最新の英国の諜報機関と米国土安全保障省の当局者は、中国の工作員がスーパーマイクロのサーバーに隠し監視チップを密かに持ち込むことができたという西側ハイテク企業の否定を支持した。
大手メディアの巨大組織ブルームバーグは先週、中国軍の情報機関が米国スーパーマイクロの中国下請け製造会社に圧力をかけたり、賄賂を渡したりして、同社のサーバーメーカーのマザーボードに小型の秘密スパイチップを組み込ませたと報じた。ブルームバーグの複数の情報筋によると、米粒大とされるこのチップは、中国がコンピューターにバックドアを仕掛け、中国政府が遠隔地からデータを密かに改ざんしたり盗み取ったりできるようにするために挿入されたという。
中国スーパーマイクロ社のスーパースパイチップスキャンダルを解読: 私たちは何を知っているのか? そして誰が真実を語っているのか?
続きを読む
ブルームバーグの情報筋によると、大手銀行から米国政府の請負業者まで、盗聴されたマシンを受け取ったとみられる約30の組織の中には、AppleとAmazonが含まれていた。Apple、Amazon、Super Microは、広報担当者による通常の「特に国家安全保障に関する噂や憶測にはコメントしません」という声明ではなく、盗聴されたサーバーの存在も、発送も、受領も一切否定する痛烈な反論を発表した。また、FBIによる内部調査も否定した。
これらの企業はその後、ファイブアイズ主要2カ国、英国とアメリカの安全保障機関から支援を受けている。重要なのは、これらの機関はブルームバーグ氏の判断が間違っていたとは言わず、ブルームバーグ氏の判断が間違っていたと主張する人々に賛同しているだけだということだ。
英国国家サイバーセキュリティセンター(NCSC)は、諜報活動の中枢である政府通信本部(GCHQ)傘下の機関であり、週末の冒頭で次のように述べた。「メディアの報道は承知していますが、現段階ではAWS(Amazon Web Services)とAppleによる詳細な評価を疑う理由はありません。NCSCはセキュリティ研究者と秘密裏に連携しており、これらの報道について信頼できる情報をお持ちの方は、ぜひご連絡ください。」
そして土曜日、アメリカ国土安全保障省ははっきりとこれに同意した。
もしそれが一撃だとしたら、次は追撃だ: ロイターは、アップルとFBIのトップ弁護士がブルームバーグが何を言っていたのか全く分かっていなかったと報じている:
情報セキュリティの専門家たちは、ブルームバーグが17人の匿名の情報源以外に、記事を裏付ける確かなデータや技術情報を欠いているとして批判し始めている。特に厄介なのは、この大々的な記事で使用されているスパイチップとその基板上の配置を示すグラフィックが、単なる説明に過ぎないように見えることだ。そのため、主張の検証はおろか、サーバーのマザーボードに北京のバグが存在するかどうかの確認さえ困難になっている。
GoogleのProject Zeroに所属する、ソフトウェア脆弱性ハンターの最高峰、タヴィス・オーマンディ氏は、匿名の情報源を信じることと、公式発表に基づく否定を信じることの難しさを次のように要約した。「サスカッチが存在しないことを証明できないのと同じように、(スパイチップが)存在しないことを証明することはできません。これはまるでケムトレイルの領域のように思えてきます。」
一方、ブルームバーグは厳格で極めて高い編集基準を掲げており、記事に誤りがあり訂正が必要となると、キャリアを終わらせかねません。これほど大きなニュースを台無しにしてしまうとは、考えられないほどです。
一方で、テック企業からは異例のほど直接的な否定が出ている。嘘だと判明すれば証券詐欺法に抵触するような類のものだ。そして今、政府関係者もそれらの反論を支持している。もしテック大手と政府が、これまで厄介な状況から逃れるためにもう少しエネルギーを費やしていなかったら、彼らの発言はもう少し真剣に受け止められていたかもしれない。
結局のところ、少なくとも、より多くの人が、より綿密に調査する必要がある領域であるサプライ チェーンのセキュリティについて認識するようになりました。®
追加更新
アップルは今週、米国下院および上院の商務委員会に宛てた書簡で、ブルームバーグによるスーパーマイクロのスパイチップに関する衝撃的な報道を改めて否定した。具体的には、下院商務・科学・運輸委員会と上院エネルギー・商務委員会宛ての書簡である。
情報セキュリティ担当副社長ジョージ・スタサコプロス氏の署名入りのこの書簡は、クパチーノ州が先週出した公式声明よりも詳細な反論となっている。
スタタコプロス氏は次のように書いている。「結局のところ、我々の内部調査は、記事でなされたすべての重要な主張と矛盾している。我々が指摘するように、その一部は単一の匿名の情報源に基づいていた。」
「アップルは、いかなるサーバーにも悪意あるチップや『ハードウェア操作』、あるいは意図的に仕掛けられた脆弱性を発見したことはない」と書簡には付け加えられており、FBIに関しては、アップルは連邦政府に連絡しておらず、連邦政府もアップルに連絡を取っていないと主張している。
書簡ではまた、チップがデータを抜き出すのであれば、外部と通信する必要があるとも指摘した。
ブルームバーグが報じている状況では、いわゆる侵入されたサーバーがアウトバウンド接続を行っていたとされています。Apple独自のセキュリティツールは、まさにこの種のアウトバウンドトラフィックを継続的にスキャンしています。これはマルウェアやその他の悪意のある活動の存在を示唆するからです。しかし、何も発見されませんでした。
