Engadget Logo エンガジェット日本版 北京五輪の必須アプリにセキュリティ上の欠陥。中国政府もIOCも対応せず
まもなく開催される北京冬季オリンピックで参加者全員が使用を義務づけられているというモバイルアプリに、個人情報が漏えいする恐れがある脆弱性が見つかったと報告されています。
このアプリ「My2022」は競技に出場する選手のほか、観客やメディア関係者を含めて「北京冬季五輪に参加する人」すべてに使うことが義務づけられているもの。参加者らは中国に出発する14日前にアプリをダウンロードし、毎日の健康状態のモニタリングとアプリを通じた結果を(中国当局に)提出しなければなりません。
本アプリの解析を行ったのは、カナダ・トロント大学のセキュリティ研究所のCitizen Labです。同組織はスパイウェア「Pegasus」に感染したスマートフォンを特定する際にも、重要な役割を果たしたことが知られています。
Citizen Labによれば「My2022」はパスポートの詳細や医療データ、旅行履歴などの個人情報を集めるものの、セキュリティ上の脆弱性が2つあり、これらの情報が流出する可能性があるとのことです。
まず1つ目はSSL証明書の検証に失敗し、機密性の高い暗号化データの送受信ができない脆弱性です。すなわち「攻撃者がアプリとサーバ間の通信を妨害することで、信頼できるサーバになりすますこと」が可能であり、悪意あるホストに接続させて個人情報を傍受できるほか、偽装コンテンツをアプリに表示できると説明されています。
第二の脆弱性は、一部の機密データがSSL暗号化やセキュリティが全く確保していない状態で送信されていること。その中にはメッセージの送信者と受信者の名前、ユーザーアカウントの識別子など、メッセージに関連する機密性の高いメタデータが含まれている、と述べられています。
つまり機密にすべき情報が平文で送られるため、Wi-Fiホットスポットの運営者やインターネットサービスプロバイダなど、経路上にいるあらゆる人たちが盗聴しほうだいというわけです。これら2つの脆弱性は、iOSとAndroid版の両方に存在していると見られています。
昨年(2021年)12月3日、Citizen Labはこれらの問題をオリンピック・パラリンピック冬季大会の北京組織委員会に提示したとのこと。しかし期限とした1月18日までに回答がひとつもなかったため、一般公開に踏み切ったと明かされています。また17日の時点でiOS版のバージョン2.05がリリースされたため分析したところ、報告した問題は修正されていなかったそうです。
さらに米Reutersによると、国際オリンピック委員会(IOC)はアプリに関する第三者評価をすでに実施しており、「重大な脆弱性」は見つからなかったとコメント。それに加えて「スマートフォンに『My2022』をインストールすることは義務付けられていない」との声明を出したとのことです。
これらの報道をまとめると、記事執筆時点では中国当局は個人情報が漏えいする穴を塞ぐつもりはなさそうです。またIOCも中国政府に対応を要請する考えはなく、万が一何かがあっても「My2022の使用は自己責任で」という姿勢を貫くつもりかもしれません。
英BBCは、北京オリンピック参加者はプリペイド式のスマートフォンを持ち込み、中国滞在時にだけ使うメールアカウントを作った方がいいとのサイバーセキュリティ企業のコメントを紹介しています。もしも選手として、あるいは報道その他関係者として参加する場合は、こうした参考にすべき対策を洗い出しておくほう良いかもしれません。
Source:Citizen Lab
あなたのプライバシー設定では、このコンテンツをご利用できません。こちらで設定を変更してくださいあなたのプライバシー設定では、このコンテンツをご利用できません。こちらで設定を変更してくださいあなたのプライバシー設定では、このコンテンツをご利用できません。こちらで設定を変更してくださいあなたのプライバシー設定では、このコンテンツをご利用できません。こちらで設定を変更してください