ファーウェイ製品の禁輸措置は10年前の豪大手通信会社への侵入事件が発端? Bloomberg調査 58
ストーリー by nagazou
真実はどこに 部門より
真実はどこに 部門より
あるAnonymous Coward 曰く、
米Bloombergが報じたところによれば、今から約10年前、オーストラリアの大手通信会社でファーウェイによるソフトウエアのアップデートに悪質なコードが組み込まれ、システムに侵入される事件が起こっていたという。この未公表事件については2012年に米国家安全保障局に情報共有がされていたといい、米政府の主張を裏付ける証拠の一端だとしている(Bloomberg)。
米元当局者らによると、この悪質なコードは感染した通信設備機器を再プログラミングし全ての通信を記録し中国にデータを送信。こうしたコード自体が数日後に抹消される仕組みだったという。提供された情報を元に米情報機関が確認したところ、米国でも同様の攻撃が確認されていたという。豪情報当局はファーウェイの技術者にスパイ活動への関与があったと結論付けている。
なお、ファーウェイが企業ぐるみでスパイ活動に協力していたという証拠は見つかっていないといい、中国の情報機関が末端の技術者を買収した可能性を示唆する記事の流れとなっている。
スーパーマイクロコンピュータの件 (スコア:0)
3年前、ブルームバーグはスーパーマイクロ・コンピュータのサーバー用マザーボードに見つかったというスパイ・チップの件、報じっぱなしでエビデンス出さなかったことがあるから、信用できないな。
Re:スーパーマイクロコンピュータの件 (スコア:1)
それな、ワイもそれ思い出したよ
トランプ退任した今でもファーウェイ問題追いかけてる執念から察するに嫌中の情報通がおるんやろね
Re: (スコア:0)
マスコミの報道でエビデンス出す方が稀じゃない?
「匿名の情報源によると」なんて常だし。
特に機密情報が関わる話は。
まぁスーパーマイクロの記事は色々胡散臭かったけど、中国がスパイ活動してることまでは疑いようがない。
ファーウェイが協力してるって点も。
Re: (スコア:0)
その「疑いようが無い」の証拠が出ないのだよね。
「イラクに大量破壊兵器はありま~す」ってのと同様案件にも思えるよ。
Re: (スコア:0)
中国がスパイしているのは間違いない。
アメリカもロシアもイギリスも。
でもファーウェイがスパイとして協力しているという証拠は示されたことがないので、それはあなたの思い込み。
ブルームバーグの目的は、あなたのように根拠なしに思い込ませることではないだろうか。
Re: (スコア:0)
証拠を否定すれば何でも思い込みになるわ。
スパイ活動全般に関しては完璧な証拠が出て来ることの方が稀。
一記事が出た時点で防諜の視点では十分な証拠だよ。
Re: (スコア:0)
それは記事媒体と記者の信用度による。
スラドでACが書いた記事がスパイの証拠にならないのと一緒。
で、Bloombergはどうかって言うとスーパーマイクロの件で信用ないわけですよ。
Re: (スコア:0)
ファーウェイに関しては、今まで過去10年以上、各国政府機関、民間企業が調べてるのに一度も何も出てないんだよね。
あるのではないか?と言うバイアス掛かった状態で調べてすら。
だからまともな人ならば、少なくともファーウェイの製品には今現在までは何も仕込まれてないんだろうと
政府機関なども含めて実は思ってると思う。
ただ、今後中国政府に命令された場合断ることは不可能だろうとも思っているし、
国防上も通信インフラにこれ以上入り込まれるのはまずいから
とりあえず、現実はどうあれ「ある」事にしてるんだと思われ。
Re: (スコア:0)
リトアニア政府が具体的なレポートを発表して、セキュリティリスクがあるって報告を出していたけどガン無視なの?
少なくとも中国国内モデルとグローバルモデルとでは別物として安全性をアピールしていたファーウェイは信用できないよ。
Re: (スコア:0)
>セキュリティリスク
3ヶ月くらい前に出たやつのことなら、「HUAWEIに悪意がある」という内容ではないんだけど、中身は見てないのかな
Re: (スコア:0)
ファーウェイ公式サイトでマルウェア付きのアプリを入れさせられるってリスク紹介されているのに、悪意が無いってどこいう解釈したの?
Re: (スコア:0)
ファーウェイが不正行為をやっていると言ったら、あなたのような人が完全否定する方が厄介だよ
思い込みでやっているのはするべきじゃないと言うなら、思い込みでやっていないと思うのも危ないし危機管理的には後者の方が危ない。
パスポートを7冊も持って活動している上層部がいるのは本当だし、疑義がある状態なんだから注視した方が良いでしょう。
Re: (スコア:0)
一番ダメなのは視野を狭くすること。
なんでファーウェイだけなの?他の所も全部同程度に疑わなきゃ、全く意味が無い。
諜報活動を想定するなら、既に判明してる所よりも、それ以外の方を警戒する方が、効率は良い。
それは、記者自身も記事で結論づけてる通り分かってるけど、記事の目的が違うからあえて言わないだけ。
> なお、ファーウェイが企業ぐるみでスパイ活動に協力していたという証拠は見つかっていないといい、中国の情報機関が末端の技術者を買収した可能性を示唆する記事の流れとなっている。
社員買収なら、全ての企業が可能性があるし、中国企業に絞っても相当ある。
それに下請けとか工場とか考慮すると、中国で製品を製造しちゃってる米企業も警戒すべきですね。
Re: (スコア:0)
一番大きいところをつつくことで、一般への認知も進むからじゃない?
あと、ダメージもでかいからでは。
Re: (スコア:0)
論点を変えないでください。
自分が問題視しているのは、戯言とレッテル貼りして全く警戒しない事です。
どこまで警戒すべきかの線引きの問題ではありません。
そこまで疑うなら中国製造の全ての製品を疑え、疑えないなら意味が無い的なゼロイチみたいな極論ならそれも違う話です。
対象型番とPoCコードを出せ (スコア:0)
元当局関係者の証言ばっかり並べても第三者が検証できない限り与太同然。
少なくとも型番が分かれば中古機器からファームウェア吸い出すなりして攻撃の痕跡辿れる可能性がある。
なぜそれをひた隠しにするのか。
Re: (スコア:0)
あなたがファーウェイ製のネットワーク機器のファームウェアを解析して何も出なかったと証明しない限り、あなたの話も与太話ですね。
隠すどころか普通に売っているんだから買ってみては?
Re: (スコア:0)
立証責任ってどっちにあるか知ってる?
Re: (スコア:0)
セキュリティ対策に対しての知識が無さ過ぎです。
説明する事でのリスクがあるっていう事が分かっていない。
どこまで分かっているかを相手に教えるだけだし、見つかっていない穴を教える事にもなる。
しかも政府が出てきている事案で国家間の問題にまでなっている事に対して安全保障的に全公開はされないでしょう。
あなたが納得するだけの為に安全保障を脅かす事なんてするわけないでしょ
何らかの事案が発生して、ハッキングに対する訴訟が起きた時に初めて公開されるんじゃないですかね
少なくとも状況証拠的な事は上がっているんだから、完全否定する方がおかしい
それでもどうしても無いっていうならご自分で勝手に証明すれば良いってだけですよ。
Re: (スコア:0)
「責任ある開示」も知らないで講釈垂れるとかヘソで茶が沸くぜ
自分のセキュリティ知識のなさを自覚した方がいいんじゃないの?
Re: (スコア:0)
平和ボケし過ぎなんじゃないですか?
責任ある開示なんて相手国に塩を送るような事を求めるんじゃないよ。
それに何らかの事案が発生した際には開示されるだろうから、その時にでも検証すればいいでしょ
必死に否定するメリットなんて何もなくて、現状の疑義状態では最大限の注視をして、避けるなら避けたら良いだけ
それとも何も無いとしたい理由なんてあるんですか?
Re: (スコア:0)
あなた脆弱性報告とかしたことないでしょう。
見つけた脆弱性をすぐに公開すると悪用されてしまうから、まずは非公開にするのが原則です。
しかし、いつまでも黙っていると該当製品の使用者は脆弱性を知らずに使い続けることになり逆に危険です。
だから、一定期間が過ぎたら脆弱性情報を開示して、使用者に注意を呼び掛けるんです。
これが日本を含めて世界中で行われている「責任ある開示」です。
もちろん説明することで悪用されるリスクはありますが、説明しないでいる方がより危険ということです。
ですが、対象製品の型番が分からないと使用者は注意のしようがないですし、具
Re: (スコア:0)
要はこれだろ
何でもかんでも隠すことがセキュリティだと思ってる奴の多いこと多いこと
Re: (スコア:0)
それは日本を含めた欧米諸国での常識ですが、それを共産主義国に対しても同じ尺度で考えても意味がないです。
当たり前のことを書かれても「そうだね」って感想しか無いけど。
製造メーカー自身が悪意をもって仕込んでいた場合にはそんな対処が成り立つと思いますか?
「デバッグ時のコードが紛れていました」って誤魔化されるだけ(実際にそうした発表を過去にしている筈)
だからあなたの事を平和ボケしてない?って思うんだよ。
注視して、できれば避けるっていうのが唯一の最善策なんだよ。
>ひょっとして動かぬ証拠を出されたら都合が悪いのでしょうか?(笑)
こんな擁護して何のメリットがあるの?
そんなにファーウェイ擁護したいって社員なの?
Re: (スコア:0)
いえ、共産主義国でも同じですよ。セキュリティに国境はないので、最適行動は自ずと同じになります。
事実ファーウェイ自身「責任ある開示」してますよ。何と言ってもCVE採番機関であるCNAですからね。
https://www.cve.org/PartnerInformation/ListofPartners/partner/huawei [cve.org]
https://www.huawei.com/en/psirt/vul-response-process [huawei.com]
だいたい相手が共産主義国家だろうが相手の常識に合わせて不利な行動をする必要がどこにあるんですか?
中国やファーウェイが何と言おうと、我々は我々の基準で行動すれば良
Re: (スコア:0)
いやいやセキュリティ対処手法に対してファーウェイは準じてはいるでしょう。
問題は国家情報法に準じた悪意ある行動をするかどうかって点です。
オーストラリア政府は少なくとも通信機器をアップデートした際に悪意のあるコードが実行され、データが送信されたとのレポートを米国には提出しています。
もしその情報をどうしても知って納得したいのなら、そういう立場になれたら情報にアクセス出来るんじゃないですかね。
少なくとも各国が懸念を表明し、バイデン政権になっても取り消されずむしろ強化される形でファーウェイ排除法みたいな物が可決されています。
国家なんて信
Re: (スコア:0)
私は国家や企業といった社会共同体、第三者検証の話をしています。私一人納得したところで意味はありません。勝手に個人の話にすり替えないでください。
いつ私が通常
Re: (スコア:0)
個人の問題では無いというなら、安全保障の範囲で欧米の国家間で合意が得られている状態なら問題ないのでは?
国家が発表している事に納得しているなら、開示を求める必要もないでしょう。
その上で個人レベルで、ファーウェイ製品を採用している通信事業社と契約しないなど対応はできるでしょう
安全保障を理由に公開されていないからと疑義は無いとして利用が続く事の方が市民レベルでの防災レベルが下がる事は問題です。
少なくとも与太話なんて発言は看過できないでしょう
Re: (スコア:0)
あなたは自分に都合の悪い質問を無視したり、相手の主張を勝手に改ざんする悪癖があるようですね。
もう一度訊きますが、あなたが今利用している通信事業者がファーウェイ製品を採用しているかどうか分かりますか?
Re: (スコア:0)
こういう「自分ではセキュリティわかってるつもり」の人が公開鍵を公開するのは危険とか言い出すんだろうなぁ
Re: (スコア:0)
別に公開鍵なんて公開しても何も問題ないと思ってるけど?変なレッテル貼りして叩くような事しか出来ないなんてレベル低過ぎでしょ
君こそアカウント画面で平気で「このユーザー名は登録されていません」なんてエラーメッセージを平気で出しそうだね
Re: (スコア:0)
やっぱり「セキュリティわかってるつもり」のにわかだってことがバレちゃったねw
セキュリティの都市伝説を暴く [slideshare.net] - EGセキュアソリューションズ株式会社 徳丸浩
Re: (スコア:0)
横からすみませんがアカウント画面で「このユーザー名は登録されていません」って出るの何か問題あるんですか?
っていうかそこでエラーメッセージ出して画面遷移止めないと別人が同じユーザー名で二重登録とかしちゃマズいでしょう
スラドでもアカウント作成 [srad.jp]のページ見れば「利用可否のチェック」ありますよ
Re: (スコア:0)
>ログインIDが公開されているサイトでは
限定環境で嘘だって思い込むような浅はかな知ったか自称分かっているつもりの人なのね
程度が低過ぎでしょ
パソコンの大先生レベル?
Re: (スコア:0)
>ログインIDが公開されているサイトでは
限定環境で嘘だって思い込むような浅はかな知ったか自称分かっているつもりの人なのね
程度が低過ぎでしょ
パソコンの大先生レベル?
リンク先のスライドを何も読んでないのかな?
ログインIDが公開されていない銀行等のサイトでも見直しされつつあるって話なんだけど?
セキュリティに自信ニキ、どんなセキュリティ資格持ってるのか教えてよ?
パソコンの大先生のボクよりきっと立派な資格と業界経験をお持ちなんでしょ?
Re: (スコア:0)
銀行のサイトでも他の認証方法との組み合わせ限定だろ?
従来の認証方式なんて、どこで線引きするなんてポリシーの差でしか無いんだよ。
再認証プロセス含めて、キャッチアップする組み合わせでフォローの仕方が変わるだけ
正規系なのか非正規系どちらに重きを置くかだけの違いで、わからなくする事も辞書アタック系には有効
で、その正規系が優先されるアプローチでファーウェイみたいな企業のコンプラ意識が低い製品に対して対処できるの?
銀行側でも使って欲しく無い機器である事は何も変わらないと思うけど?
Re: (スコア:0)
> 銀行のサイトでも他の認証方法との組み合わせ限定だろ?
他の認証方法との組み合わせ限定じゃねーよ
28ページに「アカウントロックとか」って書いてあるだろ
(#4176756)が言うようにどうせユーザーの存在は登録ページでバレる
だからアカウントロックとかレートリミットとかパスワードポリシーで対処するの
リンク先も読まないw
セキュリティ資格もないw
セキュリティ業界経験もないw
日本語すら読めないw
> 君こそアカウント画面で平気で「このユーザー名は登録されていません」なんてエラーメッセージを平気で出しそうだね
とイキってたのが次々と論破されて
> 従来の認証方式なんて、どこで線引きするなんてポリシーの差でしか無いんだよ。
なーんて後退してるしw
それで「お前はセキュリティが分かってない!」とのたまってたのウケるーwww
Re: (スコア:0)
最後の最後にレッテル貼りして思考停止ですか
本当に程度の低い人でしか無かったようですね
分かりやすい自己紹介してくれてありがとう
Re: (スコア:0)
ちゃーんとボクはセキュリティ資格の有無を聞いたよ?
キミのセキュリティ知識が浅はかなことも証明した
キミが読み間違えている部分も指摘してあげた
それに答えられてないのはキミの方
> リンク先も読まないw
> セキュリティ資格もないw
> セキュリティ業界経験もないw
> 日本語すら読めないw
まあこれ全部事実だから何も言い返せないよねw
Re: (スコア:0)
悪魔の証明をしろとは面白いジョークですね、全然笑えないけど
Re: (スコア:0)
>攻撃の痕跡辿れる可能性がある。
元スレの人が言い出した事なんだけど?
潔白だって思いたいなら勝手に調べれば良いだけでしょ
悪魔の証明でも全くないよね
Re: (スコア:0)
ファーウェイの通信機器が一体何種類あると思ってるの?
たかが市販品ひとつふたつ調べてシロだったところでファーウェイの潔白にはならんだろ
対象型番を出せばそいつひとつ調べりゃ済む話だってのがわからんのか?
Re: (スコア:0)
安全保障上公開できないのだから、どうしても納得できないのあれば気の済むまで調べたらいいんじゃないですかね
あなたの興味本位を満足させる為に安全保障を脅かすなんて事は出来ないでしょ
Re: (スコア:0)
誰も興味本位で調べたいだなんて言ってないが?
話をすり替えんなよ
中国ネタばっか (スコア:0)
流石に一日に三枚五枚と五星紅旗を並べると気持ち悪すぎって思ったのかな?
Re: (スコア:0)
ソ連国旗を混ぜとけばいいんじゃね?
Re: (スコア:0)
本来なら中国の企業毎に別のアイコンを用意して然るべきな規模にまで成長している。
中国の成長スピードにスラドが追いつけていない結果の現れ。
Re: (スコア:0)
DECのアイコンみたいにある意味遺産、ある意味では負債となる未来しかみえないかな。
アイコン画像更新しても過去ログのために残りそうだし。
人間の精神がもはや秒進分歩の世界に追いつけて無いだけだけど
#1年後にはどうなってるかな
Re: (スコア:0)
スラド自体が古臭いんだから、遺産アイコンもあっていい
ボーグゲイツとかSCOとか
なお、このコードは自動的に消滅する (スコア:0)
> こうしたコード自体が数日後に抹消される仕組みだったという。
書いてるそばから消える、って意味ではないとは分かっていても妄想するとちょっと面白い。
……なお、このコメントは自動的に消滅……笑