更新:AppleとAmazonは両方とも、中国のスパイチップの主張に関して木曜日に長い声明を発表した。 これらのステートメントを含むようにこの投稿を更新しました。
Appleは、マザーボードが主張した後、中国のスパイチップがiCloudサーバーハードウェアに侵入したことを否定している アップル、アマゾン、その他の数十のテクノロジー企業が使用する監視用のマイクロチップが含まれていました 目的。
クパチーノは、この話は「間違っていて、誤った情報を与えられている」と主張しています。 Appleはまた、中国のスパイは、サプライヤーとの関係を断ち切るという同社の決定とは何の関係もないと述べている。
Appleの声明は、 ブルームバーグビジネスウィーク 17の情報源を引用している報告書は、中国が「アメリカのトップ企業に浸透するための小さなチップ.”
レポートによると、SuperMicroが製造した何千ものサーバーマザーボードに悪意のあるチップが含まれていました。 米粒ほどの大きさの中国のチップは、スパイが「価値の高い企業秘密や機密性の高い政府ネットワークにアクセスする」ことを可能にする可能性があります。
3年前にAmazonの調査で発見されたこのチップは、今日も続く極秘の調査に火をつけました。
疑わしい中国のチップ
物語は、AmazonがElementalTechnologiesと呼ばれるスタートアップの評価を始めた2015年に始まります。 Amazonは、ビデオストリーミングサービスであるPrimeVideoの拡張に役立つ買収を望んでいました。 いくつかの大企業はすでにElementalのテクノロジーを使用しています。
「その技術は、オリンピックをオンラインでストリーミングし、国際宇宙ステーションと通信し、ドローンの映像を中央情報局に送るのに役立ちました」とレポートは説明しています。
ある情報筋によると、評価プロセスの一環として、Elementalのセキュリティを精査するためにサードパーティ企業を雇うことが含まれていました。 その会社が「厄介な問題」を発見するのにそう長くはかかりませんでした。 その発見により、Amazon Web Services(AWS)はElementalのサーバー製品を詳しく調べるようになりました。
いくつかのサーバーがカナダのオンタリオに派遣されました。 そこでのテスターは、マザーボードの元の設計に含まれていない小さなマイクロチップを発見しました。 「アマゾンは発見を米国当局に報告し、諜報機関を通じて震えを送りました」と報告は続けています。
中国のスパイチップの極秘調査
発見は大きな心配を引き起こした。 1つは、Amazon、Apple、その他の大手ハイテク企業が、SuperMicroが中国製のサーバーを使用したことです。 さらに悪いことに、チップは、大手銀行、国防総省、CIAのドローン運用、および海軍が使用するハードウェアに組み込まれました。
そしてSuperMicroはElementalにボードを供給するだけではありませんでした。 それは他の何百もの顧客のためにハードウェアを製造しました。
調査員は、中国の下請け業者が運営する工場に挿入されたチップにより、攻撃者がプライベートネットワークへの入り口を作成できると判断しました。 この方法は、ソフトウェアベースの攻撃よりもはるかに洗練されており、壊滅的な可能性があります。
AppleはiCloudハードウェアが影響を受けたことを否定している
Super Microの巨大な顧客であるAppleは、2年間で30,000台以上のサーバーを注文することを計画していました。 しかし、3人の「上級インサイダー」によると、Appleは2015年の夏に悪意のあるチップも発見しました。 クパチーノは翌年、同社との関係を断ち切った。
Appleはこれらの主張に異議を唱えている。
「アップルは、ブルームバーグの記者が私たちとの取引において、オープンになっていないことに深く失望しています。 彼らまたは彼らの情報源が間違っているか、誤った情報を与えられている可能性がある」と同社は声明で述べた。 に AppleInsider 木曜日に。 「私たちの推測では、彼らの話は、以前に報告された2016年の事件と混同されています。この事件では、ラボの1つにある単一のSuperMicroサーバーで感染したドライバーが発見されました。 その1回限りのイベントは偶発的なものであり、Appleに対する標的型攻撃ではないと判断されました。」
「笑える」主張
明らかな理由で名前が付けられていないApple内の情報筋は、 AppleInsider このようなAppleへの広範な攻撃の主張は「笑える」そして「本当に、本当に間違っている」と。
ブルームバーグビジネスウィーク 6人の現在および元の国家安全保障当局者がアップルとアマゾンの否定に対抗したと言います。 「これらの職員の1人とAWS内の2人が、エレメンタルとアマゾンで攻撃がどのように行われたかについて広範な情報を提供しました」とストーリーは述べています。
アップルの「インサイダー」とされる3人を含め、合計17人がこの話を確認したと思われます。
NS ブルームバーグビジネスウィーク レポートは、攻撃の調査が今日も続いていると主張しています。
Appleの声明
BusinessweekがAppleについて間違っていたこと
ブルームバーグビジネスウィークの2018年10月8日号は、Appleが2015年にネットワーク上のサーバーで「悪意のあるチップ」を発見したと誤って報告しています。 Appleは過去12か月にわたってブルームバーグの記者や編集者に繰り返し説明してきたので、これらの主張には真実がありません。
Appleは、ストーリーが公開される前に、ブルームバーグビジネスウィークに次の声明を提供しました。
過去1年間に、ブルームバーグはAppleでのセキュリティ事件の疑いについて、時には漠然としていて、時には手の込んだ主張で何度も私たちに連絡してきました。 毎回、彼らの問い合わせに基づいて厳格な内部調査を実施しましたが、そのたびに、それらのいずれかを裏付ける証拠はまったく見つかりませんでした。 私たちは、Appleに関連するブルームバーグの物語の事実上すべての側面に反論し、記録上、事実に基づく回答を繰り返し一貫して提供してきました。
これについては非常に明確です。Appleは、悪意のあるチップ、「ハードウェア操作」、または意図的にサーバーに仕掛けられた脆弱性を発見したことはありません。 Appleは、そのような事件についてFBIや他の機関と接触したことは一度もない。 私たちはFBIによる調査を認識しておらず、法執行機関の連絡先も認識していません。
ブルームバーグの最新版の物語に応えて、次の事実を提示します。SiriとTopsyがサーバーを共有したことはありません。 Siriは、SuperMicroから販売されたサーバーに導入されたことはありません。 Topsyのデータは、7,000台ではなく約2,000台のSuperMicroサーバーに制限されていました。 これらのサーバーのいずれも、悪意のあるチップを保持していることが判明したことはありません。
実際のところ、サーバーがAppleで本番環境に移行する前に、サーバーのセキュリティの脆弱性が検査され、すべてのファームウェアとソフトウェアが最新の保護で更新されます。 標準的な手順に従ってファームウェアとソフトウェアを更新したときに、SuperMicroから購入したサーバーに異常な脆弱性は発見されませんでした。
ブルームバーグの記者は、私たちとの取引において、彼らまたは彼らの情報源が間違っているか、誤った情報を与えられている可能性を受け入れていないことに深く失望しています。 私たちの最善の推測は、彼らの話を、以前に報告された2016年の事件と混同しているということです。この事件では、ラボの1つにある単一のSuperMicroサーバーで感染したドライバーが発見されました。 その1回限りのイベントは偶発的なものであり、Appleに対する標的型攻撃ではないと判断されました。
顧客データが関与しているという主張はありませんが、私たちはこれらの主張を真剣に受け止め、 委託した個人情報を保護するために可能な限りのことを行っていることをユーザーに知ってもらいたい 我ら。 また、ブルームバーグがAppleについて報告していることは不正確であることを彼らに知ってもらいたい。
Appleは、データの処理方法と保護方法について透明性を保つことを常に信じてきました。 ブルームバーグニュースが主張するようなイベントがあった場合、私たちはそれについて間もなく発表し、法執行機関と緊密に協力します。 アップルのエンジニアは、システムの安全性を確保するために、定期的かつ厳格なセキュリティスクリーニングを実施しています。
セキュリティは際限のない競争であることがわかっているため、データを盗もうとするますます高度化するハッカーやサイバー犯罪者に対してシステムを常に強化しています。
公開されたビジネスウィークの記事はまた、Appleが「事件をFBIに報告したが、内部的にさえ、しっかりと保持されていることを検出したことについての詳細を保持した」と主張している。 の 2017年11月、この申し立てが最初に提示された後、長く詳細な記録の一部として、次の情報をブルームバーグに提供しました。 応答。 それは最初に、想定される内部調査についての記者の根拠のない主張に対処します。
複数のチームや組織にわたる多数の議論にもかかわらず、Appleの誰もこの調査について聞いたことがありません。 Businessweekは、想定される手続きや調査結果を追跡するための情報の提供を拒否しました。 また、回避されたと思われる標準的な手順についての理解も示していません。
Appleの誰もこのようなことについてFBIに連絡したことはなく、この種の調査についてFBIから聞いたことはありません。ましてやそれを制限しようとしたことはありません。
今朝のブルームバーグテレビジョンでの出演で、記者のジョーダン・ロバートソンは、 悪意のあるチップは、次のように述べています。「Appleの場合、これにつながったのは、問題のあるサーバーのランダムなスポットチェックであったと理解しています。 検出。"
以前にブルームバーグに通知したように、これは完全に真実ではありません。 Appleは、サーバーで悪意のあるチップを発見したことはありません。
最後に、ビジネスウィークがその記事を発表して以来、他の報道機関から受け取った質問に応えて、私たちはいかなる種類の箝口令やその他の守秘義務も負っていません。
アマゾンの声明
ブルームバーグビジネスウィークの誤った記事で記録を更新
本日、ブルームバーグビジネスウィークは、AWSがSuperMicroマザーボードのハードウェアまたは悪意のあるチップの変更を認識していると主張するストーリーを公開しました。 Amazonが2015年にElementalを買収した時点でのElementalMediaのハードウェア、およびAmazonがAWSの中国で変更されたハードウェアまたはチップを認識していたこと 領域。
過去数か月にわたってブルームバーグビジネスウィークと何度も共有したため、これは真実ではありません。 過去または現在を問わず、ElementalまたはAmazonシステムのSuperMicroマザーボードで変更されたハードウェアまたは悪意のあるチップに関連する問題を発見したことはありません。 また、政府との調査も行っていません。
この記事はAmazonに関連しているため、数えるのが難しいほど多くの誤りがあります。 ここでは、そのうちのいくつかだけに名前を付けます。 まず、AmazonがElementalの買収を検討していたとき、私たちは自分たちで多くのデューデリジェンスを行いました セキュリティチーム、および単一の外部セキュリティ会社にセキュリティ評価を依頼しました 同様に。 そのレポートでは、変更されたチップまたはハードウェアに関する問題は特定されませんでした。 これらの監査のほとんどで一般的であるように、それは修正するためのいくつかの推奨領域を提供し、買収が完了する前にすべての重要な問題を修正しました。 これは、委託された唯一の外部セキュリティレポートでした。 ブルームバーグは、私たちの委託されたセキュリティレポートやその他のレポートを見たことがないことを認めています(そして、他のレポートの詳細を私たちと共有することを拒否しました)。
この記事はまた、Elementalサーバーのハードウェアの変更と悪意のあるチップを学習した後、 SuperMicroマザーボードのネットワーク全体の監査を実施し、北京のデータで悪意のあるチップを発見しました 中心。 この主張も同様に真実ではありません。 最初の最も明白な理由は、Elementalサーバーで変更されたハードウェアや悪意のあるチップが見つからなかったことです。 それを除けば、どのデータセンターのサーバーでも、変更されたハードウェアや悪意のあるチップは見つかりませんでした。 そして、SuperMicroサーバーを排除したかったので、中国のハードウェアとデータセンターをパートナーのSinnetに売却したというこの考えはばかげています。 Sinnetは、中国でのローンチ以来、これらのデータセンターを運営しており、最初からこれらのデータセンターを所有しており、ハードウェアは 彼らに「売却」されたのは、中国以外のクラウドプロバイダーが中国で事業を継続するための新しい中国規制によって義務付けられた資産譲渡契約でした。 中国。
Amazonは、サプライチェーン全体で厳格なセキュリティ基準を採用しています–すべてのハードウェアとソフトウェアを調査しています 本番環境に移行し、社内およびサプライチェーンで定期的なセキュリティ監査を実施する前 パートナー。 プロセッサ、サーバー、ストレージシステム、ネットワーク機器などの重要なコンポーネントに独自のハードウェア設計を実装することで、セキュリティ体制をさらに強化します。
セキュリティは常に私たちの最優先事項です。 AWSは、セキュリティを何よりも優先するというこの揺るぎないコミットメントを実証したという理由だけで、世界で最もリスクに敏感な組織の多くから信頼されています。 私たちは、お客様への潜在的な脅威に常に注意を払い、お客様が特定された場合はいつでも、迅速かつ断固とした行動をとって対処します。
–最高情報セキュリティ責任者、スティーブシュミット
注:この投稿は、2018年10月4日の太平洋の午前5時52分に最初に公開されました。 AppleとAmazonからの声明を含むように更新しました。
