中華スマホの危険性について調べてみた!

中華スマホの危険性について調べてみた!
Pocket

ここ10年ぐらいでスマートフォンが既成のいわゆるガラケーを駆逐し、今や国内のスマートフォンの普及率は実に7割近くなっているという。私も5年ぐらい前からスマホに変えたが、格安スマホMVNOを利用して安く上げたい人は多いようだ。
そこで、格安スマホとして避けて通れない中華製スマホの危険性について調べてみた。

格安スマホの中国製部品が中国に中の情報を送信してた?

DAPPI(@take_off_dress)さんのツイートで高市早苗議員のこんな発言が動画で流れた。

直接ではないがこれを受けて、パンパカ工務店@kitanihonganba)さんのイラストが拡散。

ちょっと考えれば分かりそうなものだが「格安スマホに使われている中国製部品が中国に中の情報を送信」、つまり「部品がスマホの情報を送信」ということになるが、そんなことあるワケないじゃん。
しかも動画をちゃんと観ると、高市早苗議員は「使っている部品1個だけなんですが、72時間おきにつまり3日にいっぺん、中の情報を中国に送信していたというのが発覚して、それは改善はされた」と言っている。部品1個だけでなんで中国へ通信出来るの?って普通疑問に思わないのか?という点に驚くのだが、しかも「改善された」って、どゆこと?
意を汲んで「中国で設計・生産された部品」として捉えても、スマホの内部データを通信回線に載せて送信するのは、部品のようなハードウェアではなく、ソフトウェアの仕事である。
まぁコンピュータ音痴の人が的外れなことを言うのは仕方がないにしても、以前から中華製スマホにバックドアが仕掛けられているという噂はあった。しかし、私が知る範囲でそういったマスコミ報道は皆無である。この方が問題だろう。

中華スマホのバックドア問題とは?

調べてみると、上海のAdups Technology社というスマートフォン向けソフトウェア企業が開発したファームウェアバックドアが仕掛けられており、同社のファームウェアを採用した Huawei(ファーウェイ)やZTEといった大手の中華スマホの出荷台数は、実に7億台に上るらしい。

 米国防高等研究計画局(DARPA)から分離したセキュリティ解析ツール提供会社、米Kryptowireは15日(現地時間)、Shanghai ADUPS Technologyが開発したファームウェアを採用した中国製スマートフォンにバックドアが仕組まれていると発表した。

Shanghai ADUPS TechnologyはFirmware Over-The-Air(FOTA)アップデートサービスを提供する中国の大手企業である。クラウドベースのサービスを展開しており、同社が開発したファームウェアを組み込んだスマートフォンは、インターネット経由でファームウェアアップデートできる機能を有する。世界の多くのデバイス製造メーカーやモバイルオペレータ、半導体企業と協業しているという。

Kryptowireによると、このADUPS製ファームウェアを採用したスマートフォンは、ユーザーの位置情報やユーザーの通話履歴、連絡先情報、および入力したテキストメッセージなどを収集し、72時間おきに、中国にあるサーバーに送信していたという。機能的には、2011年に問題となったCarrier IQに似ているが、ファームウェアアップデート機能やリモートアプリアップデート/インストール機能を備える一方で、キーロギングやメールアドレス収集は行なわない。

なお、送信されるユーザーのテキストメッセージはDESで暗号化されているが、Kryptowireは暗号キーを見つけ、メッセージの解読に成功したという。

この問題を発見したのは、BLU Products製のスマートフォン「BLU R1 HD」を購入したKryptowireの会社員の1人。ただしADUPSのファームウェアはこのほかにもHuaweiやZTEといったメーカーが採用し、出荷数は7億台に上ると試算しており、潜在的に問題は存在するとした。

出展:Androidスマホの中国製ファームウェアにバックドア、中国サーバーに情報を送信(2016年11月16日 13時20分)

上記引用した記事の中に「ユーザーの位置情報やユーザーの通話履歴、連絡先情報、および入力したテキストメッセージなどを収集し、72時間おきに、中国にあるサーバーに送信していた」とあり、この部分は冒頭に紹介した高市早苗議員の発言に該当するようだ。
ちなみにその後、米国格安スマホメーカーであるBLUは、Adups Technology社にバックドアを無効にさせ、以後は使わないようなプレスリリースを出した。ひょっとして高市早苗議員が「改善された」と言っているのは、この件を指しているのだろうか。しかし、このような対応はむしろ稀で他社は追随していない。

 BLUが7月31日に発表したプレスリリースによると、AdupsのOTAアプリケーションについては、2016年11月にKryptowireからの報告によって、一部のBLU製品に搭載されていたバージョンで連絡先やメッセージの内容を収集していることが発覚。BLUはAdupsにこの機能を無効にさせることによって、問題を解決したとしている。以後のデバイスについては、AdupsのOTAアプリケーションをGoogleのGOTAに切り替えたという。

一部の古いデバイスは、依然としてAdups OTAを使っているものの、そのことに問題はないとBLUは強調する。現在行っているデータ収集は、OTAの標準的な機能であり、ユーザーのプライバシーやセキュリティに影響を及ぼすことはないと説明している。

中国のサーバに情報が保存されていることについては、「プライバシーポリシーには、収集したデータの一部が米国外のサーバに保存されることもあると明記しており、中国にサーバがあることには何の問題もない。中国にあるサーバはリスクにさらされるという発言に対してBLUは異議を唱える。そうしたサーバは他の大企業やモバイルメーカーも利用している」と強調した。

出展:Android端末の情報を中国のサーバに送信、「問題ない」とメーカー反論(2017年08月02日 09時00分)

バックドアの危険性とは?

バックドアは、厳密に言えば開発段階でテスト等でわざと仕込む場合があるが、ここではユーザが意図しないバックドアの危険性について述べる。
ただし、全ての中華製スマホにこのような危険性があると断言するものではないし、支那共産党やそれに類する組織・個人が何等かの関与を示唆するものではないことを断っておく。

個人情報の盗用

すでに述べたように位置情報や通話履歴・連絡先情報・テキストメッセージ等の情報が盗まれる(盗まれている?)。
今のところ具体的な被害は出ていないようだが、仮に個人が特定され、その個人が政府高官だったりした日には大変なことになる。また、クレジットカード情報のような重要な情報が盗用されないとも限らない。

スマホの乗っ取り

バックドア型のトロイの木馬が正にこれに当たるが、手っ取り早く言えば他人に自分のスマホが乗っ取られると思えばいい。
スマホが乗っ取られれば、遠隔操作によって各種情報の盗用はモチロン、最悪は無力化され利用不能にすることも可能だろう。仮に有事の際に敵対する政府が中華製スマホを無効化させるように命令し、それが実行されたら、一般市民は情報が遮断され大混乱に陥ることも想像できる。

ネットワーク攻撃の踏み台

遠隔操作が可能になるため、他のコンピュータ・システムを攻撃するための踏み台にされる可能性がある。悪意のあるハッカーは、直接自分で足跡を付けるほどマヌケではないので、踏み台をいくつも使ってアシがつかないようにするのが普通だ。
踏み台にされたコンピュータの所有者が直接罰せられる法律は今のところないが、踏み台にされて犯罪予告をメールや掲示板に投稿されるケースがあり、その場合は犯人でなくとも捜査当局から取り調べが行われるだろう。
仮に国内の警察力を混乱させるために踏み台として利用され、犯罪やテロ予告を一斉にバラ蒔かれたら?それはそれで大変な事態になるだろう。

おわりに

極論を言えば、この超情報化社会において便利な生活がしたかったら、自分の個人情報は多かれ少なかれ差し出す必要はある。
プライバシー保護を狂ったように主張して個人情報を出すのを極端に毛嫌いする人がタマにいるが、そういう人に私は「じゃ、銀行口座も持ってないんだよね?」と聞くようにしている。当たり前だが、銀行口座を開設するには個人情報を差し出し、コンピュータで全て管理されるのであって、それを否定するなら原始的な生活をすれば良いと思う。

極論だがスマホもアプリを通して世界中のサーバとデータ通信をしているのが現状で、それがイヤなら使うな!となるのだ。しかし、利用者個人に了解もなく、バックドアを仕込まれたスマホを使って個人情報が抜かれるのは、根本的に話が違ってくる。
利用者個人に了解もなく?Huawei(ファーウェイ)は疑問を挟むかも知れない。なぜならHuawei端末のエンドユーザーソフトウェア使用許諾契約に同意した人のみが同社のスマホを使うことが出来るからだ。よく確認して欲しいのだが「6.データ利用に関する同意」の1項目に「6.1 ユーザーは、当社およびその関連会社/ライセンサがユーザーの端末からデータを収集・利用することに同意するものとします (技術情報に限るものではありません) 。」とある。さて、これの意味するところとは何だろうか?

私が言いたいのは、中華スマホが「安い」には理由があるということだ。安いスマホを手に入れる代わりに何を差し出しますか?あなたの個人情報ですか?日本国内メーカーのシェアですか?それとも日本国内の安全ですか??

 

この記事が気に入ったら
いいね ! をお願いします

MZ-2000PC-6601SRをこよなく愛する現役のSEにしてガチな松本零士ヲタク。14歳で『人間失格』の洗礼を受けたダザイストで18歳から毎年桜桃忌に参加する太宰治真理教信者変態太宰治検定のスタッフだったりもする。愛車はトヨタJZX100マークⅡ2.5 グランデ レガリアとカワサキZX-4

Pocket

愛国通信カテゴリの最新記事