ブログランキングに参加しています。よろしければ応援クリックお願いします。1.アンドロイド端末の情報を無断収集していたTikTok
8月11日、アメリカのウォールストリート・ジャーナル(WSJ)電子版は、中国系動画投稿アプリ「TikTok(ティックトック)」が、グーグルの基本ソフト(OS)搭載のスマートフォンの識別番号を収集し、利用者の情報を追跡できるようにしていたと報じました。
ウォールストリート・ジャーナルがTikTokの2018年から2020年までの各バージョンを解析したところ、2019年末までのバージョンにおいて、TikTokアプリがAndroid保護機能を迂回して端末固有値であるMACアドレスを18ヶ月にわたり取得していたことが明らかになったとしています。
バイトダンス社は、最新のTikTokアプリはMACアドレスを収集しないと主張したのですけれども、過去のアプリがどうだったかについては触れませんでしたから、まぁ、お察しです。
2.MACアドレス
MACアドレスとは、パソコンやルータなどのネットワーク機器に付いている番号です。全世界でMACアドレスが重複することはなく、パソコンの有線LANの他にも無線LANやスマートフォンにもMACアドレスが割り当てされています。
MACアドレスはLANやインターネットでのイーサネット通信で利用されています。通信データのヘッダー部分に「送信先MACアドレス」と「送信元MACアドレス」を格納することで宛先や戻し先を確定しています。当然、MACアドレスが無いと通信ができなくなります。
MACアドレスは通常は変更することはできないのですけれども、この値をアプリが取得できれば、その端末を異なるユーザーが使用していることを追跡することが可能となります。そのため、Androidは匿名化IDを用い、MACアドレスをアプリに知らせないようにしています。
ところが、Android版のTikTokアプリは、ユーザーがアプリを起動して使い始めるまでの間に、このMACアドレスを暗号化した特殊な通信レイヤーを通じてTikTokの開発元であるバイトダンス社のサーバーに送っていたとのことです。
これについて、MACアドレスはあくまで端末固有値というだけで即、個人情報流出につながるわけではなく、むしろユーザー追跡型広告配信のために使われていたようだという報道がされているようですけれども、筆者はそれ以外にも大きな危険が潜んでいるのではないかと考えています。
それは、MACアドレスの意図的重複による通信障害テロです。
3.通信障害テロの危険
MACアドレスは端末の通信先と戻り先を識別する"住所"のようなものですから、もし、MACアドレスが異なる端末で同じMACアドレスが付加される、いわゆる重複状態になった場合は正しく通信が出来なくなる可能性があります。
こちらのサイトでは、クライアント機から複数のサーバがぶら下がっているネットワーク構成で、ぶら下がっている側のサーバのMACアドレスが重複したとき、ネットワークがどう動くのかを実際に検証しています。
それによると、MACアドレスが重複すると、クライアント機からぶら下がっているサーバへの通信は出来たりできなかったりする反面、ぶら下がっているサーバー同士では互いに疎通う出来なくなると報告されています。
この検証が正しいとすると、たとえばTikTokが収集した各端末のMACアドレスを適当なサーバやら端末に重複して付けてやることで、通信障害を起こすことだって出来てしまう危険があります。とくに政府機関などの工作員を紛れ込ませたりして、MACアドレスの重複工作されてしまうと非常に危険です。
まぁ、政府機関や各企業のネットワークのセキュリティがどこまでしっかりしているか分かりませんけれども、相手は中国共産党ですからね。やれることはなんでもやってくると想定すれば、そういうことも在り得るということです。
4.入力文字をぶっこ抜き
WSJはTikTokが抜いていた情報はMACアドレスくらいだと報じていますけれども、ネット上では、個人情報も抜いているのではないかという噂もあります。
iPhoneの新しいOSであるiOS14では、プライバシー保護の一環で、入力している文字が他人に読み取られた場合、それを表示するという機能がアップデートされました。
オーストラリアの企業家のジェレミー・バーグ(Jeremy Burge)氏は、この機能を使ってTikTokをチェックしたところ、数回の文字入力毎にその文字をTikTokが収集しているとツイッターに上げています。
筆者はTikTokは一切使っておらず、インストールさえ一度もしたことがありませんけれども、TikTokでアカウントを登録する際には、次のアプリとの連携を要求されるそうです。
LINEこれが何を意味するのかというと端末ユーザーの個人情報が全て抜き取られているかもしれないということです。
インスタグラム
カカオトーク
たとえば、TikTokを起動したまま、Tiktokは勿論のこと、LINEやTwitter、Facebookなんかで個人情報を入力したら、TikTokがそっくりそのまま抜き取ってしまう可能性がある。極めて危険だと思います。
5.TikTokから手を退く自治体
TikTokのリスク報道を受け、日本の自治体もようやく重い腰を上げました。
中国への利用者情報の流出が懸念されるとして、不安の声が寄せられたことを受け、8月3日、神戸市がTikTokのアカウントを停止。5日には大阪府と埼玉県がアカウントを停止したことを明らかにしました。
神戸市は4月末にアカウントを開設し、5月にTikTokと事業連携協定を締結して運用。市立王子動物園で飼育するパンダの映像や市政のPR動画など計約30本を投稿し、約550人のフォロワーを抱えていました。
埼玉県は、2月に公式アカウントを開設。県をPRするダンス動画や、武漢ウイルスの注意喚起動画など約20本を配信し、1000人のフォロワーを抱えていましたけれども、既に動画は全て削除したそうです。
そして、12日には神奈川県もTikTokの県公式アカウントの利用を停止したと明らかにしました。
神奈川県の黒岩知事は、バイトダンス社に事実確認した結果、「中国政府に情報を提供した事実はなく、今後も行うことはないという回答があった」と述べる一方で「懸念を払拭できるだけの確定的な情報も確認できていない」と停止の理由を述べ、県が投稿していた78本の動画は7日に非公開にしたとしています。
神奈川県によると、公式アカウントには7406人のフォロワーがいて、動画の総再生回数は約240万回に上っていたそうですから、ここらから結構な量の情報が抜かれてしまっている可能性があります。
昨日のエントリーで、評論家の石平氏がアメリカの制裁に白旗を挙げた中国共産党が批判の矛先を日本に向けてくる可能性があると述べましたけれども、ある日いきなり会社のサーバや携帯端末が使えなくなるといった中国の通信テロが仕掛けられるかもしれないことは頭の片隅に置いておいてもよいかもしれません。
この記事へのコメント