英国政府政府セキュリティ研究者がファーウェイのソースコードを調査しているが、英国政府の年次報告書によると、英国の携帯電話ネットワークで使用されている60以上のファームウェアバイナリのうち、これまでに検証したのはわずか8つだという。
ファーウェイサイバーセキュリティ評価センター(HCSEC)は、主にGCHQ傘下の国家サイバーセキュリティセンター(NCSC)によって運営されているが、ファーウェイ関係者も一部勤務している。同センターは、昨年の対策強化勧告に関して、同社が「限定的な」進展しか見せていないとため息をついた。
コードレビュー担当者は、「ファーウェイが社内のセキュアコーディングガイドラインを遵守していない証拠」を発見した。これは、前年と比べて若干の改善が見られるにもかかわらずだ。さらに、「The Cell」は、2019年には前年よりも多くの脆弱性が発見されたと報じた。ファーウェイはこの発見を「レビューシステムが機能している証拠」と位置付けようとしており、NCSCも慎重ながらもこれに同意した。
「NCSCは脆弱性の増加がファーウェイ製品の品質のさらなる低下を示すものとは考えていないが、それが顕著な改善や変革を示すものでないことは確かだ」と同機関は報告書で述べた。
報告書には、中国政府がコードに意図的にバックドアを仕掛けたことを示唆する内容は何もなかったが、ファーウェイが堅牢かつ安全なソフトウェアとファームウェアの構築という課題を必要なほど真剣に受け止めていないことを示唆する内容は数多くあった。
HCSECの研究者らがHuaweiのモバイルネットワーク機器ファームウェアのソースコードを詳細に調査して発見した脆弱性には、「公開されているプロトコルにおける保護されていないスタックオーバーフロー、サービス拒否につながるプロトコルの堅牢性エラー、論理エラー、暗号の脆弱性、デフォルトの認証情報」のほか、「その他多くの基本的な脆弱性タイプ」が含まれていた。
これはバックドアですか?
バイナリ等価性検証とは、HCSECに評価用に提供されたファームウェアバイナリが、英国の携帯電話ネットワークに実際に導入されているファームウェアと同一であることを確認するという難解な技術です。HCSECは2019年に、ラボで検査した8つのビルドが実稼働版と同等であることを確認しましたが、The Registerは、英国の携帯電話ネットワークには合計約60のHuawei製ファームウェアビルドが潜んでいると把握しています。
「ファーウェイは、2020年12月から英国で販売されるすべての通信事業者製品の公式リリースバージョンでバイナリ等価性を提供することを約束している」と報告書は述べ、さらに、ファーウェイはバイナリ等価性の保証の提供を継続的なプロセスではなく、ファームウェアバージョンごとに「特注」のタスクとみなしていると警告した。「したがって、NCSCはバイナリ等価性が持続可能であると確信していない」
ファーウェイ会長は、テクノロジー大手の目標は「絶え間ない攻撃」と戦う中で「生き残ること」だと語る
続きを読む
さらに懸念されるのは、深刻な脆弱性が発見されたときに何が起こるかであり、レポートでは「高い CVSS スコア」について警告していますが、The Register の理解では、スコアは一般的に 7 ~ 9 程度で、たまに 10 になることもあったようです。スコアリングの方法とその意味については、米国の National Vulnerability Database でこちらで説明されています。
「2019年、HCSECは固定アクセス製品において、ユーザーにとって重大な脆弱性を特定した」と報告書は述べている。「これらの脆弱性は、ユーザー向けプロトコルハンドラーのコード品質が特に低く、古いオペレーティングシステムの使用に起因していた。これらの脆弱性は、ファーウェイのエンジニアリング慣行の欠陥を考慮すると、より発生しやすい問題の深刻な例であり、2019年、英国の通信事業者はリスクを軽減するために特別な対策を講じる必要があった。」
そのリスクの一部は、Huaweiのリアルタイムオペレーティングシステム(RTOS)にあります。これは、「外部でメンテナンスされているLinuxディストリビューション」をベースとしており、欧米のオープンソースコードを使用したレガシーRTOSの置き換えを目的としています。これは問題を引き起こします。「NCSCは2019年にHuaweiのRTOSの管理・保守計画を調査し、RTOSに関する計画は実質的に持続可能ではないことが判明しました。」
何も見るものはありません。すべて日常です...咳咳
ファーウェイの広報担当者はThe Registerに対し、「この最新の報告書は、オープン性と透明性を保証するプロセスへの当社のコミットメントを強調するものであり、HCSECが英国におけるサイバーセキュリティリスクを軽減する効果的な方法であったことを示しています。報告書は改めて、NCSCは『特定された欠陥が中国政府の介入によるものではないと考えている』と結論付けています」と述べた。
同氏はさらに、「ファーウェイは10年近くにわたり、最高レベルの監視に直面してきました。今回の厳格な審査は、官民のサイバーセキュリティ連携の先例となり、通信業界に貴重な知見をもたらしました。この仕組みは業界全体に利益をもたらすと確信しており、ファーウェイはすべてのベンダーが同様に堅牢なベンチマークに基づいて評価され、すべての人にとってのセキュリティ基準の向上につながるよう求めています」と付け加えた。
ファーウェイはこれまで、シスコやノキアなど他のベンダーにも同社と同様のHCSEC形式の公開監視を受けるよう求めており、昨年は先導役となるためにブリュッセルでそれと同等の監視システムを立ち上げた。
本日のHCSEC報告書をまとめたNCSC前長官、キアラン・マーティン氏は昨日、議会科学技術委員会で次のように述べた。「中国政府による介入の確固たる証拠に対する懸念ではなく、ファーウェイの技術レベルでのセキュリティパフォーマンスの質に対する懸念が依然として存在しています。これは現在進行中の改善プロセスです。米国の制裁は非常に厳格に定義されており、新規配備にも影響を与えます。そのため、新規配備は制限されています。7月に発表された対策の一環として、既存の機器の保守を確実に行うための緊急時対応計画が策定されました。」
この報告書の詳細な調査結果は、英米の諜報同盟ファイブアイズによって熱心に受け入れられるだろう。その主要メンバーである米国は、西側諸国の通信インフラからファーウェイを完全に排除したいと隠していない。®
ブートノート
HCSECの報告書には、「今年のDVプロセスにおいて不備はなかった」という一文があり、世界に保証している。DVとは「Developed Vetting(開発審査)」の略で、英国政府が用いる最も厳格なセキュリティクリアランスの一つである。エル・レグは、過去数年間のHCSEC職員のDVクリアランスで何が起きたのか確認できなかった。
