ファーウェイ・ZTE・カスペルスキーは危険？アメリカで禁止のススメ

　アメリカ政府がカスペルスキー製品の使用禁止令を出しました。これは、カスペルスキー製品が利用されて、ロシア政府のハッカーが米情報機関にハッキングを仕掛けたと見られているためです。また、ロシア政府はアメリカのIT企業に対し、セキュリティに関する重要な情報を開示するように迫るといったこともやっています。これは中国政府もやっていることで、非常にまずいことになっています。

2019/03/25追記：
●ジャパンタクシーのアプリ、下車後もユーザー追跡と判明
●ファーウェイなどの中国製品排除、専門家の見方は？
2021/07/30追記：
●ガチでやばい？イスラエルのスパイウェアが5万人を監視か？　【NEW】
●現役大統領ら5万人が標的、情報筒抜けプラス勝手に録画も　【NEW】


●カスペルスキーは危険？ロシア政府が利用して米政府にハッキング

2018/01/01：米紙ウォール・ストリート・ジャーナル（WSJ）によると、ロシア政府が、米国家安全保障局（NSA）の監視およびサイバー防御プログラムに関する重要な情報を盗んだといいます。

　なぜこれにカスペルスキーが絡んでくるのか？というと、NSAの契約職員が、カスペルスキー(Kaspersky)のアンチウィルスソフトウェアを使用していたことが、ハッキングを受けた原因の一つと考えられているため。そして、このカスペルスキーは、ロシア・モスクワに本社を置く会社なのです。

　WSJによると、米国の諜報機関が、「ロシアの諜報機関は広く利用されている市販のソフトウェア製品を利用して米国に対してスパイ行為を働いている」と考えている様子がうかがえると書いていました。


●アメリカ政府がカスペルスキー製品の使用禁止令

　この報道より前の9月、米政府は、全連邦機関に対してKaspersky製ソフトウェアの使用を停止するよう命じていました。当然、ロシアを拠点とするKasperskyとロシア政府とのつながりを懸念したためであると説明されています。

　ただし、カスペルスキーが侵入を積極的に支援した証拠は示されていません。カスペルスキーもWSJに宛てた声明で、「今回の疑惑を立証する証拠や情報は提供されていないため、これは新たなぬれぎぬだと考えざるを得ない」と無実を主張。

　また、「当社は、ロシアを含めいかなる国の政府とも不適切な関係にはない。サイバー空間におけるスパイ行為によって、いかなる国の政府を支援したこともなく、今後も助けることはない」とも述べています。
(NSAの機密情報がロシアに流出、カスペルスキー製品経由か--WSJ - CNET Japan　 Stephanie Condon （ZDNet.com） 翻訳校正： 矢倉美登里 吉武稔夫 （ガリレオ） 編集部2017年10月06日 11時15分 より)


●ロシアと中国政府、海外のIT企業に踏み絵を迫る

　無実を訴えるカスペルスキーですが、米家電チェーン最大手のベストバイがカスペルスキー製品の取り扱いを中止するなど、影響が出ているようです。これを伝えていたのは、米ロ電脳戦争がIT企業を翻弄：日経ビジネスDigital(2017年10月26日)という記事で、さらに別の問題も紹介されていました。

　ロイター通信が10月2日に報じたところによれば、米国防総省も使用するサイバー防衛ソフト「アークサイト」のソースコードを米ヒューレット・パッカード・エンタープライズ（HPE）がロシア政府に開示していたという問題が起きていました。

　アークサイトというのは通信記録を分析することで、外部からの攻撃をリアルタイムに検出、防衛するソフトです。HPEがこのアークサイトをロシア国営企業に販売しようとしたところ、ロシア政府からソースコードの開示を求められ、応じてしまったのだそうです。

　しかし、ソースコードを開示すれば、サイバー防衛システムの弱点がロシア政府に漏れる恐れが生じます。ヒューレット・パッカード・エンタープライズが、開示に応じてしまったのは問題がありました。

　こうした要求は中国政府もすることがあります。例えば、米アップルの幹部は16年4月に開かれた米下院の公聴会で、中国政府からソースコードの開示を要求されたものの拒否したと証言していました。中国に対しては感情的な批判が多くどうかと思うものの、このケースは本当にダメな話。で、ロシア政府がそれと同列といったことになっています。


●中国製スマホもヤバイ？アメリカで禁止のススメ

2018/11/01：読み直すと書いていませんでしたが、アメリカはHUAWEI（ファーウェイ）やZTEなど中国製スマホもスパイ行為の危険性があると主張していました。日本人もロシア製ではなく、中国製の方を怪しく思っているでしょう。ただ、政府が関与しているという主張に関しては怪しいところで、政治的な思惑による中国排除の可能性も感じています。

　一方、今回こちらに追記したのは別の話。人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か - 窓の杜(樽井 秀人　2018年7月4日 13:40)というのを読んで驚いたため。

　「Stylish」は、「Firefox」のユーザースタイルシートを管理する人気のアドオン。ところが、ユーザーの閲覧履歴のすべてを収集していたことが判明。パスワードのリセットなどで用いられる認証トークンを含んだURLなど、機密情報まで集めていました。そのため、「Firefox」の方で掲載を中止した上、無効化されました。

　この「Stylish」を運営していたのは、中国企業ではなく、Webサイト分析サービスなどを提供するイスラエルのSimilarWeb社。当初は違ったのですけど、2017年1月のによって買収後、今回の仕掛けが施されたようです。

　ただ、こうした個人情報収集の問題は、日本製のアプリなどでもちょくちょく起きています。そして、その場合にはもちろん「日本製は危険だから使うな」などとは言われません。このように「～製がヤバイ」は思い込みによる部分が大きく、特定の国のアプリやソフトにおいてヤバイ…といったことは、残念ながら言えないのではないかと思われます。


●ジャパンタクシーのアプリ、下車後もユーザー追跡と判明

2019/03/25：日本交通系のジャパンタクシー（東京・千代田）がユーザーに十分に説明せずに位置情報などを利用したとし、個人情報保護委員会から行政指導を受けていたとのこと。位置情報を集めて配車するジャパンタクシーのタクシー配車アプリが、利用者が想定していない範囲まで細かなデータを集めていた実態が明らかになったためです。

　アプリは車内のカメラ付き映像端末と連動。走行経路沿いの飲食店や不動産の広告を映すのですが、それだけでなくカメラで乗客の性別を判断して流す内容を変えていました。さらに下車後も位置を追跡。実際にその店を訪れたかどうかも調べていたとのこと。

　位置情報そのものは日本の個人情報保護法が定める「個人情報」に当たらないため、現状は持ち主の同意なく企業間で共有することは一応法的には問題ないようです。ただ、こちらは日本の法律の方に問題がありそうですね。すでに欧州は一般データ保護規則（GDPR）で位置情報も保護すべき「個人情報」と定めています。
(位置情報で日常「捕捉」、ジャパンタクシーに行政指導　　:日本経済新聞　2019/3/24 2:00より)

　ちなみに東京都の日本交通(同名の会社が多い)というのは、いわゆる大日本帝国と呼ばれる大手4社のうちの一つ。大和自動車交通、日本交通、帝都自動車交通、国際自動車で合わせて「大日本帝国」というわけ。特に日本交通は国際自動車と並んで規模が大きく、1928年（昭和3年）創業の老舗タクシー会社です。新規参入など新しいタクシー会社の問題ではないということも覚えておいてください。


●ファーウェイなどの中国製品排除、専門家の見方は？

　今回の事例は、前回の追記部で書いたような、特定の国の企業を問題視することは、本質的な対策ではないという例となっています。また、ファーウェイ関連でも専門家がそういった指摘をしています。S&J・三輪信雄社長は、以下のような話をしていました。

「特定の国やメーカーの製品を排除することはセキュリティー上の懸念を払拭するのに一定の効果はあるだろう。ただ全ての問題が解決するわけではない。安全とされるメーカーや製品でも、悪意のあるプログラムが入り込む余地はいくらでもあるからだ」
「(ドイツなどがファーウェイなど中国製品を排除する必要がないとしているのは、)特定メーカーを排除したとしても期待される効果は薄い、と判断したのだろう。それもある意味で正しい選択だ」
(ファーウェイ製品危ないか　セキュリティー専門家の目　　:日本経済新聞より)

　NRIセキュアテクノロジーズ・時田剛さんも、ファーウェイで見つかったとされる仕様書にないポートが、意図的に仕組まれた悪意あるものである証拠はないといった説明をしていました。この問題は残念ながら単純でわかりやすいものではなく、かなり難しいものなのだと考えられます。


●ガチでやばい？イスラエルのスパイウェアが5万人を監視か？

2021/07/30追記：不十分な証拠で中国を叩いているうちに、ガチでヤバそうな話が出てきました。アメリカと仲の良いイスラエルの企業の疑惑です。イスラエル企業のアプリでは、過去に本当に情報を読み取っていたことが判明したことがあるものの、今回はちょっと内容が異なる問題。中国が叩かれているものとも内容が大きく異なります。

　今回特殊なのは、疑惑があるイスラエルのサイバー企業「NSOグループ」が作った「ペガサス」が、もともと犯罪監視用に開発したスパイウェアであるということ。最初からスパイウェアとして作られたものだったんです。もちろん誰もが好きに使えるわけではなく、軍と法執行機関、および諜報機関のみが犯罪やテロ活動の監視目的のみに使われる…ということになっていました。

　ところが、そうじゃなかったのではないか？というのが今回の疑惑。国際人権団体アムネスティ・インターナショナルが入手した、約5万件の電話番号が掲載された監視対象リストによると、世界中のジャーナリストや活動家、弁護士らの監視に使われていたと判明しているのです。後述するように、監視対象者には世界トップクラスの大物もいます。

　NSOグループは当然、疑惑を否定。犯罪やテロ活動の監視目的でペガサスを使うことが許されているのは、軍と法執行機関、および諜報機関のみだと主張。ただ、こうした機関が正統な目的で使うとは限らないので、反論にはなっていません。国家情報法の中国や韓国で個人情報が危険？実はアメリカも…で書いたように、実際、アメリカなんかは違法な盗聴を繰り返してきました。

　今回の話はどこまで信頼できるのか？というのも気になるところ。ただ、これらの話を報じたイスラエル企業開発のスパイウェア　世界中の記者や活動家を監視か｜ニューズウィーク日本版 オフィシャルサイト(2021年7月20日（火）19時21分　ゾーイ・ストロゼウスキ)によると、調査についてはトロント大学の研究所「シチズンラボ」が独自にレビューを行い、正当なものだと確認しているとのことでした。かなり信頼できるのかもしれません。


●現役大統領ら5万人が標的、情報筒抜けプラス勝手に録画も

　今回の件は「監視」と言うだけでは、重大性が伝わらないかもしれません。厳密には違うかもしれませんが、「乗っ取り」という言い方をしているところもありました。標的のスマートフォン内のデータへのアクセスはもちろん、カメラやマイクの機能を強制的にオンにして情報を入手することが可能だといいます。記録すらしていない情報まで盗まれるんですね。

　また、この「乗っ取り」も異常に簡単。スマホ乗っ取り「ゼロクリック攻撃」の本当の怖さとは（平和博） - 個人 - Yahoo!ニュースによると、メッセージを受け取るだけで侵入されてしまい、ユーザーによるリンクのクリックが不要な「ゼロクリック攻撃」だといいます。アンドロイドも対象だそうですが、現在判明しているのはiPhoneが中心です。

　気になる監視対象ですが、日本人が知る超大物のとしては、フランスのエマニュエル・マクロン仏大統領がいます。フランスの大統領ですから、世界屈指の重要人物。このマクロン大統領を含む大統領3人、現元首相10人、国王1人。さらに50カ国以上、1,000人を超すジャーナリスト、600人以上の政治家、政府関係者などが標的でした。

　2018年に殺害されたサウジアラビアのジャーナリスト、ジャマル・カショギさんの妻と婚約者のスマートフォンも「ペガサス」に感染したり狙われていたそうです。婚約者については、カショギさんの殺害の4日後には、「ペガサス」が侵入しており、その後、5回にわたってハッキングされていた、という言い方もされています。

　なお、2019年にも、メッセージアプリ「ワッツアップ」の音声通話（VOIP）での弱点を悪用した「ゼロクリック攻撃」で、ジャーナリストや人権活動家、政治家、外交官など1,400人におよぶユーザーへの「ペガサス」の侵入が発覚。ワッツアップと親会社のフェイスブックは、NSOグループを相手取った訴訟を起こしていました。

　この訴訟も実際に悪用されていた可能性を高める情報だと言えますが、同じ2019年には、グーグルのセキュリティ研究チーム「プロジェクトゼロ」も問題を指摘。アップルのセキュリティ担当の「指摘されるような攻撃は(中略)、おおむね有効期間は短く、限られた人々を標的としたものだ」という説明も、攻撃があったのが事実だということでしょう。


【本文中でリンクした投稿】
　　■国家情報法の中国や韓国で個人情報が危険？実はアメリカも…

【関連投稿】
　　■体内埋込マイクロチップで電車賃を支払い スウェーデンで流行のバイオハッカー
　　■パスワードの定期的な変更や秘密の質問は安全ではなくむしろ危険？
　　■ハッカー(クラッカー)は所詮犯罪者、反省せず再犯するに違いない？
　　■日本の迷惑メール対策は甘い？シンガポールは1通65万円の罰金
　　■生体認証の問題点 エラー多発の一方、寝てる親の指で指紋ロック解除 ネット写真のピースサインから読み取りの危険性も
　　■ネット・コンピュータ・ハイテクについての投稿まとめ