「中国製スマホ」に潜む危険性

江添 佳代子

January 9, 2015 18:00
by 江添 佳代子

2014年12月17日、中国製スマートフォン「Coolpad(酷派)」にバックドアが仕掛けられていることを発見したと、米セキュリティ企業のPaloAlto Networksが明らかにした。同社の主張によると、このバックドアはユーザーのトラッキング、データの消去やアプリのアンインストール、不必要な広告の配信、あらゆるアプリの無許可でのインストールなど、非常に幅広い範囲の侵害を可能にするという。

Coolpadとは、中国のスマートフォンメーカー「宇龍通信(宇龍電腦通信科技)」のAndroidデバイスのブランドだ。安価で高性能な端末として人気を集めたCoolpadは、いまや中国で第3位、世界で第6位のシェアを誇っている。そのCoolpadに大規模なバックドアが開いていたという主張は、一昔前なら大きなニュースとして迎えられていただろう。

しかし今回の報道に対しては、「特に目新しい話ではない」といった反応も多い。なにしろ中国のスマートフォンに関する不穏な発見は、これまでに何度も報じられてきたからだ。2014年6月には、中国のStar(天星)社のスマートフォン「Star N9500」にスパイウェアがプリインストールされていたことが発表された。

このN9500は、韓国Samsungの「Galaxy S4」を無断でコピーした製品としても知られており、欧州では「安く買えるS4」という扱いで広く普及している。ここに仕掛けられたとされるスパイウェアも、個人データの取得や無断での通話などを可能とするものだった。さらに2014年7月には、中国のスマートフォンメーカー小米科技社(CEO雷?)の人気ブランド「Xiaomi」でも、さまざまな用途で利用できるバックドアの存在が指摘されている。

「中国製品の危険性」を巡る話は携帯デバイスだけに限られたものではない。中国レノボ社の製品のチップに「通常のセキュリティを迂回し、外部からPC内のデータにアクセスできるバックドア」が開いているのを見つけたというMI5(英国保安局)とGCHQ(英国政府通信本部)の主張は、日本国内でも大きな話題となった。

すでに米国では「安全保障上の懸念」を理由として、国立研究所などの重要な施設から、中国の大手通信機器メーカー華為技術(以下Huawei)や中興通訊(ZTE)の製品をすべて取り除き、米国ベンダーの製品に差し替えている。また豪州は2010年、全国規模のブロードバンド網「NBN」にHuaweiの製品を導入しないという決定を下した。

その後、豪州では2013年9月に政権交代が起こったため、Huaweiにとって有利な情勢になるだろうと考える向きもあったが、新政権下の豪州でも「Huawei禁止令」は存続される見通しだ(この顛末に関しては、電脳事変~サイバーインシデント・レポート~vol.019<中国とFive Eyesの「サイバー諜報合戦」>に詳しく記したので、興味を持たれた方にはご一読いただきたい)。

もちろん中国のベンダー側は、「ユーザーの情報を盗むためにバックドアを仕掛けた」という疑いを否定し、製品の安全性を繰り返しアピールしている。それでも中国政府が非常に強力なサイバー部隊を保有していることは周知の事実であり、怪しげなバックドアの存在によって「通信機器から盗まれた個人データが政府へ横流しされているのではないか」という疑いが持ち上がるのも無理はない。

とはいえ、中国のベンダーだけを槍玉に挙げるのはフェアではないだろう。なぜならバックドアの存在が指摘されているのは中国製品だけではなく、最も声高に中国製品を非難している米国の製品も充分に怪しいからだ。今回の話題と比較しやすい例としては、世界最大のネットワーク機器ベンダーCisco Systems(以下Cisco)の製品が挙げられる。

2014年5月、米諜報機関NSAがCisco製品にバックドアを仕掛けてから輸出していたことを示す文書が、NSAの元職員エドワード・スノーデンによって暴露された。Ciscoは政府への協力を否定し、「テロに悩まされる社会に本当の自由はない。しかし政府が行き過ぎた行動に出ることも、自由を侵害する可能性がある」と公式ブログで訴えた。つまりCiscoは何も知らされていなかったというスタンスであるが、疑念は消えてはいない。さらには、ルーター業界でCiscoに次ぐシェアを持つ米Juniperの製品にも、同様の処理が加えられていたことが指摘されている。

すでにロシア政府では、国の重要機関からAppleのハードウェアを取り除き、米国製でも中国製でもないSamsung製品に差し替える動きを進めている。しかし、ロシア政府が信頼を寄せている韓国製品も確実に安全だとは言い切れそうもない。たとえば、さきほど取り上げたN9500のコピー元・Galaxy S4に関しても、やはりバックドアの存在の可能性が伝えられている。

プライバシーの侵害を危惧する慎重なユーザーなら、「もはや、どの国の製品も信用できない」と考えるだろう。疑い始めるとキリがない問題だとも言えるが、結局のところは安全な通信機器メーカーを選ぶのでなく、送信されるデータそのものの安全化を図ることが、ユーザーにとって適切な対処法なのかもしれない。しかし、暗号化システムにさえバックドアが仕掛けられたという報告もあるのでは? と問われれば、あると答えざるをえないのが現実だ。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

自動車ナンバープレートの「良番」が大量に手に入る理由

April 17, 2018 08:00

by 牧野武文

四川省涼山州公安の交通警察は、自動車ナンバー取得システムに侵入し、「88888」などの縁起のいいナンバーを公開直後に不正取得し、転売をしていた犯罪集団56人を逮捕したと『新京報網』が報じた。 自動車ナンバープレート約13億円 中国人は、数字に異常とも言えるこだわりを見せる。例えば、携帯電話の番号にも…

中国ホワイトハッカーのお給料はおいくら万円?

April 10, 2018 08:00

by 牧野武文

中国のセキュリティエンジニアは、どのくらいの給料をもらっているのか。中国情報安全評価センターは、「中国情報安全従業員現状調査報告(2017年版)」(PDF)を公開した。これによるとITの急速な発展により、中国の産業地図に変化が起きていることが明らかになった。 中国でも男性が多い職業 中国で急成長をす…