日付: 2025年10月7日 部署: 情報システム部 セキュリティ課 担当: 探偵

件名: Hangzhou Hikvision Digital Technology Co., Ltd. (以下、Hikvision) に関するセキュリティ調査報告

 

1. 調査概要

 

本報告書は、ビデオ監視装置の主要サプライヤーであるHikvisionについて、組織の信頼性およびセキュリティリスクを評価するために実施した調査結果をまとめたものである。調査項目は、組織の沿革、創設者の経歴、本社の実在確認、経歴の妥当性、情報セキュリティ専門家の見解、製造国、そして添付されたエンティティリストとの照合を含む。

---

 

2. 調査結果

 

2.1. 組織の沿革

• 正式名称: Hangzhou Hikvision Digital Technology Co., Ltd.

• 設立: 2001年

• 本社所在地: No. 555 Qianmo Road, Binjiang District, Hangzhou 310051, China

• 事業内容: ビデオ監視装置の製造・販売を主軸とし、AI、クラウドコンピューティング、ビッグデータ技術を活用したセキュリティソリューションを提供している。

• 上場: 2010年5月に深圳証券取引所に上場。

• 株主構成: 中国の国有企業である中国電子科技集団（CETC）傘下の中電海康集団有限公司（CETHIK）が筆頭株主であり、約40%の株式を保有する部分的な国有企業である。

2.2. 創設者の経歴

• Gong Hongjia (龔虹嘉): 共同創設者の一人であり、個人投資家。現在は副会長を務める。1986年に華中科技大学を卒業後、複数のテクノロジー企業を設立した著名なエンジェル投資家として知られている。

• Hu Yangzhong (胡揚忠): 現会長。創設メンバーの一人であり、Hikvision設立以前は、筆頭株主であるCETCの第52研究所にてエンジニアとして勤務していた経歴を持つ。

• 経歴に関する懸念: 創設者および経営陣の多くが、中国の国有防衛コングロマリットであるCETCの出身者で占められている。 この事実は、同社と中国政府、特に軍との間に密接な関係が存在する可能性を示唆しており、経歴ロンダリングというよりも、国家的な戦略の一環として設立された企業である可能性が指摘されている。

2.3. 本社所在地の確認

• 登記上の本社所在地（No. 555 Qianmo Road, Binjiang District, Hangzhou）には、大規模で近代的な自社ビルが存在することを確認した。各種公開情報や地図情報からも、同地で活発な事業活動が行われていることが確認でき、ペーパーカンパニーである可能性は完全に否定できる。

2.4. 情報セキュリティに関する専門家の見解

• 脆弱性の指摘: Hikvision製品には、これまで複数のセキュリティ脆弱性が専門家によって指摘されている。これには、認証されていないユーザーが管理者権限を取得できる可能性のある脆弱性（CVE-2025-39247、CVSSスコア8.6）や、認証バイパスの脆弱性（CVE-2023-48121、CVSSスコア8.2）などが含まれる。 最近では、2024年にもNVR（ネットワークビデオレコーダー）デバイスにおいて、コマンドインジェクションなどの脆弱性（CVE-2024-29949、CVSSスコア7.2）が報告されている。

• バックドアの懸念: 過去に発見された脆弱性について、一部のセキュリティ専門家は意図的なバックドアではないかとの懸念を表明した。しかし、脆弱性を発見した研究者自身は、これを否定する見解を示している。 とはいえ、同社製品が中国政府の管理下にあるという事実から、製品に意図しないアクセス経路が存在するリスクは依然として払拭できない。

• 政府・軍との関係: 複数の報道や調査レポートにより、Hikvisionが中国の軍事・警察当局と密接な関係にあることが指摘されている。具体的には、中国軍へのドローンやカメラの供給、新疆ウイグル自治区における大規模監視システムへの関与、国内の抗議活動や宗教活動を監視するための特定アラーム機能のソフトウェアへの実装 などが報じられている。これらの活動は、同社が単なる民間企業ではなく、中国の国家安全保障および国内監視体制の重要な一翼を担っていることを示唆している。

2.5. 製造国

• 主要製造拠点: 中国（杭州、桐廬、重慶、武漢）

• 国外製造拠点: インド、ブラジル、イギリスにも製造施設を保有している。

2.6. エンティティリストとの照合

添付されたエンティティリスト（Supplement No. 4 to Part 744）を確認した結果、"Hangzhou Hikvision Digital Technology Co., Ltd." が記載されていることを確認した。

• 国: CHINA, PEOPLE'S REPUBLIC OF

• ライセンス要件: For all items subject to the EAR. (See §§ 734.9(e) and 744.11 of the EAR)4

• ライセンス審査方針: Case-by-case review for ECCNs 1A004.c, 1A004.d, 1A995, 1A999.a, 1D003, 2A983, 2D983, and 2E983, and for EAR99 items described in the Note to ECCN 1A995; case-by-case review for items necessary to detect, identify and treat infectious disease; and presumption of denial for all other items subject to the EAR.

• 根拠: 米国政府は、Hikvisionが中国の新疆ウイグル自治区における人権侵害、大規模な恣意的拘留、ハイテク技術を用いた監視活動に関与しているとして、同社をエンティティリストに追加した。

---

 

3. 結論・勧告

 

以上の調査結果から、Hikvisionは以下の重大なセキュリティリスクを内包していると判断する。

1. 中国政府・軍との密接な関係: 筆頭株主が国有企業であり、経営陣の多くが同系列の出身者であることから、中国政府の意向が経営に強く反映される可能性が高い。軍への製品供給実績もあり、製品が諜報活動や軍事目的に利用されるリスクは否定できない。

2. 製品の脆弱性とバックドアのリスク: 過去に複数の重大な脆弱性が指摘されており、今後も未知の脆弱性や意図的に埋め込まれたバックドアが存在する可能性は排除できない。

3. 人権侵害への関与: 新疆ウイグル自治区での大規模監視への関与が指摘されており、人権デューデリジェンスの観点からも問題がある。これは、組織のレピュテーションリスクに直結する。

4. 米国政府による制裁: 米国商務省のエンティティリストに掲載されており、米国由来の技術や製品の輸出が厳しく制限されている。これは、同社製品のサプライチェーンにおけるリスクや、国際的な信用度の低さを示している。

勧告: 以上の点を踏まえ、Hikvision社製品の新規導入は推奨しない。また、現在使用中の同社製品については、以下の対策を講じることを強く推奨する。

• 重要な情報資産を扱うネットワークからは完全に隔離する。

• ファームウェアを常に最新の状態に保ち、公開された脆弱性に迅速に対応する。

• 代替製品へのリプレース計画を早急に策定し、実行する。

本件に関するさらなる詳細な調査や、具体的な対策の立案については、別途指示を仰ぎたい。

以上