こんにちは。岡本です。
最近、インドと中国がアプリの情報漏洩関連でバチバチやりあっています。(問題自体は数年前からあるものですが)
漏洩アプリの1つとしてTikTok(ティックトック)が挙がったことで大きなニュースになり知ったという人も多いのではないでしょうか。ただ、日本のマスメディアが国内に警鐘を鳴らしているようには見えません。
漏洩?ファーウェイ?アプリ?
アメリカとかインドの話でしょ
あー日本も規制したっけ
中国への不信感はいつものことでしょ
TikTok入れてないし
位に考えている方はしっかり読んで頂きたいです。
そもそもの問題
iPhone向けの最新OS「iOS14」の開発者向けプレビュー版が2020年6月23日にリリース。
新たに搭載されたプライバシー対策機能を利用したiOSアプリ開発者たちによって、【TikTokなど多くの中国製iOSアプリは、起動するたびにペーストボード(コピーした内容のリスト)にあるテキストをひそかに読み取っていた】ことが明らかになりました。
当然アプリ運営側は中国政府へのデータ提供(漏洩)を否定していますが、「よかった、漏洩なんてなかったんだ」と安心する人間はいません。
ぱっと浮かぶのは、電話番号、メールアドレス、パスワード、クレジットカード情報などですが、盗み取れた情報はすべて漏洩、ビックデータとして解析されていると考えるのが妥当でしょう。
ちなみにインドが禁止したアプリはこちら。(漏洩アプリの全量ではなく一部です)
1. TikTok 2. Shareit 3. Kwai 4. UC Browser 5. Baidu map 6. Shein 7. Clash of Kings 8. DU battery saver 9. Helo 10. Likee 11. YouCam makeup 12. Mi Community 13. CM Browers 14. Virus Cleaner 15. APUS Browser 16. ROMWE 17. Club Factory 18. Newsdog 19. Beutry Plus 20. WeChat 21. UC News 22. QQ Mail 23. Weibo 24. Xender 25. QQ Music 26. QQ Newsfeed 27. Bigo Live 28. SelfieCity 29. Mail Master 30. Parallel Space 31. Mi Video Call – Xiaomi 32. WeSync 33. ES File Explorer 34. Viva Video – QU Video Inc 35. Meitu 36. Vigo Video 37. New Video Status 38. DU Recorder 39. Vault- Hide 40. Cache Cleaner DU App studio 41. DU Cleaner 42. DU Browser 43. Hago Play With New Friends 44. Cam Scanner 45. Clean Master – Cheetah Mobile 46. Wonder Camera 47. Photo Wonder 48. QQ Player 49. We Meet 50. Sweet Selfie 51. Baidu Translate 52. Vmate 53. QQ International 54. QQ Security Center 55. QQ Launcher 56. U Video 57. V fly Status Video 58. Mobile Legends 59. DU Privacy
漏洩の可能性は誰でも
漏洩の可能性があるスマホの利用は以下の通り
1.iPad、iPhoneで文字のコピー
2.なんやかんやスマホ操作
3.中国製アプリを起動
コピペは慣れれば誰でもやりますし、中国製アプリは多くありますので、該当しない人の方が少ないと思います。中国製と知らずにゲームしている人は結構多いです。
Androidの仕様と現状に詳しくありませんが、アプリへのアクセスを遮断する動きを見せていましたし、ほぼ同様と考えておくべきでしょう。
中国製ゲームと言えば荒野行動が有名ですが、漏洩対象アプリとして名前は出ていません。
「良かった、大丈夫」となりそうですが、
・いつからやっていたのか
・いつやめたのか
どちらもわからない以上、どのアプリでも過去に盗み取られていた可能性は消えません。
あれ?全然インドの問題じゃなくない?
はい、我々の問題です。
テレワーク(リモートワーク)で広がるモバイル業務
コロナ対応で多くの企業がリモート化を進めています。
自分のPC、ノート、タブレット、スマホで業務連絡をしたり仕事をする方も多くいるでしょうし、Zoom、Slack、Skype、ChatWorkなど、何らかの業務用アプリを追加した方もいると思います。つまり個人端末で仕事をすることが増えた。イコール業務関連の情報漏洩機会が増加しています。
従来であれば、個人情報の流出問題で終わりですが、「業務用アプリにログインするためのアカウントIDやPass、業務に関連する情報(メール本文、文書自体)、各種接続/認証情報」をスマホで閲覧、コピーしたことがある場合はどうでしょう。
情報を不正に盗まれた被害者にもかかわらず、責任問題に発展します。
ニュースを見て、自分も漏洩しているかもと思いを寄せたことがない方は本当に要注意です。
Appleも対応を進めていますが、秋に公開される予定のiOS14までは防げません。
そのためAppleは多くの中国アプリの削除をおこなっていますし、7月1日付で、未認可ゲームのApple Storeへのアップロードを禁止しています。
問題は中国製アプリだけではない
クリップボードにアクセスする機能自体はGoogleNewsやLinkedInなんかのアプリでも使っているようですし、機能を利用すること自体は違法ではありません。情報の取り扱いを明記しているか、それを信用できるか、利用者(企業)が判断する必要があります。
まあコピー領域の情報を盗み取る以前に、そもそもFaceBookやLINEがチャット内容を外部に販売していないと証明することすらできませんし、中国製のアプリを入れなければ大丈夫という保証はありません。
FaceBook→アメリカだから大丈夫?→×
Line→韓国だから大丈夫?→×
TikTok→中国だから大丈夫?→×
中国に限らず、政府の力が強かったり、倫理観やモラルの低い国や企業のアプリは特に注意が必要です。
どうするべきか
まず理解することです。
何がきっかけで漏洩したか理解を深めると、何がきっかけで漏洩するかわからないという危機感が生まれます。
業務用端末を購入して支給し、使うアプリを精査すればこの問題に限っては解決します。
しかしセキュリティリスクは今後もついて回りますので、別の問題がまた表面化するでしょう。
企業内でルールを作り、周知して、守ってもらいましょう。
まずは無関心ゼロを目指してください。
漏洩した場合の対処も考えておきましょう。(事故は起こさないから大丈夫、とか東電みたいなのはだめ)
看過できない事態になる情報の取り扱いを適切におこなっているか、人員、対策コストを軽視していないか振り返ってみましょう。
1億総スマホ。全員が情報漏洩の当事者になりえる世の中です。
一番危険なのは攻撃手法ではなく、「他人事」という関心のなさです。
おまけ。当面の対策は?
- 日ごろからクリップボードを削除
iPhone 「Clip&Paste」「Clipbox+」などのアプリを利用
Android 「Clipbox+」などのアプリを利用
端末によっては標準機能で削除できるようです。Android辞典さんの記事がわかりやすかったです - 疑わしきアプリの削除
ここまで明らかになった以上、まずは中国製アプリを消してしまうのが一番です。 - 漏洩した可能性のある情報(パスワードなど)を変更する
どのサイトのパスワードかまではバレていない可能性がありますが、乱れ打ちで利用されていたり今後利用される恐れがあります。変更できる情報は変えておきましょう。 - 業務用と個人用で持ち分ける
金銭的な負担もかかりますが、可能であれば普段から使い分けましょう。
おまけ。PCは?
主要ブラウザでは、デフォルト設定のままだと、利用者が設定を意図的に変えていない限りは対策済みで、クリップボード領域へのアクセスを検知して警告が出たりします。(つまり本記事で紹介した形での流出リスクは低いです)
Chrome
FireFox
Edge
InternetExplorer