中国のスパイチップに関する秘密のドラマチックな物語の中心となっているコンピューターサーバーメーカーは、その話は誤りであると再び主張し、この話全体を「技術的に信じ難い」と述べた。
米国に本社を置くスーパーマイクロ社は先週末、顧客に対し、中国政府が中国で製造中の一部のスーパーマイクロ社のサーバー用マザーボードに小型の監視チップを忍び込ませたという最近のブルームバーグ・ビジネスウィーク紙の記事の主張をすべて否定する通知を送った。
これらのバグだらけのボードは、大手銀行や米国政府の請負業者からAppleやAmazonまで、約30の組織に出荷されたとされており、チップはバックドアを開けて中国の国家スパイによるデータ抜き取りを可能にするように設計されていたとされている。AppleとAmazonは、Super Microと同様に、このようなことは一切起こっていないと主張している。
重要なのは、スーパーマイクロ社が顧客向け勧告のコピーを米国の金融監督機関である証券取引委員会に送付し、同委員会がそれをオンラインで公開したことだ。
中国スーパーマイクロの「スパイチップ」事件は、誰もが倍増するにつれてさらに奇妙になっている
続きを読む
顧客への書簡の中で、スーパーマイクロ社のチャールズ・リアン最高経営責任者(CEO)と上級副社長2人は、同社製品に監視チップが埋め込まれているというブルームバーグ氏の話は誤りであると確信していると述べた。
「我々が知っていること、そして見てきた限りでは、当社のマザーボードの製造中に悪意のあるハードウェアチップが埋め込まれたことはない」と彼らは書いている。
彼らはまた、偽陰性への対応の難しさについても不満を述べています。「たとえ報告者が影響を受けたマザーボードや悪意のあるハードウェアチップを提示していないとしても、何も起こらなかったことを証明することの難しさをご理解いただけると思います。断固として申し上げているように、不正なハードウェアチップを搭載したマザーボードを誰も見せてくれず、そのような不正なチップの存在は認識しておらず、政府機関からも不正なチップの存在について警告を受けていません。」
いずれにせよ、同社は「悪意のあるハードウェアチップが存在するという証拠がないにもかかわらず」、サプライチェーンの「複雑で時間のかかる調査」を行っている。
大きな代償を払うことになる
10月3日に公開されたブルームバーグの記事は、スーパーマイクロの株価をわずか数時間で40%以上下落させました。しかし、記事に含まれていた主要3社(Apple、Amazon、スーパーマイクロ)がいずれも記事の真実性を強く否定しているにもかかわらず、スーパーマイクロの株価は回復していません。
記事掲載後、株価は21.40ドルから12.46ドルまで急落し、胸が張り裂ける思いをしたが、本稿執筆時点では14.74ドルとなっている。これは9%の回復を示しているものの、記事掲載前と比べると依然として31%の下落となっている。
スーパーマイクロは、ブルームバーグの記事を支持する者は誰もおらず、FBI長官クリストファー・レイ氏、NSA上級サイバーセキュリティ顧問ロブ・ジョイス氏、国家情報長官ダン・コーツ氏、米国国土安全保障省、英国政府通信本部(GCHQ)を含む多数の当局者がこの記事に疑問を呈していると強調している。
しかし、この疑惑の性質――国家が支援する極秘のハッキング活動――から、誰もが、特に株式市場は依然として警戒を強めている。諜報機関は長年にわたり、誤解を招くような、時には全くの虚偽の声明を出してきたため、必ずしも最も信頼できる情報源とは言えない。
AppleとAmazonもまた、巧妙に練られた否定で厄介な状況から逃れようとする強い傾向を示してきた。そしてもちろん、Super Microにとって、この件を否定することは非常に大きな利益となる。
ハッカーの侵入を防げておめでとうございます。これで、内部不正者の対策も完了ですね?もしもし?
続きを読む
とはいえ、その否定は異例なほど具体的かつ断定的だった。時が経つにつれ、ブルームバーグ氏の報道は誤りだったという見方が広まりつつあるようだ。もっとも、より適切な説明としては、情報機関の一部が仕組んだ誤報キャンペーンを正確に報じたという見方もあるかもしれない。
El Regに関して言えば、ブルームバーグは概してジャーナリズムの金字塔と言えるものの、原文には多くの問題点がある。まず、データセンター内のバグを仕掛けたマシンからデータを盗み出すのはほぼ不可能だろう。少なくともAppleとAmazonは、予期せぬネットワークトラフィックを捕捉できる高度な監視ツールを備えているからだ。同様に、スパイチップとされるものが起動時にソフトウェアスタックにバックドアコードを注入することでOSやアプリケーションに不正な変更が加えられた場合も、彼らはそれを検知できるはずだ。
彼らはハードウェアを生産前に検査します。目視検査に加え、マザーボードをスキャンして電磁放射を検出し、PCB上または内部に密かに持ち込まれた小さなチップなど、予期せぬものを特定することも可能です。この種の技術には特許も取得されています。最後に、ブルームバーグの記事で示されたチップは小さすぎて、ソフトウェアスタックに有効なバックドアを挿入するために必要なロジックとすべてのデータを現実的に収容することはできません。これはおそらく単なるイラストであり、つまりジャーナリストはチップの存在を示す証拠を持っていなかったということです。
こちらには、IT 専門家によるブルームバーグの報道に関するさらなる分析、というか技術的な分析が掲載されています。
信じ難い
一方、スーパーマイクロ社は、自社製品に対して徹底的な検査を実施しており、製品に干渉しようとする動きがあれば必ず気付くと主張して、顧客をなだめようとした。
「当社は顧客中心主義、エンジニアリング主導の文化を掲げており、製造工程のあらゆる段階で製品をテストしています。すべての基板、すべての基板のすべての層を検査し、基板の設計を視覚的および機能的に、製造工程全体を通してチェックしています」と幹部は記し、さらにこう続けている。「当社の従業員は、組立業者と共に全工程を通じて現場に立ち会います。これらの検査には、複数の自動光学検査、目視検査、その他の機能検査が含まれます。また、マザーボードの抜き取り検査とX線スキャンを定期的に実施し、委託製造業者の定期監査も実施しています。」
また、同社は、ブルームバーグがスパイチップの仕組みについてどのように説明しているかを批判した(これを最初に行ったのは同社ではない)が、マザーボードの複雑さにより「製造および組み立て工程におけるチェックのいずれか、またはすべてに引っかからずに、機能する未承認のコンポーネントをマザーボードに挿入することは事実上不可能である」と主張した。
さらに、「製造プロセス中に、サードパーティが当社のベースボード管理コントローラと効果的に通信できるハードウェアデバイスをインストールして電源を供給することは、設計に関する完全な知識(「ピンツーピンの知識」と呼ばれる)がないため、事実上不可能です。」
同社は、同社のシステムは「Supermicro の従業員、チーム、請負業者のいずれもが、マザーボードの設計全体に無制限にアクセスできないように設計されている」と主張している。
撤回しますか?
この説明はほとんどの状況には十分だが、スーパーマイクロのマザーボードがアマゾンやアップルなどの企業や米軍に使用されているという事実を考えると、中国政府がそのようなハッキングを実行するのに必要な膨大なリソースを投入する意思がある可能性は依然として高い。
しかし、この声明は、ブルームバーグ氏が記事を台無しにしたという見方が高まっていることを反映している。先週、アップルのCEOティム・クック氏は同社に対し記事の撤回を求め、事実上誤りを認めた。そして今朝、アマゾン・ウェブ・サービスの責任者アンディ・ジャシー氏もこの呼びかけに加わり、次のようにツイートした。「ブルームバーグの記事はアマゾンについても誤りだ。彼らは証拠を提示せず、記事は変更され続け、彼らの理論が検証されない限り、私たちの回答には関心を示さなかった。記者たちは騙されたか、勝手な解釈をしただけだ。ブルームバーグは記事を撤回すべきだ。」
これまでのところ、ブルームバーグは報道内容を維持している。®
