パスワードを忘れた? アカウント作成
13997815 story
ニュース

ファーウェイ、日本に自社製品ソースコードの公開を提案 85

ストーリー by hylom
ハード的なバックドア疑惑の解決にはならなそう 部門より

Anonymous Coward曰く、

中国・華為技術(Huawei、ファーウェイ)製品に対しては以前よりバックドアが存在するのではないかとの疑惑があったが、同社はこの疑惑を晴らすため日本政府に自社製品のソースコードを公開することを提案しているという(日経新聞共同通信)。

「通信会社など顧客企業の要望があれば製品の様々な検証に対応する」との方針。すでにファーウェイは英国などで製品のソースコードを公開し第三者機関などの検証を受けているという。

  • 無理 (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2019年09月07日 7時04分 (#3681884)
    • 意図して脆弱性を入れるのは容易で発見しづらい。
    • 意図せずとも発見した自社部分の脆弱性を隠蔽するのも容易。
    • ソースコードを検証するとすれば応札した会社がやることになるが、機密保持はリスク。
    • 検証コストが高い。
    • アップデートの度に何か月かかけて検証するのはむしろセキュリティ上問題。
    • 特別扱いする理由はない。
    • 検証して見つけられなかったら日本政府の責任になるってのもちょっと。
    • SoCとかから作ってるのでそこにも仕込める。

    問題の根幹は、中国の会社ってこと。
    仮に中国政府が「黙って仕込め」と言われれば、中国の企業として拒否できない。
    合法的な命令を拒否する会社ならそれはそれで他の法令も破るかもしれないわけで、コンプライアンス上問題。
    そりゃもう中国政府が危険な共産主義政権だからいけないわけで、Huaweiが頑張ったところで何とかなる問題ではないね。可哀想だけど。
    昔中国政府がソースコード公開を求めて問題になったことがあったが、それは中国政府が不正アクセスに使ったり、中国企業に漏らしたりするかもしれないから問題なわけで、同じことができない日本政府からすれば公開してもらってもうれしくない。

    細かな問題を言えば、他社より幅広めの規約、Baiduと通信してたりすること、ベンチマーク詐欺をやってたこととかそういうのも含む。

    ここに返信
    • Re:無理 (スコア:4, すばらしい洞察)

      by hjmhjm (39921) on 2019年09月07日 14時18分 (#3682056)

      × 危険な共産主義政権
      ○ 危険な政府

      共産主義自体は関係ないやろ。

      • by Anonymous Coward on 2019年09月07日 15時31分 (#3682076)

        × 共産主義政権
        △ 共産主義陣営
        〇 中国共産党

      • by Anonymous Coward

        危険じゃなかった共産主義国家挙げてみ?

        • by hjmhjm (39921) on 2019年09月07日 19時54分 (#3682176)

          詭弁。
          あるいは、本質に関係のない、無意味なツッコミ。

          • by Anonymous Coward

            危険でなかった共産主義国家の具体的事例を挙げて否定してほしいものです。
            人文科学論法で庶民を納得させることのできた時代はとうに終わってる。

          • by Anonymous Coward

            共産主義者は不誠実で参政資格を欠く傾向があることであるなあ

        • by Anonymous Coward

          ついでに危険じゃなかった民主主義国家も気になるところ。
          よければおしえてくだしあ。

          • by Anonymous Coward

            日本。中国から見た日本。こんだけバカにしてるところをみると、危険とは思ってない。

            • by Anonymous Coward

              日本。中国から見た日本。こんだけバカにしてるところをみると、危険とは思ってない。

              まあ、日本は確かに「唯一成功している共産主義」という説もあるしねぇ

              • by Anonymous Coward

                日本は「成功した社会主義」とは言われるが共産主義って言われることはないな。

                まぁ、失われた30年からの出口すら見えてないので社会主義は成功しないって証明になってしまったが。
                欧州型社会民主主義なら成功していると言えるのかもしれないが重税に苦しむ若者って図式は日本と同じ。

              • by Anonymous Coward on 2019年09月09日 9時55分 (#3682553)

                新自由主義が話題になったのは小泉あたりからだけど、政策としての新自由主義は少なくとも消費税導入で既に始まっていたとみるべきだよね。失われた30年もバブル崩壊に備えて取っておいた金や政策をブラックマンデー救済(新自由主義の尻ぬぐい)のために放出しなければもうちょっとマシだったかもしれないしな……

                優秀な留学生や優秀な移民なしで専門職型高所得層を形成する人材はまかないきれないだろうし、受け入れたとしてもアメリカを始め金のある国と取り合いになるから、アメリカ型新自由主義を直輸入しても失敗するのは目に見えてるんだよなぁ……

    • by Anonymous Coward

      問題の根幹は、中国の会社ってこと。

      これに尽きますね。
      バックドアを使って情報を収集する行為は確かに脅威になるし、ソースコードの公開はそれを防止する上で一定の担保になるけど、むしろ彼らが業務上扱う必要がある情報を契約とか規約・規定とか無視して中国政府に「合法的に」吸い上げられかねない。
      さらにそれに対して対抗処置を取るのがほぼ不可能って事が問題。
      そりゃ元から取引自体お断りになりますわ。

    • by Anonymous Coward

      まあアメリカも似たようなもんだけど

      • by Anonymous Coward

        中国ではリークや告発は期待できそうにない。

        • by Anonymous Coward

          別に中国に限らず大手企業はどこでもだよ。
          某M$のアプリで、情報漏洩に繋がる可能性のある不具合をもし見つけたら、
          AppStoreとかのレビューに投稿してみ。※嘘書いちゃだめよ。
          秒速…とは言わないが、2-3日で消されるから。
          しかも、AppStoreへのレビュー投稿をBANさせるぐらいしつこいから。

          • by Anonymous Coward

            しかも、サポートに照会かけても、
            回答が2転3転したあと、
            数か月後に
            「その機能は実は機能してないので問題ありません。
             その情報は機械が処理して人が参照することはありません。」
            と、ふざけた回答を送り付けてきて(回答内で矛盾してるだろ!)、
            一方的にクローズ扱いにしてくる。
            あそこ、おかしいよ。

          • by Anonymous Coward

            ここに書いてみよう。貴方がもう公知にしてますし。

      • by Anonymous Coward

        ぐぐる・尼・あぽー製品から抜かれる →しょうがないな
        中共仕様品使って抜かれる →それみたことか

    • by Anonymous Coward

      無理
      今の国家公務員には無理
      いや、ソースコードをバリバリ読める人はいるだろうけど、人事異動がある限り組織として対応するのは無理
      地方自治体職員みたいに形式上どこかに異動になって、実質的に異動がないなんてことは無理(最近は自治体でも駄目なとこ多いみたいだけど)
      そもそも国家公務員が何かを断定することが今の時代無理
      ○○委員会を作って偉い先生方に結論出してもらい、それを根拠に良否を決定するとか、民間企業に丸投げして結果だけもらうくらいしかやりようがない
      民間企業に丸投げするにしても、仕様書を固めて入札を経て決めるから、一円でも安い会社が現れたらそこに落札させるしかない
      落札企業はそんなくそみたいな仕事するわけないし、例によって多重請負を活用
      巡り巡ってファーウェイの技術者がバックドアの有無をチェックすることにもなりかねない
      寝起きで風邪薬が残っているためかまだボーッとしてて、自分でも何かいてるかよくわからない
      そんな俺にバックドアの有無なんて見つけられるわけない

      • by Anonymous Coward

        そんなん外部委託に決まっとるやん

        • by Anonymous Coward

          その委託先企業も自分たちが読むわけでは無く、下請けにやらせるでしょうしね。
          さすがに国家公務員がソースを読むなんて発想する人が現れるとは想像も出来なかったw

    • ソースコードからフルビルドできるならパケットキャプチャしてとめるとか、何かできるんじゃないの?

      問題がないことの証明は無理でも、ソースコード全部が公開されるならね

      ハードでの埋め込みに関しても、ソフト全部押さえているならなんらか捕まえられるでしょ

      とはいえ、やばい機密を扱う人はQualcommかAppleのを使う前提

      • by Anonymous Coward

        >とはいえ、やばい機密を扱う人はQualcommかAppleのを使う前提

    • by Anonymous Coward

      今回の Huawei はアメリカに追随するために無理に理由を繕った(「余計なもの」発言とか)だけ.
      アメリカの対中敵対政策が変化すれば,そのときはソースの公開なしに受け入れると思うよ.
      それが何年後になるかわからないけど.

    • by Anonymous Coward

      スマホの自撮りの宣伝で一眼レフで撮った写真使うような会社ですもんね
      https://news.yahoo.co.jp/byline/shinoharashuji/20180825-00094475/ [yahoo.co.jp]

  • by hinatan (24342) on 2019年09月07日 7時46分 (#3681892)

    中にデプロイされたバイナリが、公開されたソースコードがビルドされたものであることをどうやって証明するのかしら。
    自分でビルドしたバイナリをdeployできるものが用意されても疑いは晴れない。

    ここに返信
    • by Anonymous Coward

      先ずはコンパイラとライブラリの検証から始めて...

      • by Anonymous Coward

        同盟国製のツールセットからビルドできれば、土俵は同じになる。安全性に絶対値がないなら。
        まあ同盟国製のツールセットの検証はどのみち必要だけど。
        第3国(ないしはそれを装った同盟国・中共)による汚染は常にあり得るし、脆弱性は潰していかないといけない。

    • by Anonymous Coward

      もらったコードをビルドしてみれば、入ってるものと同じか検証できるでしょ。

      • by Anonymous Coward

        全く同一のバイナリが生成できれば良いですが、コンパイラや周辺ライブラリなどの違いだけでも
        異なるバイナリになりますので、構築環境そのものもオープンにしてもらわないと。

        あと同一のバイナリであることを証明するために、既存の機種のファームウェアを読み取る手段の公開も必要です。

        • by Anonymous Coward

          ビルド環境の仮想マシンイメージぐらいくれるんじゃないですかね。
          いちいちここバイナリ違ってるけどどゆこと?って聞いてれば嫌でもそうなりそう。
          疑われて困るのはファーウェイなんだから公開なり納得のいく説明はしてくれるかと。

  • by Anonymous Coward on 2019年09月07日 8時27分 (#3681901)

    メリットってあるのだろうか。

    ここに返信
    • by Anonymous Coward

      Huawei、日本にソースコード公開提案 菅長官「対応予定ない」 - ITmedia NEWS [itmedia.co.jp]

      以前のバックドア「不使用」を誓うといい、
      ごまかすあまり自らボロを出す様なことをする企業だな

      • by Anonymous Coward

        ファーウェイの言動は中国政府向けに最適化されてるんだろ

        「中共はこう言えば喜んでくれるから、一般的に政府はこういう行動を好むものだ」と思ってる
        ところが日本は中共とは発想が多少異なるから、同じ行動では通用せず、お互いに多少困惑が生じる

    • by Anonymous Coward

      すでにイギリスだかには見てもらってるらしいし、
      イギリスを信頼するならその結果回してもらえば良いだけな気がする
      それでもHuawei側としては一応直接に日本に声かけるだろうから、
      はじめからお義理の声かけなんじゃないかな

  • 有名なオープンソースのOSや各種ソフトでも、未知の脆弱性がたくさんまぎれていて、
    たまに脆弱性が見つかるんだから、
    発見しにくく、かつうっかり混入した脆弱性と区別がつかないようなバックドアを入れれば、
    かりに発覚しても、ミスで入った脆弱性ですって言ってれば問題ない

    ここに返信
    • by Anonymous Coward

      簡単。
      中国製ならうっかりでも故意、アメリカ製なら故意でもうっかり。

  • by Anonymous Coward on 2019年09月07日 6時39分 (#3681880)

    いくらでも仕込みは隠せそうな予感
    そもそも土台となるべきプラットホームがオープンなものじゃないからなあ

    # PCなら意味はあるのだろうが

    ここに返信
    • by Anonymous Coward

      そもそもソースコードとインストールされているバイナリが同じかはどうやって検証するんだ?

  • by Anonymous Coward on 2019年09月07日 8時47分 (#3681903)

    ハードウェア実装されていたらどうなんだとも思うし
    そもそもソースコードにすべてが含まれている保証もないよな
    一度『そういうことをやらかしそう』というレッテルが貼られてしまうと
    覆すには並大抵の努力じゃ無理だろ

    ここに返信
    • by Anonymous Coward

      ファーウェイに限らず、「羊頭狗肉」の疑惑を本人が独力で晴らすのは不可能ですね。

      同一のバイナリを再現するビルドプロジェクト一式を提供したとしても
      個々の端末とのバイナリ比較はできないんだから実質何の意味もないし、
      そもそもチップに仕込まれてるバックドア疑惑には全然関係ない。

      まあ、米国以外でお互い困っている国にとっては取引再開の後押しとして
      こういうポーズや儀式が必要なことは何となく想像できますし、
      「ことIT関連で100%の証明など不可能、無闇な追い討ちは藪蛇になる」
      と皆わかってるから落とし所を作っていくのは大事なことなのでしょう。

  • by Anonymous Coward on 2019年09月07日 9時21分 (#3681916)

    それを使っている保証はどうするの?

    ここに返信
  • by Anonymous Coward on 2019年09月07日 9時56分 (#3681936)

    ところで余計なものって何だったんですか?

    ここに返信
    • by Anonymous Coward

      何処にでもはい寄るあの毛

  • by Anonymous Coward on 2019年09月07日 11時01分 (#3681958)

    ソースコードを得ればすくなくともバグの山かどうかぐらいは診断できる。

    バグの山だった場合、これはバックドアじゃないバグだって主張する、「木を隠すなら森の中」戦法が使えてしまう。実際、そんなことをしているベンダはあちこちにいる。
    もしバグの山じゃなければ、少なくともバレたときにはあからさまなバックドアということが分かってしまう。

    そういう意味で、バックドアを未然に検出するというよりも見つけた後に確実にバックドアであることを証明する手段として、そしてそれをもとにした抑止力として有効だろう。やれるもんならやってみろと。

    ここに返信
  • by Anonymous Coward on 2019年09月07日 13時40分 (#3682037)

    ちょっと前にブートローダのロック外せなくしたのを外せるようにして、黙ってソース公開しろとしかいいようがない

    ここに返信
  • by Anonymous Coward on 2019年09月07日 16時55分 (#3682100)

    そのコードが本当にシステムに組み込まれているのか判断できない
    アメリカのNSAやCIAなどの高度なエンジニア集団が解析してバックドア認定されてるんだろ
    日本政府も独自解析で追従

    そもそも、中国製はテレビもPCも情報漏えいのバックドアがあるの昔から言われてますね
    中国企業は国家企業だから敵国の情報収集用のファームウエアは組み込まれているとよくプログで見かけます

    ここに返信
    • by Anonymous Coward

      疑いだしたらキリがないもんね
      デバイス分解して全てのパーツに対して検証しないと完全に白とは断言できないし、「確率の犯罪」的な手段をとられたらと寒下駄ら全数検査という非現実的なことまでやらないとダメになる

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...