英国労働党がLinxensの所有構造を調査――英・EUの生体パスポート供給網に地政学リスクがにじむ件です

今日の深掘りポイント

• 供給網リスクは「製造地」よりも「所有とガバナンス」から立ち上がる時代に入っています。いま問われているのは、工場のセキュリティそのものではなく、オーナーシップに起因する規制・信用・継続性リスクです。
• 英・EUの生体パスポート用インレイは寡占的な市場で、代替の即応性は高くありません。調達側はサブティアまでの可視化と切替計画を先に用意しておくべきです。
• セキュリティの本丸は国家PKIと個人化工程にありますが、インレイ段階でのランダムネス劣化やトラッキング耐性低下といった「静かな弱体化」も無視できません。
• 米国のEntity List指定は域外適用ではない一方、国際金融・物流・サプライヤーの自律的デリスクを誘発し、実質的な供給制約を生むことがあります。
• 現場は「技術的危殆化」「規制波及によるオペレーション停止」「評判・信頼の毀損」という3層の異なる失敗モードで備えるのが実務的です。

はじめに

Thalesのパスポート製造を支える仏Linxensが、所有関係に米国政府のEntity List掲載の中国系投資会社が関与しているとの報道を受け、英国労働党のビジネス・貿易委員会の調査対象に加わりました。Linxensは電子IDや生体認証スマートカード、電子パスポート用のインレイ主要サプライヤーで、英・EUのeパスポートにも部材を供給しています。Linxensはタイのセキュア施設で製造し第三者監査を受けていると説明し、英内務省も現時点ではセキュリティリスクを生じないと見解を示しています。一方で、対中規制の地政学と欧州のIDインフラが交錯するこのテーマは、単なる「国産・非国産」論を超えて、ガバナンスと継続性の観点での再設計を迫る出来事です。Biometric Updateの報道を起点に、事実と示唆を分けて整理します。

深掘り詳細

事実整理（ファクト）

• 英労働党のビジネス・貿易委員会は、中国と英国経済に関する既存の調査に、Linxens関連の報道を追加する方針です。対象は、Linxensの所有関係に米政府のEntity List掲載投資会社との関連が指摘された件です。Linxensは、インレイをタイのセキュア工場で製造し、定期的に第三者監査を受けていると説明しています。英内務省は、同社の供給網の役割がセキュリティリスクをもたらさないとの見解を示しています。Biometric Update
• 英国のパスポート製造は2018年にGemalto（のちにThalesが買収）へ移り、海外製造への移管が当時大きな政治論争となりました。BBC
• Linxensは仏系のインレイ大手で、2022年に日本のTOPPANによる買収が報じられています（取引規模は約11億ユーロと報道）。Reuters
• 米商務省のEntity Listは、米国起源品目の輸出・再輸出・国内移送を原則許可制とする対象者リストで、指定はサプライチェーンやファイナンスに広範な二次的影響を与え得ます（特定企業についての本件の一次確認は公開情報の範囲で未了）。制度の概要は米商務省BISの公式解説が一次資料です。BIS Entity List
• eパスポートのセキュリティはICAO Doc 9303に準拠し、国別のドキュメント署名鍵（DS）と国のルート（CSCA）によるPKIで真正性を担保します。インレイは物理・無線層の基盤であり、個人化工程（データ書込みと印字）と国家PKIの厳格運用が最終的な信頼の要です。ICAO Doc 9303 概要

注：所有構造に関与する具体的な投資会社名や持分構成は、現時点で公開の一次資料リンクにより独自確認できた範囲を超えます。本稿では、一次ソースで確認できる制度・経緯・技術仕様を中心に記載し、所有関係の詳細は報道ベースでの紹介にとどめます。

インサイト（示唆）

• リスクの「相」が3つに分かれます。第一に技術的危殆化（インレイやモジュールの欠陥・バックドア・ランダムネス劣化）。第二に規制・信用に起因するオペレーション停止（Entity List等の指定拡大、金融・保険によるデリスク要求、物流・認証の遅延）。第三に政治的論争による評判・信頼の毀損です。英内務省が現時点の技術的リスクを低いと評価していても、後二者が供給継続性とパスポートの「社会的受容性」を揺らす可能性は残ります。Biometric Update／BIS解説
• eパスポートは国家PKIが本丸で、インレイ単体では署名鍵に到達できません。ただし、低レイヤの実装品質（例：乱数生成、チップUIDの扱い、遮蔽・アンチスキミング強度）の劣化は、トラッキング耐性や通信セキュリティの基礎体力を確実に落とします。チップ/カード分野では過去に暗号設計の弱点が現実のクローン攻撃を生んだ歴史もあり、低レイヤ軽視は禁物です（例：MIFARE Classicの脆弱性研究）。KU Leuvenによる解析（2008）
• サプライチェーンは寡占的で、切替には認証・評価・ライン立ち上げ・監査という時間の壁が立ちます。調達側の勝ち筋は「平時からのサブティア可視化」「資格・評価書類の棚卸し」「二番手の事前適格化」の3点です。これはセキュリティの議論と同列に、事業継続（BCP）の問題でもあります。
• 規制の射程は技術仕様そのものではなく「誰が支配しているか」です。所有構造の透明化、重大変更時の通知義務、NSI法・CFIUS相当の事前届出といったガバナンス要件を調達契約に組み込むことが、セキュリティと同等の「必須要件」になりつつあります。（NSI法の制度概要は英国政府の案内が一次資料です）UK National Security and Investment Act 概要

なお、編集部としては、インパクトは潜在的に大きい一方、即時の機能停止や広範な発行停止に直結する段階ではないと見ます。ただ、政治日程・規制変動のタイムスケールが技術調達のそれより速いことが多く、発行体および大口ユーザーは「切替に要する週数・月数」という実務の時計で備えるべきです。

脅威シナリオと影響

以下は仮説のシナリオです。技術的な脅威と、規制・運用面の影響を分けて考えます。MITRE ATT&CKの観点もあわせて記します（テクニックは代表例で、状況により異なります）。

• シナリオ1：低レイヤの「静かな弱体化」による追跡・傍受リスクの上昇

  • 仮説：インレイ実装で乱数生成の質が下がる、チップUIDが想定以上に露出する、シールド設計が弱くなる等により、近接読取の耐性低下や長期トラッキングの可能性が増す。
  • 影響：個人の移動履歴推定、特定グループの行動把握、国境設備周辺でのスキミング試行の成功確率上昇。
  • ATT&CKの対応観点：Initial Access/侵入経路としてのSupply Chain Compromise（サプライチェーン妥協）、信頼の転覆としてSubvert Trust Controls（サブバート・トラスト）。MITRE: Supply Chain Compromise／MITRE: Subvert Trust Controls

• シナリオ2：個人化センターや文書署名鍵への間接侵害

  • 仮説：サプライヤーのリモート保守経路や委託先のアカウントが足掛かりとなり、個人化センターのHSM運用に近接。直接の鍵奪取は困難でも、設定の弱体化や運用妨害が生じる。
  • 影響：発行遅延、QC不合格率の上昇、場合により発行停止。最悪ケースとして、ドキュメント署名鍵の漏えいは国境運用全体の信頼を揺るがす。
  • ATT&CKの対応観点：Valid Accounts（正規アカウント悪用）、Unsecured Credentials: Private Keys（秘密鍵の窃取・不適切保護）。MITRE: Valid Accounts／MITRE: Unsecured Credentials – Private Keys

• シナリオ3：規制・金融の波及による供給途絶（技術リスクではなく事業継続リスク）

  • 仮説：Entity Listや同等の制裁・審査強化により、輸送保険・決済・部材調達・監査認証のいずれかが詰まり、納期や品質保証に系統的遅延が生じる。
  • 影響：発行計画の遅延、在庫逼迫、空港eGateの運用負荷増大（一時的な手動審査増）、国際渡航の遅延コスト増大。
  • 対応：BCP観点のセカンドソース確保、在庫水準の見直し、認証・監査の事前ブロック交渉。

• シナリオ4：評判と社会的受容性の毀損

  • 仮説：所有構造をめぐる政治論争が長引くことで、国民の不信や報道の集中砲火が継続。
  • 影響：行政コスト上昇、RFI/RFPのやり直し、監査・報告の恒常化。間接的にセキュリティチームの負荷増。

これらは「いま何が起きたか」よりも「もし次に何が起きるなら何を止めるか」を描くための仮説です。実装弱体化の証拠は現時点で公知ではなく、技術面の疑義は推測の域を出ません。一方、規制波及やBCPの問題は、過去の多数の事例で現実になってきた可視リスクです。

セキュリティ担当者のアクション

調達・運用・インテリジェンスの3軸で、できることを即時着手と中期整備に分けて提案します。

• 供給網の可視化と契約ガバナンス

  • サブティア（チップ、アンテナ、樹脂、接着剤、個人化装置、HSM）までBOM/BoSを更新し、所在地・所有・監査スキームを棚卸しします。NIST SP 800-161r1のC-SCRM実装項目と突き合わせると、漏れが可視化できます。NIST SP 800-161r1
  • 調達契約に「所有構造の重大変更時の通知義務」「NSI法等の審査への協力義務」「第三者監査の頻度・範囲」「サイバー事故・インシデントの開示SLA」を明記します。UK NSI Act 概要

• 技術的基盤の健全性確保（国家PKIと個人化工程）

  • 文書署名鍵とCSCA運用はFIPS 140-3準拠のHSMで管理し、鍵生成・保管・使用の職務分離と多者承認を徹底します。発行側HSMの台数・世代・耐用年数の更改計画を前倒しで見直します。FIPS 140-3
  • インレイ/チップのランダムネスとアンチスキミングの検証を外部ラボで定期再評価します（CCやSOG-IS認証の更新確認、暗号実装テスト）。ICAO 9303準拠試験のスコープに、UID露出・RF漏洩の定量評価を追加します。ICAO Doc 9303

• オペレーションとBCP

  • 12〜18カ月スパンでのセカンドソース立ち上げ計画を具体化します（設計適合性、ベンチ認証、パイロットLOT、法規・認証の再取得計画、在庫安全在庫の増枠根拠）。
  • 発行停止・遅延を想定した空港・窓口の一時運用手順（手動審査、CRL/PKD更新失敗時のフォールバック）を年次訓練に組み込みます。ICAO PKDの更新監視を自動化し、境界設備の鍵・証明書のローテーションSLOを可視化します。ICAO PKD

• 脅威インテリジェンスと監視

  • MITRE ATT&CKの観点で、個人化センターや国境設備に対する「Valid Accounts」「Subvert Trust Controls」「Unsecured Credentials: Private Keys」の早期兆候（権限昇格の試行、証明書ストアの異常アクセス、HSMの監査ログ異常）をユースケース化します。MITRE: Valid Accounts／MITRE: Subvert Trust Controls／MITRE: Private Keys
  • 政策リスクの監視対象を定義します（BISの指定更新、英議会委員会の動き、保険・金融のアンダーライティングガイド変更、監査法人のアドバイザリー）。実務上は、BISの発表、官報、委員会の議事録をRSS/アラート化するのが実装コストに見合います。BIS Entity List

• エンタープライズ側（企業ID/入退室カードを持つ組織）への波及対策

  • 同一ベンダー系の社員証・アクセスカードを使っている場合、カード種別（MIFARE DESFire/その他）の暗号強度、乱数品質、アンチスキミング仕様を棚卸しし、高リスク世代から順次リプレース計画を立てます。過去のカード暗号破りの歴史は、「古いが致命的」を放置しない教訓です。KU Leuven（2008）

最後に。今回の論点は、いま目の前の脆弱性よりも、信頼のサプライチェーンを誰がどう支配しうるのか、という設計の話です。技術・規制・BCPの三位一体で前倒しの準備をしておけば、ニュースの温度に振り回されず、業務を止めない選択肢を手元に残せます。いまなら、間に合います。