コラム:サイバー攻撃と新幹線事故、面子を重視し技術を軽視する中国社会(Far East Research) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.24(金)

コラム:サイバー攻撃と新幹線事故、面子を重視し技術を軽視する中国社会(Far East Research)

国際 Far East Research

8月11日に筆者が寄稿した記事「「中国はサイバー攻撃の世界最大の被害国」、新華社が報道(Far East Research)」についてコメントを付しておきたい。

正確な統計に基づいているわけではないが、中国のウェブ改竄記録サイト「中国被黒站点統計系統」や、中国ハッカーらの活動をめぐる筆者の日常的な観察結果からすると、中国国内の政府系・民間企業等のWebサイトに対する攻撃のきわめて多くの割合は、中国国内の若年層ハッカーらによるものだ。またWebサイト攻撃のみに関して言えば、IISを狙ったSQLインジェクションが圧倒的に多い。それもきわめて幼稚な類のテクニックだ。

中国被黒站点統計系統
http://www.zone-h.com.cn/

なぜ、簡単に防げそうなSQLインジェクション攻撃で改竄されるWebサイトが、中国にはあまりに多いのか。そしてなぜIISばかりが狙われるのか。

もちろん、CNCERT/CC運行部副主任の周勇林氏の言うとおり「セキュリティ意識の欠如」が原因には違いない。だが実を言えば、そこにはユニバーサルな原因もさることながら、むしろ中国に独特の事情が垣間見える。

具体的に言えば、まずWindows ServerシリーズなどのIISを同梱するOS製品の違法コピーがおびただしく氾濫していることがひとつ。そこに、たとえば未熟な技術者を雇用するなどにより、安価な人件費で製作された中国産CMS(コンテンツマネージメントシステム)が稼働する。そして、こうした信頼性のない複数のCMSも、違法コピーにより中国全土に氾濫している。この傾向は、政府系、企業系を問わない。

中国はなにより「面子(体裁)」を重んじる。ITのみならず産業界でいえば、「面子」の筆頭に来るのは、ビジネス上の「外面的な成功を短期間に達成する」ことだろう。こうした社会は得てして「裏打ちする実体(技術)」を軽視する。しかもせっかちだから拙速さが目立つ。

さらに中国は誰しもが知るコピー文化の国。筆者はさる6月にも大連を訪れたが、シリアルナンバーが不要なボリュームライセンスの中国語簡体字版Windows 7 Ultimate32ビット版違法コピーが、25元(約300円)で堂々とソフトウェアショップの店頭にならんでいた。他のMicrosoft製品、Windows Serverシリーズ製品も同様の値段である。やましさや気まずさはない。一般の客が、当然のように購入している。

余談だが、大連の喫茶店(WASABI珈琲店)ではコーヒー1杯が30元(約360円)。上海や北京ではもうすこし高く、50~60元前後といったところ。中国では、Windows 7 Ultimateはコーヒー1杯よりも安い。これが「ITの知的財産権」に対する、中国社会で一般的な感覚なのだ。

OSやCMSのコードは、それを使用して業務を行う側、あるいは閲覧するユーザーにとっては、「使用上で特に意識することはない」点で、目に見えないものと言ってもいいだろう。一方、外面的なもの、たとえば新しいSNSゲームなどを上梓すれば、見た目の派手さや、予想される人気度などで注目され、企業の株は上がる。つまり、中国的な「面子」が大いに立つ。だがその根底を支える、隠れた部分の技術に対する正当な評価、あるいは尊重といった感覚は、中国にはあまりに希薄であり、これが将来的に「改善される」見込みもまた、絶望的といっていいほど期待できない。法をいくら整備しても、知的財産権に対する意識改革には、到底至らないと筆者は個人的に感じている。

中国の新幹線も同じだ。車両の改良は中国独自の技術であると主張し、世界各国での特許取得を狙っている。だが、そもそも「新幹線」が意味するものは、車両を含めたシステム全体のことだろう。車両だけならば、極端に言えば金銭でいくらでも購入できる。だがシステムの導入と適切な運営は、そうはいかない。「最速の車両」という外面に価値を置き、正確で安全な運行システムという目に見えない部分に対しては、正当な評価どころか「そんなことは適当にやれば何とでもなる」といった意識が、中国側の主張からほのみえると感じるのは、筆者だけだろうか。温州の高速鉄道事故の原因はさまざまに言われるが、システムの安全性に重大な瑕疵があったことは、温家宝首相ですら認めていることだ。

オリジナルへの敬意と尊重、またオリジナルを支える技術への正当な評価がなければ、模倣はたんなる「山塞」(パチもの)でしかない。目に余るコピー製品の理由として、知的財産権に対する法の未整備が指摘されるが、はたしてそれだけか。IT業界の変化の激しさははドッグイヤー(犬にとっての1年は人間の7年)にたとえられるが、民族意識は千年を経てもなお変わらない。

「中国はサイバー攻撃による世界最大の被害国」と発表した新華社報道やCNCERT/CCのコメントは、明らかに言外の意味を含んでいる。「中国をサイバー攻撃の脅威とみなす考えは、中国の経済発展に否定的な国際世論と同一線上にある。実際は、われわれこそが最大の被害者なのだ」と。だがDDoS攻撃のみならず、ソフト戦略から諜報活動に至るまで、中国が広義の「サイバー攻撃」の担い手(しかも政府主導の)であることは周知の事実と言っていいだろう。そして、これを否定するためのCNCERT/CCらの発表には、これまで述べたような「知的財産権に対する著しい軽視」を土壌にした、自国のハッカーたちによる、やりたい放題の攻撃を意図的に隠しているのである。

「IPアドレスが中国国内だからといって、攻撃者が国内の中国人とも言い切れない」のは当然だ。だがIPアドレスをめぐる微妙な「断定の可否」問題より、はるかに大きな「攻撃被害を増長する土壌」が、中国には依然として存在し、また将来的にこれを払拭することはできないだろう、と筆者は考える。

(Vladimir)

筆者略歴:infovlad.net 主宰。中国・北朝鮮・ロシアのセキュリティ及びインテリジェンス動向に詳しい
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  2. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  3. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  4. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  7. SMSによる二要素認証が招くSOS(The Register)

  8. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×