北京冬季五輪の開催が迫る中、五輪に参加する選手、関係者及び観客にインストールが義務が付けられている健康管理アプリについて、ある研究グループにより、アプリにセキュリティ上の重大な欠陥あり、登録されたデータが流出する恐れがあることが分かりました。アプリには、個人の健康状態に関する情報のほか、パスポート情報なども登録する必要があります。
北京五輪に参加する選手、関係者らは、当局により入国する前に健康管理アプリのインストールが義務付けられており、パスポート情報、体温、呼吸器系の異変、服用している薬などの個人情報の登録が要求されます。
しかし、カナダ・トロント大学のセキュリティー研究所・シチズンラボが1月18日に発表した報告書によると、このアプリには重大なセキュリティ上の脆弱性が存在するとし、ユーザーはハッキングやサイバー攻撃にさらされやすく、ユーザーの個人情報を窃取される恐れがあると指摘しています。
問題の健康管理アプリ「My 2022(マイ2022)」は、国有企業の北京ファイナンシャル・ホールディングス・グループ(北京金融控股集団有限公司、Beijing Financial Holdings Group)が提供しています。
データセキュリティの専門家が、ハッキングの潜在的なリスクについて説明しました。
サイバーセキュリティ・プライバシーアドバイザー レックス・リー氏
「アプリついて、人々が理解していないことが1つありますが、このアプリであれ、Googleが開発したアプリであれ、アプリは基本的に合法的な「マルウェア」なのです。アプリ開発者は365日24時間、エンドユーザーを監視することが可能です」
リー氏によると、一部のアプリでは、ソフトウェアの開発者がユーザーの個人情報を収集することができるといいます。
サイバーセキュリティ・プライバシーアドバイザー レックス・リー氏
「つまり、アプリ開発者が収集できるメールに銀行の明細書を添付していた場合、アプリ開発者がハッキングされたときに、そのメールには銀行情報や医療情報、社会保障情報、パスワードなどの情報が含まれている可能性があります」
中国製アプリが添付書類を収集できるかどうかは不明です。北京オリンピック組織委員会は今のところ、セキュリティ上の懸念を否定しています。
シチズンラボは、セキュリティ上の問題に加えて、ユーザーが他のユーザーのメッセージ、特にいわゆる「政治的に敏感」とみなされるキーワードを発見した場合、通報することができる機能があると指摘しています。
通報後、アプリ開発者によりメッセージが削除される可能性があります。またシチズンラボにより、アプリ内に2千以上の「政治的に敏感な」キーワードを検閲する機能が搭載されていることが発覚しました。
キーワードリストと検閲機能は現在、作動していないものの、アプリ開発者はいつでも作動させることができます。
検閲の対象とされるキーワードの中には、中共の総書記・習近平の名前、1989年の天安門事件、20年以上にわたり行われている残酷な迫害の対象となっている中国の伝統的な修煉法・法輪功などが含まれています。
