あまりニュース記事をブログに書いたりはしないのだが、ちょっとこれは驚いたので。
少々古い内容ではあるが、私がときどき読ませていただいているブログの2つで最近取り上げられていて知った。この5月から中国ではデジタル家電を制御するプログラムの開示を求めるようにするそうだ。
----------------
記事:
2008/09/19 http://www.yomiuri.co.jp/net/news/20080919nt07.htm?from=nwla
2009/04/25 http://www.asahi.com/international/update/0424/TKY200904240261.html?ref=goo
ブログ:
目的を持って刃を研ぐ http://ameblo.jp/jackson-michael/entry-10250449835.html
Web系電脳技術日記 http://ameblo.jp/konica/entry-10248731761.html
----------------
目的は「ソフトの欠陥を狙ったコンピューターウイルスや、コンピューターへの不正侵入を防ぐため」とのことである。また、対象製品は「開示されたソースコードに基づく試験と認証機関による検査に合格しないと中国で製品を販売出来ない」とのこと。
中国の諜報活動に利用されかねない懸念もあり、欧米日は反発しているようだ。
他の方のブログも見ながら、ちょっと思ったことのうち、敢えて違う観点のものを。
まず、感じたこと。
・開示されたソースコードに基づかなくても、既知の攻撃方法によるテストでも事足りるのではないのか?
・認証機関はどのように選定されるのか?また、その守秘義務の責任についてはどこまで負わせることができるのか?
という点、詳細な説明が求められる。それによっては中国独自の方法ではなく、国際的な認証機関もしくは検査基準を、という話に動いていくのかもしれない。
書きながら「ソースコードを見ないと分からないリスク」を懸念してのことではないかと思えてきた。例えば隠しコマンド(まあ、ある意味バックドア)を用意しておき、外部からの特定の命令でメーカー側に情報が丸見えになる、というというのを懸念しているのではないか。
家電機器から何を、というかもしれないが、過去事例として家電機器を踏み台としての攻撃もあった。それはメーカーのいう「想定外の利用方法」だったとか。ネットワークに繋がるということは既知/未知のリスクがあるということだ。
少し話は逸れるが、コマツというダンプやらブルドーザなどを作っている会社は、各重機を監視(利用状況、場所など)できるようにしてあり、例えば稼働時間を見ながら保守部品を準備しておくということが可能であったり、世界のどこで工事が行われているのかから、景気の動向まで読めなくもないらしい。しかし、中国に関しては国家の要請だと思うが、そのシステムを稼働させていないらしい。それほど「外部に漏れてはいけない」情報を持っている(単に出したくないだか)という裏付けにもなりそうだ。
また別の観点で見てみると、情報家電を国内に入れないことで、外国製品の競争力を下げ、安い国産品の販売量を増やし内需を拡大することで、最近落ち込んでいる国内の景気を回復させよう、意図があったりするのか?
ただ、発表された時期的などを見ると、それはないかもしれない。