なんとなく綴ってみた

アクセスカウンタ

zoom RSS 米国格安スマホに見つかったバックドアファーム”ADUPS”は日本にもあるかもしれない。

<<   作成日時 : 2016/11/17 10:32   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

一昨日からWebを騒がせているニュースである。日本ではもう一つ経団連の話題も賑わいを見せているが・・・だいたい海外の有力企業や団体でも、攻撃は増えており、日本が特別ではないというだけの話だ。
むしろ、怖いのはこういう民生品に中国企業がバックドアを仕掛けていることと、それに対してどの国も規制が追いついていないことだろう。安かろう悪かろうという時代が再び訪れたというならまだよいが、「安いから情報を勝手に搾取します」という製品が出てくるなら、中国企業のIoT関連製品はすべて、輸入禁止にという機運も、次の米政権ならやるかもしれない。

日本も、IoTとか、AIとか言っている場合では無く、本気でプラットフォームを守るための技術開発や独自のAPI基盤プラットフォームをもう一度開発するぐらいでなければ、こういう組み込み製品に置ける脅威は、続くことになるだろう。本来は、Android上やiOS上、Windows上で動くIoTソフトウェアやAIソフトウェアより、AndroidのようなOS基盤の方が、セキュリティ上重要なウェイトを占めるはずなのだから・・・。iModeやKCPなど組み込み向けのSymbian OSが国内から消えていく今、日本のソフトウェアプラットフォームは海外頼みになりつつあり、そんな中で、年に1度は出てくる大きな脆弱性問題である。Appleもすぐにアップデートするが、最近は年に1つか2つはこういう話題を供給し始めている。昔は良かったなんて思っちゃいけないのだろうが・・・思いたくもなる。


CNETや、WSJ、IT Mediaなどが既にニュースにしているが、米国の格安スマートフォンBLU Products製品のローレベルプログラム(ファームウェア/UEFIやBIOSに相当する部分)が、不正に情報を搾取していたと判明した。
このニュースは、Kryptowire が2016年11月15日(米現地日付)で発表したセキュリティ情報がきっかけであり、この会社の役割は基盤通信の信頼性(セキュリティや著作権違反など)を監視するための事業者である。

FOTA(Firmware Over The Air)と呼ばれる本来はアップデートチャンネルに使う通信方式を用いて、スマートフォン内の情報(Eメールを除く殆どの情報)をDES暗号化しユーザーに無断で送信していたのだから、質が悪い。OTAを使われると、セキュリティソフトも透過してしまう上に、商用無線の場合でも、通信ベンダーによってはその通信は、データ通信としてカウントされない事業者もある。また、無線LAN(Wi-Fi)利用時以外には通信しないといった設定も出来るものもあり、ユーザーに気づかれることはほぼない。

もっと言えば、事業者も通信内容を把握するのは困難で、今回の場合は外部電波を排除した施設などで、通信内容をすべて抽出できるプロキシ端末を商用無線または無線LANの親機の下に置き、通信させたか?または、デバッグモードでUSB接続して調べたかどちらかだろう。

どれだけの端末が汚染されているのかは、たぶんこれから分かるのだろうが・・・。少なくとも米国では、格安スマホが暫く、苦戦しそうだ。もちろん、日本でも今後調査が始まらなければ不味い。これは、ランサムウェアや標的型攻撃による情報漏洩や金銭搾取が増えている原因になっている恐れもあるからだ。要は、そういう製品が相当数あるかもしれないということだ。


<中国企業は国や人民解放軍と繋がり、検閲があることを忘れるな>

基本的に、中国メーカーが同国内に売る製品は、検閲が可能な製品が多いとされる。これは、日本では余り知られていないが、元々一党独裁政権の国家である中国は、民主国家と言うより社会国家だ。ロシアより遙かに中国の言論統制は強い。そんな国であり、IT化が進んでいる今でも、多くの検閲システムが稼働している。

だから、そういう国々からTorのようなアングラソフトが生まれる余地があるわけだが・・・そういうソフトが出てきても、最初に販売する段階で、どんな情報をネットに送っているかを調べることが出来れば、中国政府的にはやりやすい。そこで、ファームウェアレベルやOSレベルでそういうプログラムが入っている製品も結構あるとされる。

それを、そのまま海外にばれないように売り出せばというのが、中国の今の戦略になっている可能性はある。この手の技術は、自由経済を主体とする国では、あまり発展していない。これは、情報を盗むのは犯罪だからであり、そこに下手な予算をつけると、それが時の政権を貶める理由にもなるからだ。

しかし、最初からそういう縛りがある国はその予算が出ているわけで、より進化した不正製品が出回る余地がある。
それを、不正な通信と発覚しにくいように加工して売れば、彼らは特別な何かをしなくても、各国から情報を集めることが出来る。そして、それを民間と称する企業にやらせれば、国は介入していないことになる。

彼らが勝手にやったことだと・・・そういう流れになっている可能性が現状ではかなり高い。
即ち、中国のハイテク企業Huawei、OPPO(子会社のOne Plus)など急成長している企業のスマートフォンやルータ製品は、通信状態などを、定期的に第三者機関が確認せず積極的に取り入れるのはリスクがあるということだろう。

Huaweiは米国では基幹インフラへの利用が過去に制限されているが・・・正しいと言うことだ。日本は、大丈夫か知らないが・・・。

<ADUPSは日本にもあるかもしれない・・・>

さて、話を戻すと、このADUPSは多くのメーカーに安価なファームウェア供給をしているようだ。日本では、ZTEやHuaweiが該当するようだが、そのほかにも中国系だとOPPOやそのグループのOne Plusなども危ないかも知れない。特に危険度が高くなるとすれば、OSの名称がAndroid7.0などではなく、Androidベースの○○という製品になるであろう。
こういう製品は、ファームウェアも中国向けベースである可能性が高く、今それを購入する予定だった人は、暫く様子を見た方がよいだろう。

ちなみに、国内の安価ブランドでも実はこういうメーカーのOEM/ODM製造はある。基本的に格安スマホは性能と形をある程度、商用販売カタログから選んで中国メーカーなど国外の安い労働単価の工場に組み立ててもらっているだけである。そのため、メーカーによってはそのファームがどういう設計なのかなど知らなくても、自社ブランドのスマートフォンを作ることも今では出来るのである。

流石に、ソニーや富士通、SHARP、京セラなどは自社の組み込み技術があるため、そこまで落ちていないと思うが、格安で自社ブランドのスマートフォンを作っているメーカーは国内でも少し注意した方がよいかも知れない。まあ、ASUSとHTCぐらいなら、大丈夫だと思うが・・・。

今後、調査が進む中でどういうメーカーにそのファームが入っているかは、分かってくるだろう。


<技術適合にファームウェアも入れるべき時代?>

これからは、技適にファームウェアプラットフォームが不正な通信をしていないかという基準を、儲ける必要があるかもしれない。最初から、個人情報のこれを集めますと書いて売るなら別だが、そうでなければ、ファームウェアレベルでそういう組み込みをされると、それを調べる術は、いわゆる個人環境では存在しない。

専用の設備で調べるしか無いわけだ。何より販売が始まってから、実はこれには不正なツールが入っていますと言われても・・・対処は不可能だ。これは、通信事業者にとってもその会社の存続に関わる可能性があり、市場の低迷などに繋がりかねない。

そう考えると、国などがある程度ここに指針を設けて、通信事業者やハードウェアの販売事業者にファームウェアが不正通信をしていないことを確認した上で、販売する。OTAアップデートを行うといった義務化が、早急に必要になるかも知れない。


正直、その国の中で悪さをする人間がいるなら、これも仕方が無いが、他国が世界のルールを無視して不正な機能を取り付け、それを取り締まるために、ルールを作るというのも、釈然としない。ファームウェアにこういう義務をつけると、いわゆる自作のマイコンなどが作れなくなることに繋がる可能性もあるため、市場の縮小や技術者の減少にも繋がる可能性がるからだ。

そういう点もあり、これをやれば今度は中国側の思うつぼにもなるかもしれない。中国頼みの経済政策をする国が多いからこうなるのだろうが・・・。こういう問題があることを考えると、流れを変えないと、中国とともに沈むだけになるかもしれない。


しかし、iModeなど日本のガラパゴスな携帯電話が、消えていく年にこういう問題が見つかるというのは、どうなのかと思う。製造コストやタッチ操作のしやすさなどを考えるとスマホは究極のデバイスになるのだろうが、世界で使う共通のOSという観点で考えると、世界から攻撃を受けやすい脆弱なデバイスとも言える。特に大事なビジネス向けではスマートじゃない選択肢も、やはり残すべきでは無いかと思うのは、私だけなのだろうか?

個人的には、世界にまだいくつもある中では難しいかもしれないが、ユニークなOSを搭載した国内だけの製品を完全に駆逐してはいけないような気もする。最先端で世界と同じものばかりを国は追うので、企業もそういう目線では見ていないだろうが・・・。

果たして、これは世界でさらに搭載端末が広がるのかどうか?注目しないといけない。また、同じもので無くても、場合によっては他の製品に似たような巧妙に陰に隠れて情報を漏洩させるファームが搭載されている可能性もある。特に年に1度や2度のアップデートタイミングなどだけに、まとめてやられたら分からないだろう・・・。まあ、大手3社の携帯キャリアなら大丈夫だと思うが・・・。MVNOの中華系端末は、ちょっと暫く情報を待った方がよいかもしれない。




テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
米国格安スマホに見つかったバックドアファーム”ADUPS”は日本にもあるかもしれない。 なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる