中国製品のセキュリティ総点検——「中国政府への漏えいはあるのか？」を法・実例・規制・実務で検証する

先に要点

• 「政府への漏えい」についての公的に確認された“決定的証拠”は限定的。ただし法律上の協力義務（国家情報法など）や重大な脆弱性・不適切なデータ収集の実例が複数あり、**政策当局は“リスクベースで禁止・制限”**を行っている。
• 実際に見つかった事例は、(1) スマホのプリインストール・ファームウェアによる過剰な収集（Adups/Ragentek/BLU）、(2) 監視カメラ（Hikvision/Dahua）の深刻な脆弱性、(3) アプリ運用上の不適切アクセス（TikTok/ByteDance）、(4) **PCのプリインストールアドウェア（Lenovo/Superfish）**など。企業向け・個人向けの双方に存在する。
• 国家・規制の反応：米FCCはHuawei/ZTE・Hikvision/Dahua/Hytera等の新規承認を停止、英国は2027年までに5GからHuawei全面排除、米NDAA 889は連邦調達での使用禁止。
• 論争的・未確証の疑義（例：Supermicro「小型チップ」報道、DJI“情報送信”疑惑）は強い反論や再検証が続き、結論は分かれている。政策はリスク回避的だが、常に“証拠の質”を読み分ける姿勢が必要。
• 実務での守り方：製品別の脅威モデリング、ファーム更新・ログ監査、データ経路の可視化、調達条項（NDAA/輸出管理/越境移転）、ネット分割で、“出自リスク”を“運用で差分化”する。

本稿の読者像と価値——だれが何に効く？

本稿は、企業の情報システム・セキュリティ責任者（CISO/CSIRT/購買）、公共機関・学校・医療機関の設備担当、カメラ・IoT・スマホ・PCを扱う一般ユーザーに向け、中国製品にまつわるセキュリティ論争を「法・実例・規制・実務」に分解して、“どこから本当に危ないのか”を判断できる材料を提供します。特に、監視カメラや家庭向けIoT、ドローン、スマホ/PCなど個人と企業が同時に関与する領域で、購入判断・設定・運用ルールを今日から書き換えられる粒度で解説します。やや硬いテーマですが、やさしい言葉と具体例で、初学者から実務者まで読み通せるよう配慮しています。

1. 「中国政府への漏えい」は何が論点か——法制度と“推論”の地図

まず前提整理です。「中国製＝即スパイ装置」ではありません。一方で、“漏えいリスク”を論じる必然があるのは、中国国内法の構造と過去の実例です。

• 国家情報法（2017）：第7条に「すべての組織と公民は、国家の情報活動に協力しなければならない」趣旨が明記。企業が当局の要請に協力する可能性が制度的に否定しづらい。
• サイバーセキュリティ法（2017）・データ安全法（2021）・個人情報保護法（2021）：重要情報インフラ保護、データの域外移転審査、国家安全の優越が打ち出され、規制当局がデータへアクセスしうる余地が広い。2024年改正の国家秘密保護法では「ワークシークレット」概念拡張も。

この法制度の非対称性を背景に、各国規制は“意図の証拠”がなくても、“アクセス可能性”というリスク観点で介入します。つまり、**「漏えいが起きたかどうか」に加えて、「起こしうる設計か」**で判断されるのが実情です。

2. 実際に見つかった“確度の高い”事例（企業向け／個人向けの両方）

2-1. スマホのプリインストール系（個人向けだが企業BYODにも直撃）

• Adups（上海 ADUPS）／BLU他（2016–2017）
  一部の低価格Android端末で、SMS・位置情報・連絡先などを中国のサーバへ定期送信する挙動がKryptowireにより公表。米Amazonが一時BLU端末の販売を停止。プリイン載せ替えサプライチェーンの怖さを象徴。

• Ragentek OTA実装不備（2016）
  OTA更新の平文通信により、攻撃者がroot権限で任意コード実行可能という深刻欠陥。世界で約280万台規模と報告。

• Xiaomiブラウザ（2020）
  シークレットモードでも“集計的データ”を送信との指摘を受け、設定で無効化できる更新など対応。後に**独D BSIは“検閲機能の証拠なし”**と発表する一方、初期の収集設計は議論を呼んだ。

2-2. 監視カメラ（企業・自治体向けが中心、家庭向けにも波及）

• Hikvision
  2017年に認証回避（CVE-2017-7921等）、2021年に未認証でのコマンドインジェクション（CVE-2021-36260、CVSS 9.8）など重大脆弱性。ボットネット悪用の観測もあり、企業・自治体の広域設備が影響。

• Dahua
  ハードコード済み認証情報（いわゆる“バックドア”的構造）など過去に高リスク脆弱性が公表。

これらは**「国家への送信の証拠」というより、「第三者に乗っ取られやすい設計」**が問われ、**規制（後述）**に直結しました。

2-3. アプリ運用の不適切アクセス（個人向けだが規制は国家安全論で反応）

• TikTok/ByteDance（2022–2025）
  ByteDance社員が米記者のデータへ不正アクセスした事案を会社が認め、関係者を処分。米国では2024年の法律で**「売却か禁止」が決まり、2024年末の高裁判断、2025年の最高裁判断を経て禁止措置が発動**。“国家による関与”の確証は別として、「中国籍企業による米国人データへの支配可能性」が規制理由。

2-4. PCのプリインストール問題（個人・企業の双方）

• Lenovo/Superfish（2014–2015→2017和解）
  HTTPS通信を改ざん可能にする広告ソフトを出荷時に同梱。FTC/32州と和解・セキュリティプログラム実施へ。国家への送信とは別次元ながら、**“出荷時に危険が紛れ込む”**実例。

3. 「疑義は強いが結論は割れる」領域——証拠の読み方

• Huawei（通信機器）
  英国のHCSEC（Huawei Cyber Security Evaluation Centre）は設計品質の深刻な問題を繰り返し指摘する一方、国家による“意図的バックドア”の証拠は示さず。ただし英国は2027年までに5Gから排除を決定。エビデンス不十分でも“リスク耐性の閾値”で政策が動く典型です。

• DJI（ドローン）
  2017年の米軍使用停止・DHSメモなど懸念表明がある一方、**Kivu等の監査では「不正送信の証拠なし」**の報告も。政策は慎重化しつつ、技術監査の結果は割れている状況。

• Supermicro「小型チップ」報道（2018）
  Bloombergの大スクープは業界に衝撃を与えたが、当事者・政府・複数の後追い検証が強く反論し、決定的証拠は公になっていない。ハードウェア・サプライチェーンの脅威像を可視化した点では重要。

まとめると、“意図的・組織的な政府向けバックドアの公開証拠”はごく限定的。ただし設計/運用上の欠陥や過剰収集の事例は複数確認され、**法制度が後押しする“アクセス可能性”**も重なって、各国はリスク回避で規制しています。

4. 規制・政策の現在地——「証拠」より「許容リスク」で動く

• 米FCC（2022）：Huawei/ZTE、Hikvision、Dahua、Hytera等を新規承認対象外とし、米市場での販売認可を原則停止。2025年には中国系試験ラボの認証排除へ拡大。
• 米NDAA 2019・FAR 52.204-25（セクション889）：連邦政府と契約する事業者に、対象企業の通信・監視機器の“使用”自体を広く禁止。サプライヤの下請け・回線迄波及し、民間調達にも規範影響。
• 英国（2020以降）：2027年までに5GからHuawei全面排除。既存機器の撤去計画が法的通知として各社に通達。

これらは**「行為の証明」ではなく「アクセス可能性の遮断」を狙った制度的リスクコントロール**です。

5. 「企業向け」と「個人向け」は何が違うのか

共通点は、サプライチェーン（プリイン／SDK／クラウド）に潜むリスクと、運用設定（既定ONの遠隔接続・P2P/NATトラバーサル・更新経路）です。違いは影響半径と対策権限。

• 企業向け（監視カメラ、Wi-Fi/5G機器、VMS、ドローン、産業IoT）

  • 影響半径：社屋・工場・公共空間・社員・来訪者に波及。
  • 権限：ネット分割・証跡保全・調達条項の拘束力で**“運用で締める”**余地が大きい。
  • 規制適合：NDAA 889/FAR、各国入札要件に直撃。

• 個人向け（スマホ、家庭用IPカメラ、家庭IoT、PC）

  • 影響半径：家族の位置・生活動線・来客の顔等の高感度データ。
  • 権限：設定・更新・LAN分割をユーザー自身が担うため、初期設定の安全性が勝敗。

6. 具体的サンプルで学ぶ「何が起こりうるか」

サンプルA：工場の周辺監視に安価なNVR＋カメラを導入

• 起きうる事：CVE既知のWeb UIから乗っ取り→NVR横断でマルウエア展開、外部からのDDoS踏み台。
• 最悪シナリオ：映像の改ざん、物理セキュリティの盲点化、生産停止。
• 即応策：ファーム最新化、インターネット直結禁止（必ずVPN/ゼロトラ経由）、ネット分割（監視セグメント）、NDAA対象外機器への更改。

サンプルB：職場のBYODで格安Android端末が混入

• 起きうる事：プリインのOTA/診断モジュールが過剰権限。通信ログや位置情報が外部へ周期送信。
• 即応策：MDMで端末登録必須・ルート化検知、業務アプリは社内アプリストアで配布、機微情報アプリは企業支給端末に限定。

サンプルC：広報用にドローン導入（撮影拠点に規制施設あり）

• 論点：アプリがどのサーバへ何を送るか、“ローカルデータモード”の有無、機体・アプリ監査の実績。
• 実務：オフライン運用手順、機体ログの保存先、現地法（飛行・撮影）の適合。監査報告と懸念文書が併存するため、自組織の“許容リスク”を文書化。

7. 実務チェックリスト——“出自”ではなく“経路”で制御する

(1) 製品・ベンダの把握

• CVE/KEV参照、脆弱性対応の速さ、署名付きファームの提供、更新ライフサイクル。HikvisionのCVE-2021-36260のような**“外から未認証RCE”**は最優先で回避。

(2) データの地図化（どのデータがどこへ）

• 映像・音声・ログ・メタデータ、クラウド終端（AS番号/地域）、越境移転の有無、暗号化と鍵管理。“シークレットでも集計は送る”設計を設定で止められるか。

(3) 調達・契約条項

• NDAA 889/FARの該当性、FCCカバードリスト、英国の除外期限。再委託・サプライチェーンの準拠義務も契約化。

(4) アーキテクチャ

• ネットワーク分割（IoT/VLAN）、外部直結禁止、プロキシ透過ログ、SIEM連携。
• ゼロトラ・証明書ピンニング、管理UIは踏み台のみ、多要素。

(5) 運用

• ファーム定期適用、設定バックアップ、アカウント棚卸、監査ログの第三者保全。
• オフライン運用手順（ドローン等）、録画の保存期間・暗号化。

(6) 代替評価

• 価格・機能差に加え、“将来の規制リスク（撤去・置換コスト）”までTCOに入れる。撤去期限の法令はプロジェクト寿命を左右。

8. よくある誤解に答えるQ&A

Q1.「中国製は全部危険」？
A. いいえ。 多くの脆弱性は国を問わず起きています。焦点は**(a) 法制度上のアクセス可能性、(b) 製品設計・運用の堅牢性、© 規制・調達制約です。証拠の質と対処可能性**で分けて考えましょう。

Q2.「実際に政府へデータを送った製品は？」
A. 公的に立証され一般に受け入れられた“政府向け意図的送信”の事例は限定的です。一方で、Adups/Ragentekのような過剰・危険な収集/実装、TikTok運用の不正アクセス、監視カメラの深刻脆弱性等、“結果として漏えい・乗っ取りが起こりうる”実例は多数あります。

Q3.「企業向けだけ？個人向けも？」
A. 両方に存在します。企業は監視カメラ・ネットワーク機器・ドローン等、個人はスマホ・家庭用カメラ・PCのプリイン/アプリが主戦場です（上記実例参照）。

Q4.「Huaweiは本当に“バックドア”があるの？」
A. 英国の公的監査は**“意図的バックドアの証拠無し”とする一方、設計品質に重大懸念を示しました。政策的には英国の5G排除や米FCCの規制などリスク回避の措置**が優先されました。

Q5.「DJIはどうなの？」
A. 懸念文書（DHS/軍通達）と監査での“問題なし”報告が併存。結論は用法・設定・環境に依存します。ローカルデータモードやオフライン運用を含む具体的統制が鍵。

9. もう一歩踏み込む評価フレーム——“三層のリスク”で判断する

1. 法制度リスク：国家情報法・データ安全法・個人情報保護法、国家秘密保護法（2024改正）——当局要請時の法的拘束や域外移転審査。
2. 技術リスク：既知CVEの深刻度、更新サイクル、サーバ終端、暗号実装、SDK（解析難の中国圏SDK）。
3. 政策・調達リスク：FCC/NDAA/英国5Gのような“将来の使用禁止・撤去命令”の発動可能性。

この三層を製品ごとに打点化し、“許容水準の低い現場”（公共・重要インフラ・医療・教育）ほど非対象ベンダを初手から除外するのが合理的です。

10. 実装テンプレート（短くても効く）

テンプレ1：監視カメラ／NVR

• 要件：NDAA非対象、CVE対応SLA、署名付ファーム、RTSP/TLS、クラウド送信の明示制御。
• 構成：VLAN分割・管理UIは踏み台限定・外部直結禁止・Syslog→SIEM。
• 運用：四半期ファーム、アカウント棚卸、ログのWORM保全。

テンプレ2：スマホ（BYOD）

• 要件：MDM必須、暗号化・PIN/MFA、企業アプリの分離。
• 運用：端末登録→健康診断（CVE/ブートローダ）→条件付きアクセス。
• 禁止：特定ベンダの管理プロファイル／未知のOTA。

テンプレ3：ドローン（社内広報）

• 要件：ローカルデータモード、ログのローカル保存、オフライン手順。
• 運用：飛行前チェックリスト、メディア媒体の暗号化、撮影可否の法令確認。

11. 「公平な見方」のすすめ——強い疑義と冷静な対処の両立

本稿で見た通り、「国家向けの意図的漏えい」の公開証拠は限定的で、一方で収集過多や設計不備は数多く観測されています。各国規制は“許容できない可能性”を遮断する方向にあり、企業・自治体・個人は設計と運用で出自リスクを吸収する段階です。万能の結論はなく、製品別・用途別に**“法×技術×政策”**の三位一体で選ぶのが現実解です。

12. まとめ——結局「漏えいはあるのか？」にどう答えるか

• はい、実例はあります。 ただし多くは政府“向け”と断定できるものではなく、プリイン/SDKや脆弱性、運用不正による**“結果としての漏えい・乗っ取り”**です（Adups/Ragentek、Lenovo/Superfish、Hikvision/Dahua、ByteDanceの不正アクセス）。
• 国家への直接送信が確証された「喫煙銃（スモーキングガン）」は公的に広く認められたものは少ない。しかし中国法の協力義務・越境規制があるため、“アクセス可能性”が高いと各国は判断し、販売・調達の規制が拡大しています。
• 企業／個人の双方でリスクは存在。企業はNDAA/FCC/英国5G等の法制に、個人は初期設定・クラウド送信・更新運用に注意。“出自で一刀両断”ではなく、“経路で制御”して現実的に安全度を上げるのが賢明です。

参考リンク集（出典）

• 法令・制度

  • 中国・国家情報法（2017）英訳（China Law Translate）
  • 中国・サイバーセキュリティ法（2017）英訳（Stanford DigiChina）
  • 中国・データ安全法（2021）英訳（Stanford DigiChina）
  • 中国・個人情報保護法（2021）英訳（Stanford DigiChina）
  • 中国・国家秘密保護法改正（2024）の報道（Reuters）

• 規制・行政

  • 米FCC：Huawei/ZTE・Hikvision/Dahua/Hytera等の承認禁止（2022）
  • 米NDAA 2019セクション889・FAR条項
  • 英国：2027年までに5GからHuawei排除

• 実例（スマホ/PC/アプリ）

  • Adupsのデータ送信問題（Kryptowire報道各種）
  • Ragentek OTAの重大欠陥（JPCERT/CC, CERT/CC） ／ CERT/CC VU#624539
  • Xiaomiブラウザの挙動とその後の対応（研究者報告）／独BSI見解 ／ BSIニュースレター
  • Lenovo/Superfish：FTCと州との和解
  • TikTok/ByteDance：記者データへの不正アクセスの認定（Reuters）
  • TikTok法制の流れ（2024法→2025司法判断）

• 実例（監視カメラ/IoT）

  • Hikvisionの重大脆弱性 CVE-2017-7921, CVE-2021-36260（Vendor） ／ Security Notification – CVE-2021-36260
  • Dahuaのハードコード認証情報問題（JVN/NVD） ／ CVE-2013-3612（NVD）

• 論争事例

  • Supermicro「小型チップ」報道と反論（Bloomberg ／ DCD)
  • DJI：懸念文書（DHS/軍）と監査（Kivuレポート関連：DJI発表）

おわりに
議論がヒートアップしがちなテーマだからこそ、証拠の強さと実務で減らせるリスクを分けて考えることが大切です。法（アクセス可能性）、技術（脆弱性/設計）、政策（将来の使用制限）の三層を並べて評価し、買う前に経路を設計する。これだけで、たとえ低価格機器でも、“危ない可能性”を“許容できる可能性”に変えることは十分にできます。わたしは、過剰な不安でも無邪気な楽観でもなく、現実的でやさしい運用設計こそが、あなたやご家族、職場の安心をいちばん確かに守ると信じています。