Photographer: Victor Prado / Marika Katanuma Photographer: Victor Prado / Marika Katanuma

米 アマゾン ・ドット・コムは2015年に、 エレメンタル・テクノロジーズという新興企業の調査を始めた。今ではアマゾン・プライム・ビデオとして知られる動画ストリーミングサービスを拡大するため、買収することを検討していた。オレゴン州ポートランドを本拠とするエレメンタルは、動画ファイルを圧縮し、異なる機器向けにフォーマットするソフトウエアを作っていた。同社の技術は国際宇宙ステーションとの通信やドローンの映像を中央情報局（ＣＩＡ）に送ることにも使われていたため、アマゾンの政府関連事業にも役立つと考えられた。

ＣＩＡのために安全性の高いクラウドを構築していたアマゾン・ウェブ・サービシズ（ＡＷＳ）が、デューデリジェンス（資産評価）の一環としてエレメンタルのセキュリティーを調査した。事情に詳しい関係者が述べた。気になる点が発見され、ＡＷＳはエレメンタルの主力製品を詳しく調べることにした。顧客企業が動画圧縮のためにネットワーク内に設置する高性能サーバーだ。これらのサーバーの組み立てをエレメンタルから請け負っていたのが スーパーマイクロ・コンピューターだった。同社はサーバー向けのマザーボードなどの供給で世界最大手の１社。関係者によると、エレメンタルの社員が2015年春の終わりに複数のサーバーを、サードパーティーのセキュリティー会社による検査のためカナダのオンタリオ州に送った。

ビジネスウィーク誌（2018年10月８日号） Photographer: Victor Prado for Bloomberg Businessweek

すると、サーバーのマザーボード上にコメ粒ほどの大きさのマイクロチップが組み込まれているのが見つかった。ボード本来の設計にはない部品だった。アマゾンが発見を米当局に報告すると、情報関係者の間に衝撃が走った。エレメンタルのサーバーは国防省のデータセンターやＣＩＡのドローンシステム、海軍の艦船間のネットワークに使われていたからだ。しかも、エレメンタルはスーパーマイクロの数百社の顧客の１社にすぎない。

最高機密の捜査が始まり、３年以上が過ぎた今も完了していないが、捜査官らは問題のチップが操作されたサーバーを含むいかなるネットワークにもアクセスすることを可能にするものだと結論付けた。事情に詳しい複数の関係者によれば、チップの埋め込みは中国の製造下請け会社の工場で成されていた。

この攻撃は、今では珍しくないウイルスによる攻撃よりも深刻だ。ハードウエアを使ったハッキングは除去するのがより困難な上、被害がより甚大になる場合がある。長期的に密かに相手のネットワークにアクセスできる仕組みは、情報機関が巨額投資と何年をかけても手に入れたいものだ。

スパイたちがコンピューター機器に変更を加える方法は２つある。１つは製造元から顧客に渡るまでの間に操作すること、もう１つは製造の最初の段階で埋め込むことだ。

この２番目の方法で特に有利なのが中国だ。世界の携帯電話の75％、パソコンの90％が中国で製造されるているとの見積もりがある。ただ、操作を加えるには製品の設計について十分に理解している人間が工場に入り込んで行わなければならないし、その部品が世界の物流チェーンを通って目標の場所にたどりつかなければ意味がない。ハードウエアハッキングの専門家でグランド・アイデア・スタジオの創業者、ジョー・グランド氏は、国家政府レベルのハードウエアハッキングが成功するのはとても珍しいと述べた。

しかしこれが、米国の捜査官が発見したことだった。当局者２人よると、チップは製造過程で人民解放軍の１部隊の工作員らによって埋め込まれた。米当局者らはこの事件を、米企業に対して仕掛けられたこれまでで最も重大なサプライチェーン攻撃だとしている。

１人の当局者によると、最終的に30社近くが攻撃対象となっていたことが分かった。大手銀行１行と政府と契約する業者や アップルも含まれていたという。アップルはスーパーマイクロの重要顧客で、データセンターの新しい世界ネットワークのために２年間で３万台余りのサーバーを注文する計画だった。アップルの社内幹部３人によると、同社も15年夏にスーパーマイクロのマザーボード上に悪質チップを発見。アップルはその翌年、スーパーマイクロとの取引を打ち切ったが、それは別の理由という。

アマゾンとアップルとスーパーマイクロはブルームバーグ・ビジネスウィークのこの記事について電子メールでコメント。アマゾンは「ＡＷＳがサプライチェーン攻撃とハッキング用チップ、ハードウエアへの修正についてエレメンタル買収時に知っていたというのは事実ではない」とし、アップルは「そのようなチップや『ハードウエア操作』、サーバーに意図的に脆弱（ぜいじゃく）性が加えられたと発見したことはないと非常に明確にできる」とした。スーパーマイクロの広報担当、ペリー・ヘイズ氏は「いかなる調査も承知していない」と指摘した。

中国政府はスーパーマイクロのサーバー操作に関する質問に直接答えることはせず、声明の一部に「サイバースペースでのサプライチェーンの安全性は共通する懸念事項であり、中国も犠牲者だ」と記した。ＦＢＩと国家情報長官室（ＯＤＮＩ）はコメントを控えた。

How the Hack Worked, According to U.S. Officials Illustrator: Scott Gelber

原題： China Used Tiny Chip in Hack That Infiltrated Amazon, Apple（抜粋）