情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2022年2月7日号
***************************************************************
冬季五輪を名目に行われるサイバー諜報活動で何が起きているか?
***************************************************************
北京冬季五輪が始まった・・・。
中国と世界各国の政治的な背景の問題は存在するものの、コロナウイルス対策を万全にした
スポーツの祭典であり、各国を代表するアスリート達には是非自分の持てる力を発揮してもらいたい
と願うばかりだ。
一方開催にあたり、世界各国で「サイバー攻撃」「情報流出」など様々な注意喚起が行われている。
欧米各国では、中国の諜報活動を懸念して選手及び関係者に情報流出の可能性があるとして
各自のスマートフォンやPCを持ち込まず、スマートフォンはプリペイド制の使い捨てを利用するように
求める注意喚起が行われている。
これに対し日本は、開会式前日の2月3日の記者会見の中で松野官房長官が、北京冬季五輪の
公式アプリの使用を必要最小限にとどめるよう注意喚起した。
しかし、開会式直前での政府の対応に、「遅すぎる」「危機感がなさすぎる」という指摘が多く、サイ
バー空間の情報戦という点で見ると、日本は大きく出遅れている現状を露呈する結果となった。
今回の大会では、各国代表選手団などが入国前に北京冬季五輪公式アプリ「MY2022」を
スマートフォンへインストールし、健康状態を申告することが義務付けられている。
この公式アプリが問題であると指摘されている。
北京五輪の公式アプリ「MY2022」は、新型コロナウイルス蔓延に伴い、各自の健康状態をチェック
することが主目的のアプリであるが、このアプリに深刻なプライバシー侵害の問題が発見されたとする
レポートをカナダトロント大学のCitizen
Labが公表した。
その内容は、利用者の音声や転送ファイルを保護する暗号化の仕組みを「簡単に迂回」可能な、
「単純だが致命的な脆弱性」が存在すると指摘。
その他に提出する健康申告書類に記載されているパスポート情報、人口統計学的情報、病歴や
旅行歴の情報が漏えいする可能性があり、更にサーバの応答を偽装することで、攻撃者がユーザ
に偽造された指示を表示することもできるというのだ。
このアプリがGoogleの「望ましくないソフトウェアのポリシー」、AppleのApp
Storeガイドライン、中国
のプライバシー保護に関する法律や国家基準に違反している可能性があると指摘していて、各国の
選手団は大会に参加するためには、このアプリをダウンロードするしかないため、多方面で激しい怒りを
引き起こしているというのだ。
では、スマートフォンやPCを今回限りの使い捨て製品として準備して通信を行えば、問題は起きない
のだろうか?
デジタルデータとなりインターネットを通じた通信は、中国国内からスマートフォンやPCを使って通信を
行うと、必ず中国のプロバイダーを経由して通信を行う事になる。
ここで忘れてはならないのは中国の「国家情報法」である。
同法第7条及び14条では「組織・市民による工作活動への協力」が規定されているが、これは中国
国家の情報工作は関係機関、組織及び公民に必要な支持、協助、協力を提供するよう要求する
ことができるというもので、更に第16条では関係機関、組織及び個人に対し照会を行い、関連状況
を尋ね、関係する保存書類、資料、物品を調べ又は取り寄せることができるという内容がある。
これは、国家情報工作としてプロバイダー他に対して、通信の記録を全て提出することを求める事が
できるということで、企業・組織、個人などはそれに違反する事はできないのである。
つまり、大会期間中の通信記録は全て中国政府が提出を求め、把握する事ができるという意味を
持っている。
北京冬季五輪に参加している選手及び関係者が日本や各国に対して行う通信は全て把握され
てしまい、完全な中国政府の監視下におかれてしまうということになる。
アプリの脆弱性を使わずとも、情報はいつでも流出する可能性があり、中国国内にいる以上諜報と
いう観点からすると、常に情報流出を疑わなければならない状況であるという事になる。
中国政府やIOC(国際オリンピック委員会)は、公式アプリの脆弱性による諜報活動に対しては否定
しているものの、今までのサイバー空間での中国の言動からすると警戒せざるをえ得ないと言えよう。
最近のニュースで、中国発の動画共有アプリ「TikTok」の運営会社が、フォロワーが10万人を超える
インフルエンサー20人に報酬を支払い、協力を求め、一般の口コミを装ってTwitterに投稿してもらい
動画を再生させるステルスマーケティングという手法で2年半もの間不適切な宣伝を続けていたという
ニュースがあった。
これはサイバー犯罪ではないが、現実社会の法や規約の盲点を突き、サイバー空間を利用したモラル
を無視した謀略行為であると言えよう。
一方、米国Amazonは偽レビュー規制を強化し、Web上のマーケットプレイスに出展する約3000社
に対して組織的な偽レビューを繰り返すアカウントを停止したが、その中で600以上の中国企業のアカ
ウントが閉鎖された。
これは偽レビューなどによる詐欺行為で物品を購入させるなど、何度も規約違反を繰り返し、違反だと
知りながら、あえてやっていた悪質なケースがほとんどだという。
ルールを無視して、私利私欲のために偽情報をサイバー空間に流す行為、これはサイバー攻撃にも
関連があり、フェイクニュースを流して世界中の人を誘導するという手法も多く取られている。
様々な手法を使い、サイバー空間から世界中の個人情報を搾取し、その情報を利用して次なる
サイバー攻撃、サイバー犯罪を繰り返す中国の巧みなサイバー戦略が北京五輪においても行われて
いる可能性は否定できない。
火のないところに煙は出ない!
実際に中国ブラックマーケットでは北京五輪開始前からの動きが慌ただしくなり、日本国内も多数の
企業が攻撃されていることを確認している。
2月3日には、驚いたことに、水道料金の明細や電力量購入の明細まで流出しているのである。
これは個人情報だけでなく、公共インフラ企業の情報であり、公共インフラ企業に攻撃する際に
利用される事も考えられる。
企業や団体という点では、誰もが知る日本を代表する企業や大学など複数の企業や団体がサーバ
の管理者権限を奪われて闇市場で売買されている。サーバが乗っ取られているという事は、機密情
報の流出にも繋がる可能性があるという事である。
このように、個人情報も企業の機密情報も大量に搾取されていて、今年に入りサイバー攻撃数と
その被害額で過去最高を記録した2021年の約3倍のペースで脅威情報が確認されているのである。
これは日本だけではなく、世界中でも今年に入り多数中国からのサイバー攻撃を確認していて、
米国大手メディアのNEWS社も1月に中国からサイバー攻撃を受けたことを発表している。
真剣な戦いを繰り返すアスリートの陰で、日々行われているこれらサイバー戦に対して、日本はどう
立ち向かうのか?
様々なリスクを想定し、最悪の状況まで考えた対策を立てる事がISMSにも定められるリスクヘッジ
であり、リスクコントロールになる。
“想定外”を想定する事が【情報セキュリティマネージメントシステム】の考え方なのである。
今回の北京冬季五輪における日本のサイバーリスクは一体どのような事が存在するのだろうか?
サイバー空間のリスクに対する考え方を見直さない限り、日本は世界から置き去りになってしまう。
北京冬季五輪でアスリート達がメダルをとっても、サイバー空間の情報戦はメダルどころか予選落ちと
言わざるを得ない状況であると言えよう。
---------------------------------------------------------------------------------
<参考URL>
YouTube/日テレNEWS:2022/2/3
【北京オリンピック】選手らに“サイバー攻撃”注意喚起 アメリカFBI
https://www.youtube.com/watch?v=jy1RQFJo-IM
産経新聞iza:2022/2/4
北京冬季五輪「スマホ持ち込み」に日本政府が今ごろ注意喚起 識者「情報戦への危機感薄い」
https://www.iza.ne.jp/article/20220204-RIMSL3YIBNJR5L5NWI7OERMTCU/
WEDGE Infinity:2022/2/5
中国が狙う世界の国民データと諜報活動
https://wedge.ismedia.jp/articles/-/25654
GigaZine:2022/1/31
ルール違反でAmazonを追い出された中国業者が
今度はウォルマートのオンラインマーケットプレイスに続々参入
https://gigazine.net/news/20220131-chinese-sellers-walmart-marketplace/
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved