Supermicro が製造したコンポーネントのボードに悪意あるマイクロチップが埋め込まれていたと報道され、米国内で大きなニュースになりました。同社は世界最大手のサーバマザーボード製造元であることから、その影響が世界中の企業に広がっています。なぜ、このニュースが大きな注目を集めたのでしょうか。その理由を以下に解説します。

このニュースの発端は、ビデオストリーミングの圧縮技術に革命をもたらしたと言われる、Elemental Technologies という企業の買収を Amazon が進めていた 2015 年に遡ります。Amazon は、モバイルストリーミングの需要の増加に伴い、Amazon Prime Video サービスの急増する需要に解決する手段を探していました。Elemental Technologies は、オリンピック試合のオンラインストリーミング、国際宇宙ステーションとの通信、中央情報局（CIA）へのドローン映像の中継などの大規模契約で知られる企業です。

Amazon は買収に先立ち、Elemental Technologies のセキュリティのテストをサードパーティのセキュリティ会社に依頼しましたが、これが大事件へと発展するきっかけとなりました。カナダのオンタリオ州に本社を置くセキュリティ会社に数台のサーバが送られて、詳細な調査を実施したところ、厄介な問題が見つかり、さらに詳しく調査することになりました。すると、ボードの本来の設計にはなかった小さいマイクロチップが埋め込まれていることがわかりました。

ハードウェアのハッキングは難易度が高いことから、ほとんどの攻撃がソフトウェアベースであるのが現状です。DDoS、クロスサイトスクリプティング攻撃などはそういったソフトウェア攻撃の例ですが、実際には、ソフトウェアが動作するコンポーネントの物理的な操作ももちろんあります。今回のようなレベルのハッカーが前代未聞というわけではありませんが、実行にはかなりの計画が必要です。このようなハッキングには、ボードの製造工程やサプライチェーン全体への介入が必要とされます。したがって、考えられる 2 つの方法は、デバイスの製造工程の終了後の顧客への輸送中にハードウェアに細工するか、製造工程で埋め込むかのいずれかということになります。

推定によれば、世界の携帯電話の 75％、PCの 90％ が中国で製造されています。さらには、今回の件には、人民解放軍に所属する工作員が関わっていたとされています。Apple や Amazon を始めとする 30 社に加えて、CIA もこの問題の影響を受けましたが、この問題に対する各企業の対応については、さまざまな議論があるようです。未確認情報によれば、これらの企業は問題を把握していたということですが、公式発表では否定しています。

この件で、顧客データの盗難は確認されておらず、長期間をかけて情報を収集して、企業の秘密や機密度の高い政府関連のネットワークから価値の高い情報を得ることを目的とする行為であるとされています。

埋め込まれていたチップには、ネットワークの機能があるだけでなく、そこにインストールされるオペレーティングシステムを妨害する能力もあるとされています。世界中に存在する匿名サーバにオンラインで接触し、さらなる行動を仕掛けることもできました。さらには、CPU のプロセスラインにキューイングされた信号を傍受して不正に書き換える能力もありました。したがって、このようなサーバに物理的なバックドアがインストールされて、リモートユーザへの仮想アクセスが可能であったとすれば、サーバがクラッシュしたりオフになったりしたとしても、その驚異は解消されません。

サーバへの問題のある状態でのリモート管理アクセスを可能にするスーパーチップであるベースボード管理コントローラへの接続によって、ほとんどどのようなアクセスも可能になります。暗号化キーが盗まれてセキュリティアップデートが停止し、チップが無効になる可能性があるだけでなく、インターネット経由で不正サーバへとアクセスする新たな経路が開かれることになり、さらには、これ以外にも多くの可能性が考えられます。

やや肯定的な見方につながる点として、紙の記録が物理的な世界では証拠となるという事実があります。出荷明細書、請求書、シリアル番号などには、米国の捜査機関がサプライチェーン全体を辿って最終的に犯人である製造元を突き止める上で必要なあらゆる詳細情報が記載されています。Supermicro と直接取引をしていた下請け会社 4 社は、台湾と上海を拠点とする企業です。これらの工場の管理者が Supermicro の従業員や政府機関の関係者と名乗る人物から脅迫あるいは買収されていたことがわかりました。

言うまでもなく、Supermicro に注目が集まり、ハイテク産業の大手企業からの多くのビジネスを失うことになりました。調査は今も継続されており、解決には至っていません。

参考資料

Robertson, J.、Riley, M. 共著（2018 年 10 月 4 日）、「The Big Hack:
How China Used a Tiny Chip to Infiltrate U.S. Companies」、
出典：https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies