「中国製スマートフォンのアプリには特定の単語を検閲する仕組みがあった」とリトアニア国防省が報告

リトアニアの国防省傘下にある国家サイバーセキュリティセンター(NCSC)が、中国製の5G対応スマートフォンのサイバーセキュリティ評価を実施した結果、高いセキュリティリスクが懸念されると発表しました。特に「特定の言葉を検閲する機能が組み込まれていたことが判明した」として、国民に注意を促しています。

Assessment of cybersecurity of mobile devices supporting 5G technology sold in Lithuania
(PDFファイル)https://www.nksc.lt/doc/en/analysis/2021-08-23_5G-CN-analysis_env3.pdf

Lithuania says built-in cybersecurity risks found in Chinese-made Xiaomi and Huawei phones - CBS News
https://www.cbsnews.com/news/lithuania-china-cybersecurity-risks-chinese-xiaomi-huawei-smartphones/

Lithuania says throw away Chinese phones due to censorship concerns | Reuters
https://www.reuters.com/business/media-telecom/lithuania-says-throw-away-chinese-phones-due-censorship-concerns-2021-09-21/

今回NCSCが調査したのは、Huawei P40 Pro、Xiaomi Mi 10T Pro、OnePlus 8Tの3機種で、アプリケーションの一般的なセキュリティ、個人情報の漏えい、表現の自由の制限などに関する4つのサイバーセキュリティリスクを分析しました。

その結果、Huawei P40 Proでは、Huawei公式のアプリストア「AppGallery」で、悪意のあるアプリケーションやウイルスに感染したアプリケーションを配布するサードパーティーのアプリストアに飛ばされることが判明。セキュリティの脆弱性がいくつもみつかった上に、利用者のさらに利用者のデータをシンガポールにある外部サーバーに送っている形跡も見られたとNCSCは指摘しています。

また、Xiaomi Mi 10T Proには単語検閲のブラックリストである「MiAdBlacklistConfig」が存在していることが判明。「西藏自由(フリーチベット)」「蒙古独立(モンゴル独立)」「89民运(1989年民主化運動)」「基督灵恩布道团(キリスト教のカリスマ運動)」「伊斯兰联盟(イスラム連合)」「巴勒斯坦解放组织(パレスチナ解放)」「妇女委员会(婦女委員会)」などのキーワードが登録されていました。実際にXiaomi Mi 10T Proのアプリに含まれていた、MiAdBlacklistConfigでフィルタリングを行うコードの一部が以下。

public boolean mo76794a(INativeAd iNativeAd, C8380a Avar) {  
 if (iNativeAd == null) {  
 return true; 
 } 
 Long currentTimeMillis = System.currentTimeMillis; 
 for (String str: new HashSet(this.f11160b))  
 {if (iNativeAd.getAdTitle!= null &&m12161a (iNativeAd.getAdTitle, str) 
) {MLog.m6439d(MiAdBlacklistConfig, Ads: “ + iNativeAd.getAdTitle + “is blocked by title word: “ + Art); 
 IF (Avar!= null) { 
aVar. f11165a= Art; 
 } 
 this.f11161c = Art; 
 return true; 
 } other if (iNativeAd.getAdBody!= null & &m12161a (iNativeAd.getAdBody, str)) 
 {MLog.m6439d(MiAdBlacklistConfig),Ads: [” + iNativeAd.getAdBody + “] is blocked by desc word: “ + 
Art); 
 IF (Avar!= null) { 
aVar. f11165a= Art; 
 } 
 this.f11161c = Art; 
 return true; 
 } 
 MLog.m6443i 
 (MiAdBlacklistConfig, isAdsBlocked—> totalTime=” + (System.currentTimeMillis – currentTimeMillis)+ 
“&threadId=” + Thread.currentThread.getId); 
 return false; 
}

なお、OnePlus 8Tにはセキュリティリスクを増大させるような問題は見つからなかったとNCSCは語っています。

リトアニアのマルギリス・アブケビシウス国防副大臣は「州および公的機関がこれらのスマートフォンを使用せず、省庁およびさまざまな州機関のために特定のスマートフォンの採用を規制する法案を採択することを強く推奨します」とコメントしました。

近年、リトアニアは台湾との関係を強化しており、2021年7月には台湾が事実上の大使館をリトアニアに設置すると発表。これに対して中国は駐リトアニア大使を呼び戻すなど反発の姿勢を見せていますが、こうした対中関係の悪化が今回の調査につながったのではないかとニュースメディアのCBSは指摘しています。

Huaweiの広報担当者は「Huaweiのデバイスはユーザーのデータを外部に送信しません」と否定のコメントを出しました。また、Xiaomiの広報担当者はCBSに対して「デバイスがユーザーの通信を検閲することはありません。Xiaomiは、検索、通話、ウェブ閲覧、第三者の通信ソフトウェアの使用など、当社のスマートフォンユーザーの個人的な行動を制限したり、ブロックしたりしたことはなく、今後もそのようなことはありません。Xiaomiは、すべてのユーザーの法的権利を完全に尊重し、保護しています。Xiaomiは、EUの一般データ保護規則(GDPR)を遵守しています」と語りました。