Language
共同オフィスの固定電話が中国政府に情報漏洩の可能性、報告書が主張
ホームページホームページ > ニュース > 共同オフィスの固定電話が中国政府に情報漏洩の可能性、報告書が主張
最新ニュース

共同オフィスの固定電話が中国政府に情報漏洩の可能性、報告書が主張

Jun 15, 2023

イギリス、ノーフォーク、ノリッジのコールセンターの従業員たち Getty Images

つながりを保つ

パトリック・タッカー

中国の大手携帯電話メーカーは米国の消費者、企業、さらには国家安全保障のデータさえも危険にさらしている可能性があり、米国上院議員は商務省がそれに対してどうするつもりなのか知りたがっている。

ディフェンス・ワンが入手した9月28日の書簡の中で、メリーランド州民主党のクリス・ヴァン・ホーレン上院議員は、「イェーリンクなどの中国企業が米国に製造・販売するオーディオビジュアル機器の安全性について深刻な懸念を生じさせる」という報告書について述べた。 。」

Yealink は、物議をかもしている中国の通信大手 Huawei ほどの知名度はないが、同社の携帯電話は政府機関を含む米国全土に広く設置されている。 Yealink と Verizon は 9 月に、「国内初の 4G/LTE 携帯電話固定電話」を販売する計画を発表しました。

ヴァン・ホーレン氏は書簡の中で、ジーナ・ライモンド商務長官に、バージニア州に本拠を置き、セキュリティのため電子機器を分析する企業チェーン・セキュリティー社の報告書を政府機関が認識しているかどうかを尋ねた。 同氏は、その分析が信頼できると考えるか、そうであれば商務省にそれについて何をしてもらいたいかを尋ねた。

報告書で提起さ​​れているセキュリティ問題の多くは、米国政府がファーウェイに関して長年抱いてきた問題と類似している。 本質的には、攻撃者がデータを盗むために利用できる可能性のある、大きな、しかしおそらく意図的ではないセキュリティ上の欠陥が多数存在します。 しかし、特に Yealink T54W 携帯電話には、明らかに意図的に組み込まれている懸念すべき機能もいくつかあります。

報告書は、各電話をローカル ネットワークに接続する Yealink ソフトウェアを指摘しました。 デバイス管理プラットフォーム (DMP) と呼ばれ、ユーザーが PC から電話をかけたり、ネットワーク管理者が電話を管理したりできるようにします。 しかし、これにより、Yealink はこれらの通話を秘密裏に録音したり、ユーザーがどの Web サイトにアクセスしたかを追跡したりすることもできます。

「電話がデバイス管理プラットフォームによって管理されており、ユーザーの PC がローカル エリア ネットワークにアクセスするために電話に接続されている場合、ユーザーがサーフィンしている内容に関する情報がコンピュータ上で収集されることが確認されました。」とChain SecurityのCEO、ジェフ・スターン氏は語った。 「Yealink 電話などのデスクトップ IP 電話をイーサネット スイッチとして使用して、PC をローカル エリア ネットワークに接続する方法は、一般的なビジネス慣行です。そのプラットフォームの管理者は、ユーザーの知らないうちに通話録音を開始することもできます。彼らが行うのは、電話に通話を録音するコマンドを発行することです。」

スターン氏は、「この機能は企業顧客の従業員や代表者が使用することを目的としている。ただし、どのシステムにもスーパーユーザー管理者、つまりSYSADMINがいる。この種のシステムでは、通常、SYSADMINはあらゆるものにアクセスできる。一部の最新のシステム、特にそれ以降のシステムでは、スノーデン、SYSADMIN に対するこの機能を否定してください。しかし、ここではそうではなく、Yealink DMP SYSADMIN は中国にあると想定する必要があります。」

Chain Securityの報告書は、Yealinkのサービス契約ではユーザーが中国の法律に同意することを求めている一方、「関連する一連のサービス規約により、『国益』(これは中国の国益を意味する)で必要な場合にはユーザーを積極的に監視することが認められている」と指摘している。

スターン氏はまた、この携帯電話はソフトウェアへの不正な変更を防ぐためにデジタル証明書を使用していないことにも言及した。 そのため、攻撃者は Yealink に起因することなく、電話上のデータ、さらには接続されているネットワーク全体のデータを侵害することがはるかに簡単になります。 「電話機で何が起こっているかを監視する何らかのモニターがなければ、このファームウェアがそこにあることは分からず、ネットワークとサブネットの監視という点で望むことは何でもできます。このようなデバイスで私たちが懸念しているシナリオは、それは、ネットワークを監視し、本質的にネットワーク アーキテクチャまたはネットワーク実装を窃取するということです。」

ファームウェアの署名要件がないことは、まったく前例のないことではありません。 スターン氏はこれを「昔からの間違い」と呼んだ。 しかし彼は、「このような古い間違いが今後も存在し続ける理由はない。これは悪いことだ」と語った。

Defense One は Verizon の広報担当者に、同社が Yealink DMP を搭載し、デジタル証明書なしで携帯電話を販売しているかどうかを尋ねました。 広報担当者は当初、同社はセキュリティとファームウェアのアップグレードに関連する問題に対処するためにDMPをカスタマイズしたと述べた。

この返答に対してスターン氏はさらなる疑問を抱いた。 「ファームウェアのカスタマイズは誰が行っているのですか? [Verizon] はファームウェアのソース コードを変更するライセンスを持っていますか? [Verizon] はユーザーにリリースする前にファームウェアの侵入テストを行う予定ですか? [Verizon] はソース コードを作成しますか? Yealink から受け取ったすべてのファームウェアのセキュリティ分析を行いますか?」

しかし、この記事が公開された後、ベライゾンの別の広報担当者は、同社の当初の声明は誤りであると述べた。 Verizon は「記事で言及されている DMP を使用していません。[Yealink] DMP へのアクセスは Verizon のカスタム ファームウェアで完全にブロックされています。Verizon は DMP からの危険にさらされることはありません。」

2 番目の広報担当者はまた、「すべての One Talk デスクフォンは、すべてのデバイスの起動と安全なファームウェア アップグレード アクティビティについて検証されたサイバートラスト証明書を使用しています」とも述べました。

しかし、Verizon は Yealink 携帯電話の唯一の販売代理店というわけではありません。 そしてスターン氏は、DMP とファームウェアの証明書以外にもさまざまな問題を発見しました。

スターン氏はまた、この電話機が中国に拠点を置くクラウドサーバー「アリババクラウド」と暗号化されたメッセージを1日に複数回交換していることも発見した。 それを行わないように電話機をプログラムすることはできません。 これを阻止するには、組織のネットワーク ルーターを設定して交換を禁止できますが、これは電話機が交換を行っていることが最初からわかっている場合に限られます。

Yealink 携帯電話には、Rockchip と呼ばれる中国のチップ メーカーの特殊なマイクロプロセッサ ユニットも搭載されています。 もちろん、中国製チップはあらゆる種類のデバイスに搭載されており、セキュリティ専門家はそれらのほとんどにバグがないかテストできます。 しかし、これは同じテストを経ていない、とスターン氏は言う、Rockchip が Yealink 専用に設計したからである。 「これは明らかに特殊な製品であり、Yealink 用に開発されたモデル番号に基づいており、軽減すべき脆弱性は文書化されていません。脆弱性があることを除けば、そうですよね? すべてのものに脆弱性があるからです。特殊な製品であるため、誰もそれについて報告していないだけです」チップ」と彼は言った。

これは、チップに何か問題があるということを正確に意味するわけではありませんが、広く配布されている他のコンポーネントが受けているような精査は受けていません。

この報告書に詳しいある通信業界専門家は、報告書の執筆には協力しておらず、チェーン・セキュリティーとは無関係であるが、同社は評判が良いと述べた。 同専門家は報告書の調査結果を支持したり異議を唱えたりはしなかったが、Yealinkのサービス契約の文言だけでも政府による見直しを正当化するのに十分だと述べた。 「あなた(イェーリンクのこと)が中国の法律に拘束されているという事実、それは政府が知っておくべきことだ。」

商務省が報告書の懸念を調査し、それが正当であると判断した場合、Yealinkはファーウェイと同様の道を歩み、政府顧客の購入が認められていない信頼できない技術のリストに載せられる可能性がある。 業界の専門家は、そのような決定を下すための定められたプロセスやスケジュールは存在しないと述べた。

スターン氏は、同氏の分析によれば政府のIP電話市場は約3億ドルであり、Yealinkはトップ10プロバイダーの1つであるため、Yealinkの電話は政府機関にあると考えていると述べた。 Web 検索すると、多くの地方、州、連邦政府機関の Web サイトを参照するためにアップロードされた Yealink マニュアルが表示されます。

ヴァン・ホーレン氏の事務所は、商務省に書簡を送った理由について、これ以上の詳細は明らかにしなかった。 ヴァン・ホーレンの広報担当者は、「この書簡はまさにそれ自体を物語っている。上院議員は単にさらなる情報を求めているだけだ」と述べた。

12月28日、商務省はディフェンス・ワンが入手した別の書簡でヴァン・ホーレン氏に返答​​した。 「我々はこの問題を真剣に受け止めている」と最高財務責任者代理兼行政次官補のウィン・W・コギンズ氏は書いた。 「商務省は、情報通信技術およびサービス(ICTS)のサプライチェーンのセキュリティと、そのサプライチェーンに対する外国の敵対者による脅威についての懸念を共有しており、これらの懸念に対処するために積極的に取り組んでいます。」

Yealinkはこの件に関するコメント要請に応じなかった。

この記事は、Verizon からの追加声明を反映して更新されました。

次の話:2021 トップ 10: テクノロジー

次の話: