中国の関与が疑われたサイバーインシデント②:個人の被害
更新日:
今日は、あまりにも有名な話ではありますが、私たちの暮らしに身近なスマートフォンについて、サプライチェーン・リスクによる情報流出が発生していたケースを書いておきます。
私が、日本における5G(第5世代移動通信システム)の展開に向けた取組に関わる立場となった折に、HuaweiやZTEを特に強く警戒する契機となった出来事でした。
2016年11月15日、米国のDARPA(国防高等研究計画局)から分離したセキュリティ解析ツール提供企業Kryptowireが、「中国の大手企業であるShanghai ADUPS Technologyが開発したファームウェア(電子機器に具体的な仕事をさせるために組み込む制御用プログラム)を採用したスマートフォンに、バックドア(外部からコンピュータに侵入しやすいようにする裏口)が仕組まれている」旨を発表しました。
ADUPS製ファームウェアを採用したスマートフォンは、ユーザーの位置情報・通話履歴・連絡先情報・入力したテキストメッセージなどを収集し、72時間おきに(3日に1回)、中国に在るサーバに送信していたということでした。
ユーザーが送信するテキストメッセージは暗号化されていると思うのですが、Kryptowireの技術者は暗号キーを見つけることができ、メッセージの解読に成功したというのですから、ゾッとする話でした。
この問題を発表した米国Kryptowireの従業員の1人が、たまたまBLU Products製のスマートフォン「BLU R1 HD」を購入したことを契機に発覚した案件だということでした。
中国のShanghai ADUPS Technologyは、世界の多くのデバイスメーカーやモバイルオペレータ、半導体企業と協業しており、問題のファームウェアは、HuaweiやZTEなどのメーカーが採用し、出荷数は7億台に上ると試算されました。
Shanghai ADUPS Technologyは、翌11月16日に声明を発表し、「ADUPS製ファームウェアでは、モデル情報・デバイスの状態・アプリケーションの情報・bin/xbinの情報など様々な情報を収集していること」を認めました。
しかし、目的については、「正しいアップデートとサービスをデバイスに対して提供していることを確認する為であり、テキストメッセージや通話履歴を収集していたのは、迷惑メールや迷惑電話対策だ」ということでした。
同社は、BLU向け製品をアップデートし、これらの機能を削除したと報じられました。
個人情報流出への懸念という点では、その前年の2015年2月上旬、米国の保険事業者アンセムのデータベースサーバに対して不正アクセスがありました。
8000万人以上の新旧加入者や従業員の情報が窃取され、氏名・生年月日・加入者ID・社会保障番号・住所・電話番号・電子メールアドレス・勤務先情報が流出しました。
この事件については、中国人民解放軍のハッカー部隊であるディープ・パンダによる犯行だという専門家の分析が報じられていました。