出典: Tom Grundy(Alamy Stock Photo経由)
チェコ共和国は勧告の中で、特定の製品やサービスが中華人民共和国(PRC)にデータを送信しているとして注意を呼びかけました。
この通知は、同国の国家サイバー・情報セキュリティ庁(NÚKIB)から発せられ、「システムおよびユーザーデータが中華人民共和国、または中華人民共和国の特別行政区、もしくはそれらの地域に拠点を置く組織に転送されている」こと、さらに「これらの関係者による技術資産のリモート管理」について警告しています。
より具体的には、サイバー庁は、データがいかなる形でも中国に送信される製品を利用する個人や組織について懸念しており、そのデータが国家、軍事、または政治的な利益のために悪用される可能性があるとしています。
今年初め、チェコ政府はAPT 31とされる脅威アクターによる重要インフラへの攻撃で中国を非難しました。中国側は(2022年に始まったとされる)これらの攻撃を「根拠がない」と主張しましたが、米国、EU、NATOはこの疑惑の活動を非難しました。
いずれにせよ、中国は攻撃的なサイバー活動を活発に行っています。昨年発覚したSalt Typhoonによる米国(および世界)全体への大規模な通信事業者攻撃に加え、中国は破壊的なサイバー攻撃を行う必要が生じた場合に備え、各種環境での影響力を強める動きを見せています。
中国へのデータ送信
民間企業が中国にデータを送信するという懸念も依然として続いています。TikTokが中国政府に米国ユーザーデータへのアクセスを許しているという疑念は根強く存在しており(TikTokはこれを否定)、先月末には、世界中の複数の機関が中国のサイバー脅威活動を国内の3つの民間ネットワーク企業と結び付けました。
CrowdStrikeの対敵対者作戦責任者であるアダム・マイヤーズ氏は、Dark Readingに対し、中国は可能な限りデータを収集しているだけでなく、「グローバルな影響力の基盤を築いている」と語ります。
「CrowdStrikeのグローバル脅威レポートでは、中国の侵入活動が前年比150%増加していることが示されており、最新の脅威ハンティングレポートではクラウドを標的とした中国の作戦が40%増加しています」と彼は説明します。「これに中国の国家安全法(企業に対し国家へのデータ提供を義務付ける)を組み合わせると、リスクは明白です。北京に情報を送信する製品やサービスは、国境を越えて情報活動を推進しています。これは中国がグローバル覇権を目指す長期戦略の一部であり、日常のテクノロジーが諜報や支配の戦場となっているのです。」
チェコの報告書は、国家情報法(すべての市民および組織に国家情報活動への協力と機密事項の守秘を義務付ける)など、他の多くの法律にも言及しています。つまり、中国政府はどのような方法であれ、自国に入るデータに事実上完全な法的アクセス権を持っています。さらに報告書は、中国共産党が「市民社会のあらゆる分野」に定期的に干渉していることも強調しています。
「これらの地域で有効な法規制により、政府当局は民間企業や組織に対して積極的かつ効果的な圧力をかけることができ、上記の地域にシステムやユーザーデータが転送されたり、技術資産がリモート管理されている組織の利益よりも、PRCやその地域の利益を優先するよう強制される可能性がある」と報告書は述べています。
サイバー災害復旧企業Fenix24の最高情報セキュリティ責任者(CISO)であるヒース・レンフロー氏も、Dark Readingへのメールで「民間の中国企業と北京のサイバー作戦との間に実質的な分離はない」と説明しています。
「だからこそ、米国や英国、そして今やチェコ共和国のような国々が、こうした依存関係について警告しているのです」とレンフロー氏は述べています。「もはや問題はプライバシーだけではなく、国家のレジリエンスや、敵対者がデジタルツールを使って物理的世界を混乱させた場合に回復できるかどうかという点にまで及んでいます。」
より大きな懸念
コーネル大学工学部助教授のグレゴリー・ファルコ氏は、スパイ活動の観点から、中国はどのようなパターンが現れるかを見るために網羅的にできるだけ多くのデータを収集することに関心があると説明しています。
「中国のデータ収集手法は非常に多様であり、だからこそこのような警告は考慮されるべきです」とファルコ氏は述べています。「中国がこれを実行できる能力を示す最も興味深い事例の一つは、ジョンズ・ホプキンス大学の研究に基づくもので、中国製ドローンが防衛施設の近くを飛行していた際、そのデータが現地サーバーではなく中国のサーバーを経由して処理・転送されていたことが明らかになりました。」
NÚKIBは、外国の干渉の標的となり得る個人は、いかなる形でも中国にデータを転送する製品やサービスの使用を制限または禁止することを検討すべきであり、すべての市民が自分が使用するテクノロジーに警戒する必要があると述べています。
サイバー企業Apollo Information SystemsのCISOであるアンディ・ベネット氏は、これらのデータ窃盗に関する懸念は重大かつ継続的な問題であり、「新しいものではない」と説明しています。
「中国企業が世界中でデータやシステムの窃盗・悪用を助長した事例はほぼ数え切れないほど存在します。これは大きな問題です」とベネット氏はDark Readingに語ります。「さらに問題なのは、自分の環境にこれらのシステムやソフトウェアがなくても、接続している第三者や顧客が持っている可能性があり、その結果、直接的な過失がなくても自分のデータやシステムが危険にさらされることです。」