大量の中国製スマホのファームウェアにバックドアが仕掛けられており、情報が中国のサーバーに送られていることがわかりました。
その数、約7億人ということで、日本でも人気のHuaweiやZTEにも仕掛けられているということです
中国製スマホにバックドア
(C)Kryptowire
今回、ニューヨークタイムズが伝えたところによると、中国製スマホ7億台のファームウェアからバックドアが見つかり、ユーザーの72時間の情報を中国のサーバーに送っていた、というもの。
ところで、このバックドアって何?と言う方のために説明すると、バックドアとはその名の通り「裏口」となり、セュリティの防御をくぐり抜けて外部と通信することです。
つまり、スマホのファームウェアにバックドアがあると、スマホユーザーの情報がそのバックドアから漏れてしまうことになります。
このバックドアは最近始まったことではなく、以前からあるのですが、有名なのは中国のBaidu(百度)で、スマホ初期の頃、Androidの日本語キーボードである、「simeji」にバックドアがあり、個人情報がBaiduに送られていたことがありました。
Baiduはその他にもバックドアを仕掛けていたことで有名です。
しかし、今回明らかとなったのは、Baiduのような一企業ではなく、もっと広範囲にわたります。
今回の事の発端は、アメリカのモバイルセキュリティ会社・Kryptowireが、アメリカで販売されていた複数のAndroid端末のファームウェアに、バックドアが仕掛けられていることを発見したことによります。
このバックドアにより、ユーザーの情報が中国・上海のサーバーに送信されていることがわかりました。
送られていた情報は下記となります。
- 72時間以内のSMSテキストをAdUpsサーバーに送信
- 72時間以内の通話記録をAdUpsサーバーに送信
- ユーザー個人情報を収集し24時間ごとに送信
- スマートフォンのIMSIおよびIMEI識別子を収集して送信
- ジオロケーション(位置情報)を収集し送信
- スマートフォンにインストールされているアプリ情報を送信
- ユーザーの同意なしにアプリをインストール
- アプリの更新または削除
- スマホのファームウェアをアップデートし、端末を再プログラム
- 端末の特権コマンドでを実行
SMSテキストや通話記録は相手方の番号も送信されます。
自分のメッセージのやりとり内容や通話記録が漏れるのも困りますが、SMSのやりとりの相手や通話相手といった情報も送信されると、相手が中国製スマホを使っていない人でも相手の番号が送られてしまいます。
故意にではないにしても、自分だけでなく友人・知人の番号まで送ってしまうのは相手に迷惑ですよね。
SMS内容や通話記録でも、かなりの個人情報ですが、スマホ本体の個人情報や端末の識別番号、位置情報までというと、もう全てが筒抜けということになります。
このバックドアのアクティブユーザーは7億人ということで、対象のスマホメーカーには、日本でも格安SIMフリースマホで人気のZTEやHuaweiも含まれるそうです。
ZTEやHuaweiは最近、めきめきと伸びてきているのでこの7億人という巨大な人数になったと思われますが、この7億ってすごい数ですよね。
日本の人口は約1.2億人と言われます。アメリカの人口が約3.2億人。日本とアメリカの全人口を足しても4.4億人で7億人には及びません。
ちなみに、2011年の世界人口が70億人と言われているので、世界の10人に一人の割合でこのバックドアで情報を送られていることになります。
なお、このファームウェアはShanghai Adups Technologyという企業が開発したもので、ニューヨークタイムズの取材に対し、「問題の機能は中国市場に限って使う目的で開発されたもので、米国のスマートフォンに搭載されてしまったのは手違いだ」と話しており、中国政府の関与は否定しているそうです。
この説明をどこまで信じていいのか、という問題は正直ありますね。
手違いで7億人というのは、さすがにあり得ないと思うので。
また、中国企業に中国政府の関与というのは以前からあるとも言われているので、グレーゾーンですね。
というより、中国製スマホにバックドアが見つかったのは今回が初めてではありません。
ZTEやHuaweiは以前にもバックドアが仕掛けられていることがアメリカで発覚しており、アメリカは「安全保障上の懸念」として、国立研究院や米軍、また、米軍が駐在している韓国政府にも中国製製品を除外しており、イギリス、カナダ、ニュージーランド、オーストラリアでも中国製レノボの使用を禁じるなどされています。
また、それ以外にもHuaweiがスパイ行為を行っているのでは、とアメリカで問題になったこともあります。
それに追い打ちをかけるように今回のバックドア発見なので、ZTEやHuaweiユーザーにはとてもショッキングなニュースとなり、今後の売れ行きが心配ですね。
11月17日追記:ZTEは、アメリカで発売されている同メーカー品に対し、次のようにコメントしました。
「アメリカの最新レポートにて指摘されているAdupsソフトウェアは、アメリカで発売されているZTE端末には搭載しておりません。ZTEは今後もセキュリティーとプライバシー保護に努めていきます」
とりあえず、アメリカで販売されているZTEは大丈夫ということですが、日本のZTEのサイトでは特に今回のことについては書かれていませんので、どうなのでしょうか。
11月23日追記:アメリカに続き、日本のZTEも、「徹底した調査を行った結果、日本で販売されている製品に報道で指摘された問題は該当しないことが確認できている」と発表しました。
なので、日本のZTE製品も安心ということです。
sauce:IT Media、The NewYork Times、Kryptowire、Phone Arena