北京オリンピックの必須アプリにセキュリティ上の問題が発覚、データ漏洩の可能性

北京五輪参加者に義務づけられるアプリに懸念が発覚

俳優のイーストアウトさんがまた目立ってますが、ホロスコープについては言及するまでもないです。お元気で頑張っていただけたら幸いです。

さて2月4日から2022北京オリンピックが始まりますが、開催まであと2週間ちょっとに迫ったこのタイミングで、参加者に懸念すべき警告が出ています。

オリンピック出場選手、関係者、メディア、その他の参加者全員にダウンロードが義務づけられるアプリ「MY2022」にセキュリティ上の欠陥が見つかり、データがハッキングされる可能性があることが、現地1月18日にトロント大学のCitizen Labのデジタル研究者によって報告されました。

The 2022 Olympics App All Attendees Must Download Is a Security Nightmare, Researchers Find https://t.co/rDvRgGWd9C pic.twitter.com/aJkPIJosfr

— Gizmodo (@Gizmodo) January 18, 2022

MY2022について

「MY2022」は2022北京オリンピックに来場するすべての人にダウンロードが義務づけられているアプリで、新型コロナウィルス関連の健康モニタリング、オススメの観光スポット、GPSナビゲーションなどさまざまなサービスを提供するもので、その他にチャット・メッセージ機能、翻訳サービス、交通情報、競技情報などが提供されるとのことです。

また海外からの参加者は、中国に到着する前にこのアプリをダウンロードし、パスポートの詳細・旅行の計画・病歴などの個人情報をアップロードし、滞在中もずっとこのアプリで体温・呼吸器症状など新型コロナウィルスに関するモニタリングをし、経過をアップロードすることが義務づけられます。

ちなみに政治に関する約2,400のキーワードを検索することができるようになっているようです。Citizen Labによるとこの機能は動作していないように見えるが、検閲するために使用される可能性があるとしています。リストの中にはチベット語、ウイグル語、繁体字中国語、英語のものがあったとのこと。

「MY2022」はiOS用とAndroid用があり、北京の組織委員会が設計し、国営企業「北京金融控股集団」が所有しているとのこと。

報告されたセキュリティ上の問題

Citizen Labの研究者は、このアプリはしばしばSSL証明書の検証に失敗するため、個人データの転送が流出する恐れがあるとしています。またメッセージを通じて送信されるメタデータを適切に暗号化しておらず、いつ誰と通信しているかがばれる可能性があるといいます。

パスポート情報・病歴・健康状態・旅行計画など個人情報を収集するアプリだけにデータの保護は優先されるべきものですが、このアプリはそこに欠陥があることが指摘されています。

Citizen Labによると、この手の脆弱性は他の中国製アプリ（Zoomやブラウザなど）でよく見られるものに似ているとして「特に驚かない」と報告しています。

この件について12月3日に北京オリンピック組織委員会に問い合わせたところ、1ヶ月以上経った現在でも回答がないとのこと。

最近になってiOS用の最新バージョン2.0.5がリリースされたものの、セキュリティの問題が修正されていないだけでなく、新たな問題も見つかったとしており、旅行書類や健康データを扱う新機能にセキュリティ上の問題が見つかったと報告されています。

こうした安全上の懸念に対して、AppleとGoogleは今のところコメントしていません。

海外の対応

米国のオリンピック・パラリンピック委員会は、選手・コーチ・スタッフら関係者に対して、大会期間中は個人デバイスの使用を控えるように勧告し、プリペイド式携帯電話の使用を推奨しています。

オランダ・イギリス・オーストラリア・カナダも同様だとのことです。

またCNNによると、中国全土には5億6,700万台の監視カメラが設置されているといい、それは民家のドアの外や、場合によっては家の中にまで設置されている事があると報じています。

China is installing surveillance cameras outside people's front doors … and sometimes inside their homes https://t.co/sNmIIfQL1T

— CNN Philippines (@cnnphilippines) April 28, 2020