2022年9月28日(水)

デジタル時代の経営・安全保障学

2022年2月1日

»著者プロフィール
著者
閉じる

山崎文明 (やまさき・ふみあき)

情報安全保障研究所首席研究員

明治大学サイバー研究所客員研究員。元会津大学特任教授。1978年、神戸大学海事科学部卒業。損害保険会社を経て大手外資系会計監査法人でシステム監査に長年従事。システム監査、情報セキュリティー、個人情報保護に関する専門家として、政府関連委員会委員を歴任。

 カナダにあるトロント大学「シチズン・ラボ(Citizen Lab)」が1月18日に北京五輪に参加する全てのアスリートやメディア、観客などに使用が義務付けられている健康管理アプリ「My2022」にセキュリティ上の欠陥があり、使用者の個人情報が流出する恐れがあると警告を発した。このアプリの分析結果から、中国の「監視社会」の実像が見てとれる。

北京五輪の出場選手やメディア関係者、観客らに使用を義務付けている健康管理アプリ「My2022」(筆者提供、以下同)

あらゆる個人情報を集める健康管理アプリ

 「シチズン・ラボ」はインターネットが人権に与える影響について調査しており、最近では、中国企業バイトダンス(ByteDance)が運営するTickTokの危険性などを指摘している研究機関である。その「シチズン・ラボ」が、中国製アプリの監視機能に警鐘を鳴らしている。

 「My2022」は、2022年北京オリンピック組織委員会が開発し、北京金融ホールディングスグループと呼ばれる中国国営企業によって運営、管理されているアプリだ。

 北京五輪に参加する者は、中国へ出発する14日前に「My2022」をダウンロードし、毎日の健康状態を入力しなければならない。また、アプリの利用開始にあたっては、国内利用者の場合は、名前、国民識別番号、電話番号、電子メールアドレス、顔写真、勤務先などの登録が必要だ。海外利用者の場合は、国内利用者の登録情報に加えパスポート番号、発行日、有効期限が必要になる。また、渡航履歴や病歴、新型コロナウイルス(COVID-19)ワクチンの接種状態、PCR検査結果などが必要だ。

 これだけでも十分すぎるほどの個人情報だが、このアプリは非常に多目的に開発されており、リアルタイムチャット、音声オーディオチャット、ファイル転送、オリンピックに関するニュース配信、天気予報、観光案内、GPSナビゲーションなどさまざまな機能を実装している。

意図的な脆弱性か?

 「シチズン・ラボ」が今回指摘した内容は、データ送信の脆弱性だ。

 送信にあたっては、送信先サーバーが真正のものかどうかをサーバーに記録されたSSL証明書を確認するというのがインターネットで通信する場合の原則だ。SSLは、暗号化とデジタル署名を使用してスマートフォンなどの端末とサーバー間での送信の読み取りや改竄を防ぐことができる技術だが、「My2022」を分析した結果、SSL証明書の検証に失敗していることがわかった。

新着記事

»もっと見る