長年にわたって、中国政府が、中国国内で生産された電話機やハードウェアにバックドアやスパイ機能を仕掛けているのではないかという疑惑が持たれていましたが、最近この懸念に真実味が増してきました。中国政府の機関が、Amazon、Apple、そして米国政府が使用するサーバーに何千ものスパイチップをインストールしたと、ブルームバーグが伝えています。ブルームバーグの記事は本当でしょうか? 私たちが使っているサーバーは安全でしょうか?このブログでは、何が起こったのか(もし起こったのなら)、IT 部門ではどのように対応すべきか、について追及してみたいと思います。
ブルームバーグの記事
ブルームバーグの記事、「The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies」はすでに読まれた方も多いでしょうが、概要は次の通りです。
ブルームバーグによると、中国政府機関のエージェントが、世界最大級のサーバーマザーボードのサプライヤーであるスーパーマイクロに侵入し、中国で生産されたマザーボードに米粒よりも小さなチップを移植しました。このチップは、変更を受け入れ、情報を漏洩させ、攻撃者からさらなる指示を受けるために外部コンピュータと連絡するように、サーバーのオペレーションシステムを書き換える機能を有します。このチップは、Amazon が買収予定のテクノロジースタックについて通常の監査を行っている際に発見されて、FBI に報告されました。FBI は調査を開始し、現在も進行中です。
ブルームバーグの記事には技術的な詳細は説明されていませんが、極小の移植チップは、ベースボード管理コントローラ(BMC)に接続されているようです。BMC をコントロールできれば、マシンに遠隔からアクセスし、そこから信号を傍受したり変更したりでき、サーバーにバックドアを仕掛けるのに十分な特権を得られます。ブルームバーグは、以下のように記述しています。
"... スーパーマイクロのハードウェアに仕掛けられたインプラントは、マザーボード上でデータが移動する際にサーバーに何をすべきかを指示するコア・オペレーション指令を操作しました...これは、オペレーティングシステムの一部が、サーバーの中央プロセッサ、CPU に向かう途中でボードの一時メモリに格納されるというクリティカルな瞬間に起こりました。インプラントは、独自のコードを注入したり、CPU が実行する命令の順序を変更したりするといった変更を効果的に情報キューに加えることができるように、ボード上に配置されていました。明らかに、小さな変更は惨事を引き起こす可能性があります。"
この攻撃は、スーパーマイクロの下請け業者4社に端を発しており、Apple や Amazon などの優良企業や、銀行や政府請負業者などに的を絞った攻撃が試みられているようです。
ブルームバーグは、このレポートが Apple、Amazon、FBI の現在または過去の匿名内部者17人からの情報を元に作成されたと述べています。
ブルームバーグの記事が意味すること
言うまでもなく、すべて本当なら、大変な事件です。このような攻撃は極めて広範な影響を与えます。まず、セキュリティへの影響を見てみましょう。ブルームバーグによると、この攻撃は Apple、Amazon、防衛省データセンター、海軍艦隊、CIAの無人機操作に影響を与えました。OPSEC(オペレーショナル・セキュリティ)の観点からは、すべてのスパイチップを見つけて攻撃を無力化する方法を見つけない限り、軍は安全ではありません。中国企業と直接競合するような企業も危険にさらされます。これは深刻な問題です。
さらに、この規模のサプライチェーン攻撃は、主要企業と政府機関が使用する何千ものサーバーをスパイできる能力を中国に与えるとともに、中国に拠点があるテクノロジーサプライチェーン全体のセキュリティに疑問をつきつけます。技術の世界においては、何十年もの間、サプライチェーンは信用できるという考え方が、信仰のようにありました。中国にはこの種のスパイ活動を実行できるとは理解しながらも、実際にはそうすることはないだろうとどこかで信じているところがありました。あまりに危ない賭けだからです。米国のハイテク企業(または消費者)がこのレポートに恐怖を覚えて、中国での製造を停止して拠点を引き上げようと決めたとしたら、中国経済やシリコンバレー、そして総合的な技術経済への打撃は計り知れないほど大きなものになるでしょう。
もし、この話が真実であると判明した場合、犯罪捜査と議会の調査が行われることは間違いなく、トランプ大統領が進めている貿易戦争が熾烈化する可能性が高まります...ただ、この「もし」が問題です。
反応は、否認、否認、否認
Apple と Amazon は、ブルームバーグの記事に対して、ハードウェア・ハックの話には真実性がないと強く否定しました。
Apple からの反応 は、「ブルームバーグは、この1年ほどの間に当社に複数回、Apple でのセキュリティ事件と称されることに関して、ときに曖昧に、ときに厳格な言葉で、問い合わせてきました。そのたび、当社では質問に基づいて厳密な内部調査を行いましたが、毎回、それを支持するどのような証拠もまったく見出せませんでした。当社は一貫して繰り返し事実に基づく回答を提示し、記録し、Apple に関連するブルームバーグの報告のあらゆる点に反論してきました。」というもので、ブルームバーグの記事に疑義を投げかけています。
Apple は、「悪意のあるチップ、”ハードウェア操作”、意図的にサーバーに加えられた脆弱性は、一度も発見されたことはなく」、また、「そのような事件に関してFBIなどの機関に接触したこともないし、FBIがそのような調査をしているかについても関知していない」、と述べています。
Apple は、10月8日、月曜日、米国下院のエネルギー商取引委員会と上院の商工会議所に公開書簡 を送って否認を最大限に強調しました。
Amazon でも、同じように全力で否定しています。
ブルームバーグの話は「真実ではありません。過去も現在も、Elemental または Amazon System のスーパーマイクロ・マザーボードに、変更を加えられたハードウェアや悪意のあるチップに関する問題は一切見つかっていません。当社は、政府の調査にも関与していません。」と、Amazon のCISO、Stephen Schmidt 氏は記述しています。
のスキャンダルの中心にあるサーバー会社のスーパーマイクロも、否定の波に乗っています。ブルームバーグに対し、「政府の調査があればいつでも協力する用意はありますが、この件に関する調査が行われていることを把握しておらず、これに関連した政府機関からの連絡も受けていません。問題になっているサーバーのサプライヤーだからということでスーパーマイクロとの契約を打ち切る顧客の存在も認識していません。」と話しています。
この種のデータ漏えいを否定したり、問題に対処する準備が整うまで内情を隠そうとすることはよくあることですが、これらの強い否認は普通の(事実を隠そうとする)反応ではないなという感覚を引き起こします。関連が取り沙汰されている各社はこぞって断固とした否定を行っています。偽証などを問われる可能性を考えると、この強固さは尋常ではありません。このように感じたのは、私だけではないようです。
中国は、多少割り引いてとらえる必要はありますが、自らをサイバーセキュリティの毅然とした擁護者であると述べ、サプライチェーンの安全性には懸念を提起する側であるとの声明を出しています。もちろん、中国には「サイバーセキュリティの毅然とした擁護者」たるにふさわしい過去はありません が、中国側の否認は、被害を受けたとされる企業が否定したことと軌を一にしてしています。
そして、ブルームバーグの記事に対する最も手厳しい反応は、米国と英国の国家安全保障部門からのものでしょう。両者とも、基本的に「何が起こったのかは分かりませんが、Apple と Amazon を信じます。」と述べています。米国国土安全保障省は次のような声明を出しています。「国土安全保障省は、テクノロジーサプライチェーンでセキュリティ侵害があったというメディア・レポートについて把握しています。協力関係にある英国の国家サイバーセキュリティ・センターと同様、この時点では、記事に記載されている企業の発言を疑う理由はありません。」
ブルームバーグはさらに別のハードウェア・ハックを報告
最初の記事から数日たっても、ブルームバーグの報告に信ぴょう性はあるかどうかの議論は続いています。さらに、ブルームバーグは、ある「大手通信会社」が、同社のネットワークのスーパーマイクロコンポーネントに同様のハードウェア・ハックを発見し、今年の8月にそれらのコンポーネントを削除したという別の関連記事 をリリースしました。ブルームバーグは、この新しい記事でレポートの裏付けとなる「文書、分析、その他の証拠」を確認したと主張しており、今回の情報ソースについて名前、Yossi Appleboum 氏、Sepio Systems のCEO、を記載しています。Sepio Systems は、この大手通信会社がセキュリティ監査を依頼したサイバーセキュリティー会社です。Appleboum 氏によると、彼は最初にスーパーマイクロのサーバーから送信された「異常なコミュニケーション」に気付き、最終的に「サーバーのイーサネットコネクタに内蔵されたインプラント」を発見しました。
これは、オリジナルの記事に報告されたのとは異なるデータ侵害ですが、効果は同じです。ブルームバーグによると、判明しないようにデータを抽出するための秘密の部品が、スーパーマイクロの工場で作られました。
国土安全保障省がサプライチェーン攻撃を否定しているというトピックに関しては、Appleboum 氏はブルームバーグに次のように話しました。「西側情報筋から、デバイスが広州市のスーパーマイクロ下請け工場で作られたと聞きました。」それが本当なら、国土安全保障省は、本当はハードウェア・ハックによるサプライチェーン攻撃について知っていたことになります。
では、政府の反応はどうでしょうか?Christopher Wray FBI 長官は、上院の国土安全保障委員会の前で行われた聴聞会で、このトピックに触れ 、上院議員に「読んだことに関して注意深くあってください。」と念を押しました。
技術的な詳細で疑惑が深まる
このように拒否と反駁が錯綜して混乱が生じていますが、サプライチェーン攻撃の技術的詳細を追求しようとすると、事態はさらに不透明になります。中核となるのは、米粒よりも小さいとされるコンポーネントが、ハッキングに必要な悪質なアクションを実行するのに十分な能力を備えているのかという点です。微小なチップで、改変を受け入れられるようにサーバーのOSを変更でき、さらなる指令を受けるために外部のコンピュータにコールバックできる必要があります。
複雑そうに聞こえますが、実際、複雑な処理です。現実、実現可能な現実性という意味で、であるには複雑過ぎるかもしれません。そして、セキュリティ・コミュニティには、ブルームバーグの記事において、この点を疑問視する人たちがいます。ブルームバーグのオリジナルの記事で情報源として名指された研究者が、ハックの技術的証拠に疑問を投げかけています。Hardware Security Resources, LLC の創設者である FitzPatrick 氏は Risky Business Podcast のホストに、ブルームバーグの記事に記述されているハードウェアのバックドアが「理に適っていません。」と語りました。
FitzPatrick 氏は、これについてツイッターで発信 しました。システムをエクスプロイトするには、シリコン設計、ハードウェア・プロトタイピング、製造プロセスを必要としない、様々なソフトウェア手法があり、移植された後に物理的なアイテムを残すことはありません。(それをハードウェアだけで行おうとするのは理に適っていません。)FitzPatrick 氏は、ハードウェア・インプラントの詳細記事 も執筆しています。
FitzPatrick 氏は、ブルームバーグのフォローアップ記事を探しましたが、情報ソースは一人でした。Sepio Systems の Appleboum 氏です。
評決と対策
ここまでお読みくださった方は、結論を期待されていたことと思いますが、申し訳ありません、評決はまだ下っていません。
一方では、火のないところに煙は立たないの譬えにのっとるなら、火がないにしてはあまりにも多量の煙が出ています。ブルームバーグのような世界的に有名な情報サービス会社が、このようなセンセーショナルな記事を厳密な事実チェックを行うことなく発表するとは考えられません。わずか数日後に同じ主張をする別の記事を出したことからも、ブルームバーグの姿勢は一貫しています。
しかし、他方では、ブルームバーグの記事をサポートするような情勢は確認できていません。
技術的な詳細から始めると、このようなことは技術的には可能かもしれませんが、技術的な面からも、マンパワーの面からも膨大な作業が必要になります。BMCをターゲットにした従来のソフトウェア・ハッキングでも、同じ効果が得られる可能性が非常に高いのに、なぜハードウェア・ハックなのかは大いに疑問です。
また、関連する技術企業からの直接的な否定は断固としています。Apple は議会に公開書簡さえ送りました。もしこれらの否定が虚偽であると判明した場合、証券詐欺から GDPR コンプライアンス違反に至る、深刻な訴訟問題に巻き込まれる可能性があり、単なる言い逃れ的な否定とは思えません。
そして特筆すべきこととして、ブルームバーグの記事の現実的な意味合いがあります。このレポートは株式市場に大きな影響を与えました。スーパーマイクロの株式は初日に50%下落し、Amazon と Apple の株価は約2%下落しました。その後、これらの株価は回復しましたが、ブルームバーグの意図が何だったのか、疑念が持たれるところではあります。
いずれにしても、確かなことが1つあります。ブルームバーグの記事は、世界中のIT関係者をハードウェア・ハックに注目させました。これを念頭に置いて、管理するネットワークにそのような攻撃があったかどうかを検出するにはどうすればいいでしょうか?@MalwareJake は次のようにツイートしています。
この攻撃を検出するための最初のステップは、マシンからの異常なネットワークトラフィックを検出 することです。認識できないIPアドレスにメッセージを送信しているマシンが表示された場合は、何かがおかしいという確かな兆候と考えられます。本格的なネットワーク監視ツールを使用すると、入退出トラフィックを簡単に監視し、状況が正常の範囲を超えたら警告するよう設定することができます。 WhatsUp Gold などのツールは、ダークウェブに出入りするトラフィックを識別 することさえできます。ネットワーク監視が唯一のセキュリティツールということではもちろんありませんが、セキュリティの第一歩にはなります。