グレート・キャノンが機能するにはたくさんのパソコンやスマートフォンをコンピュータ・ウイルスに感染させる必要があるが、そのために用いられるサイトが、バイドゥ(百度)が運営する検索サイトだ。
バイドゥは中国版グーグルともいえる中国最大の検索サイト。検索機能を利用するためにバイドゥにアクセスしてきた無数のパソコンやスマートフォンにウイルス感染させ、グレート・キャノンを起動させて、サイバー攻撃に利用した。バイドゥは北京市に本社を構えるれっきとした民間企業だが、中国政府と一体となって行動しているのがよくわかる。
バイドゥは日本にも2006年にバイドゥ株式会社(Baidu Japan Inc.)を設立しており、2007年6月にはバイドゥ・インク(Baidu, Inc.)の社外取締役としてソニー元会長の出井伸之氏が就任している。
バイドゥには検索サイト以外に、日本語文字変換アプリ「しめじ」がある。日本でもスマートフォンの日本語入力に利用している若者が多い。「しめじ」についても、日本語文字変換情報の中国への無断送信が指摘された。これに対して、バイドゥ側は規約に同意したユーザーのみと説明していたが、後日、「送信をオフに設定していても送信される」“不具合”が実際に見つかったため、ソフトの更新を行っている。 「しめじ」は日本語文字変換アプリなので、パソコンやスマートフォンにインストールされた場合、ワードや電子メールの文章が平文で中国に転送される。非常に危険なツールと言わざるを得ないが、無料アプリであることから自治体でも広く用いられているのが実態だ。
中国製アプリが無料で利用でき、しかも中国製と知らずに使っている人が多い。そこには、平時では想像もできないようなサイバー兵器になりうる危険が常にあるのだ。
中国に及び腰の日本政府
日本の中国排除の動きをみると、2020年6月3日から政府が始めた「政府情報システムのためのセキュリティ評価制度」(Information system Security Management and Assessment Program《12》)がある。
ISMAP(イスマップ)と称するこの制度は、クラウドサービスを提供している事業者がサービスに対して、ISMAPで定めたセキュリティ監査基準に基づいた監査を監査法人に依頼し、その報告書と言明書(セキュリティに対する誓約書)を政府に提出することで、当該サービスを「ISMAPクラウドサービスリスト」に載せることができるというものである。
今後の日本政府のクラウドサービスの調達は、この「ISMAPクラウドサービスリスト」に掲載されたクラウドサービスのなかから選択することが義務付けられることで、安心・安全が担保されるとしている。
この制度が発足した発端は、2018年6月に政府が「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(2018年6月7日各府省情報化統括責任者《CIO》連絡会議決定)にある。
日本経済新聞の2018年8月20日の記事の見出しには「省庁のシステム調達に認証制 漏洩疑い企業排除、中国勢を念頭に」とあり、この制度の目的は中国のクラウドサービスを排除するためであると報じている。
また、同紙昨年12月10日の記事では「クラウド調達の評価基準、政府が民間に導入呼びかけ」と、この制度を民間にも広げてゆくと報じている。
表向きはクラウドサービスの安心・安全確保だが、実質的には中国サービスベンダー(サービスを提供する中国企業)の排除が目的の制度だというのだ。
この報道どおりなら、日本も米国に倣って中国の情報詐取から政府や民間を守る姿勢に転じたと素直に喜びたいところだが、先に紹介した「政府情報システムにおけるクラウドサービスの利用に係る基本方針」や「政府情報システムのためのセキュリティ評価制度 基本規定」など、どれをとっても中国のソフトウェアやサービスを排除するという文言は出てこない。
2018年8月に成立した米国国防権限法のように、米国政府機関に対する一定の中国企業の通信・監視関連機器の購入等およびそれら機器を利用している企業等との取引を禁止する法律がまずはじめになければならないのに、わが国政府はオブラートで包み込んだ政策しか行えていないのが現状だ。
