スマホから「余計なもの」を取り除こう

(写真:アフロ)

O.MGケーブル

「バックドア付きUSBケーブル」が話題である。まったく技術を持たないところから始めて、300時間と4000ドルを使って、このケーブルを作ったという。

見た目はApple純正のUSBケーブルにしか見えない。しかし、USB Type-AコネクタのなかにWiFiに対応した小さな基盤が入っていて、これがバックドアとして機能するらしい。

動画では、スマホの専用アプリを使った遠隔操作によってブラウザにフィッシングサイトを表示させることに成功している。(実際にどうなのかは不明。)

USBメモリなら何か仕込まれているかもと考えて警戒する人も、USBケーブルに何か仕込まれていると警戒したりはしないだろう。

分解したら「余計なもの」が見つかった!?

2018年12月7日のFNNは、与党関係者の談話として「政府がファーウェイの製品を分解したところ、ハードウェアに“余計なもの”が見つかった」と報じている()。

これに対してHUAWEIは「まったくの事実無根」と否定し「日本に導入されているファーウェイの製品はファーウェイならびに日本のお客様の厳格な導入試験に合格しております」としている()。

ただ、自社による「厳格な導入試験」は、経営陣が意図的に仕込んだバックドアに対しては有効に機能しない。内部統制は経営者の不正には効きにくい。

「日本のお客様」については、それが誰で、どの程度の「厳格な導入試験」なのかがわからなければ何ともいえない。

これだけでは、FNNの報道とHUAWEIの主張のどちらが正しいのか、消費者にはわからない。

ハードウェアハック

それより前の2018年10月4日には、Bloombergが中国の下請け業者によるハードウェアハックの可能性を報じている()。

Amazon.comが買収を検討していたElemental Technologiesという会社の製品に「余計なもの」が見つかったという。

買収に先立つ資産査定(デューディリジェンス)のプロセスで、Supermicro製のマザーボード上に、設計図にない米粒より小さなチップが発見されたらしい。これがバックドアとして機能するという。

関係者の談話として、このチップは、中国の下請け業者によって挿入されたとされている。中国人民解放軍の関与も示唆されている。

アメリカの国防総省やCIAや海軍でも使用されているサーバーだったので、この報道が事実なら影響は大きい。AmazonもAppleもこの製品を使っているという。

もちろんAppleもAmazonもSupermicroも揃ってこの報道を否定している。

民間企業は、ビジネスに悪影響があるので、これが事実であってもなくても否定するインセンティブがある。

よって、どちらが正しいのか一般消費者にはわからない。

消費者の不安

われわれ一般庶民には、水面下での国際諜報合戦の激しさはわからない。想像をたくましくしてあれこれ憶測を述べるのがせいぜいである。

結局のところ、真実はわからないだろうし、かりに「真実がわかった。実際はこうだ」といわれても、それを信じる理由もない。

ただ、スパイ活動の対象になるほどの重要人物でなくとも、自分が日々使っているインターネット上のサービスや、パソコン、スマホなどに「余計なもの」が仕込まれていて、何らかの情報が抜き取られている「可能性」があるだけでいやぁな気になるに違いない。

だからといって、スマホなどの電子機器類を使わない生活に逆戻りするのはムリである。

何か仕込まれている可能性があるのはわかっていながら、そのままディバイスを使い続けていくことになる。

ディバイスの生産者が圧倒的に技術情報に詳しく、消費者が技術情報をよくわかっていなければ、ある種の「詐欺」が可能である。

消費者の安心のための技術監査を

上場企業が公表する決算書(財務諸表)に虚偽報告、粉飾が含まれていると、投資家はその決算書を信じなくなる。

ひょっとしたら粉飾された決算書かもしれないと疑えば、数字を額面通りに受け取らず、その分割り引いて判断するようになる。

その結果、株価や債券価格が下がり、資本市場は機能不全に陥る。

そこで、独立した第三者による会計監査が始まった。独立した第三者による監査を受けた決算書は、監査を受けていない決算書より信頼性が高い。

会計事務所の集約化は少しずつ進み、今は大手4事務所が有名である。KPMG, Deloitte, Ernst & Young, PwCである。

同じようなサービス機関として、債券格付け機関がある。Standard & Poor's, Moody'sなど、評価の高い格付け機関の格付けが投資家の不安を和らげている。

ある意味、大学認証機構も同じようなサービス提供機関である。大学院のMBAプログラムの場合、AACSBやEQUISといった認証を受けていないと国際的にMBAとして通用しにくい。

同じように、電子機器類の技術監査ビジネスが出てきてもおかしくない。

Amazon.comがElemental Technologies社の資産査定プロセスで利用した第三者企業のように、技術監査サービスを提供する企業はすでにある。

ただ、「ここの認証が付いていれば安心ね」と消費者が認知するような一般消費者向けの大規模な技術監査サービスはまだ確立していないように見える。

電気用品の安全性についてのPSEマークのように国が認証をデザインして普及させるのも一案ではある。

ただ、国家が認証を独占すると、技術革新のスピードについていけるかどうか不安が残る。また、登記料や公証人の手数料のように割高になって、利権化する畏れもある。

会計事務所や債券格付け機関、大学認証機関のように、複数の民間団体が認証サービスを提供し、互いに鎬を削ってレベルアップを図っていくのがいいのではないか。

HUAWEIの格安スマホが信頼できるものかどうか、独立した第三者による技術監査が行なわれてもいい()。清廉潔白であれば、売上げに与える影響を考慮して、HUAWEI自ら進んで監査を受けるという考え方もあろう。