人権問題やコロナでゆれる北京オリンピックで、新しい問題が発見された。来月4日に開催される北京五輪で、参加者全員に対してインストールが義務づけられている健康管理アプリ「MY2022」に、機密情報へのハッキングが容易に可能になるようなセキュリティー上の欠陥があることが、カナダのセキュリティ研究者の分析により判明した。
観客、報道関係者、選手などに対してインストールが義務づけられているMY2022は、オリンピック選手らの新型コロナウイルスワクチン接種情報などの収集を目的に、北京金融控股集団(Beijing Financial Holdings Group)という中国の国有企業が開発したアプリである。英語、フランス語、ドイツ語、日本語、ポルトガル語、ロシア語、中国語、スペイン語の7カ国語に対応している。
中国当局は、大会期間中の新型コロナウイルス(中共ウイルス、SARS-CoV-2)の蔓延防止のため、観客、報道関係者、選手などが必ずインストールしなければならないアプリとなっており、オリンピック期間である2月4日から20日までだけでなく、中国に出発する14日前までにインストールしておかねばならない。アプリにはパスポート情報、属性情報、渡航歴、病歴などの情報を登録しておくだけでなく、毎日の健康状態のモニタリングにも使われる。中国国内の利用者の場合は雇用情報などさらに詳細な個人情報も収集するようになっていた。
「My2022」にはセキュリティ上の問題がある
このアプリについて、トロント大学の学際的研究機関であるシチズンラボ は1月18日「MY2022北京五輪の健康管理アプリ『MY2022』には、ユーザーの音声やファイル転送を保護する暗号化が簡単に回避されてしまうという、単純ながら致命的な欠陥があります」と発表した。
指摘されていた問題は大きく4点 ある。
1、脆弱性によるデータ漏洩などの危険
レポートによると、MY2022のセキュリティ上の欠陥は2つあ る。そのうちの1つは、アプリがSSL証明書の検証を行っていないため、機密性の高い暗号化データの送信先を検証できないという脆弱(ぜいじゃく)性であるSSLを使用すると、端末がサーバーに接続して送信するデータのプライバシーを保護し、通信内容が読み取られたり改ざんされたりしないようにできる。MY2022がこの機能を有していないということは、第三者がアプリとサーバーとの通信を妨害して信頼済みのサーバーになりすますことで、パスポート情報や医療情報を盗んだり、ターゲットに偽の指示を送ったりすることが可能になることを意味する。
もう1つの欠陥は、MY2022が一部の機密データを暗号で保護せずに送信するという点である。暗号化されていないデータには、メッセージの送信者と受信者の名前、ユーザーアカウントの識別子などプライバシー性の高いデータが含まれており、安全性の低い無線LANに接続している人やインターネットのプロバイダなどによって容易に盗み取ることができる状態になる。
2、情報の共有範囲が明確ではない
収集した情報の共有範囲を明確にしていない。このアプリはパスポートや健康情報などの機密性の高い個人情報を扱っているが、それがどこまでの範囲で共有、利用されるのかが明確ではない。アプリストアでは明示されているものの、公式Olympic Games Playbookでは、北京2022組織委員会、中国当局(中国国民政府、地方当局、その他の健康・安全を担当する当局機関など)、国際オリンピック委員会、国際パラリンピック委員会、およびコロナ対策の実施に関与する団体などとなっており、さらにMY2022自体のプライバシーポリシーにはデータの共有範囲が明示されておらず、利用者の同意なしに個人情報が開示される可能性も示唆されていた。
3、検閲用のキーワードの存在
アプリには検閲用のキーワードリストが含まれており、新疆ウイグル自治区やチベットなどの問題や中国政府機関など、さまざまな言葉が対象となっていた。 MY2022のAndroid版には、中国で政治的とされるキーワード2442個のリスト「illegalwords.txt」も付随していた。キーワードのほとんどは簡体字中国語で、残りは繁体字中国語、チベット語、ウイグル語、英語だったとのこと。キーワードには中国の国家主席である習近平氏の名前である「习近平」や、「中国共産党は悪」という意味の「中共邪恶」、六四天安門事件を示す複数の単語などのほか、犯罪やポルノ、宗教に関する用語が列記されていた。
モバイルアプリのセキュリティ分析に幅広い専門知識を持つシチズンラボは、現在のバージョンのMy2022プログラムが、この敏感な言葉のリストを検閲のために積極的に使用しているという兆候はないと述べた。しかし、研究者は、「illegalwords.txtファイルが現在使われていなくても、『My2022』プログラムにはこのファイルを読み込んで検閲に利用するコード機能が残っており、このリストの検閲を簡単に作動させることができることを意味する。つまり、このリストのレビュー機能を有効にすることは、簡単なことかもしれない」」と述べた。
4、ガイドライン違反、法令違反
これらの問題は、アンドロイドやiOSのアプリストアのガイドラインに違反しており、中国の法律にも違反している可能性があった。そのため、修正しないとガイドライン違反でアプリストアから削除されるなどの問題が起こる危険があるので、修正される可能性が高い。
北京オリンピック組織委員会からの返答はなかった
ドイチェ・ヴェレは、シチズンラボが2021年12月初旬に、セキュリティ上の懸念を報告するための国際的な慣例であり、2022年北京冬季オリンピック組織委員会に調査結果を密かに送付したと指摘した。シチズンラボは調査結果を一般に公開する前に、45日以内に安全上の問題を修正するよう北京オリンピック組織委員会に要請していた。しかし、北京オリンピック組織委員会はこれに応じなかった。さらに、AppleやGoogleのアプリショップで何度かアップデート版がリリースされていた。
(翻訳・藍彧)