中国がハイテク企業に製品のハッキング可能な欠陥を明らかにするよう要求

国家が支援するハッキング活動にとって、未修正の脆弱性は貴重な武器となる。諜報機関や軍隊は、ハッキング可能なバグが明らかになると、それを狙い撃ちし、スパイ活動やサイバー戦争に悪用する。あるいは、数百万ドルを投じて新たなバグを発掘したり、ハッカーのグレーマーケットから秘密裏に購入したりする。

しかし、過去2年間、中国は脆弱性に関する情報を入手するための新たな手段を導入してきた。それは、国内で事業を展開するネットワーク技術企業に対し、情報提供を義務付ける法律である。テクノロジー企業は、自社製品にハッキング可能な欠陥を発見した場合、中国政府機関への報告が義務付けられる。新たな調査によると、政府機関は場合によっては、その情報を中国政府系ハッカーと共有しているという。また、中国に拠点を置く外国企業がこの法律を遵守し、間接的に中国当局に自社顧客をハッキングする新たな方法についてのヒントを与えている可能性を示唆する証拠もいくつかある。

アトランティック・カウンシルは本日、2021年に可決された中国の法律の影響を調査した報告書を発表した。この法律は、中国で活動する企業やセキュリティ研究者がテクノロジー製品のセキュリティ上の脆弱性の発見に対処する方法を改革することを目的としている。この法律では、とりわけ、自社製品にハッキング可能な欠陥を発見、または知ったテクノロジー企業は、2日以内にその情報を工業情報化部と呼ばれる中国政府機関に共有しなければならないと規定されている。情報化部は、その欠陥をデータベースに追加する。このデータベースは中国語で「サイバーセキュリティ脅威および脆弱性情報共有プラットフォーム」と訳されるが、英語ではより簡略化された「国家脆弱性データベース」と呼ばれることが多い。

報告書の著者たちは、中国政府によるこのプログラムの説明を綿密に調べ、脆弱性情報がその後辿る複雑な経路を解明した。データは、中国のネットワーク防衛を専門とする機関である中国国家コンピュータネットワーク緊急対応技術チーム／調整センター（CNCERT/CC）を含む、複数の政府機関と共有されている。しかし、研究者たちは、CNCERT/CCが技術「パートナー」にレポートを提供していることを発見した。その中には、セキュリティ上の脆弱性の修正ではなく、その悪用に専念する中国の組織がまさに含まれている。そのようなパートナーの一つが、中国国家安全部北京支局である。同部は、近年、スパイ活動から破壊的なサイバー攻撃まで、中国で最も攻撃的な国家支援ハッキング活動の多くを担っている機関である。また、脆弱性レポートは上海交通大学とセキュリティ企業Beijing Topsecにも共有されている。両社は、中国人民解放軍によるハッキング活動に協力してきた実績がある。

「規制が発表された直後から、これが問題になることは明らかでした」と、アトランティック・カウンシルのグローバル・チャイナ・ハブの研究員であり、報告書の著者の一人であるダコタ・キャリー氏は述べている。「今回、報告義務のある報告体制を運営し、報告された脆弱性にアクセスできる人々と、攻撃的なハッキング活動を実行する人々との間に、実際に重複部分があることを実証することができました。」

テクノロジー製品の脆弱性を修正するには、ほとんどの場合、中国の法律で定められた2日間の開示期限よりもはるかに長い時間がかかることから、アトランティック・カウンシルの研究者は、この法律によって中国を拠点とする企業は実質的に不可能な立場に追い込まれると主張している。つまり、中国から撤退するか、その情報を攻撃的なハッキングに利用する可能性のある政府に、企業製品の脆弱性に関する機密情報を提供するか、どちらかを選ばなければならないということだ。

研究者たちは、実際には一部の企業が後者の選択肢を取っているように見えることを発見した。彼らは、2022年7月に工業情報化部内の研究機関が中国語ソーシャルメディアWeChatのアカウントに投稿した文書を指摘している。この文書には、脆弱性情報共有プログラムに参加した「審査に合格した」企業がリストアップされており、掲載されている企業が法律を遵守していることを示唆している可能性がある。このリストはたまたま産業用制御システム（ICS）技術企業に焦点を当てており、ベッコフ、ディーリンク、KUKA、オムロン、フェニックス・コンタクト、シュナイダーエレクトリックという6つの外資系企業が含まれている。

WIREDは6社すべてに対し、実際に法律を遵守し、自社製品の未修正の脆弱性に関する情報を中国政府と共有しているかどうかを尋ねた。D-LinkとPhoenix Contactの2社のみが、未修正の脆弱性に関する情報を中国当局に提供したことをきっぱりと否定したが、他のほとんどの企業は、中国政府には比較的無害な脆弱性情報のみを提供し、その情報を他国政府や自社の顧客に提供していると主張した。

アトランティック・カウンシルの報告書の著者らは、工業情報化部のリストに掲載されている企業が、中国政府のハッカーが直ちに利用できるような詳細な脆弱性情報を提供している可能性は低いと認めている。セキュリティ上の脆弱性を悪用するハッキングソフトウェアツールである信頼性の高い「エクスプロイト」のコーディングは、時に長く困難なプロセスであり、中国法で要求される脆弱性に関する情報は、必ずしもそのようなエクスプロイトを直ちに構築できるほど詳細ではない。

しかし、この法律の条文は、企業に対し、影響を受ける製品の名称、型番、バージョンに加え、脆弱性の「技術的特徴、脅威、影響範囲など」を提供することを、やや漠然とではあるが義務付けている。アトランティック・カウンシルの報告書の執筆者がハッキング可能な欠陥を報告するためのオンラインポータルにアクセスしたところ、コードのどの部分が脆弱性を「引き起こす」のか、あるいは「脆弱性発見プロセスの詳細な証拠」を示す動画を詳細に入力するための必須入力フィールドに加え、欠陥を証明するための概念実証エクスプロイトをアップロードするための任意入力フィールドがあることがわかった。これらはすべて、他の政府が通常要求する情報や、企業が顧客と共有する情報よりもはるかに多くの、パッチ未適用の脆弱性に関する情報である。

詳細な情報や概念実証のエクスプロイトがなくても、必要なレベルの具体的なバグの説明だけで、中国の攻撃的なハッカーたちが新たな脆弱性を探す「手がかり」になるだろうと、サイバーセキュリティ企業ソフォスの公共部門最高技術責任者で、アトランティック・カウンシルの報告書の共著者でもあるクリスティン・デル・ロッソ氏は述べている。彼女は、この法律が、企業がパッチを適用し、システムを守る努力に対抗する中で、国家支援のハッカーたちに大きなアドバンテージを与えている可能性があると主張している。「これはまるで、『ここを見て掘り始めろ』と指示する地図のようなものです」とデル・ロッソ氏は言う。「私たちは、これらの脆弱性が武器化される可能性に備えなければなりません。」

もし中国の法律が、実際に同国の国家支援を受けたハッカーがハッキング可能な脆弱性をより多く獲得するのを助けているとすれば、深刻な地政学的影響を及ぼす可能性がある。中国のサイバースパイ活動と、破壊的なサイバー攻撃の準備状況をめぐる米国と中国の緊張は、ここ数カ月で最高潮に達している。例えば7月には、サイバーセキュリティ・情報セキュリティ庁（CISA）とマイクロソフトが、中国のハッカーが何らかの方法で暗号鍵を入手し、国務省や商務省を含む25組織のメールアカウントにアクセスできたと明らかにした。マイクロソフト、CISA、NSAはいずれも、米国の各州とグアムの電力網にマルウェアを仕掛けた中国発のハッキング活動についても警告を発している。おそらく米軍基地への電力供給を遮断する能力を得るのが目的だったのだろう。

こうしたリスクが高まる中、アトランティック・カウンシルのケアリー氏は、工業情報化部の担当者リストに掲載されていた西側諸国のテクノロジー企業と直接話をし、中国の脆弱性開示法を遵守していると直接伝えられたと述べている。ケアリー氏によると、その企業の中国法人の責任者（ケアリー氏は氏名を明かさなかった）は、同法を遵守するということは、製品の未修正の脆弱性に関する情報を工業情報化部に提出することを義務付けることを意味すると説明したという。また、ケアリー氏が中国国外の別の幹部と話した際、その幹部は脆弱性開示について知らなかったという。

キャリー氏は、中国政府と共有されている脆弱性情報に対する認識不足は、中国で事業を展開する外国企業に共通する特徴かもしれないと指摘する。「経営幹部の関心の的になっていなければ、中国が施行したばかりの法律を遵守しているかどうかを尋ね回ったりはしません」とキャリー氏は言う。「実際に遵守していない時に初めて、そのことを知るのです。」

中国工業情報化部の規制適合ICSテクノロジー企業リストに掲載されている6社の非中国企業のうち、台湾に拠点を置くD-Link社はWIREDに対し最も直接的に否定し、北米担当最高情報セキュリティ責任者ウィリアム・ブラウン氏の声明で「中国政府に未公開の製品セキュリティ情報を提供したことはない」と回答した。

ドイツの産業用制御システム技術企業フェニックス・コンタクトも、中国に脆弱性情報を提供したことを否定し、声明の中で「当社は、潜在的な新たな脆弱性が最大限の機密性を持って取り扱われ、どこにいようとも潜在的なサイバー攻撃者やその関連コミュニティの手に渡ることは決してないことを保証している」と述べた。

リストに掲載された他の企業は、中国政府に脆弱性情報を報告しているものの、他の政府や顧客に提供している情報と同じ情報のみであると述べています。スウェーデンの産業オートメーション企業KUKAは、「事業を展開しているすべての国において、現地の法的義務を果たしている」と回答しましたが、顧客にも同じ情報を提供しており、自社製品の既知の脆弱性情報を公開ウェブサイトで公開しており、脆弱性情報の開示を義務付けるEUの同様の法律にも準拠するとしています。日本のテクノロジー企業オムロンも同様に、中国政府、米国のCISA、日本のコンピュータ緊急対応チームに脆弱性情報を提供しているほか、既知の脆弱性に関する情報を自社ウェブサイトで公開していると回答しています。

ドイツの産業オートメーション企業ベッコフも同様のアプローチをより詳細に説明しました。「いくつかの国では、自国市場で製品を販売するすべてのベンダーは、セキュリティ上の脆弱性を公開する前に、認可機関に報告することが法律で義務付けられています」と、同社の製品セキュリティ責任者であるトルステン・フォーダー氏は述べています。「脆弱性に関する一般的な情報は、さらなる調査と緩和戦略の開発が進むにつれて公開されます。これにより、調査中の脆弱性の悪用方法に関する包括的な情報の公開を控えながら、すべての規制機関に迅速に通知することができます。」

フランスの電力技術企業シュナイダーエレクトリックは、最も曖昧な回答を示した。同社の製品脆弱性管理責任者であるハリシュ・シャンカール氏は、「サイバーセキュリティはシュナイダーエレクトリックのグローバルビジネス戦略とデジタルトランスフォーメーションの取り組みに不可欠である」と述べるにとどまり、WIREDの取材に対し、同社のトラスト憲章と、セキュリティに関する通知や緩和策・修復策のヒントを公開しているウェブサイト上のサイバーセキュリティサポートポータルを参照するよう促した。

慎重に言葉が選ばれ、時に曖昧な回答から、企業が中国の脆弱性開示法にどの程度準拠しているのかを正確に把握するのは困難だ。特に、脆弱性情報をアップロードするための政府のウェブポータルで比較的詳細な説明が求められていることを考えるとなおさらだ。サイバーセキュリティの研究開発会社マージン・リサーチの中国担当研究者で、アトランティック・カウンシルの報告書を出版前にレビューしたイアン・ルース氏は、企業が一種の「悪意のあるコンプライアンス」、つまり部分的または誤解を招く情報のみを中国当局と共有している可能性があると示唆している。また、企業が確かな脆弱性データを共有していたとしても、それが中国政府支援のハッカーにとってただちに役立つほど具体的ではない可能性があると指摘する。「『ここにバグがある』という段階から、実際にそれを活用して悪用すること、あるいはそれが有用な方法で活用できるかどうかを知ることさえ、非常に難しいのです」とルース氏は言う。

ルース氏は、中国政府が望むほど多くの情報を共有しない企業に対し、高額の罰金から国内事業に必要な営業許可の取り消しまで、深刻な結果を課す権限を持っているため、この法律は依然として問題だと付け加える。「破滅的だとは思いませんが、非常に悪い状況です」と彼は言う。「この法律は、民間組織が自らと顧客を敵対者にさらさざるを得なくなるという、逆効果なインセンティブを生み出しているのは間違いありません」

実際、外国企業の中国駐在スタッフは、中国国外の幹部が認識している以上に脆弱性開示法を順守している可能性があると、元米国情報機関職員で現在は国防大学情報サイバースペース学部教授のJDワーク氏は述べている（ワーク氏はアトランティック・カウンシルにも役職を持つが、ケーリー氏とデル・ロッソ氏の研究には関わっていない）。この乖離は過失や故意の無知だけが原因ではないとワーク氏は付け加える。中国駐在スタッフは、中国が昨年成立させたスパイ活動対策に重点を置いた別の法律を、中国に駐在する外国企業の幹部が自社の同僚に政府との関わり方について話すことを禁じているものと広く解釈する可能性があるとワーク氏は指摘する。「企業は、自社の現地事務所の行動の変化を完全には理解していない可能性があります。なぜなら、現地事務所はスパイ容疑で彼らと話すことを許されない可能性があるからです」とワーク氏は述べている。

ソフォスのデル・ロッソ氏は、たとえ中国で事業を展開する企業が現在、自社製品におけるハッキング可能な脆弱性の開示を回避する余地を見つけているとしても、中国が将来、あらゆる抜け穴を塞ぐために開示法の執行を強化し始めないという保証にはならないと指摘する。

「たとえ人々が従わなかったとしても、あるいは従っていてもある程度しか従わなかったとしても、事態は悪化の一途を辿るだけだ」とデル・ロッソ氏は言う。「彼らが求める情報を減らしたり、そこで働く人々に求めるものを減らそうとするはずがない。彼らが甘くなることは決してない。むしろ、取り締まりを強めるだけだ。」

2023年9月6日午前9時20分更新：この記事の以前のバージョンでは、マージン・リサーチのイアン・ルース氏について誤った記述がありました。この誤りをお詫び申し上げます。