【Supermicro】「アップル向けサーバーにスパイチップはなかった」と調査報告 Bloomberg報道を改めて否定

1: ばーど ★ 2018/12/13(木) 20:58:54.41 ID:CAP_USER9

ハードウェアメーカーのSuper Micro Computer(ブランド名はSupermicro)は、顧客向け書簡の中で、現行および旧モデルのマザーボードに悪意あるハードウェアが存在しないことを外部の調査会社と協力して確認したと明らかにしました。

これは10月初めに米Bloombergが報じた、Supermicroが中国の工場で製造しているサーバー用のマザーボードに鉛筆の芯ほどのスパイチップが埋め込まれ、アップルやアマゾンを含む米国企業約30社のデータセンターに用いられていたとのスクープを受けてのもの。アップルとアマゾン、Supermicro3社ともこの報道を強く否定していました。

Supermicroは、この結果が驚くことではないと述べています。

本調査に精通している人物が米Reutersに語った話によると、世界的な企業Nardello & Coが調査にあたったとのこと。同社は現在生産されているマザーボードのサンプルと、アップルやアマゾンに販売された旧モデルの両方をテストしたと伝えられています。

また、ソフトウェアや設計ファイルも調べられており、不審な部品も見つからず、怪しい信号が送出されていない点も確認されたとのこと。

もちろん、本調査だけでスパイチップ存在が完全に否定されたわけではなく、「出荷された全サーバー」ではなく「特定サーバー」にのみ埋め込まれた可能性もありえます。

が、報道を強く否定して記事の撤回を求めていたアップルのティム・クックCEOをはじめ、アップルやアマゾンの否定声明を「疑う余地はない」としていた米国土安全保障省(DHS)などの信憑性が高まったのも確かなこと。スクープに自信を持っていたはずのBloombergでしたが、この件に関しては勇み足だった可能性が高まっています。

12月13日
https://japanese.engadget.com/2018/12/12/supermicro-bloomberg/

関連スレ
【米国】中国製の基盤から”米粒ほどのスパイチップ”が発見される サーバーが異常な通信で発覚
https://asahi.5ch.net/test/read.cgi/newsplus/1544175913/

3: 名無しさん@1周年 2018/12/13(木) 21:01:03.12 ID:wDek7vrq0
というか通信の状況を
調べれば
わかるだろ

 

86: 名無しさん@1周年 2018/12/14(金) 13:24:35.97 ID:tkU8pIJk0
>>3
通信の状況見るだけで分かるのなら
苦労はしないよ。
偽装の方法は山程あるし
検知を逃れる方法も山程ある。
常時フラッドなサーバーだと状況を見るという行為自体が無意味に近い

 

5: 名無しさん@1周年 2018/12/13(木) 21:02:20.53 ID:DspmtwK00
これだけ騒がれてスパイチップの写真ひとつ出てこないのはおかしい
ブルームバーグがアサヒっちゃった可能性がある

 

8: 名無しさん@1周年 2018/12/13(木) 21:03:22.55 ID:BtTWSwYR0
>>5
これほんと不思議

 

16: 名無しさん@1周年 2018/12/13(木) 21:28:44.16 ID:WTW5V5ch0
>>5
no title

 

20: 名無しさん@1周年 2018/12/13(木) 21:51:16.28 ID:OZHYsqoS0
>>16
EMI対策用のフィルタにしか見えんが。

 

42: 名無しさん@1周年 2018/12/14(金) 05:10:51.94 ID:abz+WGHS0
>>20
が、なぜかVccでなくPCIeブリッジの真横に実装してあったり、CPUからのDMIやQPIやI/O周りの信号線に直結されてる…
もちろんダンパ抵抗なんかとは別個に

 

66: 名無しさん@1周年 2018/12/14(金) 12:45:25.45 ID:ePi5yCUo0
>>20
お前はスパイチップに「スパイチップ」と明記してあると思ってんのか

 

29: 名無しさん@1周年 2018/12/13(木) 22:27:11.46 ID:/p49Zgb70
>>16
それ「写真はイメージです」だからな(笑)

 

12: 名無しさん@1周年 2018/12/13(木) 21:12:19.69 ID:3tpVMhJe0

> Supermicroが中国の工場で製造しているサーバー
Supermicro = 1993年に台湾出身のCharles Liangによって設立された

はいアウトー

 

38: 名無しさん@1周年 2018/12/14(金) 00:33:50.32 ID:NQc4mHeY0

>>12
台湾人は内省人だとアンチ中国で一緒にされる事を極端に嫌うし、中国人を全く信用してない。
外省人だと中身はまんま中国人。

社長がどっちかによるな。

 

13: 名無しさん@1周年 2018/12/13(木) 21:13:29.80 ID:eMGpXUsN0
他に方法はいくらでもあるのにわざわざチップなんか埋め込むわけないじゃん
いかにもIT機器に縁のない老害が考えそうな事だ

 

22: 名無しさん@1周年 2018/12/13(木) 21:52:41.28 ID:ewfZGRk20
>>13
ソフトウェアだとOSのセキュリティをどう誤魔化すかと言う問題が
スタンドアローンの方が都合の良い事もあるだろうさ

 

15: 名無しさん@1周年 2018/12/13(木) 21:20:22.88 ID:lDxSKMny0
BIOSやファームウェアにソフトで実装すればいいだけ

 

23: 名無しさん@1周年 2018/12/13(木) 21:54:22.10 ID:1cBkJ7cB0
>>15
そんな小さなチップて???何だ。そもそもプリント基板上に新たに回路を作るのは大変だよ。
そもそも、それでは目視ですぐ発見できてしまうだろwww
普通は、BIOSやファームウェアに、ウイルスソフトを入れるだろwww

 

41: 名無しさん@1周年 2018/12/14(金) 05:06:07.14 ID:abz+WGHS0
>>23
そんなんすぐにバレるじゃん

 

96: 名無しさん@1周年 2018/12/14(金) 13:54:01.42 ID:/dumQN9F0
>>23
記事を色々読んだら、基盤上じゃなくて基盤内に埋込みって書いてあったよ。
片面3ピン、6ピンのチップの画像だから
最初どう結線してあったのかな?と思った。

 

28: 名無しさん@1周年 2018/12/13(木) 22:26:05.51 ID:W/K538o10
物理的に証拠が残る物を仕込む訳ない

 

32: 名無しさん@1周年 2018/12/13(木) 22:39:52.56 ID:Vk3wfkKv0
ターゲットを絞って埋め込んでる場合は抜き取り検査では出ない可能性はあるわな。
最初から中国で作らなければいいのだ。

 

36: 名無しさん@1周年 2018/12/13(木) 22:56:54.85 ID:0xW3XALr0
いい加減にアメリカこそが世界のトラブルメーカーだと気がついたほうが良い。

 

50: 名無しさん@1周年 2018/12/14(金) 06:58:46.18 ID:rsVORxRY0
>>36
さすがにそれは無い
もしアメリカが無かったら
世界は中世時代のまんまだぜ

 

40: 名無しさん@1周年 2018/12/14(金) 01:49:38.28 ID:zPa2AqTQ0
基本的に中国を信用してないけど
この15年ぐらいの流れでみんな
中国が共産圏なのを忘れてるし
危機管理が麻痺してる。
有事の際は中国は敵国になるんだぜ。

 

113: 名無しさん@1周年 2018/12/16(日) 05:15:57.62 ID:TrwbRNMZ0
>>40
日本と中国は友好国ですけど

 

114: 名無しさん@1周年 2018/12/16(日) 05:17:37.07 ID:dT/X76bR0
>>113
反日教育やめてから言ってね

 

49: 名無しさん@1周年 2018/12/14(金) 06:55:25.52 ID:b0sGzel/0
いやどう見ても飛ばし記事だし
ここまで来ると、頭の病気の人が、宇宙人にチップ埋め込まれたとか、言ってるのと変わらなくなってくるんだけど

 

53: 名無しさん@1周年 2018/12/14(金) 07:23:03.15 ID:54NkJpRf0
>>49
でも、メーカーとしては本当だとは言えないよね。
認めた途端、倒産コースに急降下。

 

51: 名無しさん@1周年 2018/12/14(金) 07:04:50.14 ID:a5dU4aHQ0
まぁ、ITの覇者たるアメリカ様が今更発見するなんて事はありえんしな

 

109: 名無しさん@1周年 2018/12/15(土) 22:21:06.14 ID:c1QpBj3K0
>>51
この手のチェックをかけるのは軍用の納品だろ
その部門を紹介した番組があったが
年間すごい量をさばかなきゃいけないそうだ

 

85: 名無しさん@1周年 2018/12/14(金) 13:19:53.42 ID:g7zaxbhc0

>もちろん、本調査だけでスパイチップ存在が完全に否定されたわけではなく、
>「出荷された全サーバー」ではなく「特定サーバー」にのみ埋め込まれた可能性もありえます。

スパイチップの完全な否定ではなく完全に肯定される必要があるのでは?

 

93: 名無しさん@1周年 2018/12/14(金) 13:43:33.47 ID:QBmqk/ab0
50台に1台とかだろうな
発見するのは地道な調査が必要

 

95: 名無しさん@1周年 2018/12/14(金) 13:53:53.68 ID:fCgNLYTI0
日本政府の無能さが際立ってる
日頃ITだの散々騒いでたくせに、本人が全く理解できていないっていう。
とにかくこいつらはコジキ企業とつるんで国民から
税金として金をふんだくって身内で使うことしか考えていないから。

 

100: 名無しさん@1周年 2018/12/14(金) 18:16:28.33 ID:8/wzIRez0
そもそもスパイチップなんて本当に存在すんの?
情報抜くだけならそんなもんなくても他にもっと簡単な方法ありそうなもんだが

 

119: 名無しさん@1周年 2018/12/16(日) 16:11:02.46 ID:t3n7tEwY0

・基板に実装された状態の写真
・当該部分の回路図
・当該部分のパターン図
・部品の各端子の役割(想定)

このくらい出して欲しい

そして、IPA/ISECの見解を聞きたい

 

139: 名無しさん@1周年 2018/12/16(日) 17:45:26.88 ID:t3n7tEwY0

もしスパイチップでなく、正当な部品だったとしても、

(シルクにある)UM8として、
フラッシュのフットプリントを用意しておきながら、
明らかにUM8のパッケージと競合するエリアの中に、
その部品のフットプリントを用意するというのが、部品配置としておかしい

両方マウントできないじゃん

 

151: 名無しさん@1周年 2018/12/16(日) 19:44:59.00 ID:4j/tm/330
そんなすぐ足がつくようなもん使うわけがない

 

153: 名無しさん@1周年 2018/12/16(日) 22:02:10.50 ID:t3n7tEwY0

BMCはPCIeでPCHに繋がってるのか

それなら、自分がマスターになって、MemoryReadパケットを発行すれば、
物理アドレスでメモリの好きなところ読めるな

それもDMAで、OSが管理しているプログラムでのReadではないから、OSは検知できない。

NICのdescriptor(リングバッファの先頭アドレスはNICのレジスタをMemReadすれば分かる)を盗み見て、物理メモリのdestination addressに相当する部分を書き換えれば、パケット送信先を変えることも可能。

 

154: 名無しさん@1周年 2018/12/16(日) 22:10:55.44 ID:t3n7tEwY0

HWチップでFWを改竄することは、FWを最初から改竄した状態でSPIフラッシュに仕込むよりも、見付かりにくいかもしれない。

SPIフラッシュの中身はデータとしてリードし、バイナリコードのチェックが可能だから。

 

156: 名無しさん@1周年 2018/12/16(日) 22:32:39.77 ID:yiB0Hsak0
もう遅いw

引用元

http://ai.2ch.sc/test/read.cgi/newsplus/1544702334/

管理人からひと言

本当かな?

関連記事

  1. 【セキュリティ】サイバー攻撃、同じ企業が何度も被害に 「被害企業は簡単に食い物にできる餌食と見なされ…

  2. 【決済】PayPay、3Dセキュア導入 クレカ利用上限額を25万円に引き上げ

  3. 【IT】中国ハッキングチップ、米通信大手のネットワークでも発見か

  4. 【IT】最悪のパスワード2018年版、トップは安定の「123456」セキュリティ企業の調査

  5. 【IT】アンチウイルスのAvastとNortonが合併

  6. 【ハッキング】世界で10万台のプリンタが乗っ取られたおそれ–著名YouTuberの支援メ…

  7. 【行政機関】デジタル庁、報道機関向けのメール誤送信 アドレス400件をBCCではなくCCに記載

  8. 【通信】英、ファーウェイの5G参入「リスク管理可能」 英報道

  9. 【IT】「omiai」運営元、企業サイトのフォームからも情報流出 「システム設定の不備」で

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

最近の人気記事

おすすめ記事

  1. カテゴリ_その他
  2. カテゴリ_service
  3. カテゴリ_働き方

新着記事

  1. プログラマーって実際めちゃくちゃきついん?
  2. プログラマー「めっちゃ頭いいです。休日も朝から晩まで勉強してます。でも平均年収3…
  3. 【衝撃】ITエンジニアぼく(27)、転職しただけで年収が460万円から970万円…
  4. 【企業】上司が部下を監視、「絶対やってはいけない」とマイクロソフトが警告
  5. Twitterで、外資ITコンサル転職したら単価75→350に上がったとか言って…

ボンブの戯言

  1. 【ボンブの戯言】ITエンジニアが徹夜してでも間に合わせる理由
  2. 【ボンブの戯言】フリーランスのメリットを全否定してみた
  3. 【ボンブの戯言】ITエンジニアは、なぜうつ病になるのか
  4. 【ボンブの戯言】中古サーバーの買い方まとめました
  5. 【ボンブの戯言】はじめました。
PAGE TOP