Supermicroのスパイチップ報道は一体何だったのか？

2018年10月、「Supermicro製のマザーボードにはデータを盗み出すチップが仕込まれている」とBloombergが報じました。Bloombergの報道に対しては、名前を挙げられた企業からは「事実無根である」という抗議の声が挙がり、技術者からは報道内容を疑問視する声が多く挙がったのですが、Bloomberg側とSupermicro側の主張はどちらが正しいのか明らかになることはありませんでした。大々的に報じられてから半年以上が経過した2019年5月になって、セキュリティ関連の情報を取り扱うHackadayがSupermicro問題について振り返っています。

What Happened With Supermicro? | Hackaday
https://hackaday.com/2019/05/14/what-happened-with-supermicro/

事の発端は、2018年10月4日にBloombergが「AppleとAmazonが、自社サーバーのマザーボードにデータを盗み出すチップを仕込まれた」と報じたこと。Bloombergは信頼できる情報筋から得た証言をもとに、AmazonやAppleのサーバーが採用しているSupermicro製のマザーボードには、中国人民解放軍の工作員により特殊なチップが埋め込まれており、これを用いて中国当局からアメリカ企業に対して大規模なサプライチェーン攻撃が仕掛けられているとしていました。しかし、当事者のApple・Amazon・SupermicroはBloombergの報道を否定しており、技術者からもBloombergの報道には疑問の声が挙がっていました。

Apple＆Amazonサーバーが中国人民解放軍の実働部隊にデータを盗むチップを仕込まれたとBloombergが報道、Apple・Amazonは完全否定 - GIGAZINE

しかし、ケンブリッジ大学コンピューターサイエンス学科のセオドア・マーケトス博士は、「マザーボード製造時にスパイチップが挿入され、ボード設計とコンポーネントのインストールプロセスを変更することに成功したとすれば、フラッシュメモリとBMCの間のSPIラインを傍受することは可能で、スパイチップが高度に洗練化されていなくても、ネットワークを通じてファームウェアを持ち込むことができる」としており、事実は定かではないが技術的には可能と指摘。

中国軍がSupermicro製マザーボードにスパイ・チップを製造段階で仕込んだという仰天報道がもたらしたものとは？ - GIGAZINE

しかし、別のサーバー専門家は記事中の記述やBMCの技術的な面から、「技術的に不可能で、信憑性は大いに疑問」と評していました。

「中国のスパイチップによるサイバー攻撃疑惑」記事がなぜ間違いなのかをサーバー専門家が解説 - GIGAZINE

「Supermicroのマザーボードにスパイチップが仕込まれている」と報じられたあと、その真偽を確かめるために、多くのメディアや専門家たちが調査を行いました。しかし、結局誰もBloombergの報じたスパイチップに関する新情報を得ることはできませんでした。報道で名前の挙がったAppleおよびAmazonは事実を否定し、スパイチップが仕込まれたと疑われたSupermicroも報道内容は誤りであり、Bloombergに対して記事の撤回を求めています。また、Supermicroは第三者の監査も行い、マザーボードからスパイチップのようなものを見つけることはできなかったと公式に声明を出しています。

セキュリティ関連のワークショップが開催されるChaos Communication Congress(CCC)の中でもこの議題が取り上げられ、講演ではプログラマーのTrammell Hudson氏が、独自に行った調査内容について語っています。Hudson氏によると、Supermicroの製造工程はおそらく厳重なものではあるものの、中国当局の工作員が貨物を傍受し、ハードウェアを開封してスパイチップを仕込んで再度封をして発送することは可能と指摘。ただし、そういった行為が中国で行われているのか、アメリカで行われているのかは不明とのこと。他にも、製造前にサプライチェーンが危険にさらされ、偽チップが製造元に送られる可能性もあると述べており、Supermicroマザーボードの製造過程で何らかの手を加えることは「可能」としています。

さらに、Hudson氏はマザーボード上の抵抗を置き換えることができる単一のコンポーネントを用いてBMCをハッキングすることに成功しており、Bloombergが報じるような動作を行うことが可能なスパイチップの概念実証にも成功しています。つまり、Bloombergが報じるようなスパイチップは「技術的には実現可能」というわけ。

それでは経済面でのダメージはどの程度だったのでしょうか。「スパイチップを仕込まれた」と報じられたSupermicroは、Bloombergの報道後に急激に株価を落としましたが、2019年5月時点ではほぼ報道前の水準まで株価を回復させています。ただし、Supermicroは2018年第4四半期の売上高を9億1500万ドル(約1003億円)と報告しており、これは前四半期の9億5200万ドル(約1044億円)よりも約40億円少ないということで、Bloombergの報道はSupermicroに大きな損害をもたらしたものの、「致命的なものではなかった」とHackadayは記しています。

実際、Supermicroは台湾に新しく80万平方フィートの敷地面積を誇る工場を6500万ドル(約70億円)かけて建設し、シリコンバレーの本社も拡張しています。なお、これらの理由はBloombergの報道を受けて、一部のクライアントからセキュリティ面の問題から中国からの撤退を促されたためと報じられています。なお、中国からの撤退には高い関税も関係しているとウワサされています。

業績および製造過程にクリティカルで影響を受けたSupermicroに対して、スパイチップについて報じたBloombergには大きな影響はなかったそうです。ただし、Hackadayは「一見わからないかもしれないが、Bloombergが信頼性を少しだけ失った可能性はある」としており、その理由として、「相次ぐ報道内容を疑問視する声があったにもかかわらず、結局スパイチップの技術的な詳細を説明したり、自分たちの報道内容を裏付けたりするような情報を公表することはなかったため」としています。

なお、Bloombergの「Supermicroのマザーボードにスパイチップが仕込まれている」という記事とその続報を書いたのは、Jordan RobertsonとMichael Rileyという記者。しかし、2人は2018年10月以降Bloombergで記事を掲載していないとのことです。

セキュリティ面の問題を指摘されているのはSupermicroだけではありません。2019年5月にHuawei製の機器にバックドアが仕込まれていることを、これまたBloombergが報道。Bloombergが報じるようなハードウェアハッキングを実際に行うことは極めて困難ですが、理論的には可能であることは多くの人が同意するところです。なぜなら、国内外に存在する複雑なサプライチェーンやベンダーを巧みかつ完全に管理することは「悪夢のようなもの」であり、ベンダーにとって出どころの怪しいコンポーネントが紛れ込むのは珍しくはないからだとのこと。

ただし、「コンポーネントをベンダーに潜り込ませること」は簡単なことではありません。その理由は簡単で、非常に多くの組織がテストや検証を重ねているためです。新しいコンポーネントを追加することは非常に困難ですが、既存のコンポーネントを類似した悪意あるものに置き換えることは比較的簡単であり、そういったものを検出することは非常に困難になるとのこと。

by ColiN00B

結局のところ、Bloombergが報じた「Supermicroのマザーボードに仕込まれたスパイチップ」に関する詳細は明らかになっておらず、専門家からの疑問視する声もあるものの、「技術的には可能」という声も確かに存在しており、BloombergはAppleやSupermicroから記事撤回要求を受けても、記事を掲載したままです。

Supermicroは中国の製造業が抱える「安全保障上のリスク」から脱出すべく台湾に工場を建設しているわけですが、記事作成時点で渦中にあるHuaweiは、現時点では同社が悪役なのかそれとも犠牲者なのかは不明で、それを見分けることは非常に困難です。そのため、「安全なコミュニケーションスキル、ファイアウォールの規制、そして物語が正しいことが判明した場合のサプライチェーンの監視に注意を払うべき」とHackadayはまとめています。