北京五輪のアプリ「MY2022」に深刻なプライバシー侵害の問題が発見されたとするレポートをトロント大学のCitizen Labが公表した。これを受け、国際オリンピック委員会(IOC)は同アプリを擁護している。
提供:Citizen Lab
北京冬季五輪の参加者は、全員がこのアプリをダウンロードして使用する必要がある。Citizen Labは米国時間1月18日、MY2022を分析したレポートを発表し、同アプリにはユーザーの音声や転送ファイルを保護する暗号化の仕組みを「簡単に迂回」できる「単純だが致命的な脆弱性」が存在すると指摘した。
レポートによれば、そのほかにも税関で提出する健康申告書類に記載されているパスポート情報、人口統計学的情報、病歴や旅行歴の情報が漏えいする可能性がある。また、サーバーの応答を偽装することで、攻撃者がユーザーに偽造された指示を表示することもできるという。
さらにMY2022には、「政治的に慎重な対応が求められる」コンテンツをユーザーが通報できる機能があるほか、新疆やチベットなどの話題に関するキーワードを含む、検閲用キーワードリストも用意されていた。
レポートでは、このアプリがGoogleの「望ましくないソフトウェアのポリシー」、AppleのApp Storeガイドライン、中国のプライバシー保護に関する法律や国家基準に違反している可能性があると述べている。GoogleとAppleはこの問題に関する取材に回答していない。
このレポートは、多方面で激しい怒りを引き起こした。これは、選手が自国を代表して競技に参加しようとすれば、このアプリをダウンロードするしかないためだ。
IOCは、米ZDNetの取材に対するコメントでこのアプリを擁護し、Citizen Labが指摘した問題は重大なものではないと主張した。
IOCの広報担当者は、新型コロナウイルスの感染が拡大する中、「北京2022冬季五輪・パラリンピックの参加者および中国国民を守るため」に「特別な措置」を講じる必要があると述べ、アプリのセキュリティホールを正当化した。
IOCは、「そのためにクローズドループ管理システムが導入された。(中略)『My2022』アプリは健康状態を監視する機能を備えており、クローズドループ環境内の競技関係者の安全を確保するように設計されている」と述べている。
またIOCは、MY2022は「Google Play」ストアと「App Store」の承認を得ていると主張してこのアプリを擁護した。
IOCは、「ユーザーは、My2022アプリが自分のデバイスでアクセスできるものをコントロールできる。アプリのインストール中、あるいはその後にいつでも設定を変更できる。認可された者は、代わりにウェブページの健康監視システムにログオンできるため、My2022を携帯電話にインストールすることは強制されない」と主張している。
「IOCは、このアプリに対して、独立した2つのサイバーセキュリティ検査機関による第三者評価を行った。評価のレポートでは、致命的な脆弱性が存在しないことが確認されている」とIOCは述べている。
トロント大学マンク国際問題・公共政策研究所でCitizen Labのディレクターを務めるRon Deibert氏は、米ZDNetの取材に対し、IOCのコメントは、Citizen Labが発見、報告した深刻なセキュリティ上の脆弱性を解決するものではないと述べた。
この脆弱性について最初に報じたのはDWだった。その後、多くの報道機関は、米国などが市民に対し、五輪中や帰国後に中国政府からハッキングや監視を受ける恐れがあるとして、個人所有のスマートフォンを五輪に持って行かないよう呼びかけていると報じている。またオランダのオリンピック委員会も、市民が北京五輪に所有するデバイスを持ち込まないよう勧告したと報じられている。
また、一部の専門家は、この脆弱性が悪質なハッカーが個人情報を盗む手段を与える恐れがあると指摘している。北京五輪の組織委員会はUSA TODAYに対し、北京五輪で収集される個人情報は、「公開が必須の場合以外公開されることはない」と述べた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。