Googleは中国との争いを厭わないようだ。2010年、フィルタリングや干渉を最小限に抑えてサービスを運営できる基盤が見つからず、さらに社内メールシステムなどへの中国発の攻撃が報じられたことを受け、Googleは検索結果を中国本土から香港のサーバーに移した。香港は中華人民共和国の一部でありながら、特別な地位にある。中国本土のユーザーは、香港やその他の地域でGoogle検索を行うために、何らかの回避策を講じなければならなかった。
2014年後半、中国はIMAPおよびPOP3を使用するメールクライアント経由のGmailの受信とSMTP経由の送信をブロックしました。ウェブメールは断続的に大きな障害が発生しています。中国は仮想プライベートネットワーク(VPN)やその他の接続のブロックも強化しており、数千万人、あるいはそれ以上の中国国民が、グレート・ファイアウォール(金盾)によってブロックされている国外のリソースにアクセスできなくなっています。(数週間前に、グレート・ファイアウォールと攻撃兵器であるグレート・キャノンについて解説しました。)
Googleの主な収入源は、検索結果横の広告販売です。副次的な収入源としては、Google Playでのアプリやメディアの販売、ビジネスサービス(Google Apps for Workなど)、YouTubeに埋め込まれた動画広告などがあります。Googleは、ブロックされない限り、これらのデジタルサービスを世界中のどこからでも、世界中どこにでも配信できます。
これは、3月初旬に中国の最高ドメイン・セキュリティ機関であるCNNICによる高レベルの信頼侵害に対するGoogleとAppleの対応の相違を部分的に説明するのに役立つかもしれない。(この背景については、3月26日の記事「ネットワーク証明書ルートの信頼と検証」で解説している。)
誰を信頼するか
信じたくても信じたくなくても、インターネットは信頼を必要とします。インターネット上のトラフィックの大部分は、依然としてデータセンター内や国境を越えて、暗号化されずに送受信されています。暗号化される割合はますます増加しています。そして、その大半は、ソフトウェアを開発する企業でさえも送信内容を覗き見してメッセージを読んだり写真を見たりすることができないような方法で保護されています。これはFBI、英国首相、そして多くの国の当局を苛立たせています。
暗号化に対する信頼の多くは、認証局(CA)と呼ばれる数百の機関を中心に構築されています。これらの機関は、WebブラウザとWebサーバーなどのクライアントソフトウェアとサーバーソフトウェア間の通信を保護するためのデジタル証明書の発行を委任されています。これらのCAは、様々なグループから信頼されており、それらのグループはCAを焼き付けリストに含めることに同意しています。信頼の担い手として代表的なのは、Apple、Google、Mozilla、Microsoftです。
これら4社は、最も多く利用されている商用または認定済みのオペレーティングシステム3社、最も多く利用されているウェブブラウザ4社、そして最も広く利用されている電子メールソフトウェアを開発しています。(Opera Softwareはこのグループの5番目のビートルズであり、デスクトップとモバイルの両方で強力な支持を得ています。)
Google は 3 月 23 日、中国のドメイン登録機関兼認証局である CNNIC が、自社のルート証明書 (発行するあらゆる証明書に副署名するために使用する秘密の暗号化素材) の権限を、表面上は無害または限定的な目的で再販業者に渡すという、とんでもなく悪い考えだったと警鐘を鳴らした。
これが問題となったのは、その情報があれば、ブラウザ、メールクライアント、その他のソフトウェアが完全に有効と認める世界中のあらゆるドメインの偽造証明書を作成できるからです。これは問題です。世界中で信頼が損なわれ、プライバシーと安全の両方が危険にさらされます。政府に反対する発言を個人的に行っていた人々が、その発言が本人の知らないうちに突然解読されれば、自由と生命の危険にさらされる可能性があります。(不正だが有効な証明書を使用するには、中間者攻撃が必要ですが、これは政府にとっては容易なことです。)
数日のうちに、MozillaとGoogleは調査を行い、再販業者の中間認証局を削除し、Android(OS)、Chrome、Chrome OS、Firefox、Firefox OS、Thunderbirdなど、自社の全製品の認証局(CA)ルートリストからCNNICを排除しました。Mozillaは、満たされていないと思われる条件を条件に、古い証明書を有効なまま維持すると発表しました。Googleは、CNNICが署名したすべての証明書が無効になると発表しました。両組織は、おそらく追加の安全対策を講じた上で、CNNICをルートリストに復帰させることを検討すると述べています。Mozillaは、これらの問題についてコミュニティ内で公開的に議論しています。
CNNIC のルート証明書は、OS X の Apple の信頼されたセットに残ります。
Microsoftは中間証明書を削除しただけで、セキュリティに関するメモは控えめに発表しました。Appleは…何も発表していません。CNNICのルート証明書はOS XのAppleの信頼済み証明書セットに残っており(キーチェーンアクセスで確認できます)、Appleは公式には何も発言していません。(数週間前に問い合わせましたが、今のところ回答はありません。)
マイクロソフトは中国やアジアでの売上高を公表していないが、総売上高のわずか数パーセント程度と推定されている。しかし、同社は長年にわたりこれらの地域での売上高増加に努めており、多機能デバイスとクラウドサービスにおけるマイクロソフトの将来を考えると、中国での売上高を伸ばす必要がある。
Appleは今週初めに発表した四半期決算で、中国、香港、台湾からの売上高が約170億ドルに達したと発表しました。Googleは商業的理由と政治的理由を織り交ぜて、この立場をとっています。Mozillaは意思決定の透明性を重視する非営利団体です。
その下に何があるのか
今年初め、ニューヨークタイムズは中国の新しい規則について報じた。
中国政府は、中国の銀行にコンピューター機器を販売する企業に対し、秘密のソースコードを提出し、徹底的な監査を受け、ハードウェアとソフトウェアにいわゆるバックドアを組み込むことを要求する新たな規制を導入した。これは、中国で数十億ドル相当のビジネスを行っている外国のテクノロジー企業が入手した規則のコピーによるとのことだ。
(米国は、中国企業、特にファーウェイが製造した機器に独自のバックドアを挿入しようとしたとされている。)
これらの規則は銀行業界に適用され、まだ施行されていないが、条件に同意せざるを得ない中国企業に購入を委ねる狙いもあり、多くの業界で同様の要件を求める圧力が存在しているようだ。
Apple が CNNIC を追放せず、追放しない理由も説明しなかったことは、その決定によって何億台ものコンピュータやデバイスが影響を受けることを考えると、些細な問題ではない。また、中国で異なる制約を持つ他の 2 つの企業 (1 つは競合企業、もう 1 つは実際には同じ業種でもなければ実際の事業も営んでいない) が迅速かつ公に行動した。
Appleの継続的な成長にとって、中国の重要性は計り知れない。だからこそ、Appleは、ティム・クック氏がFBIやNSAに反抗した時と同様に、中国におけるセキュリティに影響を与える問題についても、高い水準の開示を求められるべきである。
