カナダにあるトロント大学「シチズン・ラボ(Citizen Lab)」が1月18日に北京五輪に参加する全てのアスリートやメディア、観客などに使用が義務付けられている健康管理アプリ「My2022」にセキュリティ上の欠陥があり、使用者の個人情報が流出する恐れがあると警告を発した。このアプリの分析結果から、中国の「監視社会」の実像が見てとれる。
あらゆる個人情報を集める健康管理アプリ
「シチズン・ラボ」はインターネットが人権に与える影響について調査しており、最近では、中国企業バイトダンス(ByteDance)が運営するTickTokの危険性などを指摘している研究機関である。その「シチズン・ラボ」が、中国製アプリの監視機能に警鐘を鳴らしている。
「My2022」は、2022年北京オリンピック組織委員会が開発し、北京金融ホールディングスグループと呼ばれる中国国営企業によって運営、管理されているアプリだ。
北京五輪に参加する者は、中国へ出発する14日前に「My2022」をダウンロードし、毎日の健康状態を入力しなければならない。また、アプリの利用開始にあたっては、国内利用者の場合は、名前、国民識別番号、電話番号、電子メールアドレス、顔写真、勤務先などの登録が必要だ。海外利用者の場合は、国内利用者の登録情報に加えパスポート番号、発行日、有効期限が必要になる。また、渡航履歴や病歴、新型コロナウイルス(COVID-19)ワクチンの接種状態、PCR検査結果などが必要だ。
これだけでも十分すぎるほどの個人情報だが、このアプリは非常に多目的に開発されており、リアルタイムチャット、音声オーディオチャット、ファイル転送、オリンピックに関するニュース配信、天気予報、観光案内、GPSナビゲーションなどさまざまな機能を実装している。
意図的な脆弱性か?
「シチズン・ラボ」が今回指摘した内容は、データ送信の脆弱性だ。
送信にあたっては、送信先サーバーが真正のものかどうかをサーバーに記録されたSSL証明書を確認するというのがインターネットで通信する場合の原則だ。SSLは、暗号化とデジタル署名を使用してスマートフォンなどの端末とサーバー間での送信の読み取りや改竄を防ぐことができる技術だが、「My2022」を分析した結果、SSL証明書の検証に失敗していることがわかった。
この検証の失敗は、アプリが信頼できるサーバーだと信じながら悪意のあるサーバーに接続するように、だまされる可能性がある事を意味している。また、「My2022」は、SSLでの暗号化をしないまま送信していることも分かったとしている。
送信データには、送信者の名前やユーザーアカウント識別子などが含まれているため、WiFiアクセスポイントにアクセスすると、そのアクセスポイントの範囲内にいる人は勿論のこと、インターネットサービスプロバイダー、電気通信事業者などあらゆる場面での盗聴が可能だ。
これらの指摘は勿論重要な事ではあるが、そもそも「My2022」の運用者が国営企業であることを考えると、情報は全て丸裸状態で収集されているため、あえてアプリ側のプログラムでSSL証明書の検証を回避したり、暗号化をしなかったりする必要はないはずだ。したがって、これらは、単なるプログラムミスだと思われる。
アプリに組み込まれた検閲機能
通信機能の脆弱性以上に興味深いのは、「My2022」に組み込まれている検閲機能だ。「My2022」のAndroidバージョンからは「illegalwords.txt」という名前がつけられたファイルが見つかっている。このファイルには2442個のキーワードが含まれている。
2442個のキーワードはほとんどが簡体字中国語で、一部はチベット語、ウイグル語、繁体字中国語、そして英語で記録されている。例えば、「习近平」(習近平)、「中共邪恶」(中国共産党は邪悪)、チベット語には「གོང་ས་མཆོག་」(法皇)、「ཏྰ་ལའི་བླ་མ」(ダライラマ)などである。通常、中国では、これらの検閲に使用されている言葉は機密事項とされているのだが、それが平文のファイルで記録されていたことは驚きだ。
「シチズン・ラボ」の分析では、今のところ「My2022」が、この検閲を実行した形跡は見つかっていないが、意図的に非アクティブ(実行)にされているのかどうかは、わからないとしている。おそらくSSL証明書の検証失敗と同じく、プログラムミスではないかと思われるが、国際オリンピック委員会(IOC)からの圧力ではないかとの見方も出ているようだ。
いずれにしても中国政府のインターネット検閲の実態が、垣間見えるアプリではないだろうか。
「シチズン・ラボ」の報告では、今回の調査結果は驚くべきものではないとしている。中国で動作するアプリや中国企業によって開発されたアプリには、ビデオ会議や銀行のアプリまで、本人の同意なしに機密性の高い個人情報を過度に収集することが、過去の研究からわかっていると指摘している。
中国で開発されたビデオ会議システムのZoomやアリババが開発したモバイルブラウザのUCブラウザーなどでも同様の機能が見つかっているし、政治的に敏感な表現について政府に報告する「My2022」の機能は、他の中国アプリでは一般的であるとまで言い切っている。
中国政府のIT戦略
こうした中国の情報収集の手法に敏感に反応したのが、米国政府である。
情報機器、例えばPCやサーバー、通信機器は、ハードウェアととらえられているが、いずれの装置も動作を実現しているのはソフトウェアである。中国製品には、これらのソフトウェアに、「バックドア」と呼ばれる遠隔操作をも可能とする機能や、データを利用者が意図しないサーバーへ転送する機能が組み込まれているのだ。
実際に「バックドア」はたびたび発見されており、想像の産物ではないことがはっきりしている。「バックドア」の脅威は、米国だけの問題ではない。すでに日本国内でも「バックドア」が組み込まれた中国製機器が発見されている。
過去には、公益財団法人核物質管理センターが台湾から調達した中国製NAS(Network Attached Storage)と呼ばれるファイルサーバーから「バックドア」が検出されている。同財団が公表した調査報告書(2016年5月12日)によると、検出された「バックドア」はファイル共有型ソフトウェアで、中国国内のサーバーにデータ転送していたことが判明している。同財団では、今までネットワークの監視を行なってこなかったが、新たに監視を開始したことで、意図しない中国国内との通信が発見されたのだ。
ネットワークの監視は、通常ルーターと呼ばれるインターネットの通信装置の内側に監視装置が設置される。NASはもちろんのこと、すべてのIT機器は、この監視装置のさらに内側に設置されるため、外部との通信はすべて監視対象にすることができる。一方、ルーターは監視対象とならないため、ルーターに「バックドア」が仕掛けられた場合、本来の宛先以外に、すべての通信データが複製され、意図しない宛先に送信されていても気づくことは困難だ。
そうした事情から米国政府はすでに政府システムから中国製ルーターなどの通信装置やIT機器を排除する政策をとっているが、日本では未だに中国製の通信機器やWiFiルーターなどが使用されているのが実態だ。
一方の中国政府は、インターネットの盗聴を避けるため、すでにインターネットの基幹ネットワークを構成する通信装置すべてを国産製品に切り換える作業を12年に終えている。また、15年には、中国国内の金融機関に対しては、米国製サーバーの使用を禁止したり、金融システムのプログラムのソースコードの開示請求や暗号鍵の提出を求めたりするなど、バックドア対策が徹底的に行われている。
経済安全保障を中途半端に終わらせるな
「バックドア」の検出は、現時点で使用されているセキュリティソフトウェアなどの機能では検出不可能であり、一企業が対処できる課題でもない。国策として検出技術を確立し、食物検疫と同様に水際で排除するなど、政府が本気で取り組む必要がある課題である。それができなければ、米国のように中国製品を名指しして、輸入を禁止するしか方法はない。
日本もようやくこの危機に目覚め経済安全保障に取り組みはじめたが、中国に情報や技術が流出するのを防ぐため、輸入規制を強化したり対米投資の審査を厳しくした国防権限法を定めている米国のように、中国製品を名指しで排除できる法律は、日本には未だ存在しない。
- WEDGE Infinity
- 月刊誌「Wedge」のウェブ版
