北京五輪のアプリに、個人情報漏洩、検閲キーワードなど、深刻な問題が見つかった

＜北京オリンピックで関係者および観客に対してインストールが義務づけられているアプリ「MY2022」に個人情報漏洩のリスクと技術的な脆弱性が見つかった＞

人権問題やコロナでゆれる北京オリンピックで、新しい問題が発見された。北京オリンピックで関係者および観客に対してインストールが義務づけられているアプリ「MY2022」に個人情報漏洩のリスクと技術的な脆弱性があった。サイバー空間での人権についての調査研究を行っているカナダトロントのシチズンラボがレポートを公開した。すでに中国当局にも連絡済みだが返事はなかったという。

観客、報道関係者、選手などが必ずインストールしなければならない

問題のアプリ「MY2022 Olympics app」は、北京オリンピック組織委員会が開発したもので、アプリストアの情報では北京金融控股集団有限公司（Beijing Financial Holdings Group）という国有企業が提供している。英語、フランス語、ドイツ語、日本語、ポルトガル語、ロシア語、中国語、スペイン語の7カ国語に対応している。関心ある方はご自身のアンドロイドあるいはiPhone、iPad、Macのアプリストアで「MY2022」と検索するとすぐに見つかる。

MY2022は今回の北京オリンピックの観客、報道関係者、選手などが必ずインストールしなければならないアプリとなっており、オリンピック期間である2月4日から20日までだけでなく、中国に出発する14日前までにインストールしておかねばならない。すでに1月中旬なのでかなり多くの関係者がインストールしている可能性がある。

このアプリにはパスポート情報、属性情報、渡航歴、病歴などの情報を登録しておくだけでなく、毎日の健康状態のモニタリングにも使われる。中国国内の利用者の場合は雇用情報などさらに詳細な個人情報も収集するようになっていた。

データ漏洩、検閲用のキーワード、ガイドライン違反

指摘されていた問題は大きく4点。致命的な問題に関しては、修正されないとアンドロイドやiOSなどのアプリストアから削除される可能性があるので、すぐに修正される見込みである。

1．脆弱性によるデータ漏洩などの危険

利用者の音声やファイル転送を保護する暗号化が簡単に回避される致命的な欠陥があった。パスポート情報、人口統計学的情報、病歴や旅行歴を送信する健康診断書なども漏洩する危険がある。

脆弱性の内容は2つあり、ひとつは通信先のサーバーを確認するためのSSL証明書を検証できないという単純かつ致命的なものだった。一部、検証できたサーバーもあったものの、検証できないサーバーがいくつも見つかっており（my2022.beijing2022.cn、tmail.beijing2022.cn dongaoserver.beijing2022.cn、app.bcia.com.cn、health.customisapp.com）、悪用されると攻撃者はサーバーの応答を偽装して情報の摂取などを行うことができる。

また暗号化されずに通信を行っている問題があり、データが漏洩する可能性がある。

2．情報の共有範囲が明確ではない

収集した情報の共有範囲を明確にしていない。このアプリはパスポートや健康情報などの機密性の高い個人情報を扱っているが、それがどこまでの範囲で共有、利用されるのかが明確ではない。

アプリストアでは明示されているものの、公式Olympic Games Playbookでは、北京2022組織委員会、中国当局（中国国民政府、地方当局、その他の健康・安全を担当する当局機関など）、国際オリンピック委員会、国際パラリンピック委員会、およびコロナ対策の実施に関与する団体などとなっており、さらにMY2022自体のプライバシーポリシーにはデータの共有範囲が明示されておらず、利用者の同意なしに個人情報が開示される可能性も示唆されていた。