大規模リークで中国企業がグレートファイアウォールを世界に輸出していることが判明

10万件を超える文書の漏洩により、あまり知られていない中国企業が、グレート・ファイアウォールをモデルにしたと思われる検閲システムを世界各国の政府にひそかに販売していたことが判明した。

2018年に設立され、中国の大規模な検閲インフラの「父」とも言える人物を投資家に擁するGeedge Networksは、ネットワーク監視プロバイダーを自称し、顧客に「包括的な可視性を獲得し、セキュリティリスクを最小限に抑える」ためのビジネスグレードのサイバーセキュリティツールを提供していることが文書で示されている。実際、研究者らは、同社がユーザーがオンライン情報を監視し、特定のウェブサイトやVPNツールをブロックし、特定の個人をスパイすることを可能にする高度なシステムを運用していることを発見した。

漏洩した資料を検証した研究者らは、同社が高度な監視機能を、グレート・ファイアウォールの商用版とも言えるソリューションにパッケージ化できることを発見した。これは、あらゆる通信データセンターに設置可能なハードウェアと、地方自治体職員が運用するソフトウェアの両方を備えた、包括的なソリューションである。また、資料には、サイバー攻撃請負や特定ユーザーのジオフェンシングなど、同社が開発を進めている望ましい機能についても記載されている。

漏洩した文書によると、Geedge社はすでにカザフスタン、エチオピア、パキスタン、ミャンマーに加え、正体不明の国でも事業を展開している。WIREDの取材に対し、Geedge社は公開されている求人広告から、漏洩した文書には名前が挙がっていない複数の国を含む、エンジニアリング業務のために他国へ出張できるエンジニアも募集していることが判明した。

JiraとConfluenceのエントリ、ソースコード、中国の学術機関とのやり取りなどを含むこれらのファイルは、主に社内技術文書、操作ログ、問題解決や機能追加のためのやり取りに関するものです。匿名のリークによって提供されたこれらのファイルは、アムネスティ・インターナショナル、InterSecLab、Justice For Myanmar、Paper Trail Media、The Globe and Mail、Tor Project、オーストリアの新聞Der Standard、Follow The Moneyを含む人権団体とメディア団体のコンソーシアムによって調査されました。

「これは、西側諸国を含むすべての国が行っている合法的な傍受とは異なります」と、国際的なデジタルフォレンジック研究機関であるInterSecLabの技術研究者、マーラ・リベラ氏は述べている。このシステムは、大規模な検閲に加えて、特定のドメインへの訪問など、ウェブサイトでの活動に基づいて、政府が特定の個人を標的にすることを可能にする。

ギージ氏が販売している監視システムは「本来誰にも与えられるべきではないほどの権力を政府に与えてしまう」とリベラ氏は言う。「これは非常に恐ろしい」

サービスとしてのデジタル権威主義

Geedgeの提供するサービスの中核は、Tiangou Secure Gateway（TSG）と呼ばれるゲートウェイツールです。これはデータセンター内に設置され、国全体のインターネットトラフィックを処理できる規模に拡張できることが資料から明らかになっています。研究者によると、インターネットトラフィックのすべてのパケットがこのTSGを通過し、スキャン、フィルタリング、あるいは完全に停止することが可能です。資料によると、このシステムはトラフィック全体を監視するだけでなく、疑わしいと判断された特定のユーザーに対して追加のルールを設定し、そのユーザーのネットワークアクティビティを収集することも可能とのことです。

漏洩した文書によると、暗号化されていないインターネットトラフィックの場合、このシステムはウェブサイトのコンテンツ、パスワード、メールの添付ファイルなどの機密情報を傍受できる。コンテンツがトランスポート層セキュリティプロトコルによって適切に暗号化されている場合、システムはディープパケットインスペクションと機械学習技術を用いて暗号化されたトラフィックからメタデータを抽出し、VPNなどの検閲回避ツールを通過しているかどうかを予測する。暗号化されたトラフィックのコンテンツを判別できない場合、システムは疑わしいトラフィックとしてフラグ付けし、一定期間ブロックすることもできる。

ミャンマーのGeedgeダッシュボードのスクリーンショットの1つは、システムが8100万のインターネット接続を同時に監視していることを示しているが、理論的にはハードウェアを追加することでさらに大規模に拡張できるとInterSecLabの研究者は述べている。他の文書は、2024年2月の時点で、Geedgeの機器がミャンマーの13のインターネットサービスプロバイダーの26のデータセンターに設置されていたことを示している。ミャンマーの地元通信事業者Frontiirは以前、「監視に関連するものを構築、計画、または設計した」ことを否定していたが、漏洩によって、Geedgeの機器を自社のデータセンターに設置していたことが判明した。ビルマとレバノンの企業による合弁通信事業者Investcomは、ミャンマー正義の研究者への書面による回答で、「ミャンマーにおけるサードパーティの技術に関する主張は認識している」と述べたが、「サードパーティのシステムの存在を確認することも否定することも拒否した」と述べた。

Geedgeは、インターネットゲートウェイハードウェアを含む検閲ソリューションをワンストップで提供しています。InterSecLabによると、Geedgeは当初HPやDellといった欧米ブランドの機器を使用していましたが、その後、制裁措置の影響を回避するため、中国企業製のハードウェアを使用するようになりました。

Geedgeのもう一つの主要製品は、サイバーナレーターです。これは、技術に詳しくない政府機関の顧客が、Tiangou Secure Gatewayがリアルタイムで監視するデータを俯瞰的に確認できるメインユーザーインターフェースです。リークされたシステムのスクリーンショットでは、サイバーナレーターのオペレーターは、携帯電話サービスの通信に基づいて各モバイルインターネットユーザーの地理的位置を把握できるほか、ユーザーがVPNサービス経由でインターネットにアクセスしているかどうかを分析できます。

ミャンマーの場合、内部記録によると、Geedgeは281種類の人気VPNツールを特定し、技術仕様、利用料金、ミャンマーでの利用可否などの詳細を記載していました。別の文書では、54種類のアプリがブロックの優先度が高いとされています。ツールの優先度リストには、ExpressVPNなどの人気の商用サービスや、暗号化メッセージアプリのSignalなどが主に含まれています。

文書は、Geedgeの技術力が急速に向上していることを示しています。「テストを読み進めていくうちに、数ヶ月でほとんどのVPNをブロックしていなかった状態から、ほぼすべてのVPNをブロックする状態にまで改善したことに気づきました」とリベラ氏は述べ、同社が協力している研究者の調査結果も参考にしています。

インターネットを破壊する

漏洩した文書にはビジネス契約の記録は含まれていないものの、顧客については謎めいたコードネームで言及されている。研究者たちは、漏洩文書内のデータセンターの地理的位置に関する記述、Geedgeから他国への国際貨物記録の追跡、そして中国企業による検閲ソフトウェア販売への関与に関する過去の報道を精査することで、カザフスタン（K18およびK24）、パキスタン（P19）、エチオピア（E21）、ミャンマー（M22）という4つの外国政府顧客を特定することができた。A24というコードネームの顧客についても言及されているが、それが何を指すのかを示す十分な証拠はない。

Geedgeの採用活動は、同社の潜在的な事業拡大計画に関するより詳しい情報を提供する可能性がある。中国のサードパーティ求人プラットフォームにおいて、Geedgeは「一帯一路」諸国におけるシステム保守を担当するシニア海外運用・保守エンジニアを募集している。求人情報によると、中国国外で3～6ヶ月の勤務が必要となる可能性があり、パキスタン、マレーシア、バーレーン、アルジェリア、インドへの出張が必要となる可能性がある。また、同社は3月に、Geedgeの海外事業をサポートできるスペイン語とフランス語を話す翻訳者も募集している。

たとえばパキスタンでは、あるライセンス更新文書には、リアルタイム統計を監視し、電子メール情報を保持する機能を含む Geedge サービスが 2024 年 10 月にパキスタン電気通信庁にライセンス供与されたことが示されています。別の Jira サポート チケットには、傍受された電子メールの例が示されており、これには完全な内容、件名、プロトコル、添付ファイル、送信者と受信者の名前、関連する IP アドレスが含まれています。

研究者たちは、Geedge の従業員の一部がクライアントが傍受した情報にアクセスでき、それがクライアント政府にとって国家安全保障上のリスクとなる可能性があると考えています。

Geedgeのパキスタンでの経験は、同社が様々な顧客層にアピールするために相互運用可能な機器をベースに製品を開発していることを示している。Geedgeがパキスタンに進出する以前、パキスタンはカナダ企業Sandvineと提携していた。同社はディープパケットインスペクション機器を供給していたが、米国の制裁を受けて撤退した。リークされた情報によると、Sandvineが撤退した後も、同社のハードウェアはパキスタンのデータセンターに残っていた。文書によると、Geedgeは既存のインフラを再利用するためにパキスタンに進出し、新たな検閲体制への移行を提案した。この体制は最終的に中国製のハードウェア上で稼働することになる。

人権団体アムネスティ・インターナショナルの技術者、ユレ・ヴァン・ベルゲン氏は、サンドバイン社が残したハードウェアを扱う同社の能力と意欲は、機密技術の輸出許可を発行する国々にとって警告となるはずだと述べている。「一度輸出されれば、それはそこに存在し、何らかの形で再利用されるでしょう。これは制裁の限界を物語っていると思います。」

研究者たちは、今回のリークにはGeedgeのシステムが特定の国で行われたインターネット検閲の原因であることを証明する具体的な文書は含まれていないと警告しているが、Geedgeの技術ログにおける主要な運用変更は、注目すべき出来事と対応している。例えばエチオピアでは、2023年2月のインターネット遮断の「わずか数日前」に、システムが受動的にトラフィックを監視するモードから、能動的にトラフィックを停止できるモードに切り替えられたとリベラ氏は述べている。リークには、エチオピアのGeedgeゲートウェイシステムが受動的監視から、サービスの速度低下を代償として能動的に干渉するモードに切り替えた回数が合計18回記録されている。

同時に、文書によればGeedgeのシステムの標的となる可能性があるカナダのVPNサービスPsiphonは、Geedgeがミャンマーに展開されたのとほぼ同時期に、インターネットサービスプロバイダーレベルでの大規模なブロックによって引き起こされる可能性のあるユーザー行動の変化を観察したというリークされた調査結果を裏付けている。

グレートファイアウォールの父

Geedge Networksは中国国内外で無名かもしれませんが、中国の物議を醸したフィルタリング・ブロッキングシステム（現在グレートファイアウォールとして知られる）を構築した勢力と密接な関係があります。Geedge Networksが2018年に設立された当時は、Zhongdian Jizhiという別の社名で活動していました。これは、中国の軍や治安機関と密接な関係を持つ巨大国有コングロマリットである中国電子集団（CEC）とのつながりを示すものでした（ZhongdianはCECの中国語略称です）。CECは2020年に米国政府から制裁を受けました。

両社を繋ぐもう一つの要素は、中国のコンピューター科学者、方斌星（ファン・ビンシン）氏です。彼は検閲システムの初期開発を主導したことから、「グレート・ファイアウォールの父」と呼ばれることがよくあります。方氏の研究は、元アメリカ大統領ビル・クリントンがゼリーを壁に釘付けにすることに例えたことを本質的に達成しました。つまり、誰もが平等に情報にアクセスできるように設計された技術を制御することです。技術の発展に伴い、グレート・ファイアウォールはさらに高くなり、コンピューター、スマートフォン、あるいはAIモデルのような最先端技術を使用していても、中国政府が政治的に容認できないと判断する情報へのアクセスを、大多数の中国国民が事実上遮断しています。

中国企業記録データベースによると、2019年、ファン氏はCECの主任科学者として勤務していた当時、Jicheng（海南）Technology Investment社の投資家となり、40%の株式を保有していた。Jicheng氏はGeedge Networksの投資家でもあり、同社と同じ幹部が就任している。中国国営メディアの新華社によると、ファン氏は2024年にGeedgeの支援を受けて新たなサイバーセキュリティ研究スタジオを設立した。

完全な円環を描く

記録によると、Geedgeは中国の検閲を海外に輸出しているだけでなく、海外で得た教訓を国内の弾圧に再導入し、改良を加えている。他国に技術を販売してから数年後、Geedgeは中国の省政府をもターゲットにし、それぞれの特有のニーズに対応し始めた。最初の目的地は新疆ウイグル自治区だ。

数百万人のウイグル族イスラム教徒が居住するこの地域は、過去10年間、中国政府による徹底的なデジタル監視を受けてきました。Geedge社の流出文書によると、同社は中国の研究機関と協力し、同地域での監視システムの拡張を進めています。流出文書には、2024年に中国科学院新疆支部で行われた講演の原稿が含まれており、「国家（ファイアウォール）は集中型から分散型へと進化している」と記されています。また、流出文書に掲載された写真には、同社が中国科学院の研究機関である大規模かつ効果的なストリーム解析（Mesalab）の学生を新疆ウイグル自治区にあるGeedge社のサーバールームに招待している様子が写っています。

新疆ウイグル自治区におけるこの配備は、リーク情報ではJ24としてコード化されており、初期試験プログラムを経て2024年に開始された。他の国と同様に、Geedgeの運用センターは新疆ウイグル自治区の通信データ施設に組み込まれている。

一方、漏洩した記録によると、Geedgeは中国の他の2つの省、福建省と江蘇省でもパイロットプロジェクトを実施していた。これらのプロジェクトのスクリーンショットやその他の文書を見ると、このシステムの焦点は、中国東部沿岸の省でより頻繁に発生する金融詐欺サイトの検出にあったことがわかる。

新疆プロジェクトは、広域および個別レベルでの交通情報の収集に加え、いくつかの実験的な機能も検討していました。リークされた望ましい機能のリストを見ると、GeedgeはCyber​​ Narratorをアップデートし、ユーザー間の関係グラフを構築し、ユーザーが使用するアプリに基づいて個人をグループ化することを目指していたことがわかります。また、記録によると、携帯電話基地局を通じてユーザーの位置を三角測量し、特定のユーザーのためのジオフェンスを作成することも計画されています。

リークされたもう一つのプロトタイプ機能は、個人の「評判スコア」と呼ばれるものです。インターネットユーザーごとに550の基本スコアが与えられ、国民ID、顔認識データ、雇用情報などの個人情報を認証することでスコアを上げることができます。評判スコアが600を超えない場合、ユーザーはインターネットにアクセスできなくなります。

これらの機能が実現され、中国や海外に配備されているGeedgeの監視システムに組み込まれているかどうかは不明だ。

Geedgeが個人情報を暴こうとする継続的な試みは特に懸念される。なぜなら、同社はユーザーのインターネットトラフィックにマルウェアを注入する能力も持っているからだ、とInterSecLabのもう一人の研究者、リア・ホーン氏は述べている。「これにより、個人を標的にする方法を見つけるのがはるかに容易になります。HTTPS非対応のウェブサイトを推測する代わりに、過去のインターネット活動をすべて調べて、安全なインターネット接続を定期的に使用していないウェブサイトを見つけ、次回訪問時にそのウェブサイトにマルウェアを注入するだけで済みます」と彼女は述べている。一部の機能は中国国内でテストされていたが、技術が成熟すれば、海外の顧客は簡単なソフトウェアアップデートで同じ機能をシステムに導入できるようになる。