ティックトック(TikTok)には危険性があるのか?スマホアプリの権限や個人情報のリスクを考える

TikTokなどSNSを使うときのリスクを考えよう
2021年1月10日の朝日新聞にトランプ政権が危険性を指摘した「TikTokは個人情報を抜き取るのかアプリを解析」という大変興味深い記事が掲載されました。TikTok(ティックトック)は個人情報を収集して流出させているのか?危険性があるのか?綿密に調査した良記事ですが会員以外は閲覧できません。
そこで記事を再構成してご紹介して、当ブログの見解も加えて、TikTokだけでなく、スマホアプリの本当の危険性とは何か?アプリの個人情報問題をどう考えるべきか?ご案内します。

トランプ政権に危険性を指摘されたTikTok(ティックトック)

トランプ政権によるTikTok利用制限とは?

TikTokは最大60秒の動画や特殊効果が簡単に作成できる、おてがるな動画共有サービスです。

中国のByteDance社が2016年にサービスを開始して以来、若いユーザーを中心に爆発的に利用者が増え、全世界で使われています。

日本でも2018年には動画配信アプリで、youTubeなどを押さえてダウロード数第1位になりました。

ところが、2020年8月トランプ大統領は「TikTokは個人情報を流出させる国家安全保障上の脅威だ」として開発元のByteDanceとの取引を禁じる大統領令へ署名しました。

かねてより、トランプ政権は、中国との対決姿勢を鮮明にして2019年5月に華為技術(ファーウェイ)の米国からの排除をすすめており、TikTokも同様の動きの中で発令されたものと思われます。

しかし同様の措置は、中国と対峙しているインドでも取られ、TikTokは国家安全保障とプライバシーの危険性から、インド国内での使用が禁止されています。

またネット上では「ティックトックは見るだけで危険」といった風評も流れました。

トランプ政権のTikTok禁止措置に対する米連邦判事の2度目の判決、米政府の制限一時差し止め | TechCrunc...
米連邦判事は、TikTokのアメリカ国内での事業を事実上禁止する米政府の制限に対して、一時差し止めを命じた。判決は、ドナルド・トランプ大統領、ウィルバー・ロス商務長官、および司法省に対してTikTokとByteDanceが提訴した裁判において、米連邦地方判事Carl Nichols(カール・ニコルズ)氏が下したもの..
TechCrunch Japan
 
https://jp.techcrunch.com/2020/12/08/2020-12-07-second-federal-judge-rules-against-trump-administrations-tiktok-ban/

さらにトランプ大統領や共和党の一部議員よりは、TikTok以外の中国製のアプリも全面禁止すべきだとの声が上がりました。

しかし今のところは、連邦判事より利用制限の一時差し止めが認められるなど法廷闘争が続き、本当に「個人情報流出があったのか?」はうわさ以上の事実関係は明らかになっていません。

 

※2021年6月9日バイデン大統領はトランプ前大統領のTikTok禁止を撤回し、TikTokを含む海外アプリの再調査を指示しました!
詳しくは以下の記事をご覧ください。
コラム:TikTok禁止撤回、バイデン政権「客観的」判断へ
中国系動画投稿アプリ「TikTok(ティックトック)」に対して米国が締め付けを続けるとしても、もはやそれはティックトックにこだわり過ぎることはなくなる。バイデン米大統領は9日、トランプ前大統領が発出したティックトックと中国の通信アプリ「微信(ウィーチャット)」の利用禁止命令を撤回。米政府は今後、こうした特定企業を狙い撃ちにするのではなく、外国の敵対勢力が所有しているかどうかなど、より客観的な基準で安全保障上の脅威を判断していくことになる。
JP
 
https://jp.reuters.com/article/biden-tiktok-breakingviews-idJPKCN2DM005

 

 

日本政府でも懸念の声~私たちはどうすれば良いのか?

日本でも2020年7月自民党の議員より「安全保障の観点からTikTokなど中国製のアプリの危険性の指摘と規制の必要性」の提言が出ましたが、その後は進展はありません

アメリカやインド政府のように、「TikTokが危険なアプリ」なのなら、私たちの日常使用にも不安を感じますが、実際のところ具体的に「何が危ないのか」「個人情報を漏えいさせているのか?」「見るだけで危険なのか?」などの情報はありませんでした。

そんな時に、綿密な調査と取材により、私たちの疑問に答えてくれたのが、今回ご紹介する朝日新聞の記事です

 

朝日新聞の記事「TikTokは個人情報を抜き取るのか?」のまとめ

結論はTikTokは安全。しかし、、

まず、朝日新聞の2021年1月10日付け記事(編集委員・須藤龍也、同・峯村健司、荒ちひろ)の「TikTokは個人情報を抜き取るのか アプリを解析」の結論は

  • 「今のTikTokは一般的なアプリと同様の情報取得しかしておらず、個人が特定される危険はない」。
  • 「しかしアプリや通信には、そもそも情報を政府に収集されるリスクがあることは理解しておくべき」

とされています

朝日新聞がTikTokの調査をした背景

米国のTikTok排除の動きは急速で、2020年1月アメリカ軍は軍支給のスマホでTikTok使用を禁止、7月には政府職員の使用も禁止しました。

さらに2020年8月、トランプ大統領はTikTok運営企業との取引禁止の大統領令を発令しました。

しかし米国は具体的に危険の証拠は示してはいません。

そこで朝日新聞は国内の二人の専門家に、念のため同じ方法でTikTokアプリの解析してもらい、両者の検査結果を比較検証して「本当にTikTokに危険があるのか」慎重に調査することにしました。

TikTokアプリを朝日新聞が調査した内容

朝日新聞の調査は以下のように主観を排除するため、専門家によって客観的にTikTokアプリを厳密に調査しています。

  • TikTokアプリのプログラムの内容を1行ずつ調査、どんな動作をするのか確認。
  • TikTokアプリの外部への通信を監視して、どんな情報を外に送信しているのか調査。
  • 上記を、米国が規制をはじめた2019年8月の前と後のTikTokアプリそれぞれで調べ、開発元がどう対処したかも比較。

TikTokアプリ調査の結果

2人の専門家に調査によって、以下のような事実が判明しました。

TikTokアプリに不正な動作はあったか?

  • TikTok利用者はメールアドレスか電話番号、twitterなどのSNSアカウントをTikTokに提供しているが、TikTokアプリは悪用していなかった。
  • TikTokアプリに不正動作は見つからなかった
  • TikTokアプリ内に、利用者を特定できる可能性がある「利用者端末のIMEI番号の取得」と「スマホのクリップボードの情報を読み取る機能」のブログラムが設置されていた。
    しかし、この機能は調査時点では使われておらず、2019年8月以降のアプリからは該当のプログラムは削除されていた。
  • 以上の結果は、別途調査して公表されているフランスのセキュリティー専門家の見解とも一致している。

TikTokアプリに不正な情報取得や外部への情報送信はあったか?~朝日新聞の結論は?

以上の調査結果から、朝日新聞は「TikTokに個人情報の不正送信はなかった」と結論づけました。

現在のところTikTokが外部に送信したデータは、「スマホのバージョンやモデル、機種名、画面の解像度など」、一般的なアプリが送信しているものだけでした。

ただし、TikTokは

  • AppleやGoogleが規制している「スマホや個人を特定できるMACアドレス情報」の収集につながるデータを過去送信していたが、2019年8月以降削除した。
  • 利用者が特定できる情報を取得するプログラムを持っていたが、今は削除した

グレーな事実は残りました。

 

調査内容に対してTikTokの開発元企業の見解は?

朝日新聞の取材に対して、TikTokの開発元企業ByteDance社は、いかなる不正もしていないと、以下のような見解を伝えました。

  • TikTokアプリは他のアプリと同様の問題ない個人情報しか収集していない。
  • 「MACアドレス」集める機能は現在のバージョンでは収集していない
  • 「未使用のクリップボードの情報を読み取る機能」はユーザーの迷惑行為監視のために設計したが、現在はアプリから削除した。
  • 透明性を高めるためロサンゼルスに外部の専門家にアプリを調査させる「トランスペアレンシーセンター」を設置した。

 

米政府がTikTokを禁止する理由は

もっとも以上の朝日新聞のような調査は米国政府も当然行っているはずで、それでもTikTokを規制しようとするのは、中国の新しい国家情報法への警戒があります。

2017年に中国で制定された「国家情報法」により、中国企業や個人は、国家の諜報活動への協力が義務づけられました。

この法律によって、中国のアプリ会社は、中国政府が求めると、収集した政府職員、軍人の個人情報を中国政府に提供してしまう可能性があり、国の安全保障の脅威になるとも解釈できます。

また、今は不正な機能がなくても、「自動バージョンアップに隠れて不正機能をあとから加えることが可能」なことも、規制の大きな理由の一つでしょう。

 

中国政府の本音は

記事の最後に非常に気になる記載がありました

朝日新聞の取材に対して、中国政府の安全保障に関わる関係者は、

「米政府も通信会社から情報提供を受けている。中国が同じことをするのは当然の権利だ」

と答えたそうです。

この報道を文字通りに受け取ると、「中国もアメリカも、当たり前のようにアプリから情報を得て、お互いを監視している」と言うことになってしまいます。

記事ではこの真偽には答えていませんので、次項で詳しくご説明します。

 

2022年8月TikTokに新たな疑惑が!?

2022年8月22日、アメリアの著名なアプリ開発者でGoogleのアドバイザーも務めるフェリックス・クラウス氏が「TikTokのiOS用アプリには、キーログ(ユーザーのキー入力を盗み取る機能)がある」と衝撃の発表を行いました。

詳しく以下の記事をご覧ください。

ITmedia NEWS
TikTokのiOSアプリも「キーロガーと同じような動作」と開発者が指摘

TikTokのiOSアプリは、TikTok外のWebサイトを開くのにアプリ内ブラウザしか使えず、ブラウザはJavaScr…

当然TikTok側は「目的が異なる。不正な機能ではない」と反論していますが、クラウス氏の指摘のように確かにキーログにも転用できて悪用される可能性のあるコードが含まれていたのは事実のようですし、TikTokがサイトの閲覧にSafariのような外部ブラウザーを使用できない仕様になつていることも、不信を招いてしまいます。

今後TikTokがどう改善するのか長目したいと思います。

 

個人が気をつけるべきは政府の監視より、アプリ権限の悪用や危険アプリ

政府による監視を法律化しているのは中国だけではない

繰り返しになりますが、今回の朝日新聞でもっとも見逃せないところは、最後の下記の一節でしょう。

 ティックトック側はこれまで、ウェブサイトなどで中国政府など第三者への情報提供を一貫して否定する。法執行機関への情報提供についても利用規約を何度も改訂し、各国の法令に基づいた手続きの流れを明文化するなど、より透明性を高めた形跡がある。

 だが安全保障に関わる中国政府関係者は、朝日新聞の取材にこう強調した。「米政府は通信会社から情報提供を受けている。(中国企業から情報を取得することは)我が国も当然の権利だ

■出典:朝日新聞 「TikTokは個人情報を抜き取るのか アプリを解析

の部分です。

つまり中国の関係者は「アメリカだってやっているから、我々がやってもかまわない」と、当然のことのように言い切っているところです。

中国では、国家情報法により、「国家が求めれば、企業や個人は企業情報を含めた、あらゆる情報を提供しなければならない」とされています。

ところが、アメリカにも「デジタルテレフォニー法」という法執行機関のための通信支援法(CALEA)があり、一定の条件下で政府による通信の傍受や盗聴が認められています

 

スノーデン事件で明らかになった国家による個人情報収集の事実

また、米国家安全保障局(NSA)の職員だったエドワード・スノーデンが暴露した、いわゆる「スノーデン事件」では、たくさんの衝撃的な事実が明らかになりました。

その中で「米国政府は市民間の通信を傍受するほか、マイクロソフト、Yahoo!、Google、Facebook、Appleなどのメーカーが、米政府NSAのために、通信機器やソフトウェア製品にアクセスする裏口(バックドア)を用意していた」と報じられました。

ユーザーの同意を得ずに、勝手にスマホなどのデータをのぞき見る仕組みをバックドア(backdoor=裏口)と言います。

この問題については、たびたび議会やマスコミも米政府を追求しましたが、「安全保障に関わる」高い壁があり、依然として全容や真偽は明らかではありません。

諸情報から判断すると、スノーデンは決して根も葉もないデタラメを語っているのではなく、一定の真実を含んだ発言だと思われます。

 

スマホやアプリのバックドアを心配してもしかたがない

仮にバックドアがあっても一般の個人には無関係

「本当に政府が利用できるバックドアがあるのか?」は本当のことは各国の安全保障の根管に関わることであり、分かりません。

しかし、仮にあったとしても、それが使われるのは「国の安全を左右するような重大な時」に限られます。

当然の事ながら、「個人のスマホの内部が他人に勝手にのぞかれる」「情報を勝手に抜き出す」ようなことは、今のスマホやパソコンではあり得ません。

政府に限らず、広く使われているアプリから、大量の情報を抜き出すようことをすれば、すぐにばれてしまいます。

少なくとも西側の国家では、とてもそんな乱暴なことはできるはずがありません。

あくまで「位置情報など最小限のデータをとりだして、様々な情報を付き合わせて分析し、ようやくひとつの情報を知る」というような、手間のかかる諜報活動レベルの話しです。

中国政府がTikTokに命じて、わざわざ「あなたのスマホからあなたの位置情報を抜き出し、手間とコストをかけて他の情報と付き合わせて、あなたの行動を見張る」などあるはずがありません。

悩むだけ無意味です。

 

個人が本当に注意すべきポイントは、政府の盗聴よりスマホアプリが持つ本質的な危険

国家によるバックドアより、本当に注意すべきは、もっと身近な大きなリスクです。

今回の記事で、個人が注意すべきポイントは?

  • TikTokはAppleやGoogleが規制している「スマホを特定できるMACアドレス情報」につながるデータを、2011年8月まで勝手に送信していた。
  • たとえ今は不正な機能がなくても、自動バージョンアップに隠れて不正機能を加えたり削除かることが可能。

という、スマホの持つ危うさを明らかにしました

 

スマホアプリの危険性とは?

有名アプリですら不審な動作!無名アプリは大丈夫?

中国やアメリカ政府の介入よりも、もっと身近ではるかに大きなリスクがスマホアプリには多数潜んでいます。

例えば、FacebookやInstagramは想像以上に多くの個人情報を外部と共有していて、特にInstagramの提供する情報量は驚くべきものです。

有名アプリですらこの有様ですから、無名アプリについては、十分な警戒が必要です。

詳しくは以下の当ブログの記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)
危険アプリ/不正アプリ/不要アプリとは?~アプリ権限を悪用する悪質アプリの実態と被害を防ぐ基礎知識

スマホのアプリは生活に欠かせないものですが、危険アプリがアクセス権限を悪用して個人情報を流出させる事例も多発しています。また広告代や課金目当てに不要アプリをすすめる詐欺広告も迷惑や被害を生み出しています。さらに大手サービスも含む「大量の[…]

「危険アプリ、個人情報を外部に提供する不正アプリ」の危ない実態と被害を防ぐ基本知識を知ろう

 

アプリ使用にはリスクがいっぱい

形としては合法とは言え、「多くの個人情報を勝手に外と共有するアプリ」以外にも、アプリを取り巻く危険は以下のようなものがあります

公式ストアの審査をくぐり抜ける不正アプリの存在

TikTokのような、「公式アプリ」で「世界中で利用者多い=たくさんの技術者によって監視されている」アプリですら、指摘されるまでは「必ずしも必要ない情報を収集する機能」を組み込んでいたという点には驚かされました。

iPhoneもAndroidも同様に、公式ストアで配布される公式アプリは、AppleやGoogleの厳しい審査を受けてパスした「正しいアプリ」のはずですが、実際は必ずしもそうなっていません。

仕組みとしても不正ができにくいiPhoneですら、時々「不正アプリ」が発見されますし、Androidでは頻繁に見つかっています。

下記のセキュリティ会社トレンドマイクロのブログ記事を見ると、Google Play上で不正アプリが配信されている実情がよく分かります。

また、アプリのバージョンアップは、機能とセキュリティ向上のために必要で、ひんぱんに実施されます。

アプリがバージョンアップする際も、もちろん審査がありますが、膨大な件数のため、どうしても見逃しがあります。

そこを狙って、公式ストアで配信を開始した後から、バージョンアップをよそおって、密かに不正機能を組み込む手口も多く確認されています。

■トレンドマイクロセキュリティブログ 「Android端末向け不正アプリ」

ブログ内の関連記事(新しいウィンドウで開きます)
iPhoneの詐欺アプリに課金されてしまった!課金被害を防ぐ悪質アプリの見分け方、課金の解除など対処方法は?

厳しい審査を経ているはずのAppleの公式アプリストアApp Storeにも、偽の警告や詐欺的な販売方法、高評価のサクラレビューなどの手口で高額の定額課金をだまし取る悪質な詐欺的アプリが多数存在しています。iPhoneを使っていると、不[…]

詐欺アプリでiPhoneに課金されない、被害にあわない悪質アプリの見分け方と対処方法

「アプリの権限」を悪用して堂々と個人情報を盗む危険アプリ

また不正アプリとは言えないまでも、「アプリがスマホ上のデータや動作を利用する権限」を勝手な拡大し、不注意なユーザーの「許可」を悪用して、個人情報を盗むグレーなアプリは、普通に発見されています。
Androidスマホに新しいアプリをインストールする時、「このアプリに○○の権限を与えることを許可しますか?」と聴かれることがありますが、信用できないアプリで不用意に「OK」とするのは非常に危険です。
「電話をかけるアプリ」が「スマホの連絡先を見る権限」を求めるのは正しいですが、ゲームアプリが連絡先を見る必要は全くありません
ところが、ゲームに見せかけてあなたの連絡先をのぞいているようなアプリが存在しているのです。
詳しくは当ブログの下記記事をご覧ください。
ブログ内の関連記事(新しいウィンドウで開きます)
「Androidアプリの権限とは?」安易な許可は危ない。ポップアップのここだけは確認しよう!

Androidスマホを使うとき、しばしば「権限を与えることを許可しますか?」のメッセージが出てきます。よく読まずに「許可」してしまいますが、本当にそれで良いのでしょうか?スマホには「便利と引き換えで個人情報を渡している」というリスクもつ[…]

アプリの権限とは?わからなくて不安

詐欺警告や詐欺広告とグルになってインストールさせる不要アプリ

ネットをしていると「スマホがウイルスに感染しています」「通信がハッカーに狙われています」などのボップアップが出て、セキュリティ対策アプリに誘導されることがしばしばあります。

これらのアプリのほとんどは不要なアプリで、インストールするとさらに詐欺警告を出し続けて、高額な課金や情報流出につながるような危険アプリまであります。

VPNアプリもクリーナーアプリも、今はほとんど不要です。

ブログ内の関連記事(新しいウィンドウで開きます)
スマホにVPNアプリは本当に必要なのか?~宣伝や広告にまどわされて不正なアプリを入れてはいけない!

スマホを使っていたりネットを見ていると、しばしば「VPN」アプリの広告が届きます。「VPNがあなたのデータの秘密を守ります」との説明は本当でしょうか?知っているようで知らないVPNの仕組みから、VPNアプリの必要性、「無料のVPNアプリ[…]

スマホにVPNアプリは必要なのか?~古い常識や広告にまどわされず正しい選択を!

まとめ:
アプリはユーザー数が多い有名なものを使いましょう。「ただより高いもの」はありません!

スマホやネットが普及しだして、実はまだ20年。急激なデジタル機器やサービスの進化に、ルールや監視が追いついていません。
本日ご説明したように、各国間の基本的なルールや法律ですら、まだこれからです。
こんな時代にアプリやサービスを使う際は、とにかく「みんなが使っている有名なものを使う=長いものに巻かれる」のが一番安心です。
今回のTikTokの検証でも分かったとおり、有名アプリは全世界の多数の有識者によって徹底的に調査されますので、個人レベルでの危険はまずあり得ません。
  • ユーザー数が多く、比較的長い歴史があって信頼がおける製品。
  • 開発元が信頼できる企業・組織。
  • 「パスワード管理アプリ」など機密や重要な個人情報を扱う製品は、敢えて有料アプリを使う。
をぜひご注意ください。
ブログ内の関連記事(新しいウィンドウで開きます)
アプリやサービスの選択に迷ったら、覚えておきたい「2つの真理」とは

「デジタル遺品やデジタル遺産の継承~デジタル終活」のために「パスワードマネージャー(パスワード管理ツール)などアプリやサービスを使いたいが、いろんなサービスがありすぎで、選択に迷ってしまう」という方のため、「アプリやオンラインサービスを選ぶ[…]

デジタル終活のためにアプリやサービスを使いたいが、いろんなサービスがありすぎで選択に迷ってしまう

 

「私のスマホやパソコンがハッキングされているかも、、」不安な時の強い味方をご紹介!

今のスマホやパソコンは安全ですが、どうしても不安が拭えないこともあります。またデジタル社会では、デバイスのロック解除が必要になったり、不正行為の証拠を集めるなければならない事態もあります。
ただしネット上には不確かな情報や怪しい業者も目立ちます。セキュリティに関わる調査は絶対に信頼できるプロに任せなければいけません。

デジタルキーパーも貴重な情報を提供いただいている「DDFデジタルデータソリューション株式会社 の《デジタルフォレンジング》」は、官公庁、警察・捜査機関からの信頼も厚い、国内随一の高い技術と実績を持つサービスです。

各種マルウェア・ハッキング調査はデジタルフォレンジングへ
パスワード解析はデジタルフォレンジングへ

 

 

Digital Keeperお薦めのセキュリティソフト

やはりセキュリティ対策ソフトは必要です

今では、サイバー攻撃の主流はユーザーをだまして、不正プログラムをインストールさせたり、偽サイトに誘導し個人情報を盗み取る手法に移行しています。

Windows10のセキュリティ機能(Windows Defender)は、ウイルスの侵入は防ぎますが、ユーザーをだますフィッシング対策はありません。

セキュリティ専門ソフトは、より強力な防御力と以下のような追加機能で、あなたとご家族の危険を確実に減らしてくれます。

  • フィッシングサイト等、ネット上の危険なコンテンツへのアクセスを止める。
  • フィッシングメールにだまされてURLをクリックしても「警告」して止める。
  • 感染しても重要な個人情報の流出や不正送金を食い止める。
  • ネット上にあなたの個人情報が流出していないか調査する。
  • お子様のネットの利用時間や不健全なサイト利用を制限する。
  • 紛失したスマホを探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。
  • サイバー攻撃にあった時、ユーザーサポートの支援が受けられる。

※iPhoneは強固な構造のためセキュリティアプリは不要ですが、Androidにはセキュリティアプリは必要です。

セキュリティソフトの選び方、買い方

セキュリティソフトの選択は、価格や広告で選んではいけません!無料なアプリはかえって危険につながることもあります。

  • 世界各国で使用実績が豊富で、要求が厳しい企業向け製品にも実績のある
  • 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られる
  • 動作が軽く、機器使用の障害にならない
  • ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできる
  • ユーザーサポートがしっかりしている。

製品がおすすめです。

また、タブレットやスマホまで、トータルでカバーできて「子供が無くしたスマホを探す」など家中の機器すべてをまとめてセキュリティ管理でき、費用も大幅に安くできます。
購入は、ダウンロード販売が使用環境に併せて、数や機能を選択できるため、安くて便利です。ご家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。

お奨めのセキュリティソフトはノートン

Digital Keeperがおすすめしているのは世界で一番売れているーノートン の製品です。

ノートンは1990年から販売されている世界でも指折りのセキュリティ対策ツールです。防御力は世界各地の第三者機関のテストで常に「最上」の評価で、ノートン セキュア VPNという、wifiを安全に使えるVPN機能も標準で含まれています。