fbpx

「TikTokは個人情報を抜き取るのか?」朝日新聞記事よりスマホアプリの権限や個人情報のリスクを考える

TikTokなどSNSを使うときのリスクを考えよう
2021年1月10日の朝日新聞にトランプ政権が危険性を指摘する「TikTokは個人情報を抜き取るのかアプリを解析」という大変興味深い記事が掲載されました。TikTok(ティックトック)は本当に個人情報を収集して流出させているのか?綿密に調査された良記事ですが有料会員以外は全文をご覧になれません。
そこで記事を再構成してご紹介すると共に、当プログの見解も加えて、個人がスマホを安全に使うために、この問題をどう考えるべきか?ご案内します。
/ins>

TikTokはどうして警戒されるのか?

TikTok(ティックトック)とは?

TikTokは最大60秒の動画や特殊効果が簡単に作成できる、おてがるな動画共有サービスです。

中国のByteDance社が2016年にサービスを開始して以来、若いユーザーを中心に爆発的に利用者が増え、全世界で使われています。
日本でも2018年には動画配信アプリで、youTubeなどを押さえてダウロード数第1位になりました。

トランプ政権による利用制限

2020年8月トランプ大統領は「TikTokは個人情報を流出させる国家安全保障上の脅威だ」として開発元のByteDanceとの取引を禁じる大統領令へ署名しました。

トランプ政権は、中国との対決姿勢を鮮明にして2019年5月に華為技術(ファーウェイ)の米国からの排除をすすめました。

TikTokも同様の動きの中で発令されたものと思われます。

同様の措置は、中国と対峙しているインドでも取られ、TikTokは国家安全保障とプライバシーの危険性から、インド国内での使用が禁止されています。

またネット上では「ティックトックは見るだけで危険」といった風評も流れました。

さらにトランプ大統領や共和党の一部議員よりは、TikTok以外の中国製のアプリも全面禁止すべきだとの声が上がりました。

しかし今のところは、連邦判事より利用制限の一時差し止めが認められるなど法廷闘争が続き、本当に「個人情報流出があったのか?」はうわさ以上の事実関係は明らかになっていません。

日本政府でも懸念を占める声は上がった。私たちはどうすれば良いのか?

日本でも2020年7月自民党の議員より「安全保障の観点からTikTokなど中国製のアプリの規制が必要」との提言が出ましたが、その後は進展はありません

アメリカやインド政府のように、「TikTokが危険なアプリ」なのなら、私たちの日常使用にも不安を感じますが、実際のところ具体的に「何が危ないのか」「個人情報を漏えいさせているのか?」「見るだけで危険なのか?」などの情報はありませんでした。

そんな時に、綿密な調査と取材により、私たちの疑問に答えてくれたのが、今回ご紹介する朝日新聞の記事です

 

朝日新聞の記事「TikTokは個人情報を抜き取るのか?」のまとめ

朝日新聞の2021年1月10日付け記事(編集委員・須藤龍也、同・峯村健司、荒ちひろ)の「TikTokは個人情報を抜き取るのか アプリを解析」の概要は以下の通りです。

結論としては

  1. 「今のTikTokは一般的なアプリと同様の情報取得しかしておらず個人が特定される危険はない」。
  2. 「しかしアプリや通信には、そもそも情報を政府に収集されるリスクがある」

とされています

記事の背景

  • 米国のTikTok排除の動きは急速で、2020年1月アメリカ軍は軍支給のスマホでTikTok使用を禁止、7月には政府職員の使用も禁止。
  • 8月、トランプ大統領はTikTok運営企業との取引禁止の大統領令を発令。しかし米国は具体的な危険の証拠は示していない。
  • そこで朝日新聞は国内の二人の専門家に、同様の方法でTikTokアプリの解析してもらい、両者の結果を比較検証して「本当に危険があるのか」慎重に調査した。

TikTokアプリの調査内容

  • TikTokアプリのプログラムの内容を1行ずつ調査、どんな動作をするのか確認。
  • TikTokアプリの外部への通信を監視して、どんな情報を外に送信しているのか調査。
  • 上記を、米国が規制をはじめた2019年8月の前と後のTikTokアプリそれぞれで調べ、開発元がどう対処したかも比較した。

調査の結論

TikTokアプリに不正な動作はあったか

  • TikTok利用のために、利用者はメールアドレスか電話番号、twitterなどのSNSアカウントをTikTokに提供しているが、TikTokアプリは悪用していなかった。
  • TikTokアプリに不正動作は見つからなかった
  • TikTokアプリ内に、利用者を特定できる可能性がある「IMEI」「クリップボードの情報を読み取る機能」のブログラムが設置されていたが、使われておらず、2019年8月以降のアプリから該当の機能は削除されていた。
  • 以上の結果は、別途調査して公表されているフランスのセキュリティー専門家の見解とも一致している。

TikTokアプリに不正な情報取得や外部への情報送信はあったか?

  • 個人情報の不正送信はなかった。
  • AppleやGoogleが規制している「スマホや個人を特定できるMACアドレス情報」の収集につながるデータを送信していたが、2019年8月以降削除されていた。
  • 現在外部に送信しているのは「スマホのバージョンやモデル、機種名、画面の解像度など」、一般的なアプリが送信しているものだけだった。

調査内容に対してTikTokの開発元企業ByteDance社の見解は?

  • TikTokアプリは他のアプリと同様の問題ない個人情報しか収集していない。
  • 「MACアドレス」集める機能は現在のバージョンでは収集していない
  • 「未使用のクリップボードの情報を読み取る機能」はユーザーの迷惑行為監視のために設計したが、現在はアプリから削除した。
  • 透明性を高めるためロサンゼルスに外部の専門家にアプリを調査させる「トランスペアレンシーセンター」を設置した。

それでも米政府がTikTokを禁止する理由は

  • 2017年に中国で制定された「国家情報法」により、中国企業や個人は、国家の諜報活動への協力が義務づけられた。中国系アプリが収集した個人情報を中国政府に提供し、安全保障の脅威になると考えている。
  • 政府職員、軍人の情報が中国側に提供されることで、行動が把握される危険がある。
  • たとえ今は不正な機能がなくても、自動バージョンアップに隠れて不正機能を加えることが可能
  • 朝日新聞の取材に対して、中国政府の安全保障に関わる関係者は、「米政府も通信会社から情報提供を受けている。中国が同じことをするのは当然の権利だ」と答えた

 

個人が気をつけるべきは政府の監視より、一般的なアプリの権限

政府による監視を法律化しているのは中国だけではない

今回の朝日新聞でもっとも見逃せないところは、下記の一節でしょう。

 ティックトック側はこれまで、ウェブサイトなどで中国政府など第三者への情報提供を一貫して否定する。法執行機関への情報提供についても利用規約を何度も改訂し、各国の法令に基づいた手続きの流れを明文化するなど、より透明性を高めた形跡がある。

 だが安全保障に関わる中国政府関係者は、朝日新聞の取材にこう強調した。「米政府は通信会社から情報提供を受けている。(中国企業から情報を取得することは)我が国も当然の権利だ

■出典:朝日新聞 「TikTokは個人情報を抜き取るのか アプリを解析

の部分です。

つまり中国の関係者は「アメリカだってやっているから、我々がやってもかまわない」と、当然のことのように言い切っているところです。

中国では、国家情報法により、「国家が求めれば、企業や個人は企業情報を含めた、あらゆる情報を提供しなければならない」とされています。

ところが、アメリカにも「デジタルテレフォニー法」という法執行機関のための通信支援法(CALEA)があり、一定の条件下で政府による通信の傍受や盗聴が認められています

スノーデン事件で明らかになった国家による個人情報収集の事実

また、米国家安全保障局(NSA)の職員だったエドワード・スノーデンが暴露した、いわゆる「スノーデン事件」では、たくさんの衝撃的な事実が明らかになりました。

その中で「米国政府は市民間の通信を傍受するほか、マイクロソフト、Yahoo!、Google、Facebook、Appleなどのメーカーが、米政府NSAのために、通信機器やソフトウェア製品にアクセスする裏口(バックドア)を用意していた」と報じられました。

ユーザーの同意を得ずに、勝手にスマホなどのデータをのぞき見る仕組みをバックドア(backdoor=裏口)と言います。

この問題については、たびたび議会やマスコミも米政府を追求しましたが、「安全保障に関わる」高い壁があり、依然として全容や真偽は明らかではありません。

諸情報から判断すると、スノーデンは決してデタラメを語っているのではなく、事実だと思われます。

 

スマホやアプリのバックドアを心配してもしかたがない

仮にバックドアがあっても一般の個人には無関係

「本当に政府が利用できるバックドアがあるのか?」は分かりませんが、仮にあったとしても、それが使われるのは「国の安全を左右するような重大な時」です。

当然の事ながら、「個人のスマホの内部が他人に勝手にのぞかれる」「情報を勝手に抜き出す」ようなことは、今のスマホやパソコンではあり得ません。

政府に限らず、広く使われているアプリから、大量の情報を抜き出すようことをすれば、すぐにばれてしまいます。

少なくとも西側の国家では、とてもそんな乱暴なことはできるはずがありません。

あくまで「位置情報など最小限のデータをとりだして、様々な情報を付き合わせて分析し、ようやくひとつの情報を知る」というような、手間のかかる諜報活動レベルの話しです。

中国政府がTikTokに命じて、わざわざ「あなたのスマホからあなたの位置情報を抜き出し、手間とコストをかけて他の情報と付き合わせて、あなたの行動を見張る」などあるはずがありません。

悩むだけ無意味です。

 

個人が本当に注意すべきポイントは、政府の盗聴よりスマホアプリが持つ本質的な危険

国家によるバックドアより、本当に注意すべきは、もっと身近な大きなリスクです。

今回の記事で、個人が注意すべきポイントは?

  1. TikTokはAppleやGoogleが規制している「スマホを特定できるMACアドレス情報」につながるデータを、2011年8月まで勝手に送信していた。
  1. たとえ今は不正な機能がなくても、自動バージョンアップに隠れて不正機能を加えることが可能。

という、スマホの持つ危うさを明らかにしました

 

有名アプリですら不審な動作!無名アプリは大丈夫?

公式ストアの審査をくぐり抜ける不正アプリの存在

TikTokのような、「公式アプリ」で「世界中で利用者多い=たくさんの技術者によって監視されている」アプリですら、指摘されるまでは「必ずしも必要ない情報を収集する機能」を組み込んでいたという点には驚かされました。

iPhoneもAndroidも同様に、公式ストアで配布される公式アプリは、AppleやGoogleの厳しい審査を受けてパスした「正しいアプリ」のはずですが、実際は必ずしもそうなっていません。

仕組みとしても不正ができにくいiPhoneですら、時々「不正アプリ」が発見されますし、Androidでは頻繁に見つかっています。

下記のセキュリティ会社トレンドマイクロのブログ記事を見ると、Google Play上で不正アプリが配信されている実情がよく分かります。

アプリのバージョンアップを悪用する不正アプリ

アプリのバージョンアップは、機能とセキュリティ向上のために必要で、ひんぱんに実施されます。

アプリがバージョンアップする際も、もちろん審査がありますが、膨大な件数のため、どうしても見逃しがあります。

そこを狙って、公式ストアで配信を開始した後から、バージョンアップをよそおって、密かに不正機能を組み込む手口も多く確認されています。

■トレンドマイクロセキュリティブログ 「Android端末向け不正アプリ」

「アプリの権限」を悪用して堂々と個人情報を盗む手口

また不正アプリとは言えないまでも、「アプリがスマホ上のデータや動作を利用する権限」を勝手な拡大し、不注意なユーザーの「許可」を悪用して、個人情報を盗むグレーなアプリは、普通に発見されています。
Androidスマホに新しいアプリをインストールする時、「このアプリに○○の権限を与えることを許可しますか?」と聴かれることがありますが、信用できないアプリで不用意に「OK」とするのは非常に危険です。
「電話をかけるアプリ」が「スマホの連絡先を見る権限」を求めるのは正しいですが、ゲームアプリが連絡先を見る必要は全くありません
ところが、ゲームに見せかけてあなたの連絡先をのぞいているようなアプリが存在しているのです。
詳しくは当ブログの下記記事をご覧ください。
ブログ内の関連記事(新しいウィンドウで開きます)

Androidスマホを使っていると、しばしば「権限を与えることを許可しますか?」のメッセージが出てきます。よく読まずに「許可」してしまいますが、本当にそれで良いのでしょうか?スマホには「便利と引き換えで個人情報を渡している」というリスク[…]

アプリの権限とは?わからなくて不安
ブログ内の関連記事(新しいウィンドウで開きます)

スマホ選びは価格や性能以外に「安全性」も大切です。iPhoneはAndroidよりかなり安全です。「iPhoneはウイルスに強いからセキュリティソフトが不要」「アプリ権限の許可がiPhoneは不要」「バックグラウンドでの位置情報の使用を[…]

iPhoneを安心して使うイメージ

まとめ:
アプリはユーザー数が多い有名なものを使いましょう。「ただより高いもの」はありません!

スマホやネットが普及しだして、実はまだ20年。急激なデジタル機器やサービスの進化に、ルールや監視が追いついていません。
本日ご説明したように、各国間の基本的なルールや法律ですら、まだこれからです。
こんな時代にアプリやサービスを使う際は、とにかく「みんなが使っている有名なものを使う=長いものに巻かれる」のが一番安心です。
今回のTikTokの検証でも分かったとおり、有名アプリは全世界の多数の有識者によって徹底的に調査されますので、個人レベルでの危険はまずあり得ないはずです。
  • ユーザー数が多く、比較的長い歴史があって信頼がおける製品。
  • 開発元が信頼できる企業・組織。
  • 「パスワード管理アプリ」など機密や重要な個人情報を扱う製品は、敢えて有料アプリを使う。
をぜひご注意ください。
ブログ内の関連記事(新しいウィンドウで開きます)

「デジタル遺品やデジタル遺産の継承~デジタル終活」のために「パスワードマネージャー(パスワード管理ツール)などアプリやサービスを使いたいが、いろんなサービスがありすぎで、選択に迷ってしまう」という方のため、「アプリやオンラインサービスを選ぶ[…]

デジタル終活のためにアプリやサービスを使いたいが、いろんなサービスがありすぎで選択に迷ってしまう

 

Digital Keeperお薦めのセキュリティソフト

やはりセキュリティ専門ソフトは必要です

現在のデジタル機器はセキュリティが強化され、昔のようにウイルスには簡単に感染させることができなくなりました。

そこで攻撃方法はユーザーをだます「フィッシング」によって、不正プログラムを感染させたり、偽サイトで個人情報を盗み取る手法に移行しています。

Windows10のセキュリティ機能(Windows Defender)は、ウイルスの侵入は防ぎますが、フィッシング対策はありません。

セキュリティ専門ソフトは、より強力な防御力と以下のような追加機能で、あなたとご家族がだまされてしまうリスクも低減し、万一の時も、被害低減してくれます。

  • フィッシングサイト等、ネット上の危険なコンテンツへのアクセスを止める。
  • フィッシングメールにだまされてうっかりURLをクリックしても「警告」して止める。
  • 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
  • ネット上にあなたの個人情報が流出していないか調査する。
  • お子様のネットの利用時間や不健全なサイト利用を制限する。
  • 紛失したスマホを探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。

といった機能です。

※iPhoneは強固な構造のためセキュリティアプリは不要とされています。Androidスマホにはセキュリティアプリは絶対に必要です。

セキュリティソフトの選び方、買い方

セキュリティソフトの選択は、価格や広告で選んではいけません!まして無料なアプリはかえって危険につながることもあります。

  • 世界各国で使用実績が豊富で、要求が厳しい企業向け製品にも実績のある
  • 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られる
  • 動作が軽く、機器使用の障害にならない
  • ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできる

製品ををおすすめします。

また、タブレットやスマホまで、トータルでカバーできる製品では「子供が紛失したスマホを探し出す」事など家中の機器をもれなく一括してセキュリティ管理でき、個別に揃えるより費用も大幅に安くなります。

購入に当たっては、店頭販売のパッケージ版より、ダウンロード販売の方が価格が安く、使用環境に併せて、使用機器の数や機能を選択できるため、はるかに便利です。
家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。

お奨めのセキュリティソフトは?

Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。

世界でも指折りのセキュリティ技術の先進国ロシア発祥のセキュリティ会社ですが、今では国家からの干渉を避けるため、本拠をスイスに移し、世界各国の開発拠点で活動しています。

もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。

また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。

下記のバナーから無料の30日間体験版がダウンロードできますので、使ってみて性能を実感してみてください。