「Huawei」と「ZTE」
アメリカのトランプ政権が中国の通信機器大手の製品の政府内での使用を禁止する方針を示す中、政府は各府省庁が通信機器を調達する際の内規について、調達価格のみを基準としてきた従来の方針を改め、安全保障上のリスクも考慮に入れるよう改める方向で検討に入りました。
アメリカのトランプ政権はサイバー攻撃による安全保障上のリスクなどから、「ファーウェイ」など中国の通信機器大手の製品を政府内で使うことを禁止する方針を示し、アメリカ軍の基地が置かれている国に対して使用しないよう求めているとされています。
日本政府はサイバー攻撃による情報漏えいのリスクを避けるため、各府省庁が通信機器を調達する際の内規について、調達価格のみを基準としてきた従来の方針を改め、安全保障上のリスクも考慮に入れるよう改める方向で検討に入りました。
ただ具体的な脅威が明確になっていないため、「ファーウェイ」などといった具体的な企業名を明示することは避ける方針で、政府は早ければ来週にも各府省庁で内規の改定を申し合わせる方向で調整を進めています。
政府のサイバーセキュリティー対策を所管する桜田オリンピック・パラリンピック担当大臣は記者会見で「さまざまな脅威に対する事情があることから、諸外国の動向やサイバーセキュリティーに関わる技術の進展も踏まえ、必要な取り組みを行っていきたい」と述べました。
外相「セキュリティーと友好関係は別物」
河野外務大臣は、閣議の後の記者会見で日中関係に与える影響について、「セキュリティーの問題に政府として万全を期さなければならず、今さまざまな検討が行われているが、それと他国との友好関係は全く別物だと認識をしている」と述べました。
情報源:通信機器調達は安全保障リスクも考慮 政府 米は中国製品禁止 | NHKニュース
[東京 7日 ロイター] – 政府は、中央省庁などが使用する製品・サービスなどから、中国の華為技術(ファーウェイ)[HWT.UL]と中興通訊(ZTE)<000063.SZ><0763.HK>の製品を事実上排除する見通しだ。
複数の関係筋が明らかにした。
政府調達のセキュリティー審査基準を厳しくする。2社を名指しはしないものの、安全保障上の脅威がある場合は、政府調達で制限できる仕組みを2社に適用する。
ファーウェイはソフトバンク<9434.T>などの通信ネットワーク構築にも関わっているが、今回の締め出しは民間企業による調達は対象外となる。
ある政府関係者は「政府はセキュリティー上懸念があるものは買わないが、民間企業の調達を制限するのは難しい」と語った。
ファーウェイとZTEをめぐっては、米国が政府機関やその取引企業で両社の製品を使うことを禁止しているほか、オーストラリアも両社を第5世代(5G)携帯電話サービスのネットワーク構築から締め出した。ニュージーランドもファーウェイ製品について同様の措置を講じている。
英通信大手BT<BT.L>は5日、5Gだけでなく、既存の3Gと4Gの基幹ネットワークからもファーウェイ製品を排除すると表明するなど、締め出す動きが拡大している。
菅義偉官房長官は7日、閣議後の会見で2社の排除について「具体的な取り組み状況についてコメントすることは控える」としながらも、「わが国全体のサイバーセキュリティーの向上に向けて、引き続きさまざまな観点からしっかり取り組んでいきたい」と語った。
情報源:日本の政府調達からファーウェイとZTEを排除へ=関係筋(ロイター) – Yahoo!ニュース
情報源:日本の政府調達からファーウェイとZTEを排除へ=関係筋 | ロイター
政府は7日、中国通信機器大手の華為技術(ファーウェイ)と中興通訊(ZTE)の製品を各府省庁や自衛隊で使う情報通信機器から事実上、排除する方針を固めた。2社の製品をめぐって安全保障上の懸念が指摘されていることを踏まえ判断した。複数の政府関係者が明らかにした。
2社の製品は中国政府による情報収集やサイバー攻撃に利用されているとの指摘がある。米国で8月に成立した国防権限法は、全ての米政府機関や米政府と取引する企業を対象に、ファーウェイなど中国政府と関係のある企業の商品の使用を禁止。米政府は日本など同盟国にも同様の対応を要請しているとされる。(2018/12/07-11:57)
情報源:政府、省庁通信機器から中国2社排除=ファーウェイ、ZTE―安全保障上の懸念で(時事通信) – Yahoo!ニュース
情報源:政府、省庁通信機器から中国2社排除=ファーウェイ、ZTE-安全保障上の懸念で:時事ドットコム
読売新聞とロイター通信は、日本政府が中国通信機器大手のファーウェイとZTEの製品を事実上排除する方針を固めたと報じました。
ファーウェイ製品については、米誌WSJの報道により、「米国政府が同盟国に、安全保障上の理由から使用中止を求めている」と伝えられていたところ。6日には、カナダ政府がファーウェイCFOを逮捕していたことが明らかになっています。
読売新聞が報じたところによると、日本政府は安全保障の脅威になると判断した企業を政府調達から排除する仕組みを検討。通信回線やパソコンといった製品が対象で、政府調達に関する判断基準に、安全保障上のリスクを考慮する規定を盛り込む形で追加するとしています。読売新聞が関係筋の話として伝えたところによると、ベンダー名を名指しすることはないものの、ファーウェイとZTEの2社を念頭に置いているとのことです。
ロイター通信は同様の内容を報じた上で、「民間企業の調達を制限するのは難しい」という政府関係者の談話を伝えています。
菅官房長官は、7日午前の記者会見にて、ファーウェイとZTEに対する排除の方針について「我が国の政府機関におけるサイバーセキュリティの確保はますます重要になっている」と前置きしつつ、「現段階で具体的な取り組みを明らかにするのは控える」とコメントしました。
情報源:日本政府、ファーウェイとZTEを政府調達から排除か(Engadget 日本版) – Yahoo!ニュース
情報源:日本政府、ファーウェイとZTEを政府調達から排除か – Engadget 日本版
中国通信機器大手の「ファーウェイ」などの製品について、政府は、安全保障上の懸念から、全ての府省庁の調達から、事実上、排除する方針を固めた。
政府は、各府省庁や自衛隊などが使用する情報通信機器から、ファーウェイの製品を事実上、排除する方針を固め、同じく「ZTE」についても排除する方向。
2社は、中国政府との密接な関係が指摘されており、機密漏えいやサイバー攻撃を防ぐ狙いがある。
与党関係者は、「政府がファーウェイの製品を分解したところ、ハードウエアに『余計なもの』が見つかった」と話している。
来週にも各府省庁が申し合わせ、政府調達の内規を改めることにしている。
ただ、中国を刺激しないように名指しはしない方向。
菅官房長官は、「現段階で、具体的な取り組み状況については、コメントすることは控えたい。いずれにしろ、わが国全体のサイバーセキュリティーの向上に向けて、引き続き、さまざまな観点から取り組みたい」と述べた。
2社の通信機器をめぐっては、アメリカやオーストラリア、ニュージーランドなどの政府機関でも排除の動きが広がっている。
情報源:中国ファーウェイ・ZTE製品を排除へ 政府調達「安全保障上」 – FNN.jpプライムオンライン
【AFP=時事】日本政府はサイバーセキュリティー上の懸念に基づき、各府省庁などが使用する情報通信機器から中国の華為技術(ファーウェイ、Huawei)と中興通訊(ZTE)の製品を排除する方針を固めたと、複数の報道機関が7日に報じた。
読売新聞(Yomiuri Shimbun)や時事通信(Jiji Press)によると、政府は10日にも調達に関する内規を改め、ファーウェイとZTE製品の使用を禁止する意向。
また、読売新聞が匿名の政府筋の話として伝えたところによると、これに先立ち米国はサイバー攻撃に使用されるウイルスが仕込まれている懸念があるとして2社製品の利用自粛を同盟諸国に要請しており、さらに国内企業の製品でも2社の部品を使用していれば排除対象となるという。
読売新聞は、政府は中国を刺激しないよう、2社を名指ししない方針だと報じている。
菅義偉(Yoshihide Suga)官房長官はこの報道についてコメントを差し控えたものの、サイバーセキュリティー問題について日本は米国と緊密に協力していくと述べた。【翻訳編集】 AFPBB News
情報源:日本政府、ファーウェイ・ZTE製品を省庁から排除へ 報道(AFP=時事) – Yahoo!ニュース
情報源:日本政府、ファーウェイ・ZTE製品を省庁から排除へ 報道 写真1枚 国際ニュース:AFPBB News
米政府は、2018年5月13日に成立した2019会計年度国防授権法(National Defense Authorization Act for Fiscal Year 2019)により、全政府機関に対して、中国共産党の情報機関と関係しているファーウェイ(華為技術)およびZTE(中興通訊)が製造した通信機器の使用を禁止した。
米国に続いて、豪、印およびニュージーランドの各政府は、それぞれ5月、9月および11月に、自国の高速大容量の第5世代(5G)移動通信システムへのファーウェイの参入を正式に禁止した。
また、米紙ウォールストリート・ジャーナル(WSJ)は、11月22日に米政府が日本やドイツ、イタリアなどの同盟国に対し、ファーウェイの製品を使わないように求める説得工作を始めたと報じた。
以上のように、各国で、中国の2大電気通信企業であるファーウェイとZTEを電気通信インフラ市場から排除する動きが広まっている。
その背景には、中国の電気通信企業がもたらす安全保障上の脅威がある。
その脅威とはサイバー攻撃であり、なかんずくICT(情報通信技術)サプライチェーン攻撃である。
重要インフラに対するICTサプライチェーン攻撃は、その重要インフラが提供するサービスを中断・停止させ、社会に大混乱をもたらす。
以下、初めに米下院・情報常設特別委員会がかつて作成・公表した調査報告書について、次に、ICTサプライチェーン攻撃ついて解説する。
1.米下院・情報常設特別委員会の調査報告書
今回、注目を集めている事象の起源は、米下院・情報常設特別委員会が2012年10月に公表した「中国の通信機器会社であるファーウェイとZTEによりもたらされる米国の国家安全保障問題に関する調査報告書*1」にある。
若干長くなるが本調査報告書の経緯について述べる。
2010年1月、米下院・情報常設特別委員会のマイケル・ロジャーズ委員長は、「ファーウェイやZTEを含む中国企業により米国のセキュリティと通信インフラが脅威にさらされている」として予備調査を命じた。
*1=米下院・情報常設特別委員会「中国の通信機器会社であるファーウェイとZTEによりもたらされる米国の国家安全保障問題に関する調査報告書」https://intelligence.house.gov/sites/intelligence.house.gov/files/documents/huawei-zte%20investigative%20report%20(final).pdf
米国の情報機関や民間企業との一連の会合、聴取、調査を行った結果、この脅威が、米国にとって最優先となる国家安全保障上の懸念につながると判断し、2011年11月に本格的調査を開始した。
委員会の調査は、米国の電子通信インフラ市場に機器を売り込もうとしている中国の電気通信装置メーカーの上位2社であるファーウェイとZTEに集中した。
両会社の現または元従業員に対する何時間ものインタビュー、大規模かつ度重なる文書要請、公開情報の調査などが行われ、約1年に及ぶ調査の結果を受けて、本報告書が作成・公表された。
本報告書は、両社がもたらす安全保障上の脅威について次のように述べている。
「中国には、悪意のある目的のために、電気通信会社を通じて、米国で販売される中国製の電気通信の構成品およびシステムに、悪意のあるハードウエアまたはソフトウエアを埋め込む可能性がある」
「電気通信の構成要素とシステムを改竄する機会は、製品の開発・製造の期間を通して存在する」
「そして、ファーウェイやZTEのような垂直的に統合された巨大産業は、中国の情報機関に、悪意のあるハードウエアまたはソフトウエアを、重要な電気通信の構成品およびシステムに埋め込む多くの機会を提供することができる」
「中国は、このために、ファーウェイまたはZTEのような会社の指導部に対して、協力を求めるかもしれない」
「たとえ会社の指導部がそのような要請を拒否したとしても、中国の情報機関は、これらの会社の中の現場レベルの技術者または管理者を雇いさえすれば十分である」
「さらに、中国の法律の下では、ZTEとファーウェイは、中国政府によるどんな要請にでも、例えば、国家のセキュリティという名目の下に、悪意のある目的のために彼らのシステムを使用またはアクセスするという要請にも協力する義務がある」
「悪意のあるハードウエアまたはソフトウエアを米国の顧客向けの中国製の電気通信の構成品とシステムに埋め込むことによって、北京は、危機または戦争の時に、重要な国家安全保障上のシステムを停止または機能低下することができる」
「送電網または金融ネットワークなどの重要インフラに埋め込まれた悪意のあるウイルスは、中国の軍事力の中でも驚異的な兵器となるであろう」
「中国製の悪意のあるハードウエアまたはソフトウエアは、センシティブな米国の国家安全保障システムに侵入するための強力なスパイ活動の道具でもある」
「同時に、センシティブな企業秘密、先進の研究開発データおよび中国との交渉もしくは訴訟に関する情報が蔵置されている外部と接続されていない米国企業のネットワークへのアクセスを提供する」
上記の調査結果に基づき、本報告書は次のような提言を行っている(機器の排除に関する部分のみを抜粋)。
①米国政府のシステム、特にセンシティブなシステムには、ファーウェイまたはZTEの機器(部品を含む)を使用してはいけない。
同様に、政府契約者、特にセンシティブな米国プログラムの契約に関係する契約者は、彼らのシステムからZTEまたはファーウェイの機器を排除しなければならない。
②米国のネットワーク・プロバイダとシステム開発者には、彼らのプロジェクトのために、ZTEやファーウェイ以外のベンダーを探すことが強く求められている。
以上の報告書に基づき、2012年から実質的に米国政府のシステムからファーウェイとZTEの機器は排除されているようである。
上記の報告書のいう「電気通信企業がもたらす安全保障上の脅威」とは、危機の際に、重要ネットワークと通信へのアクセスを獲得するまたは重要なシステムを制御する、もしくは機能低下させる能力を得るためにICTサプライチェーンを危殆化しようとする国家の企ての可能性であると言える。
2.ICTサプライチェーン攻撃
本項では、実例、定義および攻撃の態様を紹介する。
(1)実例
初めにサプライチェーン攻撃の実例を紹介する。
(この実例は、拙稿『北朝鮮のミサイル発射を失敗させた米国7つの手口』(JBpress2017.4.27)の中で紹介したものであるが、ICTサプライチェーン攻撃の脅威の大きさやインテリジェンス活動を理解するのに重要であるので、再録した)
「1980年代初頭、長大なパイプラインの運営に欠かせないポンプとバルブの自動制御技術をソ連は持っていなかった」
「彼らは米国の企業から技術を買おうとして拒絶されると、カナダの企業からの窃盗に照準を合わせた」
「CIA(米中央情報局)はカナダ当局と共謀し、カナダ企業のソフトウエアに不正コードを埋め込んだ」
「KGB(ソ連国家保安委員会)はこのソフトウエアを盗み、自国のパイプラインの運営に利用した」
「当初、制御ソフトは正常に機能したものの、しばらくすると不具合が出始めた。そしてある日、パイプの一方の端でバルブが閉じられ、もう一方の端でポンプがフル稼働させられた結果、核爆発を除く史上最大の爆発が引き起こされた」
この事例は、米国の元サイバーセキュリティ担当大統領特別補佐官リチャード・クラーク氏の著書『世界サイバー戦争』(徳間書店)の中で紹介されていることから極めて信憑性が高いと見ている。
(2)定義
(米・国立標準技術研究所(NIST)の定義などを参考に筆者が作成した定義である)
「情報システムのハードウエア、ソフトウエア、オペレーティング・システム、周辺機器またはサービスに対して、それらの据えつけ前に、論理爆弾(サイバー攻撃などに用いられるウイルスの一種で、対象のシステムの内部に潜伏し、あらかじめ設定された条件が満たされると起動して破壊活動などを行うもの)やバックドア型トロイの木馬」
「またはマルウエアが埋め込まれた偽物とすり替えるなどの不正工作をし、ライフサイクルの間のいかなる時点かで、事前に埋め込んだマルウエアを始動させ、重要データの窃盗もしくは改竄したり、あるいはシステム/インフラを破壊するなどして任務遂行を不能とする」
(3)攻撃の態様*2
ICTサプライチェーン攻撃は、一般的には商業的な結びつきを通してアクセス権を有する個人または組織によって実行または促進される。
ICTサプライチェーンへの攻撃機会には、上流、すなわち製造過程と、下流、すなわち流通過程がある。以下、それぞれの攻撃の態様を述べる。
ア.上流への攻撃の態様
ネットワーク・ルータおよびその構成要素である半導体集積回路(IC)の製造プロセスは、電気通信およびマイクロエレクトロニクスのハードウエアがもたらす潜在的な脆弱性の代表例である。
半導体産業の複雑さと融通性によって、多くの会社で働いている何百人もの人々によって世界中で設計されたICを、1つのチップに組み込むことが可能となる。
チップ設計と製造のこの世界的な分業は、生産ペースを速めて、新しい製品開発のコストを下げている。
しかし、チップがより大きなICに統合されるために次の場所に出荷される前に、何億ものトランジスタの中に隠された危険な回路を探知することは困難である。
熟練した人員とエンジニアリング資源を自由に使える洗練された敵対者は、プログラム可能なチップのソフトウエアを改竄することによって、チップが他の製品への統合のために出荷される前に、メーカーに対して上流攻撃をしかけることができる。
このように、ルータ、スイッチ、または他の電気通信ハードウエアのメーカーは、数えきれない改竄の機会にさらされている。
とはいえ、米国のICTサプライチェーンに対してチップ・レベルの不正工作を実行しようとする攻撃者は、作戦上の複雑な課題に直面する。
すなわち、政府機関、ネットワーク、または民間団体の一つを標的として、上流の製造過程で不正工作しようとする攻撃者は、不正工作したコンポーネントがどこに配送されるのかを予想できなければならない。
さもなければ、攻撃に成功できないばかりか、不正工作したハードウエアを世界中の顧客に出荷させることにもなる。
*2=米下院・情報常設特別委員会「中国の通信機器会社であるファーウェイとZTEによりもたらされる米国の国家安全保障問題に関する調査報告書」https://intelligence.house.gov/sites/intelligence.house.gov/files/documents/huawei-zte%20investigative%20report%20(final).pdf
イ.下流への攻撃の態様
標的とする組織に製品を供給している下流の流通経路を攻撃することは、上流の半導体製造サプライチェーンそのものに侵入しようとする複雑さに比べれば、あまり複雑でない。
多数のシナリオが可能であるが、最も成功しそうなシナリオは、トンネル会社を作り、卸業者への特定のブランド機器の再販業者として利用することである。
それにより、敵対者は、アセンブリ(組み立て)の時にファームウエアまたはソフトウエアの中に読み込まれた「トロイの木馬」を含んだ偽物のハードウエアを埋め込むことができる。
あるいは、敵対者は、非常に関心のある標的を顧客としている再販業者と卸売業者を目的地とするブランド機器の積荷の中に完成した偽のハードウエアを混入することができる。
プロの情報機関であれば、市場で顧客リストを入手するのに時間あるいは資源などの大きな投資を必要としないであろう。
しかし、このような方法は、偽造品が発送または据え付けプロセスのいかなる点かで発見されるリスクがないわけでない。
おわりに
我が国ではサプライチェーンは、物流やモノづくりに関わる問題としてとらえられることが多い。
そのため、オープン化、グローバル化が進むICTサプライチェーンを情報セキュリティ問題と結びつけて考えることは、最近に至るまでほとんど行われてこなかった。
現在もこの状況はあまり変わっていない。このため、我が国では、政府機関や企業の中国製IT機器に対する警戒心が皆無と言っても過言でない。
我が国の政府機関などの公共機関は、製品や役務(サービス)を調達する際には最低価格落札方式を原則としている。
しかし、政府機関や重要インフラ事業者の使用するシステム・機器には高い信頼性が要求されることは言うまでもない。
従って、これらの電気通信機器の整備に際しては最低価格落札方式でなく、ICTサプライチェーン脅威を考慮した新しい調達方式が必要となっている。
また、重要インフラシステムのICTサプライチェーン・リスクへの対応は, 企業だけではできるものではなく、国と企業が一体となって進めなければならない。
まずは、ICTサプライチェーン・リスクに係る包括的な調査研究を、官民で協力して実施し、同調査研究成果を公表して、官民のICTサプライチェーン・リスクに対する認識を向上させることから始めなければならないであろう。
そして、最終的にはICTサプライチェーン・リスクマネージメント(SCRM)のべストプラクティスを策定しなければならない。
さて、我が国は、公的調達からファーウェイを排除しろという米国の働きかけにどのように対応するのであろうか。
我が国は、自ら件の中国企業の脅威を調査していないので、米国の調査結果をうのみにすることもできない。さりとて、同盟国の誘いをむげに断るわけにもいかない。そのうえ、国益と民間企業の利益は必ずしも一致しない。
都合のいいことに、WTO(世界貿易機関)政府調達協定第3条(旧協定第23条)は、加入国が「国家安全保障」のために必要な措置をとることを妨げないとしており、各国が「国家安全保障」を理由として他国企業の応札を拒絶することを許容している。
従って、我が国も、「国家安全保障」を理由としてファーウェイの製品を入札から排除することも可能である。
報道によると、米当局者の一人は今回の説得工作について米紙WSJに「米国および同盟諸国と中国のどちらがデジタル網でつながった世界の支配権を握るかをかけた『技術冷戦』の一環だ」と指摘したとされる(産経11月23日)。
米中の覇権争いの渦中にあって、我が国としては同盟国米国を選ぶしか選択肢がないであろう。
情報源:ファーウェイとZTEが米国市場から排除される理由(JBpress) – Yahoo!ニュース
情報源:ファーウェイとZTEが米国市場から排除される理由 中国の電気通信企業が国家の手先となりあの手この手のサイバー攻撃(1/6) | JBpress(日本ビジネスプレス)
ようやくか、SamsungやLGは?