なんとなく綴ってみた

アクセスカウンタ

zoom RSS 米国格安スマホに見つかったバックドアファーム”ADUPS”は日本にもあるかもしれない。

<<   作成日時 : 2016/11/17 10:32   >>

ブログ気持玉 0 / トラックバック 0 / コメント 1

一昨日からWebを騒がせているニュースである。日本ではもう一つ経団連の話題も賑わいを見せているが・・・だいたい海外の有力企業や団体でも、攻撃は増えており、日本が特別ではないというだけの話だ。
むしろ、怖いのはこういう民生品に中国企業がバックドアを仕掛けていることと、それに対してどの国も規制が追いついていないことだろう。安かろう悪かろうという時代が再び訪れたというならまだよいが、「安いから情報を勝手に搾取します」という製品が出てくるなら、中国企業のIoT関連製品はすべて、輸入禁止にという機運も、次の米政権ならやるかもしれない。

日本も、IoTとか、AIとか言っている場合では無く、本気でプラットフォームを守るための技術開発や独自のAPI基盤プラットフォームをもう一度開発するぐらいでなければ、こういう組み込み製品に置ける脅威は、続くことになるだろう。本来は、Android上やiOS上、Windows上で動くIoTソフトウェアやAIソフトウェアより、AndroidのようなOS基盤の方が、セキュリティ上重要なウェイトを占めるはずなのだから・・・。iModeやKCPなど組み込み向けのSymbian OSが国内から消えていく今、日本のソフトウェアプラットフォームは海外頼みになりつつあり、そんな中で、年に1度は出てくる大きな脆弱性問題である。Appleもすぐにアップデートするが、最近は年に1つか2つはこういう話題を供給し始めている。昔は良かったなんて思っちゃいけないのだろうが・・・思いたくもなる。


CNETや、WSJ、IT Mediaなどが既にニュースにしているが、米国の格安スマートフォンBLU Products製品のローレベルプログラム(ファームウェア/UEFIやBIOSに相当する部分)が、不正に情報を搾取していたと判明した。
このニュースは、Kryptowire が2016年11月15日(米現地日付)で発表したセキュリティ情報がきっかけであり、この会社の役割は基盤通信の信頼性(セキュリティや著作権違反など)を監視するための事業者である。

FOTA(Firmware Over The Air)と呼ばれる本来はアップデートチャンネルに使う通信方式を用いて、スマートフォン内の情報(Eメールを除く殆どの情報)をDES暗号化しユーザーに無断で送信していたのだから、質が悪い。OTAを使われると、セキュリティソフトも透過してしまう上に、商用無線の場合でも、通信ベンダーによってはその通信は、データ通信としてカウントされない事業者もある。また、無線LAN(Wi-Fi)利用時以外には通信しないといった設定も出来るものもあり、ユーザーに気づかれることはほぼない。

もっと言えば、事業者も通信内容を把握するのは困難で、今回の場合は外部電波を排除した施設などで、通信内容をすべて抽出できるプロキシ端末を商用無線または無線LANの親機の下に置き、通信させたか?または、デバッグモードでUSB接続して調べたかどちらかだろう。

どれだけの端末が汚染されているのかは、たぶんこれから分かるのだろうが・・・。少なくとも米国では、格安スマホが暫く、苦戦しそうだ。もちろん、日本でも今後調査が始まらなければ不味い。これは、ランサムウェアや標的型攻撃による情報漏洩や金銭搾取が増えている原因になっている恐れもあるからだ。要は、そういう製品が相当数あるかもしれないということだ。


<中国企業は国や人民解放軍と繋がり、検閲があることを忘れるな>

基本的に、中国メーカーが同国内に売る製品は、検閲が可能な製品が多いとされる。これは、日本では余り知られていないが、元々一党独裁政権の国家である中国は、民主国家と言うより社会国家だ。ロシアより遙かに中国の言論統制は強い。そんな国であり、IT化が進んでいる今でも、多くの検閲システムが稼働している。

だから、そういう国々からTorのようなアングラソフトが生まれる余地があるわけだが・・・そういうソフトが出てきても、最初に販売する段階で、どんな情報をネットに送っているかを調べることが出来れば、中国政府的にはやりやすい。そこで、ファームウェアレベルやOSレベルでそういうプログラムが入っている製品も結構あるとされる。

それを、そのまま海外にばれないように売り出せばというのが、中国の今の戦略になっている可能性はある。この手の技術は、自由経済を主体とする国では、あまり発展していない。これは、情報を盗むのは犯罪だからであり、そこに下手な予算をつけると、それが時の政権を貶める理由にもなるからだ。

しかし、最初からそういう縛りがある国はその予算が出ているわけで、より進化した不正製品が出回る余地がある。
それを、不正な通信と発覚しにくいように加工して売れば、彼らは特別な何かをしなくても、各国から情報を集めることが出来る。そして、それを民間と称する企業にやらせれば、国は介入していないことになる。

彼らが勝手にやったことだと・・・そういう流れになっている可能性が現状ではかなり高い。
即ち、中国のハイテク企業Huawei、OPPO(子会社のOne Plus)など急成長している企業のスマートフォンやルータ製品は、通信状態などを、定期的に第三者機関が確認せず積極的に取り入れるのはリスクがあるということだろう。

Huaweiは米国では基幹インフラへの利用が過去に制限されているが・・・正しいと言うことだ。日本は、大丈夫か知らないが・・・。

<ADUPSは日本にもあるかもしれない・・・>

さて、話を戻すと、このADUPSは多くのメーカーに安価なファームウェア供給をしているようだ。日本では、ZTEやHuaweiが該当するようだが、そのほかにも中国系だとOPPOやそのグループのOne Plusなども危ないかも知れない。特に危険度が高くなるとすれば、OSの名称がAndroid7.0などではなく、Androidベースの○○という製品になるであろう。
こういう製品は、ファームウェアも中国向けベースである可能性が高く、今それを購入する予定だった人は、暫く様子を見た方がよいだろう。

ちなみに、国内の安価ブランドでも実はこういうメーカーのOEM/ODM製造はある。基本的に格安スマホは性能と形をある程度、商用販売カタログから選んで中国メーカーなど国外の安い労働単価の工場に組み立ててもらっているだけである。そのため、メーカーによってはそのファームがどういう設計なのかなど知らなくても、自社ブランドのスマートフォンを作ることも今では出来るのである。

流石に、ソニーや富士通、SHARP、京セラなどは自社の組み込み技術があるため、そこまで落ちていないと思うが、格安で自社ブランドのスマートフォンを作っているメーカーは国内でも少し注意した方がよいかも知れない。まあ、ASUSとHTCぐらいなら、大丈夫だと思うが・・・。

今後、調査が進む中でどういうメーカーにそのファームが入っているかは、分かってくるだろう。


<技術適合にファームウェアも入れるべき時代?>

これからは、技適にファームウェアプラットフォームが不正な通信をしていないかという基準を、儲ける必要があるかもしれない。最初から、個人情報のこれを集めますと書いて売るなら別だが、そうでなければ、ファームウェアレベルでそういう組み込みをされると、それを調べる術は、いわゆる個人環境では存在しない。

専用の設備で調べるしか無いわけだ。何より販売が始まってから、実はこれには不正なツールが入っていますと言われても・・・対処は不可能だ。これは、通信事業者にとってもその会社の存続に関わる可能性があり、市場の低迷などに繋がりかねない。

そう考えると、国などがある程度ここに指針を設けて、通信事業者やハードウェアの販売事業者にファームウェアが不正通信をしていないことを確認した上で、販売する。OTAアップデートを行うといった義務化が、早急に必要になるかも知れない。


正直、その国の中で悪さをする人間がいるなら、これも仕方が無いが、他国が世界のルールを無視して不正な機能を取り付け、それを取り締まるために、ルールを作るというのも、釈然としない。ファームウェアにこういう義務をつけると、いわゆる自作のマイコンなどが作れなくなることに繋がる可能性もあるため、市場の縮小や技術者の減少にも繋がる可能性がるからだ。

そういう点もあり、これをやれば今度は中国側の思うつぼにもなるかもしれない。中国頼みの経済政策をする国が多いからこうなるのだろうが・・・。こういう問題があることを考えると、流れを変えないと、中国とともに沈むだけになるかもしれない。


しかし、iModeなど日本のガラパゴスな携帯電話が、消えていく年にこういう問題が見つかるというのは、どうなのかと思う。製造コストやタッチ操作のしやすさなどを考えるとスマホは究極のデバイスになるのだろうが、世界で使う共通のOSという観点で考えると、世界から攻撃を受けやすい脆弱なデバイスとも言える。特に大事なビジネス向けではスマートじゃない選択肢も、やはり残すべきでは無いかと思うのは、私だけなのだろうか?

個人的には、世界にまだいくつもある中では難しいかもしれないが、ユニークなOSを搭載した国内だけの製品を完全に駆逐してはいけないような気もする。最先端で世界と同じものばかりを国は追うので、企業もそういう目線では見ていないだろうが・・・。

果たして、これは世界でさらに搭載端末が広がるのかどうか?注目しないといけない。また、同じもので無くても、場合によっては他の製品に似たような巧妙に陰に隠れて情報を漏洩させるファームが搭載されている可能性もある。特に年に1度や2度のアップデートタイミングなどだけに、まとめてやられたら分からないだろう・・・。まあ、大手3社の携帯キャリアなら大丈夫だと思うが・・・。MVNOの中華系端末は、ちょっと暫く情報を待った方がよいかもしれない。


<hhh様>

コメントありがとうございます。ただ、誤解されているようなので一応書いておきます。

ADUPSの調査報告は、テストの結果、FOTA側のプログラムが上海のFOTA連携サーバーに直接情報を送信していたことが当時問題となったのです。その内容は、ユーザーの情報提供範囲を超えた内容でした。だから、こういう記事が出回ったわけです。脆弱性がありました修正して終わりですという話では済みません。

だから、拙いと分かり修正も短期間で出たはずで、これを脆弱性だとメーカーは発表しました。ただ、これを脆弱性だったと思うのは、一般消費者ならともかくプログラマーや情報責任者からすれば、笑えるレベルの話です。

FOTAを利用した作為的なプログラムを作っている可能性があったと言う点で、バックドアプログラムに該当するのは当然のことです。実際に、いくつかの電文(SMSなどの内容)は、上海のサーバーに送信されていたことが分かっており、どういう目的だったかは知りませんが、生きた形で使われていたと報告されています。

尚、脆弱性というのは明確にそれが不具合であり、情報が漏れる可能性がある場合を指します。今現在使われているかはともかくとして、攻撃に使うことが出来ればそれは全て脆弱性です。
このケースでは、脆弱ではなく情報そのものがユーザーの同意なく、SMSの内容も含めて、FOTAを経由して抜ける状況にあり、それが確認されたとしており、その限りではありません。だから、バックドアと呼ばれたのです。

ちなみに、私は、中華製スマートフォンやタブレットを否定するつもりはありません。実際に中華系の製品は私も持っています。ただ、企業の技術者や、国益を担う情報を扱うものは、脆弱性と情報漏洩の差ぐらいは知っておくべきです。情報漏洩は、脆弱性があるという状況とは違って、実際に現在進行形で機能していることを意味します。そこが読み取れないと、何にでもある未知の脆弱性と、今漏れている情報とを混同してしまいかねません。


脆弱性など、どのハードにでもあるのは当然です。そもそも、それが今の時点で使われているかどうかが問題なのであって、この手の脆弱性情報は、それが何らかの目的に基づき海外のサーバーに送信されていたか、またはすぐに使われる恐れがある場合に、大きく報道されます。

このケースではスーパーユーザー(バイザ権限)で行われていたため、その気があれば特定のユーザー情報を意図的に入手できた可能性があったことが問題だったのです。


現在、アングラに出回っているバックドアプログラムも、エクスプロイトコードも、ワームもトロイの木馬も情報を漏洩させるプログラムの過半数は、どれも脆弱性攻撃のいずれかを利用して拡散しています。これらは、攻撃目標を作為的、または無作為的に選定しその脆弱性が生きている場合は、システムから一部のリソースを奪って活動します。バックドア(プログラム)やトロイなどのと書かれている場合は、基本的にそれらが既に活動している状態にあることを示します。

ADUPSの場合は、それが小売り販売の段階で一部のハードに混入していた(モデルロットと販売店により混入状況は異なるが、生産段階とされる)ことが問題となっていました。たぶん、中国国内向けのもの(中国国内で販売するものは、通信も検閲規制の対象となる)が海外に流れたか、意図的にバレないならと流したモノと考えるのが妥当です。

尚、この記事に書かれた情報は2016年11月時点の米国のものであり、今現在(2017年8月)の話ではありません。

脆弱性とプログラムとして実際にそれが機能している状況の差を、理解していただければと思います。





テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(1件)

内 容 ニックネーム/日時
中国製でバックドアがどうこういうのは調べてみたら
なんてことはない、古今東西よくある脆弱性を
無理矢理に故意にしかけられたバックドアだーって騒いでただけですよね

アレを根拠にして中国製を避けるなら
アップルもソニーもデルもグーグルも全部避けないと駄目っていうか
もう世界中のパソコン使えなくなりますよw
hhh
2017/08/06 00:55

コメントする help

ニックネーム
本 文
米国格安スマホに見つかったバックドアファーム”ADUPS”は日本にもあるかもしれない。 なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる