ファーウェイ、Zoom、TikTok…核より怖い中国のサイバー兵器|山崎文明

日本は脆弱すぎる!世界で多発する中国の情報窃取。事件は既に日本でも起きている!ファーウェイ、Zoom、TikTok…核より怖い中国のサイバー兵器に食い物にされる日本の危うさ。

©株式会社飛鳥新社

中国ビジネスからの撤退を検討するに値する大事件

米国司法省は2020年7月21日、米国にある新型コロナウイルス感染症(COVID19)のワクチン研究機関の情報を盗もうとした中国人、李嘯宇(34歳)と董家志(33歳)の2人を起訴したと発表した。

国家安全保障担当のジョン・デマーズ司法次官補によると、両容疑者は、米国をはじめ日本を含む数百社から知的財産を盗んだ疑いがあるほか、中国本土や香港の人権活動家らも標的としていたという。日本企業が狙われたケースではゲームソフトのソースコード、高性能ガスタービンの図面や仕様書、医療機器のデータなどが詐取されたという。

2人は中国・成都の電子科技大学の同級生で、中国の情報機関、国家安全部の職員とつながりがあるとされており、被害は米国、日本以外に英国、ドイツ、オーストラリア、スウェーデン、ベルギー、オランダ、スペイン、韓国に及んでいる。

2人は現在、米国の法執行管轄権の及ばない中国にいるとみられている。

7月14日には、米国のセキュリティ会社トラストウェイヴが、中国政府が企業に導入を義務付けている納税ソフト「ゴールデン・タックス・インヴォイシング・ソフト」(GTS)にコンピュータウイルスが潜んでいることを突き止めた(1)。

FBIは、これを受けて7月23日に「中国政府が導入を義務付けている税務ソフトウェアにバックドアアクセスを可能にするマルウェアが含まれる」(アラート番号AC000129TT)文書を配布し、米国企業に注意喚起を通知した(バックドアとは不正アクセスを、マルウェアは不正ウイルスを意味する)。

GTSは中国の付加価値税である「増値税」(日本の消費税)の領収書を発行し、中国税務局への納税を行うシステムだ。ところが、これをインストールするとコンピュータウイルスが同時にダウンロードされ、コンピュータの認証機能を回避し、以後、特権モード(すべての設定や管理などにアクセスできる)でコンピュータを自在に外部から操れるという。

その国の政府が導入を義務付けている公式ソフトウェアにウイルスが仕込まれているとは、誰が想像できようか。中国政府には付加価値税を脱税する企業を摘発する目的があるといわれているが、「ゴールデン・スパイ」と名付けられたこのウイルスは、いったんコンピュータへ侵入すると、個人情報や知財情報に自由にアクセスできるため、企業の情報が丸裸にされる。

日本企業はこの一点をもってしても、中国ビジネスからの撤退を検討するに値する大事件だ。

アメリカが排除した「5社」

7月14日、米国連邦政府は、2018年に成立した国防授権法(NDAA)889条に基づく措置として、中国通信機器大手の華為技術(ファーウェイ)、中興通訊(ZTE)、海能達通信(ハイテラ)、海康威視数字技術(ハイクビジョン)、浙江大華技術(ダーファ・テクノロジー)の5社と取引を行っている企業を、8月13日を以て連邦政府の調達先から排除することを官報に掲載した(2)。

これは、昨年8月13日に施行された、5社と連邦政府との取引を禁止する措置の第2弾である。香港国家安全法(中華人民共和国香港特別行政区国家安全維持法)の施行に対する米国の抗議活動の一環と見る向きもあるが、あくまでも昨年からの既定路線の施策である。

ファーウェイとZTEは、ともに通信機器大手として日本でも知られているが、ハイテラもそれに次ぐ大手無線機メーカーだ。ハイクビジョンとダーファ・テクノロジーは監視カメラメーカーで、その製品の安さから米国や日本でも大量に採用されている。米国連邦政府と取引している日本企業は800社以上とされており、少なからず日本への影響もあるだろう。たとえば、ソニーはハイクビジョンに超高感度イメージセンサーなどを供給している(3)。

完全なるファーウェイ製品排除

中国通信機器排除の動きは米国だけではない。2018年に排除を決めたオーストラリアに続いて7月14日に、英国政府は英国内の5Gネットワークからファーウェイ製品を排除すると発表した。英国国立サイバーセキュリティセンター(NCSC)の最新のアドバイスを受けて決定されたものとされており、2020年12月31日以降、ファーウェイの5G製品は全面的に購入が禁止される。

これにより、英国政府は5Gの展開が2、3年遅れ、最大20億ポンド(約2695億円)のコストがかかるとしているが、「国家安全保障は国民に対する政府の重要な義務であり、これを全ての問題に優先する」(デジタル・文化・メディア・スポーツ相オリバー・ダウデンの声明文《4》)とし、2027年末までに完全にファーウェイ製品を排除する。

なぜ世界はファーウェイ排除へ動いたか

日本ではあまり知られていないが、ファーウェイは英国政府からの信頼を勝ち取るため2010年にファーウェイの英国法人内にファーウェイ・サイバーセキュリティ評価センター(HCSEC)を設置し、自社の通信機器の安全性を検証してきた。

ここで出された検証報告書は、2014年にNCSCに設置された「ファーウェイ・サイバーセキュリティ評価センター監督委員会」に送られ、毎年、最終審査を受けることになっている。

検証作業に当たっているHCSECの38名のスタッフ全員は、NCSCが開発したベッティング・セキュリティクリアランス(Vetting Security Clearance)という英国家機関に志願する人物の身元調査をクリアしており、HCSECは検証結果の中立性を強調している。

そのHCSECが昨年2月に、いったんは「5Gにファーウェイ製品を利用した場合のリスクは抑制可能」と報告していた。それが今回、5Gネットワークからのファーウェイ製品の排除を英国が決定した背景には、ファーウェイの技術力と製品への拭い難い不信感があった。

NCSCは、2020年1月28日に発表した「英国の通信ネットワークにおけるリスクの高いベンダーの機器の使用に関するNCSCのアドバイス」のなかで、ファーウェイを排除すべき理由としてこう述べている。

「私たちの経験から、ファーウェイのサイバーセキュリティとエンジニアリングの品質は低く、そのプロセスは不透明であることがわかりました。たとえば、HCSEC監督委員会は、2018年にファーウェイのエンジニアリングプロセスについて重大な懸念を表明しました。2019年の報告では、2018年の報告書で報告された技術的な問題の修正においてファーウェイによって『重大な進展はなかった』ことが確認され、以前は特定されていなかった『さらなる重大な技術的問題』が強調されました(5)」

つまり2018年に一部の製品について検証を行った結果、数百の脆弱性が見つかったが、昨年の検証結果でもそれら脆弱性に対する修正が行われていないどころか、新たな技術的問題が見つかった。ファーウェイには技術力がないと言わざるを得ない、というわけだ。

ファーウェイも認めていた脆弱性

実は、ファーウェイもこの点については認めており、「改善するには5年はかかるだろう」との声明を出している。

脆弱性とは、コンピュータやOS(Operating System)、ソフトウェアにおいて不具合や設計ミスを指す言葉として用いられるが、1年以上も問題を放置する姿勢は意図的脆弱性(ハッキングを可能とするために意図的に脆弱性を作りだす行為)といわれても仕方がない。

NCSCが指摘した「さらなる重大な技術的問題」とは、ファーウェイから検証用に提供されている4製品のソースコードが、英国で実際に使用されている製品のソースコードと一致しないことを指している。

検証用と実際の製品とが異なるコードを持つなどというのは、HCSECの業務を根底から覆す、あり得ない事態である。

ルーターに盗聴機能が

問題はファーウェイだけではない。2020年1月には、格安WiFiルーターで日本でもシェアを伸ばしているテンダ(Tenda)製品のパスワードがインターネット上に公開される事件が発生した(6)。

この問題を発見した米国ボルティモアに拠点を置くサイバーセキュリティ会社ISE(Independent Security Evaluators)によると、このパスワードはルーターに書き込まれた固定のパスワード(ハードウェアに書き込まれたデフォルトパスワード:初期パスワード)で、同じモデルのどのテンダのルーターにも使用できるものだという。したがって、ハッカーがそのパスワードを使用すると遠隔でルーターにアクセスできるため、情報詐取が容易に行えてしまう。

ルーターをはじめとする通信機器には、事前に盗聴チップを紛れ込ませたり、あらかじめ盗聴プログラムを組み込んだりする必要はない。つまり、通信機器を制御するプログラムのソースコードを持っているメーカーが、その気になれば製品のアップデート(更新)と称して特定の機器に対して盗聴機能を持たせることができるのだ。

通信機器(ルーター)に盗聴プログラムが仕掛けられることは、サイバーセキュリティの脅威としては最大級のリスクだ。通常、企業などのネットワークはファイアーウォールという境界防御装置で守られているが、ルーターはその外側に設置される機器で、データが不正に転送されても誰も気がつかない。

テンダは1月に問題が発覚したあと、半年以上経ったいまも対応していない。 発見された脆弱性が半年以上も放置されている点は、ファーウェイの通信機器と同じだ。

未だにテンダからの説明は無いようだが、まさか「新たな脆弱性が見つかったから対応が遅れている」とでもいうのだろうか。あるいは、このデフォルトパスワードが設計ミスだとでもいうのだろうか。どちらも通常あり得ない、意図的に行ったとしか思えない事態が起きているのだ。

日本でも起きていた重大事件

実は、通信機器などハードウェアに盗聴プログラムが仕込まれている例は、日本国内でもすでに起きている。

2015年7月に公益財団法人核物質管理センターが購入した台湾製ハードディスクから、ビットトレントと呼ばれるファイル共有ソフトウェアが検出(7)。ウイルスが検出されたハードディスクは、台湾のメーカー、ディーリンク社のものだが、製造は中国国内で行っていた。

公益財団法人のような準公的機関では、入札価格でのみ購入先を決定する「最低価格落札方式」が取られるため、台湾や中国のメーカーが採用されるケースが圧倒的に多い。

核物質管理センターでは、「米国などのサーバーから698回の不正アクセスを受けたが情報流出はなかった」としているが、ファイル共有ソフトウェアはハードディスクの中身を自動的に転送してしまうソフトウェアであることから、転送された情報が実に気がかりである。 「台湾製」といえども中国で生産している以上、バックドアと呼ばれる情報詐取のための細工が組み込まれるのは避けられない。最近、日本への進出が目覚ましい中国製ロボットなど、内部に組み込まれたルーターやタブレットがファーウェイ製ということもある。このように、中国メーカーが、社名や国籍だけではわからなくなってきているのが実態だ。

中国国家情報法の危険

「子会社を含むファーウェイおよびZTEの技術またはプログラムツールの使用は、サイバーセキュリティに脅威を与える」 「これらの会社と中国政府との間には組織的および個人的なつながりがあります。したがって、中国の利益がこれらの会社の技術のユーザーの利益より優先されるかもしれないという懸念を提起する」

昨年12月17日、チェコ共和国では国家サイバー情報セキュリティ庁(NCISA)がこのような警告文を出している(8)。ファーウェイやZTEが、中国国家情報法等の法律に従わざるを得ないことを危惧する報告書だ。

中国国家情報法とは2017年6月に中国で施行された法律で、国民の権利義務として、第7条で「国民と組織は、法に基づいて国の情報活動に協力し、国の情報活動の秘密を守らなければならず、国は、そのような国民及び組織を保護する」としている。

この法律は中国の組織及び国民に課せられたもので、たとえ経営者の方針が中国共産党の意に背くものだったとしても従業員が中国人であれば、企業の情報が無断で持ち出されてしまう可能性がある。中国人従業員に「愛国無罪」の考えが芽生えてしまえば、組織としてのガバナンスも利かないのだ。米国政府が、中国人が社長を務めるZoom(ビデオ会議アプリ)を警戒する所以だ。

今もZoomを使い続ける異常な日本

日本でもコロナ禍によって利用が急増しているZoomは、米国カリフォルニア州サンノゼに本社を構えるZoomビデオコミュニケーションズが運営するビデオ会議サービスの大手で、2020年5月の全世界モバイルアプリ(ゲームを除く)ダウンロード数ランキング2位を獲得するなどいま最も勢いのある企業の一つだ。

2011年に中国山東省出身のエリック・ヤン(中国名:袁征)が創業し、昨年4月、NASDAQに上場。最新(2020年1月)の有価証券報告書によると中国に3つの関係会社があり、Zoomアプリはそこで開発を行っているという(9)。

日本ではまだまだ認知されていないが、Zoomアプリに関する問題はたびたび指摘されている。2018年にはユーザーを詐称したり、共有画面の乗っ取りが可能との脆弱性が報告され、昨年には、アップルのMacOSでZoomを削除しても再インストールされる問題や、2020年4月にはWindowsのカメラとマイクに外部からアクセスできる脆弱性が見つかっている。

極め付きは、2020年4月に発覚したZoomアプリの暗号鍵が中国北京にあるデータセンターを経由して送受信されていたことだろう。暗号鍵はビデオ会議の際に暗号化通信を行うためのものだが、その鍵情報が中国を経由していたのだ(10)。

この問題を発見したカナダのトロント大学グローバルセキュリティ研究所、シティズン・ラボの関係者は、こう指摘する。

「もし中国政府がZoomの中国拠点に対し、ユーザー情報の開示を求めれば、Zoomはこれを拒否できず、データが中国政府にわたる可能性がある」

つまり、現時点で通信機器やソフトウェアに確実な証拠を見つけ出せなくても中国国家情報法がある以上、いつ何時それらの中国製品が盗聴機器に変わる虞れがあるのだ。事実、Zoomは中国政府の意向を受け入れ、天安門事件にかかわる会議を終了させ、会議参加者らのアカウントを停止した。

Zoomを禁止する世界各国

Zoomを警戒した台湾の行政院は4月7日、政府サイバーセキュリティ部門(DCS)の決定として政府機関がZoomアプリを使用することを全面的に禁止した。同様に政府レベルでは米国上院、ドイツ外務省、インド政府、オーストラリアでは国防軍と議会の会議でZoomの利用を禁じている。

また、ニューヨーク市やネバダ州クラーク郡の公立学校ではリモート授業でのZoom使用禁止の通達を出しているほか、民間ではロケット・宇宙船の開発で有名なSpaceXやグーグルなども使用を禁止している。

一方、日本では新潟県柏崎市や長野県中野市、長崎県五島市などは「オンライン移住相談会」をZoomを使ってやっており、6月には(公財)全国市町村研修財団が「自治体におけるSNSの活用」とする自治体職員向け研修をZoomを使用して行っている。まるで使用を推薦するかのようで、世界との危機意識は開く一方だ。

TikTokの恐ろしさ

日本で利用が広がる中国SNS大手の北京字節跳動科技(バイトダンス)が運営するTikTokについても、同様の問題がある。

TikTokは短時間の動画を簡単に編集・投稿できるアプリで、2020年5月の全世界モバイルアプリダウンロード数ランキングでZoomをおさえ1位を獲得。累計で20億ダウンロードという化け物のようなアプリ。日本でも若者を中心に人気だが、中国企業バイトダンス社が運営しているれっきとした中国製である。

7月23日、プロトン・テクノロジーズというスイスに本社を置くセキュリティ会社が、TikTokの問題点を自社のHPで詳細に報じている。

TikTokはプライバシーポリシーに明記されている内容としてIPアドレス、閲覧履歴(TikTokで閲覧したコンテンツ)、携帯電話のキャリア、モバイルデバイス(スマートフォンやノートPCなどのモバイル端末)を使用している場合の位置データ(GPS座標およびWiFi基地局)、TikTokへアクセスしたデバイス情報(アンドロイド携帯の場合は、IMEI番号が含まれる。IMEI番号は、個々の携帯電話が識別できるように設定された、いわゆるデバイスの指紋であり、ある電話から別の電話へのユーザーの追跡に使用される)が収集されている。

さらにTikTokのアカウントを開設するためには、電話番号またはメールアドレスと生年月日を入力する必要がある。 アカウントを作成するとTikTokは、ソーシャルメディアアカウント(Twitter、Instagram、Facebookなど)、携帯電話の連絡先リスト、GPSデータへのアクセス許可が求められる。ユーザーがTikTokを使用するとアップロードするすべてのビデオ、動画を見る時間、好きなビデオ、共有する動画、アプリで交換するメッセージに関する情報が収集される。

中国製アプリは使用禁止に

たとえば、お気に入りのビデオクリエイターのサポートに使用できるアプリ内通貨(コイン)を購入すると、クレジットカードなどの支払い情報が保存されるなど、判明している情報収集項目だけでも大変な個人情報だが、連絡先リストやIMEI番号での追跡が行われた場合、利用者本人のみならず交友関係まで広範囲にプライバシーを脅かす危険な存在であることがわかる。

スイスのセキュリティ会社、プロトン・テクノロジーズは先のシティズン・ラボと同様に、中国国家情報法について言及し、TikTokの危険性に警鐘をならしている。そのなかで、バイトダンスが過去に中国共産党に抵抗したことは一度もなく、中国共産党の権威主義的政策に加担している多くの例があると述べたうえで、「TikTokとその関連データを削除することを強く検討してください」とHPの文章を締めくくっている。

昨年11月27日にはカリフォルニアのTikTokユーザーが、TikTokアプリには「中国の監視ソフトウェアが含まれている」と述べ、バイトダンスに対して集団訴訟を起こした。

訴訟では、TikTokがユーザーがアップロードした動画や写真を使用して、ユーザーの許可なしにフェイススキャンなどの生体認証データを収集し、アプリを閉じたあともTikTokが生体認証データを収集し続けると主張している。

7月6日、ポンペオ米国務長官は「ダウンロードすると、中国政府に個人情報が渡ってしまう虞れがある」として、米国民に中国製アプリのダウンロードを控えるよう訴えた。

すでにインド政府は個人情報が流出するとして、アップルやグーグルに協力を求め、59種類の中国製アプリをアプリストアから削除してダウンロードできなくした。

日本でも自民党の「ルール形成戦略議員連盟」が9月にTikTokなどの中国製のアプリ利用を制限するよう政府に提言予定だが、単に使用を自粛するよう国民に促すだけでなく、インド政府のようにダウンロードできなくすることが重要だろう。

一方で、小池都知事がTikTokで新型コロナ定例会見などのライブ配信を行っているほか、広島県、大阪府、神奈川県、横浜市、福岡市などの自治体が情報発信サービス等に関する業務提携をするなど自治体でのTikTok活用が活発化しており、危険性が周知されているとはとても言い難い。

8月15日現在、米国ではマイクロソフトがTikTokの買収交渉を進めているが、トランプ大統領は、9月15日を期限として交渉がまとまらない場合は、TikTokの使用を禁止すると宣言している。マイクロソフトによる買収は、TikTokの米国とカナダ、オーストラリア、ニュージーランドの事業が対象で、仮にこの買収が決まったとしても、日本がおかれている状況は変わらない。日本独自の対応が求められている。

中国が実戦配備したサイバー兵器「グレート・キャノン」

中国製アプリの危険性はこれだけではない。中国が世界に先駆けて実戦配備し、使用したサイバー兵器「グレート・キャノン」の存在がある。グレート・キャノンは遠隔でコンピュータを操ることができ、コンピュータ・ウイルスに感染させた多数のコンピュータから大量の通信要求を出すことで相手のコンピュータを麻痺させてしまうというものだ。

グレート・キャノンの最初の攻撃目標はギットハブ(GitHub)という米国のサイトだった。ギットハブは一般には馴染みのないサイトだが、システム開発者にはなくてはならないオンラインソースコード保管サイトで、現在、全世界で4000万人が利用しているシステム開発のプラットフォームである。

ギットハブには利用者間でメッセージ交換できる機能があり、この機能を使っていた中国共産党の反検閲組織「グレートファイア」(GreatFire.org)が、2015年3月に狙われたのだ。中国のインターネットはグレート・ファイアウォール(万里のファイアウォール)と呼ばれる機能で守られており、中国内外から入ってくる様々なコンテンツを検閲しているが、その検閲を回避する目的でギットハブが用いられたためである。

この事件の直後、米国ニュースチャネルCNNでは、米国民にグレート・キャノンの仕組みを解説したビデオを作成し、中国製アプリをダウンロードしないよう警告している。直近のグレート・キャノンの使用例としては、昨年から2020年にかけて香港の反中運動組織「LIHKGフォーラム」への攻撃がある(11)。

サイバー攻撃に加担する中国最大の検索サイト

グレート・キャノンが機能するにはたくさんのパソコンやスマートフォンをコンピュータ・ウイルスに感染させる必要があるが、そのために用いられるサイトが、バイドゥ(百度)が運営する検索サイトだ。

バイドゥは中国版グーグルともいえる中国最大の検索サイト。検索機能を利用するためにバイドゥにアクセスしてきた無数のパソコンやスマートフォンにウイルス感染させ、グレート・キャノンを起動させて、サイバー攻撃に利用した。バイドゥは北京市に本社を構えるれっきとした民間企業だが、中国政府と一体となって行動しているのがよくわかる。

バイドゥは日本にも2006年にバイドゥ株式会社(Baidu Japan Inc.)を設立しており、2007年6月にはバイドゥ・インク(Baidu, Inc.)の社外取締役としてソニー元会長の出井伸之氏が就任している。

バイドゥには検索サイト以外に、日本語文字変換アプリ「しめじ」がある。日本でもスマートフォンの日本語入力に利用している若者が多い。「しめじ」についても、日本語文字変換情報の中国への無断送信が指摘された。これに対して、バイドゥ側は規約に同意したユーザーのみと説明していたが、後日、「送信をオフに設定していても送信される」“不具合”が実際に見つかったため、ソフトの更新を行っている。 「しめじ」は日本語文字変換アプリなので、パソコンやスマートフォンにインストールされた場合、ワードや電子メールの文章が平文で中国に転送される。非常に危険なツールと言わざるを得ないが、無料アプリであることから自治体でも広く用いられているのが実態だ。

中国製アプリが無料で利用でき、しかも中国製と知らずに使っている人が多い。そこには、平時では想像もできないようなサイバー兵器になりうる危険が常にあるのだ。

中国に及び腰の日本政府

日本の中国排除の動きをみると、2020年6月3日から政府が始めた「政府情報システムのためのセキュリティ評価制度」(Information system Security Management and Assessment Program《12》)がある。

ISMAP(イスマップ)と称するこの制度は、クラウドサービスを提供している事業者がサービスに対して、ISMAPで定めたセキュリティ監査基準に基づいた監査を監査法人に依頼し、その報告書と言明書(セキュリティに対する誓約書)を政府に提出することで、当該サービスを「ISMAPクラウドサービスリスト」に載せることができるというものである。

今後の日本政府のクラウドサービスの調達は、この「ISMAPクラウドサービスリスト」に掲載されたクラウドサービスのなかから選択することが義務付けられることで、安心・安全が担保されるとしている。

この制度が発足した発端は、2018年6月に政府が「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(2018年6月7日各府省情報化統括責任者《CIO》連絡会議決定)にある。

日本経済新聞の2018年8月20日の記事の見出しには「省庁のシステム調達に認証制 漏洩疑い企業排除、中国勢を念頭に」とあり、この制度の目的は中国のクラウドサービスを排除するためであると報じている。

また、同紙昨年12月10日の記事では「クラウド調達の評価基準、政府が民間に導入呼びかけ」と、この制度を民間にも広げてゆくと報じている。

表向きはクラウドサービスの安心・安全確保だが、実質的には中国サービスベンダー(サービスを提供する中国企業)の排除が目的の制度だというのだ。

この報道どおりなら、日本も米国に倣って中国の情報詐取から政府や民間を守る姿勢に転じたと素直に喜びたいところだが、先に紹介した「政府情報システムにおけるクラウドサービスの利用に係る基本方針」や「政府情報システムのためのセキュリティ評価制度 基本規定」など、どれをとっても中国のソフトウェアやサービスを排除するという文言は出てこない。

2018年8月に成立した米国国防権限法のように、米国政府機関に対する一定の中国企業の通信・監視関連機器の購入等およびそれら機器を利用している企業等との取引を禁止する法律がまずはじめになければならないのに、わが国政府はオブラートで包み込んだ政策しか行えていないのが現状だ。

「中国製」で溢れる日本

本来なら、安全保障の根幹をなす通信機器やクラウドサービスはWTO(世界貿易機関)の「政府調達に関する協定」(GPA:Agreement on Government Procurement)「第3条 安全保障のための例外及び一般的例外」を根拠に、中国製品の排除は行えるはずだ。このWTO政府調達協定第3条は、自国の安全保障を脅かすものであれば、適用除外とすることができるとしている。

ISMAP制度では、データセンターが日本国内にあることを条件に審査することになっているが、データの複製を中国に転送されるリスクがあることは、Zoomの例に見るように否めない事実である。

ISMAP制度に則って、アリババなど中国のクラウドサービスベンダーが「ISMAPクラウドサービスリスト」に掲載されるようなことがあれば、逆に日本政府としてお墨付きを与えてしまうことになり、二度と中国排除とはなり得ないだろう。このような危険性を政府もメディアも国民も認識しているのだろうか。

日本は大手通信キャリアからファーウェイ製品の排除を法的強制力のない通信会社の・自粛・という形で成し遂げたかのように見えるが、テンダのように中国製ルーターはいまも日本国内で平然と販売され続けているし、ファーウェイのパートナー企業として、現在も大手商社やNEC、ソニーなど錚々たる企業の子会社が名を連ねている(13)。

さらに中国製スマートフォンやTikTokなどのアプリ、クラウドサービスは排除されていない。アリババが提供するアリババクラウドは家具量販店ニトリなどが使用を開始しているし、TikTokは日本でも人気だ。

もし仮にルーターによる情報詐取が困難になれば、今後、中国はスマートフォンやアプリ、クラウドサービスを利用した情報詐取を盛んに行うだろう。“自粛”だけではすまない深刻な事態になる前に、政府には安全保障の観点からこの問題について真剣な検討を進めてもらいたい。

世界が中国排除を打ち出すなか、このままでは日本だけが世界から後れを取り、中国の情報侵略に飲み込まれる危険性が極めて高い。事態は一刻の猶予も許されない時にきている。 (初出:月刊『Hanada』2020年10月号)

(1) https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/goldenspy-chapter-4-goldenhelper-malware-embedded-in-official-golden-tax-software/

(2)https://www.federalregister.gov/documents/2020/07/14/2020-15293/federal-acquisition-regulation-prohibition-on-contracting-with-entities-using-certain

(3)https://www.jiji.com/jc/article?k=2019112601176&g=pol/https://star-secu.com/pack005.html

(4)https://www.gov.uk/government/speeches/digital-culture-media-and-sport-secretarys-statement-on-telecoms

(5)https://www.ncsc.gov.uk/guidance/ncsc-advice-on-the-use-of-equipment-from-high-risk-vendors-in-uk-telecoms-networks

(6)https://www.vice.com/en_us/article/z3ey3w/researchers-say-this-router-is-open-to-outside-attack-by-hackers

(7)https://mainichi.jp/articles/20160123/k00/00m/040/172000c

(8) https://www.govcert.cz/download/kii-vis/Warning.pdf

(9)https://investors.zoom.us/static-files/09a01665-5f33-4007-8e90-de02219886aa

(10)https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/

(11)https://www.zdnet.com/article/china-resurrects-great-cannon-for-ddos-attacks-on-hong-kong-forum/

(12)https://www.meti.go.jp/press/2020/06/20200603001/20200603001.html?from=mj

(13)https://partner.huawei.com/web/worldwide/channel-find-partner

山崎文明