中国がSupermicroのマザボにハック用チップを埋め込んで製造とBloombergが報道

　Bloombergは10月4日、Supermicroがマザーボード製造を委託している中国の企業が、マザーボードにハッキング用のマイクロチップを埋め込んで製造し、特定の米国企業をハッキングしていると報道した。

　報道によると、Amazon Web Services(AWS)は2015年に、資産評価の一環としてElementalのセキュリティを調査。このなかでSupermicro製の複数の動画圧縮用サーバーをサードパーティのセキュリティ会社に調査させたところ、本来の設計にはないマイクロチップが組み込まれていることが発見された。

　チップの発見から3年経過したいまでも捜査を終えていないが、捜査官らはこのチップがいかなるネットワークにもアクセスできることを可能にするものだと結論づけた。そして当局者の2人によると、チップは製造過程で人民解放軍の1部隊の工作員らによって埋め込んだとし、米国企業に対して仕掛けた過去最大のサプライチェーン攻撃だとした。攻撃対象は最終的に30社近くなるとし、なかにはAppleも含まれているという。

　この報道に対し、SupermicroはAppleおよびAmazonと共同で反論の声明を発表した。

　Appleは「Bloombergの記者は誤った情報を提供している、もしくは情報源が間違っているという可能性を受け入れていないことに失望している。2016年にApple研究所にある1台のSupermicroのサーバーで感染したドライバが発見されたと報告があったが、記者はこの話を混同している可能性はある。この出来事は1回限りで偶発的であり、Appleに対する標的攻撃ではない」とコメント。

　また、AWS最高セキュリティ責任者のスティーブン・シュミット氏も「Bloomberg BusinessWeekと過去数カ月間に何度も共有してきたが、過去から現在に至るまで、ElementalまたはAmazonのシステムで使用するSupermicro製のマザーボードで、疑わしいハードウェアや、悪意のあるチップに関する問題を発見したことは1度もない」としている。

　Supermicroは、中国でのマザーボード製造は同社特有のものではなく、業界で標準的なものであり、ほぼすべてのシステムプロバイダーが同じ委託製造業者を使用しているとし、すべての委託製造業者を検証、認定するとともに、定期的に施設とプロセスを厳密に検査しているという。また、この件に関して国内外の政府機関から連絡を受けたことはないとし、今後もセキュリティ機能に対し継続的に投資を行なうとしている。