2024年12月22日(日)

デジタル時代の経営・安全保障学

2022年2月1日

 カナダにあるトロント大学「シチズン・ラボ(Citizen Lab)」が1月18日に北京五輪に参加する全てのアスリートやメディア、観客などに使用が義務付けられている健康管理アプリ「My2022」にセキュリティ上の欠陥があり、使用者の個人情報が流出する恐れがあると警告を発した。このアプリの分析結果から、中国の「監視社会」の実像が見てとれる。

北京五輪の出場選手やメディア関係者、観客らに使用を義務付けている健康管理アプリ「My2022」(筆者提供、以下同)

あらゆる個人情報を集める健康管理アプリ

 「シチズン・ラボ」はインターネットが人権に与える影響について調査しており、最近では、中国企業バイトダンス(ByteDance)が運営するTickTokの危険性などを指摘している研究機関である。その「シチズン・ラボ」が、中国製アプリの監視機能に警鐘を鳴らしている。

 「My2022」は、2022年北京オリンピック組織委員会が開発し、北京金融ホールディングスグループと呼ばれる中国国営企業によって運営、管理されているアプリだ。

 北京五輪に参加する者は、中国へ出発する14日前に「My2022」をダウンロードし、毎日の健康状態を入力しなければならない。また、アプリの利用開始にあたっては、国内利用者の場合は、名前、国民識別番号、電話番号、電子メールアドレス、顔写真、勤務先などの登録が必要だ。海外利用者の場合は、国内利用者の登録情報に加えパスポート番号、発行日、有効期限が必要になる。また、渡航履歴や病歴、新型コロナウイルス(COVID-19)ワクチンの接種状態、PCR検査結果などが必要だ。

 これだけでも十分すぎるほどの個人情報だが、このアプリは非常に多目的に開発されており、リアルタイムチャット、音声オーディオチャット、ファイル転送、オリンピックに関するニュース配信、天気予報、観光案内、GPSナビゲーションなどさまざまな機能を実装している。

意図的な脆弱性か?

 「シチズン・ラボ」が今回指摘した内容は、データ送信の脆弱性だ。

 送信にあたっては、送信先サーバーが真正のものかどうかをサーバーに記録されたSSL証明書を確認するというのがインターネットで通信する場合の原則だ。SSLは、暗号化とデジタル署名を使用してスマートフォンなどの端末とサーバー間での送信の読み取りや改竄を防ぐことができる技術だが、「My2022」を分析した結果、SSL証明書の検証に失敗していることがわかった。


新着記事

»もっと見る