ファーウェイは、顧客情報を盗み出し、メーカーの事業を妨害するために悪用される可能性のある、中国大手企業のウェブシステムに存在する、現在修正済みの重大な脆弱性について、情報セキュリティ研究者が議論することを禁じた。
イタリアのセキュリティ調査会社スワスキャンのチームは月曜日、レジスター紙に対し、過去1カ月以内に通信機器メーカーのファーウェイのウェブサイトとオンラインサービスの欠陥について非公式に警告し、悪用可能なバグは適切に修正されたと伝えられていると語った。
しかし、中国大手企業のウェブシステムのどの部分が危険にさらされていたのか、どのような情報が盗難または改ざんされた可能性があるのか、製造元のどの事業部門が影響を受けた可能性があるのか、そしてこれらのセキュリティホールが侵入者によって悪用されたのかどうかは不明である。ファーウェイはコメントを拒否している。Swascanは、ファーウェイの脆弱性開示手続きの一環としてNDAを締結しているため、これ以上のコメントを禁じられていると思われる。
「スワスキャンの専門家は、ファーウェイのインフラとウェブアプリケーション内にいくつかの重大な問題を特定した」とスワスキャンチームは少なくとも日曜、ファーウェイの承認を得たプレス声明で述べた。
「結果として、責任ある脆弱性開示により、悪意のある攻撃者やサイバー犯罪者によって悪用された場合、事業継続性、ユーザーのデータと情報のセキュリティ、サービスの通常の運用に影響を及ぼす可能性のある、重大と評価されたいくつかの脆弱性が明らかになりました。」
Swascanの共同創業者であるピエルグイド・イエッツィ氏に詳細を尋ねたところ、同氏は「申し訳ありませんが、発見された脆弱性についてこれ以上の詳細や情報は提供できません。プレスリリースはファーウェイから直接承認を得たものです」と答えた。
脆弱なウェブシステムは公開されていたため、これらの重大な脆弱性を認識しているハッカーは、インターネット経由でプログラミング上の欠陥を悪用することができたと考えられる。
中国大手ファーウェイのファームウェアには脆弱性が多すぎる:バグハンターがひどいコードを非難
続きを読む
HuaweiがSwascanに開示を許可したのは、発見されたバグの種類、すなわち境界外メモリ書き込み、境界外メモリ読み取り、そしてOSコマンドインジェクションのみである。発見された脆弱性の数、パッチ適用されたサービス名、脆弱性のCVE番号、バグが悪意のある攻撃者によって悪用されたかどうか、そしてパッチ適用時期といった重要な詳細は、HuaweiがサニタイズしたSwascanレポートからすべて省略されている。
ちなみに、境界外メモリ書き込みは通常、メモリバッファを想定以上のデータでオーバーフローさせ、ハッカーが攻撃対象プログラムの実行フローを乗っ取ることを伴います。しかし、境界外書き込みには他にも種類があるため、この説明はあまり役に立ちません。境界外メモリ読み取りは、情報を盗んだり、実行中のソフトウェアの内部情報を取得してASLRなどの防御を破ったりするために利用されます。繰り返しますが、これもあまり具体的ではありません。コマンドインジェクションはその名の通りですが、その方法は様々です。
現時点では、ファーウェイにはセキュリティ上の欠陥について話す義務はない。スワスキャンを完全に封じることもできたはずだ。多くの企業は、脆弱性を非公開で公開した企業には沈黙を要求する。しかし、顧客のデータと業務が明らかに危険にさらされていたことを考えると、ファーウェイのこの件における秘密主義は懸念を呼ぶだろう。過去には、パッチを適切に適用せず、ソフトウェアエンジニアの劣悪な慣行として非難されてきた。もしかしたら、すべての欠陥を修正していないかもしれないと恐れて、詮索されるのを嫌がっているのかもしれない。あるいは、コーディングの失敗を恥じているのかもしれない。いずれにせよ、バグは誰にでもあるものだ。
もちろん、バグがそれほど深刻ではなかった可能性もあります。しかし、なぜHuaweiは沈黙を守っているのでしょうか?
この不透明性は、ファーウェイが製品のセキュリティと、くまのプーさんを検閲するほど権威主義的な中国当局との密接な関係を理由に、厳しい監視の目にさらされている中で生じたものだ。ファーウェイは、中国当局から独立して事業を展開していると主張している。
米国政府は、スパイ活動への懸念を理由に、ファーウェイ製品の使用を一切公にしないと明言しており、同盟国に対し、新規または既存の無線ブロードバンドネットワークで使用される製品の提供からファーウェイを排除する独自の政策を制定するよう圧力をかけている。
業界は最近、ワシントンDCが禁止措置を撤回するかもしれないと期待しているが、政府当局は現時点ではそうする予定はないという。®
