電子機器に潜むスパイウェア騒動から身の安全を考える：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

2015年に入って一部のコンシューマー製品で多くのユーザーがあまり好ましくないと感じるソフトウェアの混入騒動が起きた。こうした出来事から何を考えるべきなのだろうか。

[萩原栄幸，ITmedia]

　筆者は数年前から一部のセミナーなどの場で、一部メーカーの電子機器を社会インフラにかかわる部分に用いない方がよいとお伝えしてきた。その根拠は複数あるが、その一端が広く世間に知られる出来事が2015年に入って続いている。

　例えば、2月にはLenovoのノートPCに「SuperFish」という悪質なアドウェアが混入していることが分かった（関連記事）。詳細は関連記事にあるが、「SuperFish」は以下の特徴を持っていたとされる。

• SSLで暗号化されたWebブラウザの通信を全て傍受して暗号を解除し、それを再び暗号化する仕組みを備えている
• WebページにJavaScriptコードを仕込んで広告を表示させるなどの挙動も確認された
• SuperFishは少なくとも2014年6月からLenovoのPCにインストールされていた

「SuperFish」問題でLanovoは削除ツールを提供するなど対応も図ったが

　これは何を意味するのだろうか。一部サイトにもあるが、例えば、ユーザーがA銀行サイトに訪れ、そこで何らかのバンキング処理をしようとした際に、電子証明書をみると認証局が「A銀行」ではなく「SuperFish」になっている。システムのルート証明書まで作成されてしまう可能性もあり、インターネットの信頼を根幹から揺るがす極めて大きな問題になる可能性があった。

　この事件以前の2012年にも似た騒動が起きた。同年5月にZTEが販売するスマートフォンで「ScoreM」というバックドアが仕掛けられていることが指摘され、同社はこれを認めている（関連記事）。

　これらの事件はITの信頼の根幹に影響するだけに、本当に怖いことだ。ただしあまり報道されてはいないが、一部の機器では製造段階で既に不正チップが埋め込まれていたということが昔から指摘されている。

米国下院の特別委員会による報告書

　実際に公開されている情報としては、2012年10月に中国政府が米国の通信ネットワークにかかわる機器にバックドアを組み込む危険性があるとして、米国下院情報問題常設特別委員会が一部メーカーの製品採用を見送るよう促す勧告書を出した（関連資料PDF）。同時期にはカナダ政府も同様の懸念を示唆し、翌2013年には防衛基盤整備協会から米国の勧告書の日本語に翻訳した資料（PDF参照）が公表された。

　米国企業としてもMicrosoftは、中国製PCの約2割が出荷時点で不正な処理がなされているという調査結果を公表している。

　ここで挙げられたメーカーは、現在でもスマートフォンの大手メーカーとして知られ、国内でもその製品が販売されている。また端末だけではなく、通信ネットワークを構成する基幹システムの分野で世界的なシェアを誇っている。しかし各国政府が懸念や対応を表明し始めたのは、実はもっと早い時期の2000年代半ばだ。例えば、現在問題となっているLenovoの製品は既に以前から不正アクセスの疑いでオーストラリアや米国、英国、カナダ、ニュージーランドの５カ国の情報機関が使用禁止としている。