「中国共産党」と「顧客」、Huawei／ZTEが忠誠を尽くすのはどっち？：「中国製」に潜む4つのリスクを検証する【後編】

IT製品の安全性をベンダーの国籍だけで判断するのは早計だ。中国企業の“脅威”の大半は臆測の域を出ない。ただし、国家と利害が連動する中国企業の体質は理解しておく必要がある。

[Joel Snyder，TechTarget]

　前編「『Huawei／ZTEは安全保障の脅威だ』――米国が中国製品に懸念」では、Huawei Technologies（Huawei）やZTEといった中国企業のIT製品で懸念される4つのリスクのうち、パケットの送信でネットワーク機器をシャットダウンさせる「マジックキルパケット（Magic Kill Packet）」、悪質なソフトウェアの意図的な導入の可能性について検証した。後編では、残る2つのリスクを検証する。

リスク3：意図しない悪質なソフトウェア

　中国企業が意図的にバックドアを仕込む可能性が低いとすると、昔ながらのシンプルなバグはどうだろう？　重要なインフラの端末やサーバにソフトウェアエラーやハードウェアエラーが含まれ、ネットワークのセキュリティが脅かされる可能性はどの程度あるのだろうか？　こうしたバグは、優先サプライヤーのリストからそのベンダーを排除する理由になるのだろうか？

　もちろん、これは本気の問いではない。ソフトウェア、ハードウェア、プロセッサのベンダーは、どこであれバグのある製品をリリースしてきているからだ。これは誰もが知っている事実である。

　こうしたバグの存在は、丸ごと1つの業界を生み出してもいる。アンチマルウェア、脆弱性分析、パッチ管理、侵入予防ソフトウェアも含め、ITセキュリティ業界の大半は、不良ソフトウェアやバグが多いハードウェア、設定構成の不備などを補うために誕生した。製品にセキュリティの欠陥が見つかったことのある全てのベンダーから購入を控えたりすれば、鉛筆と紙の世界を抜け出せずに苦労するのが落ちだろう。

関連記事

• 「JavaはGoogleへ売却すべき」――脆弱性放置のOracleに忠告
• 検出不可？　Javaの脆弱性を突く「ファイルなしボット」
• 「人の脆弱性」をあぶり出す、4つの侵入テスト手法
• 脆弱性も個人情報も丸見え？　危険な「無料の情報収集ツール」

　前編では、「VPNの乱数発生器の欠陥」について取り上げた。ただし、不備のある乱数発生器は偶然に発生し得るものであり、ときには途方もない結果を引き起こすこともある。

　例えば、Webブラウザ「Netscape Navigator」の初期のバージョンは、SSL通信に16ビットの乱数発生器しか使っていなかった。そのため、ひどく低速なコンピュータを使っても、暗号化データに対するブルートフォース攻撃を仕掛けることは容易だった。

関連記事

• Officeのパスワードを数秒で解析――専門家が語るサイバー攻撃の現状
• 多過ぎる暗号化規格がセキュアな通信を妨げる

　米マサチューセッツ工科大学（MIT）が開発したユーザー認証方式「Kerberos」は、現在Windowsのセキュリティアーキテクチャの中核をなしている。だがかつては、鍵空間（鍵の候補となり得る値の範囲）が約20ビット程度の乱数発生器を約10年近くにわたって搭載していた（鍵の数は約100万個であり、ブルートフォース攻撃を仕掛けるのは簡単だ）。

　だが、セキュリティ意識という点で、例えばHuaweiを米Cisco Systemsや米Juniper Networksと同じカテゴリに分類するのは公平ではない。Huawei自身は、自社が情報セキュリティの強化に意欲的に取り組んでいると主張している。Huaweiは、自社の公式サイトにおいて「サイバーセキュリティの脅威や課題に共同で取り組むべく、さまざまなチャンネルを介して、あらゆる政府、顧客、パートナー企業と協力したい」と述べている。

　Huaweiは言うべきことはしっかり言っているが、言ったことをしっかり実行しているわけではない。文化の問題や言語の問題など、さまざまな要因に阻まれ、Huaweiは他のベンダーと同じ道をたどれずにいる。