山谷剛史の「中国ビジネス四方山話」

iOSやAndroidのセキュリティを脅かす中国発SDKの謎

山谷剛史

2015-11-10 06:00

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 中国におけるiOSとAndroidアプリ開発ツール(SDK)に、立て続けにセキュリティ問題が発覚した。9月には、iOS向け開発ツール「Xcode」を改ざんしたツール「XcodeGhost」がみつかり、XcodeGhostにより開発されたiOSアプリにマルウェアが混入し、App Storeで流通してしまったことが発覚した。また、11月には、中国を代表するサイト「百度(Baidu)」が提供するAndroid向け開発ツール「Moplus」にバックドア機能がついていることが発覚、発見したトレンドマイクロによると、「Moplus SDK は非常に多くの Androidアプリに取り入れられているため、1億人の Androidユーザが影響を受けたことになる」としている(プレスリリース)。

 トレンドマイクロのリリースを引用すると、「Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに『フィッシングサイトへの誘導』『任意の連絡先の追加』『偽のショート・メッセージ・サービス(SMS)送信』『リモートサーバへのローカルファイルのアップロード』『アプリをAndroid端末にインストール』を実行する恐れがある」としている。

 日本ではshimejiをリリースしている百度日本は、これに対して、「当社(Baidu日本法人)が日本にてみなさまに提供している「Simeji」には本SDKは使用されておりません」と発表している。

 とはいえ、一度ならず二度も、OSを問わず、中国で流通する開発ツール(XcodeGhostは、アプリ開発者が百度のファイル共有サービスから改ざんツールをダウンロードしたことによるものと報告されている)レベルからセキュリティ問題があり、多くの中国製ツールがこれら開発ツールを活用していることが発覚すると、これは中国ベンダーによるアプリの信頼性を疑わざるを得ない。せっかく「微信(Wechat)」などを筆頭に、中国ベンダー製アプリが中国国外へ普及しようとしている中で、アプリの信頼に傷がつき、中国製アプリを警戒して普及がストップするかもしれないとすら、危惧したくなる。

 XcodeGhostの顛末は、「趣味で実験的にばらまいた。当該ソフトは消した。反省している」とプログラマーが自首したことで、誰がなぜやったかという犯人探しは終了した(だがXcodeGhostの強化版「XcodeGhost S」が登場している)。だが例えば、中国産の冷凍餃子に毒物が入っていた事件でも、当時のアルバイト(臨時工)が犯人だという結論になったように、中国では弱い立場の人を犯人に仕立てて社会的な事件を収束させることがよくあり、中国人は日々のニュースを見てよく知っている。これを詮索するのは無駄だしリスクを伴うことも彼らは知っている。正直なところXcodeGhostの真犯人もわからない。百度で犯人が自首しても、日々の商習慣に照らし合わせれば、それが真犯人かどうかも闇の中だ。

 中国は、「サイバー万里の長城(Great Fire Wall:GFW)」により、海外の情報をシャットアウトする術をもっている。またあらゆる中国ネットユーザーを監視すべく、あらゆるサービスに実名を辿れるIDを登録させることにより、著名ネットサービスでの実名制を実現している。かつては全てのPCを監視するべく「グリーンダム」というソフトをインストールさせようともした。億単位のスマートフォンにマルウェアがインストールされれば、かつてグリーンダムが目指したことができるだろう。2014年より中国人の間で、海外旅行がより身近になった感があるが、中国人がサイバー万里の長城の外に出ても、マルウェアに感染していれば、より様々な監視やコントロールが可能になる。幸か不幸か、多くの中国人は海外旅行に行ってもスマホで中国のサービスにばかりアクセスし、外国のサービス利用に無関心だ。

 検閲を受け入れず中国から撤退したGoogleを横目に、検閲を受け入れ中国屈指の企業に成長した百度がリリースした、中国産マルウェア入りアプリ開発ツールは「国内はもちろん海外に出た中国人をも掌握の対象にしたいがために作らされた」と疑われても仕方がない。もしそうだとすれば、中国産アプリの海外進出を犠牲にしても、インターネット上の中国の「和諧(平和)」を再優先しているわけで、今後もこれに続く、中国人のスマートフォンをコントロールする何かが登場してもおかしくない。

山谷剛史(やまやたけし)
フリーランスライター
2002年より中国雲南省昆明市を拠点に活動。中国、インド、アセアンのITや消費トレンドをIT系メディア・経済系メディア・トレンド誌などに執筆。メディア出演、講演も行う。著書に「日本人が知らない中国ネットトレンド2014 」「新しい中国人 ネットで団結する若者たち 」など。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

関連記事

関連キーワード
アジアのIT

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」
  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策
  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ
  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート
  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

投票する

投票にはCNET_IDの登録・ログインが必要です

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]