英国のファーウェイ監督委員会は、この中国企業は結局のところ英国の国家安全保障に対する脅威であり、その脅威を取り除くためには既存のモバイルネットワーク機器の一部を撤去して交換する必要があると述べた。
「HCSEC(ファーウェイサイバーセキュリティ評価センター)の作業は、ファーウェイのソフトウェアエンジニアリングとサイバーセキュリティ能力における重大かつ体系的な欠陥を明らかにした」とHCSEC監督委員会は今朝発表した年次報告書で述べた。
オックスフォードシャー州バンベリーに拠点を置くHCSEC(別名ザ・セル)は、英国の諜報機関GCHQがファーウェイのソフトウェアコードにアクセスし、脆弱性やバックドアがないか検査することを許可している。
監督当局は「英国の通信事業者に多大なリスクをもたらすファーウェイのソフトウェア開発手法に関する懸念事項を特定するための作業が継続しており、継続的な管理と軽減が必要だ」と付け加えた。
報告書自体は、今日のアメリカのテクノロジー界の脅威である中国製のバックドアを特定していないが、ファーウェイの開発プロセスとモバイルネットワーク機器のセキュリティに対する姿勢における技術的およびセキュリティ上の欠陥を強調している。
ファーウェイはソフトウェア開発に20億ドルを投じると声高に語り、セキュリティ修正も含まれることを強く示唆していたにもかかわらず、HCSECはこれを軽蔑した。HCSECは20億ドルという約束を「まだ詳細が明らかにされていない活動のための初期予算案に過ぎない」と表現し、ファーウェイにゴーサインを出す前に「変革計画の詳細と、英国のネットワークで使用されている製品への影響の証拠を確認し、それが変革を推進すると確信できる」ことを望んでいると述べた。
この報告書の調査結果は、記者会見を通じてファーウェイと戦いを繰り広げてきた英国政府当局者らによってかなり前から伝えられていた。
プロフェッショナルを切実に必要とする世界のアマチュア
ファーウェイは数年前にISPから警告があったにもかかわらず、ルーターのセキュリティを怠り、ボットネットに無防備な状態にした。
続きを読む
HCSEC監督委員会が指摘した重要な問題の一つは「バイナリ等価性」であり、ファーウェイはこの問題について比較的オープンに説明してきた。HCSECのテスターたちは以前、中国政府のバックドアを検査しているバイナリが、実際の運用環境に導入されているものと同等のファームウェアにコンパイルできるかどうか不明であるという問題を指摘していた。基本的に懸念されるのは、英国の通信ネットワークにインストールされたソフトウェアが、HCSECのテスト時とは異なる動作をするのではないかということだ。
本日の報告書で、バンバリー・センターのチームは次のように述べています。「HCSECによる検証作業はまだ進行中ですが、基盤となるビルドプロセスに既に広範な欠陥が露呈しており、バイナリの等価性を大規模に実証する前に修正する必要があります。この修正が完了しない限り、HCSECが検証したソースコードが、英国のネットワークで稼働しているバイナリの構築に使用されたものと全く同じであると確信することはできません。」
HCSEC はまた、The Register が今朝独占的に詳細を明らかにした点についても強調し、次のように述べている。「あるビルドで発見された脆弱性が、持続的なエンジニアリング プロセスの通常の運用を通じて別のビルドで修正されていると確信することは困難です。」
また、HCSECはファーウェイの「構成管理の改善」についても批判し、これらの改善が製品およびプラットフォーム開発グループ全体に「普遍的に適用」されていないと指摘した。ファーウェイが「サードパーティから提供された」無名のリアルタイムオペレーティングシステム(RTOS)の「古く、まもなく主流のサポートが終了するバージョン」を使用していることについても、ファーウェイがRTOSのベンダーから延長サポートを購入していたにもかかわらず、HCSECから批判を受けた。
HCSECは「単一メモリ空間、単一ユーザーコンテキストのセキュリティモデルによってもたらされる根本的なサイバーセキュリティリスクは依然として残っている」と述べ、ファーウェイには「このリアルタイムオペレーティングシステムの英国におけるリスクを軽減する確実な計画はない」と警告した。
衛生って、シャワーで石鹸を使ってするものですよね…?
OpenSSL は Huawei で広く使用されていますが、HCSEC の見解ではおそらく広範すぎるほどです。
HCSEC が動揺し、ファーウェイに早急に解決するよう指示した後も、この中国企業は依然として「2006 年にまで遡る、公開されている 10 件の OpenSSL の脆弱性に対して脆弱なコード」を含むソフトウェアを提出した。
HCSEC が嘆いているように、Huawei はメモリ処理機能に関する自社のセキュア コーディング ガイドラインのルールを遵守するのにも苦労している。
「このような再定義により、開発者が適切なセキュリティ選択を行うことが難しくなり、コード監査人の仕事も非常に困難になる」と政府の審査官らは述べた。
今朝発表された声明の中で、ファーウェイはNCSCが明らかにしたこれらの欠陥やその他の詳細な欠陥について、それほど懸念していない様子で、「これらの懸念を理解しており、非常に深刻に受け止めている」と述べた。さらに、「(ソフトウェア開発変革)プログラムの高レベル計画は策定済みであり、クラウド、デジタル化、そしてあらゆるもののソフトウェア定義化が進む中で生じる要件を満たすため、その実施期間中、英国の通信事業者およびNCSCと引き続き協力していく」と付け加えた。
NCSCがこれらの失態のいずれも中国政府の情報収集機関の責任ではないという重要な結論を下したことについて、サイバーセキュリティ専門家のロブ・プリチャード氏はThe Register紙に次のように語った。「これは英国政府にとって興味深いジレンマを突きつけていると思います。HCSECは、基本的に中国政府による英国の重要国家インフラ(CNI)への脅威への懸念から設立されたものです。一般的な問題を発見することは良いことですが、他のベンダーはこのようなレベルの精査を受けていません。競合ベンダーの製品の方が安全であるという確かな(少なくともこれほど詳細な)保証は、私たちには存在しません。」®
