北京五輪アプリにセキュリティ上の問題、トロント大が指摘--IOCは「重大ではない」と主張

Jonathan Greig (Special to ZDNET.com) 翻訳校正: 編集部

2022-01-19 14:49

 北京五輪のアプリ「MY2022」に深刻なプライバシー侵害の問題が発見されたとするレポートをトロント大学のCitizen Labが公表した。これを受け、国際オリンピック委員会(IOC)は同アプリを擁護している。

IOC disputes Citizen Lab's security concerns about Chinese Olympics app
提供:Citizen Lab

 北京冬季五輪の参加者は、全員がこのアプリをダウンロードして使用する必要がある。Citizen Labは米国時間1月18日、MY2022を分析したレポートを発表し、同アプリにはユーザーの音声や転送ファイルを保護する暗号化の仕組みを「簡単に迂回」できる「単純だが致命的な脆弱性」が存在すると指摘した。

 レポートによれば、そのほかにも税関で提出する健康申告書類に記載されているパスポート情報、人口統計学的情報、病歴や旅行歴の情報が漏えいする可能性がある。また、サーバーの応答を偽装することで、攻撃者がユーザーに偽造された指示を表示することもできるという。

 さらにMY2022には、「政治的に慎重な対応が求められる」コンテンツをユーザーが通報できる機能があるほか、新疆やチベットなどの話題に関するキーワードを含む、検閲用キーワードリストも用意されていた。

 レポートでは、このアプリがGoogleの「望ましくないソフトウェアのポリシー」、AppleのApp Storeガイドライン、中国のプライバシー保護に関する法律や国家基準に違反している可能性があると述べている。GoogleとAppleはこの問題に関する取材に回答していない。

 このレポートは、多方面で激しい怒りを引き起こした。これは、選手が自国を代表して競技に参加しようとすれば、このアプリをダウンロードするしかないためだ。

 IOCは、米ZDNetの取材に対するコメントでこのアプリを擁護し、Citizen Labが指摘した問題は重大なものではないと主張した。

 IOCの広報担当者は、新型コロナウイルスの感染が拡大する中、「北京2022冬季五輪・パラリンピックの参加者および中国国民を守るため」に「特別な措置」を講じる必要があると述べ、アプリのセキュリティホールを正当化した。

 IOCは、「そのためにクローズドループ管理システムが導入された。(中略)『My2022』アプリは健康状態を監視する機能を備えており、クローズドループ環境内の競技関係者の安全を確保するように設計されている」と述べている。

 またIOCは、MY2022は「Google Play」ストアと「App Store」の承認を得ていると主張してこのアプリを擁護した。

 IOCは、「ユーザーは、My2022アプリが自分のデバイスでアクセスできるものをコントロールできる。アプリのインストール中、あるいはその後にいつでも設定を変更できる。認可された者は、代わりにウェブページの健康監視システムにログオンできるため、My2022を携帯電話にインストールすることは強制されない」と主張している。

 「IOCは、このアプリに対して、独立した2つのサイバーセキュリティ検査機関による第三者評価を行った。評価のレポートでは、致命的な脆弱性が存在しないことが確認されている」とIOCは述べている。

 トロント大学マンク国際問題・公共政策研究所でCitizen Labのディレクターを務めるRon Deibert氏は、米ZDNetの取材に対し、IOCのコメントは、Citizen Labが発見、報告した深刻なセキュリティ上の脆弱性を解決するものではないと述べた。

 この脆弱性について最初に報じたのはDWだった。その後、多くの報道機関は、米国などが市民に対し、五輪中や帰国後に中国政府からハッキングや監視を受ける恐れがあるとして、個人所有のスマートフォンを五輪に持って行かないよう呼びかけていると報じている。またオランダのオリンピック委員会も、市民が北京五輪に所有するデバイスを持ち込まないよう勧告したと報じられている。

 また、一部の専門家は、この脆弱性が悪質なハッカーが個人情報を盗む手段を与える恐れがあると指摘している。北京五輪の組織委員会はUSA TODAYに対し、北京五輪で収集される個人情報は、「公開が必須の場合以外公開されることはない」と述べた。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]