写真出展：Mohamed HassanによるPixabayからの画像https://pixabay.com/ja/users/mohamed_hassan-5229782/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=6077545

　2023年6月15日にWIREDは、中国製半導体の浸透に関する記事を発表した。内容は、エンティティリストに掲載されている中国企業の傘下にある企業から、西側諸国政府機関に半導体が多く入り込んでいる現状を紹介し、輸出入規制に警鐘を鳴らすものである。サプライチェーンの複雑さにより、第三国の中国企業の関連会社などから調達するという事例は後を絶たない。アメリカの輸出規制がたびたびニュースになるが、この規制を真に実効性のあるものにすることがいかに困難であるかを示す有益な情報であることから、今後の技術政策を考える参考として本記事の概要を紹介させていただく。

↓リンク先（How a Shady Chinese Firm’s Encryption Chips Got Inside the US Navy, NATO, and NASA）
https://www.wired.com/story/hualan-encryption-chips-entity-list-china/

１．本記事の内容について
　・米中技術覇権を巡り、アメリカは禁輸措置で中国に対抗しているが、ハードウェアの複雑なサプライチェーンのため、いくつもの抜け穴が生じている。中でも暗号用半導体はその最たるものであり、軍、インテリジェンスコミュニティが利用している機器に、中国のエンティティリストに掲載されている企業の製品が入り込んでいる。
　・例えばエンティティリストに掲載されている中国企業のホウラン傘下のイニシオは、暗号用の半導体を生産しているが、過去の調達記録を確認するとNASA、NATO、西側諸国の軍隊が調達していることが明らかになっている。このことは機密に関わる機器に中国製が入り込んでいることを意味しており、ひそかに仕掛けられたバックドアから情報が漏洩する恐れがあるのである。
　・例えば、イギリスのiStorage、カリフォルニアのサウスパサデナは、データ保護の機器を販売しているが、製品にイニシオ製の半導体を部品として利用している。製品のセキュリティは半導体の設計に依拠しているが、もし半導体にバックドアが仕掛けられていれば、主要顧客であるアメリカ陸軍、NASAなどの情報が漏洩することとなる。
　・事実、イニシオの半導体を利用したセキュリティUSBに、指紋認証やパスワード入力を回避して、ドライバに記録されているアドミニストレーター権限のパスワードにアクセスできるような脆弱性が存在することが発見された。このような調査は容易ではなく、隠れた部品や公開されていないコードの解析には多大な労力と時間を要する。iStorageの担当者は、イニシオの半導体は暗号に関わる部分に使用されていないと回答しており、製品は信頼できると回答している。
　・しかし暗号に関わらないからと言って、安全と言うわけではない。半導体に記録された秘密鍵を利用して新たに暗号を生成するなどの異常な稼働を組み込むことも可能である。イニシオはエンティティリストの適用対象外であると強弁しているようだが、中国企業の傘下にある以上、安全保障上の懸念が払しょくされることはない。たとえNISTのFIPS140-2の認証を受けている製品であっても、脆弱性の確認はあくまでも事故発生時の不具合に限られており、意図的に組み込まれた脆弱性までは対象としていないことから、安心材料にはならない。
　・バックドアを仕掛ける方法は千差万別であり、全てを防ぎきることはほぼ不可能である。西側諸国の政府機関は、サプライチェーンの複雑さを克服することができず、あまりにも中国製品を調達しすぎている。最善の対策は、そもそも中国製品を購入しないことに尽きるのである。

２．本記事読後の感想
　　技術の問題は非常に難しいと感じる。どの製品にどの会社の部品が含まれているかを完全に把握することは困難であり、納期に間に合わせるために代替製品を使わざるを得ない、といったイレギュラーも発生する可能性もあり、中国製品を完全に排除することは事実上困難と言えるだろう。
　　私の信頼できる知り合いの技術者も、基板の設計図の読み解きやコードの解析は至難の業であり、たとえ検証可能であっても見逃さずに脆弱性を完全に把握することは不可能であると語っていたことから、最高峰の技術があったとしても製品の導入後に脆弱性を回避することは困難と考えるのが妥当である。
　　ではどのように対策するべきかというと、良い答えは見つからない。結局のところ、自己完結的に製品を生産するしかないということに尽きるだろう。中国抜きのサプライチェーンをいかに構築するかが問題なのだが、先進国やアメリカを中心とした同志国だけでこのような体制を築くことができるのかはこれからの取組にかかっていると言えよう。

　英文を読んでわからないという方は、メールにて解説情報をご提供させていただきます。なにぶん素人の理解ですので、一部ご期待に沿えないかもしれませんので、その場合はご容赦願います。当方から提供した情報については、以下の条件を守ったうえで、ご利用いただきますようよろしくお願いいたします。

(1) 営利目的で利用しないこと。
(2) 個人の学習などの目的の範囲で利用し、集団での学習などで配布しないこと。
(3) 一部であっても不特定多数の者が閲覧可能な場所で掲載・公開する場合には、出典を明示すること。（リンク先及び提供者のサイト名）
(4) 著作元から著作権侵害という指摘があった場合、削除すること。
(5) 当方から提供した情報を用いて行う一切の行為（情報を編集・加工等した情報を利用することを含む。）について何ら責任を負わない。