出典: sdecoret via Shutterstock
半導体メーカーのNvidiaおよびアドバンスト・マイクロ・デバイセズ(AMD)は、中国への先進的なAIプロセッサの出荷において引き続き課題に直面しており、中国と米国の双方にとって国家安全保障とハードウェアセキュリティが問題となっている。
2022年、米国政府はハイエンドAIチップの輸出を禁止したが、先月、トランプ政権はメーカーが米国政府に15%の手数料を支払うことを条件に、より高度でないプロセッサの中国への出荷を許可する決定を下した。しかし現在、中国は最大手のチップメーカーであるNVIDIAに対し、そのプロセッサに悪用可能なセキュリティの欠陥やバックドアが存在しないことを証明するよう要求しており、中国国営メディアはNVIDIAのH2Oチップが安全ではないと主張している。
中国サイバースペース管理局は、NVIDIAのH2Oチップにバックドア機能があるリスクに対処するよう同社に求めたと、中国共産党中央宣伝部が所有する英字ニュースメディア「チャイナ・デイリー」が伝えている。
「もしNVIDIAのチップに本当にバックドアリスクがあるなら、それは同社の“自ら掘った墓”となるだろう」と、工業情報化部情報通信経済専門委員会の潘賀林氏を国営メディアは引用している。「中国企業だけでなく、世界中の顧客が、リモートシャットダウンやデータ窃取の懸念から同社のチップを見限るかもしれない。」
バックドア、そしてバックドアの存在を巡る主張は新しいものではない。米国も中国も、スパイ活動を支援するためにテクノロジーにバックドアを仕掛けられたことがあり、また自らもバックドアを利用してきた。両国はまた、バックドアの懸念を政策の後押しに利用しており、最近の米国による米国港湾で使用されるシステムのセキュリティに関する懸念や、中国による自国の地震監視システムが米国の脅威アクターに標的にされたとの主張がその一例である。
しかし、米国の民間企業、特にサイバーセキュリティ企業がこのような計画に協力することはほとんどない。Nvidiaの最高セキュリティ責任者であるDavid Reber Jr.氏は、同社のチップにバックドアコードを追加することは決してないと8月5日の声明で述べている。
「Nvidiaのチップにはバックドアはありません。キルスイッチもありません。スパイウェアもありません」と彼は書いている。「それは信頼できるシステムの構築方法ではありませんし、今後もそうなることはありません。」
優れたバックドアは見つけるのが難しい
証拠のないバックドアの疑惑は実際の証拠よりもはるかに多いが、実際に攻撃が記録されたケースも存在する。
10年以上前、米国家安全保障局(NSA)はCiscoルーターの出荷を傍受し、監視技術を仕込み、工場の封印を再度施して国際顧客に送ったと、元NSA契約社員エドワード・スノーデンによる有名なリークで明らかになった。中国製ハードウェアにもバックドアが発見されており、2024年には上海復旦微電子が製造したMIFARE Classicキーカードにバックドアがあることが判明したほか、Huaweiが現地法執行機関向けに作られたバックドアを通じて自社ハードウェアで稼働するモバイルネットワークに秘密裏にアクセスできるとの疑惑もある。
よく設計されたバックドアは、3つの特徴を持つ:発見されにくい小さな運用フットプリント、脆弱性が意図的ではなくミスであるという高いもっともらしさ、そしてごく少数の人しかその存在を知らないこと。これらの特徴―発見困難性、高い否認性、最小限の共謀―を持つバックドアは、ほぼ発見不可能だと、著名なサイバーセキュリティ専門家でハーバード・ケネディ・スクール講師のブルース・シュナイアー氏は述べている。
監視用バックドアは明白な場合もあるが(通信のリダイレクトは帯域幅の急増だけで検出されることが多い)、追加機能を実装するバックドアははるかに検出が難しいと彼は言う。
「AIチップの場合、バックドアは“ある条件が発生したときに動作を停止する、シャットダウンする”といったものかもしれません。これはごく少量のコードで大きなことを実現します」とシュナイアー氏は語る。「このような機能の変化は痕跡を残さず、ただ起こるだけです。これこそが懸念すべきバックドアです。」
バックドアを分析する技術は完全ではないが存在する。しかし、特にAI用途のような高度に複雑なチップでは、不要な機能を検出するのは難しいと彼は言う。「回路図にも現れませんし、テストにも現れません。偶然見つけることもないでしょう」と彼は述べている。
セキュリティや科学ではなく、政治と需要がカギ
NVIDIAが今後も中国に製品を出荷できるかどうかは、米中間の政治と、AIチップへの経済的需要が他の懸念を後回しにするかどうか、という2つの要因にかかっているだろう。中国と米国にとって、AIチップはNVIDIAやAMDのチップに不要なコードによるセキュリティリスクがあるかどうかに関わらず、国家安全保障上きわめて重要である。
中国は独自の情報技術エコシステムの構築に向けて数十年にわたるプロジェクトを進めており、独自のAIチップ開発はその大きな一部を占めている。2024年、中国は米国の禁輸にもかかわらず14万個のAIチップを入手したと考えられていると、米下院中国共産党特別委員会は報告している。
「中国共産党は長年にわたり、我々の輸出規制執行体制の弱点を利用し、ペーパーカンパニーや密輸ネットワークを使って、軍事力強化や監視能力拡大、弾圧強化に役立つ米国の機微技術を迂回取得してきた」と、同委員会委員長のジョン・ムーレナール下院議員(ミシガン州選出)は声明で述べている。「それは我々の国家安全保障と人工知能分野でのリーダーシップを危険にさらすものだ。」
Nvidiaは、自社チップのセキュリティと完全性について強い姿勢を示しており、いかなる種類のバックドアも望ましくないとしている。
「チップにバックドアやキルスイッチを仕込むことは、ハッカーや敵対的な勢力への贈り物となる」とNVIDIAのReber氏は述べている。「それは世界のデジタルインフラを損ない、米国技術への信頼を崩壊させる。既存の法律は企業に脆弱性の修正を求めており、作り出すことを求めてはいない。」
1984年、コンピュータ科学者のケン・トンプソンは「信頼を信じることについての考察」という講演で、「教訓は明白です。自分自身で完全に作成していないコードは信用できません。(特に私のような人材を雇っている企業のコードは。)ソースレベルでの検証や精査をどれだけしても、信用できないコードを使うリスクからは逃れられません」と結論づけた。
中国と米国の間にほとんど信頼がない中、NVIDIAやAMDは難しい課題に直面している。すでに中国政府は大手中国企業に対し、NVIDIAのチップを国家安全保障用途に使用しないよう警告したと伝えられている。
翻訳元: https://www.darkreading.com/cyber-risk/china-questions-security-ai-chips-nvidia-amd