EVENT | 2020/01/16

TikTokに情報流出の恐れがある複数の脆弱性が発覚。今年施行された中国の「暗号法」も気になる

Photo By Shutterstock
インターネットセキュリティ関連企業として知られるチェックポイント・ソフトウ...

SHARE

  • twitter
  • facebook
  • はてな
  • line

Photo By Shutterstock

インターネットセキュリティ関連企業として知られるチェックポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies)は、中国のバイトダンス(ByteDance)社が運営する動画共有アプリ「TikTok(ティックトック)」に、不正侵入を許す可能性のある脆弱性が複数あることをリポートで指摘したとBloombergが伝えている。これらの脆弱性を攻撃者が悪用すれば不正操作が可能になり、登録してある個人データを改変・漏洩させたり、投稿動画を削除される恐れがあるというのだ。

伊藤僑

Free-lance Writer / Editor 

IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。

米中関係の悪化によって高まる脅威論

TikTokに情報流出の恐れがある複数の脆弱性があることを発表したチェックポイント・ソフトウェア・テクノロジーズのリポート

近年、若者を中心に爆発的に人気が高まり、今やユーザー数が10億人を超える(日本では950万人)とも言われるTikTok。その躍進に支えられて、バイトダンス社の時価総額は配車サービスのUber社を抜き、世界最大のユニコーン企業となったとされる。

だが、米中間の貿易摩擦深刻化を背景に、米国内における中国企業の活動を警戒する声が高まっており、2017年に動画アプリ「Musical.ly」を10億ドルで買収した同社の案件についても対米外国投資委員会(CFIUS)が外国企業による米国企業の買収を安全保障の観点から調査を開始するなど、急成長を遂げたバイトダンス社への風当たりも強くなってきた。

また、同アプリが米国で1億1000万回以上ダウンロードされ、すでに多くの米国人の個人情報を扱っていることなどから、「無視できない対諜報活動の脅威となり得る可能性があり、調査すべき」とマグワイア国家情報局長代行に宛てた書簡を送った米議員(共和党のコットン上院議員とシューマー上院民主党院内総務)も現れた。書簡では、同プラットフォーム上におけるデータの安全性や検閲の恐れ、他国から米国へ影響を及ぼす恐れなどがあることが述べられているという。

米国の懸念払拭に努め、脆弱性対策も実行

バイトダンス社は米国のこうした懸念を払拭するために、TikTokの中国版である「抖音(Douyin)」からTikTok事業を分離。米国ユーザーの情報はすべて米国内で保管し、バックアップもシンガポールに置くことで、TikTokのコンテンツに対して中国政府の法的権限は及ばない環境を整えたと説明している(※参考:ロイター「TikTokを中国事業から切り離し、米の懸念に対応」)。

このほかにも同社は、個人情報の保管体制を監査する外部コンサルタントを採用したり、データ管理を監督するチームをカリフォルニア州内に立ち上げるなどの対策を実施している。

今回のTikTokの脆弱性問題は同社にとって、このような厳しい逆風下で発覚しているのだ。

チェックポイントから欠陥の存在を伝えられた同社は、速やかに対策を実施。修正プログラムの提供に加え、ユーザーの情報保護に努めているという。

今年施行された中国の「暗号法」が気になる

2020年1月1日、中国製のアプリやデバイスを利用するユーザーにとって気になる法律が中国で施行された。それは、SNS上などでは別名「パスワード法」とも呼ばれている「密碼法」のこと。同法によって、中国製のアプリやデバイスを利用するユーザーのパスワードが中国政府にすべて提供されることになるのではと、恐怖を感じているユーザーも少なくないようだ(参考:情報通信総合研究所ニューズレター「中国における「暗号法」制定と 「デジタル人民元」の行方」)。

それがもし事実なら、TikTokに見つかった脆弱性のように修正プログラムで解決できる話ではない。パスワードの漏洩を防ぐには、中国製のアプリやデバイスの利用を止めるしか方法はなくなる。

だが、密碼法について調べてみると、中国が今後、国家として暗号技術に注力していくこと、及び、暗号技術を取り巻く環境についてルール化していくことを謳っているものだった。今のところ政府が管理するのは国家機密に関する「核心(コア)暗号」と機密情報を保護するための「一般暗号」のみであり、国家機密に関連しない「商用暗号」は該当しない。そのため、「パスワード法」というより「暗号法」と訳すべき法律と言える。

このような誤解が生じた背景には「一部の中国製のアプリやデバイスにはハッキング可能なバックドアが仕込まれている」という疑念が、いまだに完全には払拭されていないという現実がある。TikTokのような動画投稿アプリの場合には、機密性の高い情報を扱うことはほとんどないと思われるが、念のため、米国が懸念するような疑いもあることを理解した上で利用したいものだ。