×
セキュリティ

「Supermicroのスパイ・チップ疑惑」をSupermicroだけの問題だととらえるべきではないと専門家が指摘


「Supermicroのサーバーが中国での製造過程でデータを盗む目的のスパイチップを仕込まれ、人民解放軍の関与が疑われる」という衝撃的なスクープをBloombergが報じると、事の真偽を確かめるべく様々な議論が行われ、いまだに意見は集約することがなく議論は紛糾しつつあります。そんな中、Bloomberg記事でも発言を引用されたセキュリティ専門家が、「この問題を『Supermicroの問題』ととらえることは危険だ」と警鐘を鳴らしています。

Yossi Appleboum Disagrees with How Bloomberg is Positioning His Research Against Supermicro
https://www.servethehome.com/yossi-appleboum-disagrees-bloomberg-is-positioning-his-research-against-supermicro/

サーバー関連の情報サイトSTHを運営するパトリック・ケネディ氏は、BloombergのSupermicro事件の報道後すぐに、「技術的な観点から記事の内容に疑問がある」という見解を出し、株価下落を狙った投機的な背景があるのではないかという指摘を出していました。ケネディ氏の指摘は、以下の記事の末尾に追記しています。

Apple&Amazonサーバーが中国人民解放軍の実働部隊にデータを盗むチップを仕込まれたとBloombergが報道、Apple・Amazonは完全否定 - GIGAZINE


そのケネディ氏が、Bloombergから出された別のハードウェア・ハッキングに関する報道の中で発言を引用されたSepio Systemsのヨシ・アップルバウムCEOに対して電話会談の中で、今回のBloombergによる一連のSupermicro報道に関する見解を求め、今回のハッキングの問題点について議論しています。

まず、ケネディ氏が「マザーボードに製造段階でチップを取り付けるというハードウェア・ハッキングについて、Supermicroに限った問題ではないのではないか?」と問いかけると、アップルバウムCEOは、「私は様々なベンダーでそれ(ハードウェア・ハッキング)を見つけました。それはSupermicroに限った問題ではありません。また、ハードウェア・ハッキングはサーバー機器に限られるものでもなく、多くの異なるインターフェースを介して行われています。ほとんどはネットワークに依存していますが。私はもっと大きな問題について話しており、それは、アメリカの主力の製品でさえ考慮しなければいけないことです」と述べ、一連の騒動はSupermicroに限定した問題だととらえるべきでないと回答しました。

その上で、アップルバウムCEOは人々が「サプライチェーン」について限定的に捉えていると述べ、製造企業だけでなく開発者、技術者そしてユーザーなどより広い範囲の人々が、ハードウェア・ハッキング問題に関わっているという意味で、サプライチェーンを広く考えるべきだと述べています。



また、「多くの企業にはソフトウェアと同じくハードウェアを疑うべきだ」とアップルバウムCEOは考えています。ソフトウェアに関する攻撃に対して100億ドル(約1兆円)が費やされているのに対して、ハードウェアの攻撃に対してコストを費やすことがないという現状は無責任であり、変えていかなければならないとのこと。

アップルバウムCEOは、Bloomberg報道を筆頭に、この問題を論ずるほとんどの報道が「Supermicroに何が起こったのか?」「Amazonは何を知っていて、何を知らなかったのか?」に終始していることを批判し、みなに影響を与える世界的な問題であることを認識すべきだと指摘しています。アップルバウムCEOによると、今回の問題はSupermicroをスケープゴートにして終わる話ではなく、解決されなければならない世界レベルの問題だとのこと。

結論として、「Supermicroは無実だと考えています。そして、誰かが本当の脅威を和らげるのではなく、問題を"薄める"ためにSupermicroを利用しているのだと思います。この問題はみなが考えるよりもずっと大きなものだと理解するべきです。この件をSupermicroの問題として捉えることは、正すべき真の問題に向き合うチャンスを失わせてしまいます」とアップルバウムCEOは述べています。


アップルバウムCEOとの電話会談を終えた後でもケネディ氏は、Bloombergの記事は技術的内容が乏しいことだけでなく、Supermicroに起こった問題という一面的なとらえ方をしている点で問題があるという見解を変えていません。しかし、私たちがこれまで考えてきた以上にハードウェアへの攻撃は一般的な問題だと認識させるきっかけになった点に関しては、Bloomberg記事には大きな意義があったとケネディ氏は考えています。

・関連記事
Apple&Amazonサーバーが中国人民解放軍の実働部隊にデータを盗むチップを仕込まれたとBloombergが報道、Apple・Amazonは完全否定 - GIGAZINE

「サーバー用マザーボードへのスパイチップ埋め込み」に専門家から疑問の声、一方でBloombergからはさらなる新情報 - GIGAZINE

AIやX線を使ってマザーボードに仕込まれたスパイチップを見破るシステム - GIGAZINE

中国軍がSupermicro製マザーボードにスパイ・チップを製造段階で仕込んだという仰天報道がもたらしたものとは? - GIGAZINE

in ハードウェア,   セキュリティ, Posted by logv_to