Recorded Future Newsが入手した文書によると、英国は Salt Typhoon スパイ活動への対応として策定された通信ネットワーク向けサイバーセキュリティ保護措置の提案を骨抜きにしました。対策の実施を担う通信各社がコストや実現可能性を理由にロビー活動を展開したためです。
中国と関連する Salt Typhoon キャンペーンが英国のネットワークに侵入したかどうかについて、英国政府も通信業界も確認していません。しかし国家サイバーセキュリティセンター(NCSC)は、中国のハッカーが「重要インフラ分野の組織を標的にした」と述べており、「英国内でも一連の活動が確認された」と明らかにしています。
保護措置の後退は、複数の西側諸国の安全保障・情報機関幹部が Recorded Future News に語った広範な緊張関係を反映しています。国家支援型ハッカーへの対抗に政府の助けを求めながら、効果的な防衛に必要なアクセス権限や義務には抵抗するという業界の姿勢がそこに見えます。
あるNATO同盟国の高官は、中国によるハッキングが疑われる事案への支援を求めてきた大手通信会社の代表者との会議を振り返りました。当局がネットワークへのアクセスを求めると、会社側はこれを拒否したといいます。
このような緊張関係は、業界と英国政府の関係において歴史的に見られたものではありませんでした。2020年に政府を離れる前、NCSCを設立し通信セキュリティフレームワークの策定を監督した Ciaran Martin 氏は、当時の通信業界の幹部たちが規制を求めていたと述べています。株主に対してセキュリティ投資を正当化するには法的な強制力が必要だと主張していたというのです。
新たなサイバーセキュリティ対策は昨年8月、科学・イノベーション・技術省(DSIT)が通信事業者のネットワーク保護方法を定めた実施規範の改訂に向けたコンサルテーションの一環として提案されました。Salt Typhoon 攻撃が初めて明るみに出た後、DSTIが「国家関与の米国通信ネットワークへの攻撃」と表現した事案を受けて開始されたものです。
BT、VMO2、VodafoneThree、Sky、Ericsson、Amazon Web Services などがパブリックコメントを提出しました。業界団体である TechUK は、通信セキュリティ・多様化ワーキンググループを通じて業界共同での意見書を取りまとめました。Recorded Future News はこれらの組織に取材を申し込みましたが、掲載時点でいずれの企業もコメントを提供しませんでした。
対策に反対するロビー活動を行った企業を会員に持つ TechUK は、規範の策定に「全工程を通じて積極的に関与した」とし、フレームワークは「適切かつ均衡が取れており、実務上も技術的に実行可能なもの」だと述べています。
先週、政府がコンサルテーションへの回答を発表した際、最も重要な措置の多くが撤回または延期されました。この後退はこれまで報道されていませんでした。骨抜きにされた規範は、議会の両院のいずれかが反対決議をしない限り、7月中旬に発効します。
この規範は法的強制力を持つ法律ではなく技術的なガイダンスですが、通信事業者を顧問先に持つ Bratby Law(ブラットビー法律事務所)のマネージング・パートナー、Rob Bratby 氏は、このガイダンスが規制対象企業の行動を測る「基準」となると述べています。
「記録された、弁護可能な理由なしにこれに反することは、基本的な法的義務において事業者を困難な立場に置くことになります」と Bratby 氏は説明しており、基準を下回ると判断された場合、事業者は年間売上高の最大10%の罰金を科される可能性があると指摘しています。
撤回された措置
英国が撤廃した保護措置の一つは、既存のシグナリングファイアウォールなどの制御とは独立した、理想的には異なるベンダーが提供するシグナリング侵入検知システムの導入を事業者に義務付けるものでした。これは送信トラフィックを監視し、既存の制御がすでに迂回された証拠を検知することを目的としていました。
これらのシステムは、80か国以上に影響を与えた Salt Typhoon キャンペーンの特徴の一つ、すなわちネットワーク自身のシグナリングインフラを悪用してデータを窃取する手法を捕捉するために設計されていました。
他のネットワークからのメッセージを信頼できるものとみなすという前提の下に構築された通信プロトコルを攻撃者が悪用するケースが増える中、着信シグナリングをデフォルトで信頼しないものとして扱うよう通信各社に義務付ける要件も撤廃されました。
政府はまた、ネットワーク機器を毎月再起動する義務も撤廃しました。再起動によって、ディスクに痕跡を残さず、システム稼働中は検出できないものの再起動後は消滅する高度なメモリ常駐型マルウェアを除去できるとされていましたが、事業者側は月次スケジュールは実現不可能だと政府に伝えていました。改訂された規則では、実施可能な場合にのみ再起動を推奨する形になっています。
通信システムはサービスアカウント、すなわちコア機能の実行に広範なアクセス権限を持つ自動化されたバックグラウンドアカウントに依存しています。政府自身の文書でも、このアカウントは「脅威アクターによる侵害の格好の標的」と記されています。これらのアカウントを保護するための要件は、当初2028年末が期限でしたが、2029年末まで延期されました。
自社の脆弱性をマッピングし、防御をテストし、システムと外部世界との通信方法を文書化することを事業者に求める追加措置も同様に延期されました。
2025年12月に公表された Ofcom の最新セキュリティレポートは、英国の大手事業者の一部が、サービスアカウントセキュリティを含む広範なカテゴリーであるアイデンティティおよびアクセス管理に関する措置の実施期限をすでに守れない可能性が高いと指摘しています。これは今回延期された措置が対処しようとしていた分野の一つです。同レポートはまた、Ofcom が Salt Typhoon への対応について DSIT および NCSC と緊密に連携していると述べています。
Bratby 氏は Recorded Future News に対し、サービスアカウントの期限延期は政府自身の脅威評価と整合させることが難しいと述べました。「サービスアカウントは、永続的な特権アクセスを持つため、有能な攻撃者がまさに居座りたい場所です。政府も回答の中でその点を認めています」と同氏は言います。
政府がこれらのアカウントの保護期限を延期したことは、「既知の、かつ積極的に悪用されている脆弱性がさらに3年半の間放置されることを意味しており、脅威評価が示す緊急性と整合させることは難しい」と同氏は述べています。
一方的なコスト計算
コンサルテーション文書全体を通じて、各後退措置に対する比例性評価は同じパターンをたどっています。すなわち、措置が提案され、事業者がコストや実現可能性を理由に反対し、措置が撤廃・緩和または延期されるというものです。公表されているいずれの評価においても、英国の通信インフラへの敵対国による侵入が成功した場合のコストは考慮されていません。
英国の大手事業者7社が、主要なコンサルテーション終了後に実施された補足調査でコスト見積もりを提出しました。それらの数値も公表されていません。
Bratby 氏は、政府の法的基準には一方的な会計以上のものが求められると述べています。「業界へのコンプライアンスコストのみを計上し、インシデントが国にもたらすコストを無視した比例性の評価は、それ自体として不完全です。」
現在オックスフォード大学ブラバトニク・スクール・オブ・ガバメントの教授を務める Martin 氏も、同様の懸念を示しました。「これらの措置は、発生し得る国家安全保障上の損害コストを基準に評価すべきものです」と同氏は述べています。「それ以外に何を基準にするというのでしょうか?」
政府は掲載前のコメント要請に応じませんでした。
政府は別の状況下ではそのような評価を公表しています。通信に関するコンサルテーション終了から3週間後、DSIT はサイバー攻撃が英国経済に年間147億ポンド(197億ドル)のコストをもたらすと推計した独立調査を公表しました。この数字は、別の法案であるサイバーセキュリティ・レジリエンス法案の比例性を裏付けるために委託された調査から得られたものです。
この調査は政府が通信に関するコンサルテーションを準備している間に進められ、サイバーセキュリティ・レジリエンス法案が議会に提出された当日に公表されました。通信セクター向けの同等の分析は作成されませんでした。
NCSC の最高技術責任者(CTO)である Ollie Whitehouse 氏は、コンサルテーション開始の3か月前に、これを構造的な問題として指摘していました。2025年6月のブログ投稿で Whitehouse 氏は、サイバーセキュリティへの投資判断がダウンストリームコストを系統的に過小評価していると主張しました。そのコストは意思決定をする企業ではなく、顧客や一般市民が負担するからです。
「サイバーセキュリティへの過少投資のコストは、最終的にはベンダーではなく、下流の顧客、保険会社、政府、そして社会全体が負担することになります」と同氏は記しています。
Martin 氏は Recorded Future News に対し、一部の後退はコンサルテーションプロセスが正常に機能した結果として合理的に説明できると述べました。業界が代替手段によって要件をすでに満たしていることを示した場合がそれに当たります。しかし同氏は、全体として見た場合の状況は懸念されると述べています。
「サイバーセキュリティ・レジリエンス法案の遅延と合わせると、政府が誤った成長促進意識から安全保障規制の重要な詳細を削っているという印象を――意図的でなくとも――与えかねません」と同氏は述べています。「そのような印象が広まらないよう、政府は十分に注意する必要があります。」
翻訳元: https://therecord.media/uk-weakens-telecoms-defenses-after-industry-lobbying
