「本当に安全なのか」 中国の機器や部品を見直すべき：セキュリティ関連メーカーが警鐘（2/2 ページ）

深刻化する米中の技術冷戦。監視カメラなど向けのセキュリティ関連ソリューションを手掛けるNabtoのCEOは、中国製IoT機器やコンポーネントの安全性を見直すべきだと主張する。

[Carsten Rhod Gregersen（Nabto），EE Times]

インドでは中国のアプリが禁止に

　インドもこうした懸念を抱いている。インド政府は、2020年に中国製アプリと通信機器を初めて禁止した後、中国ベンダーがインド国内のIoTモジュール市場の80％以上を支配していることを指摘し、データの脆弱性と外国からのアクセスの可能性に注意を向けている。政府関係者は、こうした優位性によって、外国を拠点とする攻撃者による機密データやシステムへのリモートアクセスが可能になり、セキュリティリスクをもたらす可能性があると懸念を表明している。

　ネットワーク内に侵入した場合、これらのデバイスに何ができるかはほとんど分かっていない。研究者らは2025年3月、中国の半導体メーカーであるEspressifの「ESP32」内に、文書化されていないコマンドが存在することを報告した。ESP32は、Wi-FiおよびBluetooth接続を可能にする多用途のマイクロコントローラーで、広く使われている。これまで知られていなかったこのコマンドによって、信頼されたデバイスになりすまし、不正なデータアクセスやネットワーク上の他のデバイスへの侵入が行われる可能性がある。同チップが数百万台の量販デバイスに搭載されていることを考えると、これは重大な懸念事項だ。

　理論的には、敵対的な行為者がこれらの文書化されていないコマンドを利用してなりすまし攻撃を行い、コード監査制御をすり抜けて機密デバイスを永続的に感染させる可能性がある。繰り返しになるが、外交の悪化や、この状況が2つの超大国間でどのようにエスカレートする可能性があるかについて言うとすれば、安全性の低い侵害されたデバイスは、大国を脅かし大混乱を引き起こす可能性がある。

IoT機器の安全性をどう高めればいいのか

　これは単なる思考練習ではあるが、接続されたエコシステムの安全性を高めるにはどうすればよいだろうか？　まずは、デバイスの出所をよく考えることだ。実績のある有名ブランドを選ぶことが重要だ。欧州の「サイバーレジリエンス法」や米国の「サイバートラストマーク」などの進行中の規制は、パスワードやアクセスに関する脆弱性を強化するだろう。また、デバイスを独自のネットワークにセグメント化して（横方向の移動を防ぐ）、クライアントとデバイス間にピアツーピア通信を導入して機密性を高めることで、警戒することも可能だ。

　しかし、これではデバイスのバックドアや不正なデータ収集の可能性という本質的な問題は解決されない。この問題の改善は政府の責務であり、「CHIPS and Science Act（CHIPS法）」のようなインフラ政策を着実に遂行する必要があるだろう。

【翻訳：滝本麻貴、編集：EE Times Japan】