コラム:サイバー攻撃と新幹線事故、面子を重視し技術を軽視する中国社会(Far East Research) | ScanNetSecurity
2024.04.30(火)

コラム:サイバー攻撃と新幹線事故、面子を重視し技術を軽視する中国社会(Far East Research)

8月11日に筆者が寄稿した記事 「「中国はサイバー攻撃の世界最大の被害国」、新華社が報道(Far East Research)」 についてコメントを付しておきたい。

国際 Far East Research
facebookLINE
8月11日に筆者が寄稿した記事「「中国はサイバー攻撃の世界最大の被害国」、新華社が報道(Far East Research)」についてコメントを付しておきたい。

正確な統計に基づいているわけではないが、中国のウェブ改竄記録サイト「中国被黒站点統計系統」や、中国ハッカーらの活動をめぐる筆者の日常的な観察結果からすると、中国国内の政府系・民間企業等のWebサイトに対する攻撃のきわめて多くの割合は、中国国内の若年層ハッカーらによるものだ。またWebサイト攻撃のみに関して言えば、IISを狙ったSQLインジェクションが圧倒的に多い。それもきわめて幼稚な類のテクニックだ。

中国被黒站点統計系統
http://www.zone-h.com.cn/

なぜ、簡単に防げそうなSQLインジェクション攻撃で改竄されるWebサイトが、中国にはあまりに多いのか。そしてなぜIISばかりが狙われるのか。

もちろん、CNCERT/CC運行部副主任の周勇林氏の言うとおり「セキュリティ意識の欠如」が原因には違いない。だが実を言えば、そこにはユニバーサルな原因もさることながら、むしろ中国に独特の事情が垣間見える。

具体的に言えば、まずWindows ServerシリーズなどのIISを同梱するOS製品の違法コピーがおびただしく氾濫していることがひとつ。そこに、たとえば未熟な技術者を雇用するなどにより、安価な人件費で製作された中国産CMS(コンテンツマネージメントシステム)が稼働する。そして、こうした信頼性のない複数のCMSも、違法コピーにより中国全土に氾濫している。この傾向は、政府系、企業系を問わない。

中国はなにより「面子(体裁)」を重んじる。ITのみならず産業界でいえば、「面子」の筆頭に来るのは、ビジネス上の「外面的な成功を短期間に達成する」ことだろう。こうした社会は得てして「裏打ちする実体(技術)」を軽視する。しかもせっかちだから拙速さが目立つ。

さらに中国は誰しもが知るコピー文化の国。筆者はさる6月にも大連を訪れたが、シリアルナンバーが不要なボリュームライセンスの中国語簡体字版Windows 7 Ultimate32ビット版違法コピーが、25元(約300円)で堂々とソフトウェアショップの店頭にならんでいた。他のMicrosoft製品、Windows Serverシリーズ製品も同様の値段である。やましさや気まずさはない。一般の客が、当然のように購入している。

余談だが、大連の喫茶店(WASABI珈琲店)ではコーヒー1杯が30元(約360円)。上海や北京ではもうすこし高く、50~60元前後といったところ。中国では、Windows 7 Ultimateはコーヒー1杯よりも安い。これが「ITの知的財産権」に対する、中国社会で一般的な感覚なのだ。

OSやCMSのコードは、それを使用して業務を行う側、あるいは閲覧するユーザーにとっては、「使用上で特に意識することはない」点で、目に見えないものと言ってもいいだろう。一方、外面的なもの、たとえば新しいSNSゲームなどを上梓すれば、見た目の派手さや、予想される人気度などで注目され、企業の株は上がる。つまり、中国的な「面子」が大いに立つ。だがその根底を支える、隠れた部分の技術に対する正当な評価、あるいは尊重といった感覚は、中国にはあまりに希薄であり、これが将来的に「改善される」見込みもまた、絶望的といっていいほど期待できない。法をいくら整備しても、知的財産権に対する意識改革には、到底至らないと筆者は個人的に感じている。

中国の新幹線も同じだ。車両の改良は中国独自の技術であると主張し、世界各国での特許取得を狙っている。だが、そもそも「新幹線」が意味するものは、車両を含めたシステム全体のことだろう。車両だけならば、極端に言えば金銭でいくらでも購入できる。だがシステムの導入と適切な運営は、そうはいかない。「最速の車両」という外面に価値を置き、正確で安全な運行システムという目に見えない部分に対しては、正当な評価どころか「そんなことは適当にやれば何とでもなる」といった意識が、中国側の主張からほのみえると感じるのは、筆者だけだろうか。温州の高速鉄道事故の原因はさまざまに言われるが、システムの安全性に重大な瑕疵があったことは、温家宝首相ですら認めていることだ。

オリジナルへの敬意と尊重、またオリジナルを支える技術への正当な評価がなければ、模倣はたんなる「山塞」(パチもの)でしかない。目に余るコピー製品の理由として、知的財産権に対する法の未整備が指摘されるが、はたしてそれだけか。IT業界の変化の激しさははドッグイヤー(犬にとっての1年は人間の7年)にたとえられるが、民族意識は千年を経てもなお変わらない。

「中国はサイバー攻撃による世界最大の被害国」と発表した新華社報道やCNCERT/CCのコメントは、明らかに言外の意味を含んでいる。「中国をサイバー攻撃の脅威とみなす考えは、中国の経済発展に否定的な国際世論と同一線上にある。実際は、われわれこそが最大の被害者なのだ」と。だがDDoS攻撃のみならず、ソフト戦略から諜報活動に至るまで、中国が広義の「サイバー攻撃」の担い手(しかも政府主導の)であることは周知の事実と言っていいだろう。そして、これを否定するためのCNCERT/CCらの発表には、これまで述べたような「知的財産権に対する著しい軽視」を土壌にした、自国のハッカーたちによる、やりたい放題の攻撃を意図的に隠しているのである。

「IPアドレスが中国国内だからといって、攻撃者が国内の中国人とも言い切れない」のは当然だ。だがIPアドレスをめぐる微妙な「断定の可否」問題より、はるかに大きな「攻撃被害を増長する土壌」が、中国には依然として存在し、また将来的にこれを払拭することはできないだろう、と筆者は考える。

(Vladimir)

筆者略歴:infovlad.net 主宰。中国・北朝鮮・ロシアのセキュリティ及びインテリジェンス動向に詳しい

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. GROWI に複数の脆弱性

    GROWI に複数の脆弱性

  3. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  5. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  6. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

  7. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  8. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  9. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  10. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

ランキングをもっと見る
ホーム 国際 Far East Research 記事
TOP