中国スマホで個人情報筒抜け

アプリだけでなくOSも…

中国スマホで個人情報筒抜け

以前から当サイトでは、繰り返し中国製アプリのセキュリティ上の懸念(正確には害悪)を警告してきた。中国製スマホで個人情報を勝手に送信で大騒ぎになっているのでご紹介。

『どこで、だれと、なにを』を盗み見

中国スマホで個人情報筒抜け

今回問題となっているのは、アメリカ向けに出荷されていたAndroid端末。ユーザの個人情報を中国本土に送信されていたというのだ。

安価なAndroidスマホから勝手に個人データ収集、中国のサーバに送信されていた – CNET Japan

これらの問題端末で現在わかっている取得・送信されていた個人情報は以下の一覧である。

  • 位置情報
  • 通話履歴
  • 連絡先情報
  • テキストメッセージ
  • モデル情報
  • デバイスの状態
  • アプリケーション情報

これら情報をテキストメッセージなどは72時間ごとに、ユーザ情報を24時間毎に上海のサーバに送信していたようだ。

`Made in China’ smartphones spy on users, researchers found | E&T Magazine

ただし、これらを含めて”その他”と表現しているので、他にもあるようだ。情報が送信のときに暗号化されているので、そういう意図で作られた可能性が高い。今回は発覚したためニュースになっているが、氷山の一角である。

毎回起きるこれらの問題は、中国当局・運営側、ユーザ三者にそれぞれ責任がある。

中国当局の情報収集義務

中国スマホで個人情報筒抜け

中国では、サービスやサイトを勝手に運営できない。法律上、所轄する当局に許可を得るように義務付けられている。いわゆるICPライセンス(Internet Content Provider)である。このライセンスを取り上げられると、中国国内向けに正式なサービス展開ができなくなるため、当局指導はとても強い。

習近平が台頭してから、企業団体はもちろん、個人を含む情報統制が強化されてきた。今年から施行されている実名制もその一環である。

中国サイバースペース監督当局のウェブサイトに28日掲載された新規定によると、アプリストアやアプリ提供業者は、ユーザーの身元確認が義務付けられるほか、投稿を監視し、禁止コンテンツを含んでいる場合は報告する必要がある。

中国、携帯アプリストアにユーザー監視を義務付け-米アップルも対象 – Bloomberg

このためQQやWeChatなどはSMSなどによる認証が必須になるなど変更がされてきた。以前(2010年当時)はメールアドレスすら不要であった。

企業側はこれに便乗し、マーケティングなどで企業活動に有用な情報もまとめて取得していたようだ。個人情報への取扱が希薄なのだ。

セキュリティを気にしないユーザ

一方、”被害者”のユーザにも責任がある。セキュリティに気をつけない人があまりにも多い。よく耳にするのが『見られても重要なものはない』と。個人情報だけであればいいが、それだけでは済まされない。

今回の問題では、おまけが付いている。以下のようなこともできる。

  • 権限を無視した情報収集
  • 外部から自由にプログラムを実行
  • ほかのプログラム書き換え

泥棒に勝手口を開けて待っている状態である。セキュリティ用語でバックドアと言うが、収集していた企業以外の”意図しない”人にも見られる可能性がある。以前に私が香港ショップから買った中国製スマホもバックドア付きであった。

香港系のスマホネットショップは罠だらけ

対策は?

中国スマホで個人情報筒抜け

ユーザができる対策は何か?大きく3つある。

1.中国ブランドスマホを使わない

Androidはメーカが機能の付け足しや削除ができる。これはAndroidのOS(基本ソフトウェア)が変更できるためだ。OSに細工されると普通のユーザは手も足も出ない。

比較的安全なのは、中国ブランドや中国に開発を丸投げしているメーカを使わないことだ。

2.海外製のセキュリティ対策ソフトを導入

海外で有名なセキュリティ対策ソフトを入れて、定期的にチェックすることだ。間違っても”Qihoo 360()”など入れてはいけない。このセキュリティ対策ソフト自体がウイルスだからである。

3.スマホの使い分け

ただ、そうは言ってもQQ、WeChat、百度地図など中国生活または中国人と関わると手放せないアプリもある。そこでおすすめするのが使い分けだ。

たとえば、私は以下のようにスマホを使い分けしている。

  • Android → QQ、WeChat、百度地図や身元不明アプリ
  • iPhone → Gmail、Facebook、Twitter、日本の金融関係アプリ(銀行や証券)

このように物理的に分けることで、見られたくないメールのやり取り、連絡先やパスワードを安全に守ることができる。Googleサービスであれば、電話による二段階認証を組み合わせるとさらに強固になる。

自分の身は自分でしか守れない。ぜひ、気をつけて欲しい。