中国の工作員がアマゾン、アップル、米国政府が使用するスーパーマイクロのサーバーにスパイチップをこっそりと侵入させたという衝撃的な噂の真偽については、発表から5日以上経った現在も激しい議論が続いている。
火曜日、この主張の背後にあるメディアであるブルームバーグは、その報道に対する高まる批判に応えて、「米国の大手通信会社」が、この事件の中心となっているコンピューター製造会社スーパーマイクロの部品に同様のハードウェアハッキングを発見したという新たな関連記事を掲載した。
この最新の記事は、元の記事の専門家の一人がインタビューで完成した記事について懸念を表明し、ブルームバーグ氏が記事を発表する前に十分な事実確認を行ったかどうかを疑問視した後に発表された。
この新たな記事は、アップルが米議会委員会に送った、記事の主要部分に対する2度目の、さらに強い否定や、ブルームバーグが重大な報道ミスを犯した可能性を主張する、英国と米国両政府の情報機関の声明を受けて発表されたものである。
両者の立場は明確かつますます強固になっており、両者は完全に対立しているため、セキュリティ専門家の間では、この報道がほぼ正しく、中国が実際にスーパーマイクロのマザーボードにスパイ用チップを組み込んだのか、それとも報道陣が情報を誤って推論し、不正確な情報を掲載してしまったのか、いまだ結論が出ていない。
こうした不確実性に直面し、一部の人々は統一的な説明を求めている。それは、ブルームバーグ氏が、独自の理由から世界の電子機器サプライチェーンへの中国の介入という疑念を煽り立てたいと考える情報機関の一部によって誤誘導されたというものだ。ブルームバーグ氏は、情報機関による誤情報キャンペーンを正確に報じている可能性もある。
別の専門家、別の報告書
ブルームバーグは最新の記事で、中国の干渉に関する「文書、分析、その他の証拠」を見たと主張している。今回のケースでは、スーパーマイクロ社製の「操作されたハードウェア」が米国の大手通信会社のネットワーク内で発見され、8月に撤去された。
この報告の出所は、セキュリティ専門企業セピオ・システムズのCEO、ヨシ・アップルボウム氏です。アップルボウム氏は、匿名の同社が依頼したデータセンター監査の一環として、スーパーマイクロ社のサーバーから「異常な通信」が発信されているのを発見したと主張しています。
アップルバウム氏によると、当該ボードの物理的検査により、「サーバーのイーサネットコネクタにインプラントが組み込まれている」ことが判明した。ブルームバーグは影響を受けた企業を把握しているが、セピオ・システムズと当該企業の間で締結された秘密保持契約に基づき、企業名を公表していない。
ブルームバーグは、このイーサネットインプラントは「先週のブルームバーグビジネスウィークのレポートで説明されたものとは異なる」と指摘する一方で、変更がスーパーマイクロの工場で行われ、データを抽出する際に目に見えないように設計されているという事実を含む「重要な特徴」を共有していると主張している。
アップルバウム氏は、衝撃が中国の工場で導入されたという結論に至ったと主張している。しかし注目すべきは、彼がさらに「西側情報機関の連絡先から、この装置は中国南東部の港湾都市、広州にあるスーパーマイクロの下請け工場で製造されたと聞かされた」と述べている点だ。
アップルボウム氏は、セピオチームが中国製の他のマザーボードでも同様のインプラントのバリエーションを確認したことや、他国の諜報員からスーパーマイクロのハードウェアに対する不正操作をしばらく追跡していたと知らされたことなど、一連の興味深い発言をしている。
あなたは何も知らない、DHS
ブルームバーグ氏はこの報道を根拠に、米国国土安全保障省(DHS)が当初のスパイチップ疑惑に関する報道を「疑う余地はない」と否定した声明に反論した。ブルームバーグ氏は、FBIによる捜査はあったものの、それはFBIの「サイバー・対諜報チーム」が担当したものであり、DHSは関与していなかった可能性があると主張している。
言い換えれば、ブルームバーグは、自社の記事の強力な否定に驚いたようで、自社が報じた調査について知っていたのは少数の人々だけであり、不正確であるという主張は単にその調査について知らない人々から出たものである可能性があると主張している。
スーパーマイクロの中国製スーパースパイチップスキャンダル:米国国土安全保障省と英国のスパイがアマゾンとアップルの否定を支持
続きを読む
それはもっともらしい説明です。AppleとAmazonは、企業体と連絡を取らない隔離されたセキュリティ部門を有しており、スパイチップを発見し、諜報機関と協力したのは彼らである可能性もあります。このような企業間の距離は、幹部が自らの活動や発見を否定するための緩衝材となるでしょう。
しかし、同じくらい可能性が高いのは、ブルームバーグの記者が報道に誤りを犯し、組織が記事のファクトチェックを適切に行わなかった可能性だ。あるいは、諜報機関による誤報キャンペーンに偶然遭遇し、特定の人々の間でその効果を効果的に報道していた可能性もある。
イーサネットのハッキングを指摘するこの新しい記事は、明らかに元の記事を裏付けることを意図しているが、詳細が大きく異なり、むしろ具体的ではないこと、また、レポート全体が単一の情報源に基づいていることから、元の記事の信憑性を疑い始めているセキュリティ専門家の間では逆効果となっている。
さらに、オンライン探偵たちは記者自身を調査し、セキュリティ問題に関する過去の報道の誤りを特定し始めている。
適切な事実確認が不十分だった可能性については、今週初め、ブルームバーグがスパイチップの実際の仕組みを説明するために話を聞いたセキュリティ専門家の一人、ジョー・フィッツパトリック氏が、オーストラリアのベテラン情報セキュリティジャーナリスト、パトリック・グレイ氏にインタビューした。その中でフィッツパトリック氏は、ブルームバーグのスパイチップ記者に対し、それが実現可能かどうか疑念を抱いており、最終的な記事には「不快感」を覚えると伝えたと述べた。
しかし注目すべきは、彼が話したことや最終的に報告書に載った関連詳細について、事実確認をするために彼と話をしたのはバーグの記者以外の誰もいなかったと彼は主張していることだ。
調達
フィッツパトリック氏は、記事の別の時点では彼を匿名の情報源として描写していた可能性さえ示唆している。もしこれが事実であれば、記事の出典が本当に確かなのかという疑問が生じるだろう。
フィッツパトリック氏は、2人の記者のうちの1人であるジョーダン・ロバートソン氏に説明した理論上のシナリオは、記事の匿名の情報源の1人が実際に起こったと述べたシナリオと全く同じだったと述べている。
「私がこれらのことを説明し、彼がそれを確認し、私が説明したことが100%情報筋によって確認されたというのは私にとって驚きだった」と、彼はポッドキャスト番組「リスキー・ビジネス」で語った。
フィッツパトリック氏はその後、中国政府がなぜ記事で取り上げられた特定の手法を実際に採用したのかについて、いくつかの推測を展開した。「ハードウェアを使ったより簡単な方法はたくさんある。ソフトウェアやファームウェアを使った方法もある。あなたが説明している方法は拡張性に欠け、論理的ではない。私ならそうするだろうし、私の知り合いもそうしないだろう」と彼は述べた。
しかし、この専門家の意見は、そのような攻撃は実行するのは非常に難しいが、理論的には可能だと指摘する他のセキュリティ専門家の意見と矛盾している。
つまり、5日間にわたる厳しい調査を経ても、この話が真実かどうかは誰にも分からないということだ。今週何が起こるか見守るしかない。®
