2022年北京五輪の選手用アプリには重大なセキュリティの欠陥があることが判明、キーワード検閲リストも発見される

2022年2月に開催される北京オリンピックで、参加者全員に対してインストールが義務づけられている健康管理アプリ「MY2022」に、機密情報へのハッキングが容易に可能になるようなセキュリティー上の欠陥があることが、カナダのセキュリティ研究者の分析により判明しました。MY2022には、暗号化の不具合だけでなく政治的なキーワードの検閲に関連するデータも搭載されていたとのことです。

Cross-country Exposure: Analysis of the MY2022 Olympics app - The Citizen Lab
https://citizenlab.ca/2022/01/cross-country-exposure-analysis-my2022-olympics-app/

China's app for Olympic athletes has security flaws, study finds - Axios
https://www.axios.com/beijing-winter-olympics-app-security-flaws-0a51a256-00b7-4cca-94ab-0b87a8acf1d4.html

Report: Chinese Olympic app has serious security flaws | AP News
https://apnews.com/article/coronavirus-pandemic-winter-olympics-sports-technology-health-69ea8d5a5e5e51e898bf2f867358214f

MY2022は、オリンピック選手らの新型コロナウイルスワクチン接種情報などの収集を目的に、北京金融控股集団(Beijing Financial Holdings Group)という中国の国有企業が開発したアプリです。大会に出場する中国内外のすべての参加者は、中国に入国する14日前にMY2022を端末にダウンロードし、毎日健康状態のモニタリングを受けてその情報をアプリで提出することが義務付けられています。

このアプリについて、トロント大学の学際的研究機関であるCitizen Labは1月18日に、「2022年北京オリンピックの健康管理アプリ『MY2022』には、ユーザーの音声やファイル転送を保護する暗号化が簡単に回避されてしまうという、単純ながら致命的な欠陥があります」と発表しました。

今回、Citizen Labが指摘しているMY2022のセキュリティ上の欠陥は2つあります。そのうちの1つは、アプリがSSL証明書の検証を行っていないため、機密性の高い暗号化データの送信先を検証できないという脆弱(ぜいじゃく)性です。SSLを使用すると、端末がサーバーに接続して送信するデータのプライバシーを保護し、通信内容が読み取られたり改ざんされたりしないようにできます。MY2022がこの機能を有していないということは、第三者がアプリとサーバーとの通信を妨害して信頼済みのサーバーになりすますことで、パスポート情報や医療情報を盗んだり、ターゲットに偽の指示を送ったりすることが可能になることを意味します。

もう1つの欠陥は、MY2022が一部の機密データを暗号で保護せずに送信するという点です。暗号化されていないデータには、メッセージの送信者と受信者の名前、ユーザーアカウントの識別子などプライバシー性の高いデータが含まれており、安全性の低い無線LANに接続している人やインターネットのプロバイダなどによって容易に盗み取ることができる状態になっていました。

MY2022が持つこれらの問題は、Android向けとiOS向けの両方で確認されました。またCitizen Labは、MY2022がユーザー情報をどんな組織と共有するかがプライバシーポリシーに明記されていないことも指摘した上で、「Google PlayのポリシーやApp Storeのガイドラインに違反しているおそれがあるため、今後両社により何らかの対応が行われる可能性があると考えています」と述べました。

さらに、MY2022のAndroid版には、中国で政治的とされるキーワード2442個のリスト「illegalwords.txt」も付随していました。キーワードのほとんどは簡体字中国語で、残りは繁体字中国語、チベット語、ウイグル語、英語だったとのこと。キーワードには中国の国家主席である習近平氏の名前である「习近平」や、「中国共産党は悪」という意味の「中共邪恶」、六四天安門事件を示す複数の単語などのほか、犯罪やポルノ、宗教に関する用語が列記されていました。

Citizen Labによると、MY2022にはこの検閲ワードリストを参照するようなコードが含まれていますが、現行バージョンのアプリでは機能していないとのこと。ただし、完全に使用を廃止したのか、意図的に使わないようにしているだけなのかは不明です。「illegalwords.txt」はGitHubで公開されており、このリンクから閲覧できます。

Citizen Labは、今回の分析結果を2021年12月に北京五輪大会組織委員会に報告しましたが、回答は得られませんでした。一方、国際オリンピック委員会(IOC)は、海外ニュースメディア・Axiosの取材に対し「当該アプリに関する2つの独立した第三者評価を実施した結果、重大な脆弱性は含まれていませんでした」と回答した上で、「私たちは、Citizen Labの懸念をより深く理解するため、さらなるレポートを要請しました」と述べました。