専門家が指摘、LINE等アプリを使うこれだけの危険
個人情報管理の問題で記者会見するLINEの出澤剛社長(3月23日、写真:つのだよしお/アフロ)
下記は2021年4月7日付JBpressに投稿された記事です。
出展元:JBpress
中国旅行中に突然逮捕、スパイにされる恐れも
2021.4.7(水) 西村 金一
情報業務の仕事をしている者は、情報セキュリティが厳しく求められる。
なぜなら、情報が漏洩する、取られる、覗かれるという恐れがいつでもあるからだ。そのためセキュリティに深い関心があるし、セキュリティ規則で細かいところまで規制される。
多くの人々は、使用している情報ツールの個人情報が、端末機やそのソフトを製作している者に確実に覗かれていることを知らない。
しかし、情報機関で働く者は、業務では民間の情報ツールを信用していないし、絶対に使わない。業務室内への持ち込みも禁止だ。
プライベートで民間の情報ツールを使用する場合は、情報が洩れることが前提で使っている。漏れても支障がないものに限って使用する。あるいは使用者が誰か分からないようにしている。
このことに精通している米国が、政府関係者に対して中国企業の情報端末機「ファーウェイ」の使用を禁止している。この端末機を使用すると、中国に情報が流れるからだ。
一方、日本の政治家、著名人、海外に展開している企業家は、情報のセキュリティの意識が低く、情報通信のアプリであるLINEが便利だからといって日常的に使用していると聞いている。
自分が使用する情報通信ツールから情報が漏れることはない、また影響はないと、個人が勝手に判断して使用することは極めて危険だ。
まして、国の安全保障に影響するかもしれない国会議員が使用していることは、情報セキュリティの自覚がなさすぎる。
無料通信アプリ「LINE」の問題について、アプリの使用者が知らないうちに、情報が海外に渡っていることや、外国人製作者が情報を見ていることが、どれほど重大な問題なのかについて、情報を取る立場からの視点も加えて分析する。
情報監視や情報収集の痕跡を残さない
情報を抜き取る仕組みを作った者、組織は、その実態を絶対に外部の者には伝えない。したがって、外部の者には知らされないのだ。
だから、情報が洩れていても、使用者は知らないまま使用し続けている。情報を抜き取る組織は、知らないそぶりで情報を盗み続ける。
この実態が判明すれば、この後から情報を入手することができなくなるからだ。
では、どのようにして情報が見られるのか。
報道にあるように、LINE製作者は、のぞき見していた。これらの情報をどのように使用したのかは不明だが、これらの情報を使って、お金を得ていたと考えるのが妥当だろう。
面白い情報を週刊誌に売り込めば、儲けは大きい。自分が直接売り込まなくても、仲介業者を利用して売り込むことはできる。
大量の情報の中から、特定の人の情報を掴むのが難しいとの考えもあるが、キーワードを事前に入れておけば、拾い上げることは簡単だ。
例えば、「国会議員や著名人の名前」「不倫に関するワード」を入れておけば、そのメールを読むことができる。
情報ツールを製作した者は、情報抜き取りの仕組みを作っている。
情報ツールを使用する者は、指示された仕組みを信用して使用する。
「セキュリティのやり方」「こうすると情報漏洩する可能性がある」などと、取扱説明書には書いてある。しかし、この通りやれば、セキュリティは保たれるのか。
表向きは、セキュリティは保たれているが、悪意ある国家や組織は、情報を抜き取る仕組みを作っておいて、使用者が知らないところで情報を抜き、あるいは悪意ある組織のところに転送している。
サイバー犯罪者は、抜け道を探し出して、情報を抜き取り、その情報を悪意をもって使用している。
前代未聞、交信内容が海外に駄々洩れ
今回、LINE使用者の個人情報が管理を委託された中国企業から閲覧できる状態になっていた。
開発の過程で関連会社の技術者4人が日本のサーバーに接続し、利用者の氏名や電話番号、メールアドレス、メッセージの内容などを閲覧できる状態にしていたという。
情報業務の仕事をしていたとき、情報通信機器機から交信内容の情報が見られる仕組みになっていることは聞いていた。
だが、このような事態が実際に国民の目の前に晒されることは、極めて大きな衝撃であり、前代未聞だ。
LINE社長の会見でのやり取りでは、
質問:「情報の漏洩や流出は本当にないのか」に対して、
回答:「漏洩は現時点で確認していない」であった。
「本当にないのか」に対して、「現時点で確認していない」という回答では、情報を取る立場から見れば、次のように考えるべきだ。
「LINE側からは漏洩していないが、サイバー攻撃で取られた可能性はある」
「現時点ではというと、後日詳細に調べたら、中国や韓国で情報は取られていた(コピーされていた)」
「確認していないというのは、情報が取られたことは、LINE社の能力では確認できていないだけであって、実際は取られている可能性がある」
質問:「中国で、企業に情報提供を義務づける法律のリスクを考慮したのか」に対し、
回答:「我々として見落としていたというのが偽らざるところ」であった。
通信事業を行っている会社が、党への企業の情報提供を義務づける国家情報法を見落としていたというのは、筆者としてはあり得ないことだと思う。
中国による頻繁なサイバー攻撃が行われている時代、便利さを優先させて、使用者の情報保護についてはほとんど無視されていたと評価される。
大使館へのメールを抜き取っている例も
エジプトの日本大使館にPCメールを送ったことがある。
自分のPCには送信済みとなっているのだが、実際には届いていなくて、どこかで消滅してしまっていた。
この数は、1~2通ではなく、十数通すべてが到達していなかった。後日、大使館の防衛駐在官にこのことを話したところ、私からのメールは届いてない。国外からのメールが消滅してしまうことはよくあるということだった。
この国は、少なくとも大使館へのメールは抜き取って、消し去っている。つまり、国外から来るメール、国外へのメールはすべて消去するのだ。
このようなことがあっていいものかと思うのだが、どうすることもできない。国家がメールを監視し、少しでも都合が悪い場合に、完全に消去するのであろう。
中国サイバー部隊は見ていたのか。中国に入るインターネット情報は、すべて中国軍のサイバー部隊に閲覧されている。
LINEを使用していた国会議員、政府関係者、防衛産業関係者、著名人の動向はすべて見られていたと見るべきだろう。
特に、中国が日本の著名人をマークしてリストに載せていれば、その情報は収集され、蓄積されているはずだ。
これらの情報が使用されるのは、国家の動きを左右するような時に使用される可能性が高い。その時期までは、じっと監視を継続し、これらの情報を蓄積している。
中国の情報抜き取りを熟知している米国
米国連邦議会は2012年、米企業に中国通信情報機器大手の「ファーウェイ」製品を使用しないように促した。
米政府は2014年、政府機関などで使用を禁止した。その理由は、ファーウェイが中国共産党や中国軍との関係性が疑われ、米政府機関・企業・個人を狙って、情報を不正に入手しているとの指摘があったからだ。
2018年には、FBI(連邦捜査局)長官、CIA(中央情報局)長官、NSAの局長などが、「ファーウェイ製品の使用はやめたほうがよい」と述べた。
また、米国防権限法により、改めて米政府や関係機関でファーウェイとZTEの機器の使用を禁じた。
この理由は、中国共産党政府が命じれば、ファーウェイの機器に不正アクセスできるからだ。
そして、中国のサイバー部隊が不正プログラムを埋め込み、情報を監視し、抜き取り、破壊工作を実施するからだ。
中国には、国家情報法という国内法がある。
この法律によって、中国政府が命ずれば、国内企業や市民、組織は治安当局に協力と支援をする義務がある。
政府に協力するよう命じられれば、どんな企業でも個人でも、すべての要請に従う義務があるということだ。
これらを裏付ける話もある。
1994年頃、中国上海に進出した日本企業にヒアリングしたときに聞いたことである。
「日中合弁会社の中に共産党の組織がある。中国従業員は、企業の指示のほかに、企業内共産党組織の指示を受ける。しかし、日本人支配人は、企業内で行われている党の会議や行動内容については、全く分からない」ということだった。
つまり、中国従業員は、日本人社長の指示を表向きは聞いているが、党組織の指示も聞かなければならないし、この指示を優先することもある。
中国の企業は、日頃から党の指示を受けているのだ。
海外へ情報発信は監視が当たり前
LINE使用者は、8400万人も使っていれば、次のように考えているのかもしれない。
①自分のメールなんて見向きもされない
②自分のメールは価値がないので問題ない
③8400万人が使っていれば、私のメールを探し出して悪用することはできない
しかし、検索のキーワードに引っかかったものはすべて見られる。
国会議員や著名人のメール、メールの内容の中に重要なキーワードが入っていれば、網に引っかかって見られることになる。
国外のサイバー部隊は、重要な人物や重要な内容を含んだメールを必ず見ている。
そして、ほとんど密かに黙って見ている場合が多い。
なぜ沈黙して見ているのかというと、情報を入手したことを明らかにすることよりも、沈黙して長い期間見ている方が、多くの貴重な情報が得られ、得することが多いからだ。
自分のメールが公の場に出てこないからと言って安心していてはいけない。いついかなる場合に悪用されるかは分からないからだ。
管理の甘いアプリをまだ使うのか
LINEは中国などのサイバー部隊に覗かれている。LINEを使った交信内容は通常、8400万人の情報価値のないデータの海に埋没している。
ところが、日本の政治家や著名人の送受信者名、中国の内政問題や領土拡張問題、台湾・香港問題のキーワードが入った交信内容は、サイバー部隊の検索に引っ掛けられて釣り上げられる。
サイバー部隊は、キーワードに引っかからなければ、交信内容を見ているだけかもしれない。キーワードに引っかかってきたもので、中国などが関心ある事項については、深く分析する。
これらの分析結果をもとに政策に反映され、特定個人を失脚させるための情報がリークされ、さらにエージェントの一人として誘惑されることもあるだろう。
例を挙げると、日中の退役高級軍人交流会で、中国の工作員が、「エージェントになる可能性がある人物に狙いを定めて誘いに来る」と参加者から聞いたことがある。
ターゲットになる人物の金銭、出世、女性との交友関係などの弱みを掴み、その弱みに付け込んで、仕掛けてくる。
交信内容が見られるということは、自分の弱みを暴露することになる。
中国などが掴んだメールの内容は、いろいろなところで悪用される。メールが中国などに覗かれていると分かっていても、あなたは外国人が製作し、運用しているアプリを使用し続けるのか。
セキュリティの甘いアプリの使用はやめよ
個人や企業としては、交信内容を掴まれ、中国などに脅されたり、エージェントとして勧誘されたり、中国訪問中に逮捕されたりしたくなければ、セキュリティが甘いアプリの使用は、早急にやめるべきだ。
交信内容を掴まれないために、例えば、送信する一つの文章を、2種類のメールに分けて、2つのルートで送る。
また、相互に暗号書を作って、交信内容の特定部分を暗号化して送るとよい。暗号書は、1回の使用ごとに廃棄しなければならない。
何度も使用すると、解読されてしまうからだ。暗号は、コンピューターを使って解読されることもある。
暗号をかけることは、解読するのに時間がかかる。これによって、解明するのが面倒になる。
サイバー攻撃で情報を盗み取ろうとする者は、面倒なこと、時間がかかることには、躊躇する。
覗いている相手に、面倒だ、時間がかかると認識させることが、簡単であり、重要である。
日本政府は、政府機関がLINEで情報を取り扱う際の指針を策定する予定だという。
通信アプリの製作に、中国や韓国の企業(開発者)がかかわっている場合には、製作を絶対に依頼しないよう切に望む。
Comments