの開発者のユーリ・セルコフ氏は「まだ70年代(米ソ冷戦時代)を生きている人がいるのか」と述べ、米空軍の対応に呆れていたようです。当時、日本でもこの報道はネットメディアでよく伝えられていて、私も時代錯誤な話だと思いましたし、ネット上の大方の意見もそんな感じだったと記憶しています。しかしその翌年、元米情報局員のエドワード・スノーデン氏の告発で米国の情報活動が暴露されてからはこう考えるようになりました。あれは、「うち(米国)はやっている」って意味だったんだなと。


ミイラ取りがミイラに

2012年12月、中国の大手通信機器メーカーの華為技術(ファーウェイ)のCEOが、米国市場からの撤退を仄めかしました。

ファーウェイ(Huawei Technologies)の創業者でCEOを努めるレン・ジェンフェイ(Ren Zhongfei、任正非)氏が先ごろ、自社製品に対するサイバーセキュリティの問題が取りざたされている米国通信機器市場からの撤退を決めたことを、フランスのニュースサイトLes Echosとのインタビューのなかで明らかにしたという。

ファーウェイは1988年、中国人民解放軍総参謀部の信息工程学院(現・中国人民解放軍信息工程大学)出身の任正非氏(現CEO)が同僚らと創設した通信機器メーカーで、2012年度の売上高は353億ドル、営業利益は32億ドルと通信機器世界最大手の米Cisco Systemsに迫る巨大企業です。通信インフラに強みを持ち、特にヨーロッパ・アフリカでは大きなシェアを誇っており、英Vodafoneグループや、日本でもソフトバンク、イー・モバイルがファーウェイの基地局設備を導入し、携帯端末も売られています。

ところがこのファーウェイ、米国やオーストラリアでは、政府の通信インフラへの参入を排除されています。理由は安全保障上の理由からです。2012年10月に米下院情報特別委員会が出したレポート”Investigative Report on the U.S. National Security Issues Posed by Chinese Telecommunications Companies Huawei and ZTE”では、ファーウェイを始めとする中国の通信機器メーカーは組織や意思決定プロセスが不明瞭であり、米国政府のシステムを任せるにはリスクが大きいとまとめています。しかし、不透明だ、もっと開示しろ、と指摘する一方で、肝心の安全保障上の脅威となる証拠は提示されませんでした。

ところが先日、スノーデン氏の暴露した情報から、米NSA(アメリカ国家安全保障局)がファーウェイのネットワークに侵入し、ファーウェイと中国人民解放軍の関係を探っていたと報じられました。

この話を報じたNYTimesと独Der Spiegelによれば、NSAは2009年からファーウェイを標的とした「Shotgiant」という監視プログラムを実施し、同社と中国人民解放軍とのつながりを探ろうとしていたという。また、当時の胡錦濤首席や中国政府の対外貿易部門、中国国内の複数の銀行や通信事業者などに対しても、NSAはスパイ活動を行っていたという。

恐らく、ファーウェイが中国政府機関と関係している証拠をネットワーク侵入などのスパイ活動で探していたのだと思われますが、2009年からの活動でも、2012年の議会レポートに活かせる証拠は発見出来なかったようです(あるいは見つけたけど出せない)。

さて、このNSAが自社ネットワークに侵入していた事を受け、ファーウェイの広報は独シュピーゲル紙にこのようにコメントしています。

「もしそれが本当なら、皮肉にも彼らが我々対して行っている事(ハッキング行為)は、彼らが中国人が我々を通じてやっていると非難してきた事と同じではないか」

アメリカがこれまで非難してきた事が、痛烈なブーメランになって返って来ました。昨今のクリミア編入問題でも、過去に西欧米が煽ったコソボ分離独立をロシアに引き合いに出されてしまった事もそうですが、ここのところアメリカ様はブーメラン喰らい過ぎです。

まあ、ファーウェイを始めとした、中国のナショナル・カンパニーに軍出身者が相当数関わっているのは事実でして、あやしー動きもあるにはありますし、中国検索大手Baiduの日本語入力ソフトshimejiも、使用者に内緒で入力情報を外部に流していた事が報じられています。でも、アメリカが一方的に非難できる資格があるかと言えば……ね?
秘密が筒抜けの海外サービス

さて、スノーデンの告発を受けて、暗号学の権威Bruce Schneier氏が政府にプライバシーを侵害されない為、市民に出来る通信の秘密の守り方を紹介しています。それを受けて、セキュリティベンダーのFortinetも独自の見解を添えて、有効な暗号やツール、または危険なサービスを分類しています。

各暗号・サービスの秘密保全度(Fortinetセキュリティブログより
緑、黄色、オレンジの順に安全度を示していますが、緑でも実装が不十分な場合は安全を保証するものではないとしています。

ここで見て頂きたいのが、Dropbox、Facebook、Gmail、Yahoo!、Skypeと、アメリカ発の有名Webサービスは軒並み「NSAは間違いなく、貴方がそこに預けたモノを解読できますよ」と書かれちゃってます。私、このサービス全部使ってますので、NSAが脅迫してきたら、跪いてペロペロ靴を舐める以外に取るべき道がありません。あ、今書いているこれもGoogleだ!

さて、中国メーカーの機械も、アメリカ発のWebサービスも、情報保全という意味で信頼ならんという結論になりそうですが、それだったら日本が取れる道ってどんなのがあるでしょうか? 

国内でも、表計算・文書ソフトでマイクロソフトOfficeが圧倒的シェアを取ってだいぶ経ちますが、官公庁では未だに国産の一太郎花子が使われているようです。また、拙稿「自衛隊の暗号携帯はAndroidスマホ? 」でもお伝えしましたように、自衛隊で使われているスマホの要求仕様は国内メーカーに限定し、OSもオープンソースで検証可能なAndroidを採用しています。このように、日本政府も無策ではないのだなあと思わせますが、まだ国内に有力IT企業がある日本だからマシは話になっている訳で、発展途上国の情報保全担当者の苦労が忍ばれます。凋落著しい日本のIT業界ですが、自国で最低限の事が出来る力はこれからも残して欲しいところです……。



参考サイトや本など

Fortinetセキュリティブログ「NSA(とGCHQ)の暗号解読能力: 真実と嘘」
セキュリティベンダー、Fortinet社のセキュリティブログです。スノーデン氏の告発を受けて、NSAの暗号解読について考察しています。嬉しい事に、Fortinet日本法人が抄訳版を掲載していますので必読。


日経ITpro「中国ファーウェイの正体」
日本で知名度の低いファーウェイについて、本社取材や副会長インタビューを交えて、その戦略や米国等での問題を取り上げた特集です。多くの著名日本企業が、ファーウェイに部材を売っている事にも触れています。


"A New Direction for China's Defense Industry"
米シンクタンクのランド研究所によるレポート。ファーウェイを始めとする中国企業を"blue chips"(アメリカの優良企業)になぞらえて”red chips”と紹介。政府、軍との関係性を主張している。


デイナ プリースト, ウィリアム アーキン「トップ・シークレット・アメリカ: 最高機密に覆われる国家

以前も何度か触れた、ワシントンポストによる911以降のアメリカ情報機関の肥大化についてのレポート。