本日10月4日早朝、ブルームバーグ・ビジネスウィーク誌は、AppleやAmazonを含む米国大手企業の一部が中国によるハッキング被害に遭ったとみられると報じた長文の記事を掲載した。iPhoneメーカーのBloombergは、記事の内容の多くを否定する姿勢を公言している。
ビジネスウィーク誌の記事
ビジネスウィーク誌は、近年、中国のスパイがスーパーマイクロ社に部品を供給する企業に侵入し、アメリカのテクノロジーサプライチェーンに侵入したと主張している。サンノゼに本社を置くスーパーマイクロ社は、世界最大級のサーバー用マザーボードサプライヤーの一つである。同誌によると、捜査当局は、この「複雑な計画」はハードウェア攻撃を専門とする人民解放軍の部隊によるものだと結論付けている。
報告書によると、中国はこれらの部品の多くに米粒大の微小なマイクロチップを取り付けることに成功した。そこから、これらのチップはSupermicroのサーバーマザーボードに搭載され、最終的にはAppleなどの企業にまで浸透した。サーバーの電源が投入されると、マイクロチップはマシンのOSを改変し、コードの変更を受け入れるように設計されていた。
ビジネスウィーク誌は、マイクロチップが発見された際にアップル社、アマゾン社などが米当局にこの件を伝え、その後影響を受けた機器を撤去したと主張している。
さらに、ビジネスウィーク誌は、影響を受けた企業やユーザーのデータが盗まれたという直接的な証拠は見つからなかったと述べた。
アップルの対応
Appleは、Businessweekの報道は誤りであると主張し、ブルームバーグ氏が「セキュリティインシデントに関する、時には漠然と、時には詳細に、複数回にわたり」同社に連絡をしてきたと指摘した。同社は「問い合わせに基づき、厳格な社内調査」を実施した。しかし、Appleは「いずれの調査でも、いかなる証拠も全く発見できなかった」と述べている。さらに、「当社は、記録に残る形で、事実に基づく回答を繰り返し、一貫して提供し、Appleに関するブルームバーグ氏の報道のほぼすべての側面を反駁してきた」と述べている。
また、「Appleでは、サーバーを本番稼働させる前にセキュリティ上の脆弱性がないか検査し、すべてのファームウェアとソフトウェアを最新の保護機能にアップデートしています。Super Microから購入したサーバーについては、標準手順に従ってファームウェアとソフトウェアをアップデートした際に、特異な脆弱性は発見されませんでした」とも述べています。
さらに、Businessweek は、Apple が同社の研究所の 1 つにある単一の Supermicro サーバー上で感染したドライバーを発見した 2016 年の事件と記事を混同しているようだ。
「この一回限りの出来事は偶発的なもので、Appleに対する標的型攻撃ではなかったと判断されました」とiPhoneメーカーは説明している。
Businessweek の報道に疑問を呈しているのは Apple だけではない。
アマゾンは、「サプライチェーンの侵害、悪意のあるチップの問題、ハードウェアの改造」については認識していないと述べた。
Supermicroも同様に率直で、「政府による調査には協力しますが、この件に関する調査は把握しておらず、政府機関から連絡を受けたこともありません。また、このような問題でSupermicroをサプライヤーとして選定しないというお客様の声も承知しておりません」と述べています。
中国政府も、共産主義国家の外務省として次のような声明を出している。
中国はサイバーセキュリティの断固たる擁護者であり、相互尊重、平等、相互利益に基づく対話を通じて、国際社会がサイバーセキュリティの脅威に協力して対処することを提唱しています。
何だって?
この件に関して、AppleやBusinessweek、あるいは他の誰かに疑問を呈するつもりはありません。Businessweekの記事が完全に間違っている可能性もありますし、記事自体は正しいものの、セキュリティ上の問題でAppleや他の関連企業は、これらの出来事が実際に起こったことを法的に確認できないのかもしれません。
どう思いますか?下記からご意見をお聞かせください。
