016年1月15日(金)付の読売新聞に、中国バイドゥ社製のソフトウエア開発キットMoPlusにバックドアが仕込まれていた旨の記事が掲載されました。バックドアとはまさしく「裏口」の事で、こうした隠れたインターフェースに対し遠隔で指示を出す事で、そのアプリケーションをリモート操作出来る機能を指します。
中国バイドゥ社は2013年にShimejiという日本語かな漢字変換システムにおいて、ユーザに無断で、キー入力された文字列を自社サーバに送信させ蓄積していた事で大きな問題になりました。バイドゥ社は個人情報を収集集積する意図は一切無く、キー入力ログをいわゆるビッグデータとして取り扱った上で、かな漢字変換の精度を向上させる為だけに活用しようとしていたと発表したのですが、実際にユーザに無断でキー入力データが収集されたのは事実でありますし、個人情報との紐付けを行なわなかったという証拠もありません。ここまでグレーと申しますか、限りなくブラックに近い状態になりますと、性善説的にバイドゥ社を信じる事が出来るかどうかというレベルのお話になってしまいます。
今回問題になったバックドア機能は、汎用のwebサーバのタスクを端末内に密かに立ち上げて、外部からのhttpパケットを受け付ける形式のものでありました。バックドア自身は、ソフトウエアの製造元がリモートでトラブル対応を実施する為の機能として実装する事もありますから、一概に悪意のあるツールであると断定は出来ません。しかし今回は、汎用のwebサーバルーチンを利用している事、またそれがアプリケーション本体ではなく、ソフトウエア開発キット(SDK:Software
Development Kit)に組み込まれていたという点が、大きな問題でありましょう。
まず汎用のwebサーバルーチンを利用している点について考えてみます。そもそもバックドアはあくまでも裏口の筈で、その搭載に際して悪意が無かったとしても、第三者に利用されないように最新の注意を払うべき性質の機能である事は間違いありますまい。こうした機能を汎用性の高いwebサーバルーチンを用いて実装する行為は、世界中の不特定多数のハッカーから利用可能になってしまうという点で、致命的な脆弱性を敢えて搭載しているとも取られても言い訳出来ないでしょう。
更に大きな問題は、このバックドア機能がSDKという形で提供されていた点です。プログラムの開発はいくつかのレイヤに分かれて行われます。例えばグーグルが基本的な機能をAndroidOS(オペレーティングシステム)として提供するのに対して、多くのソフトウエアベンダは、そのAndroid上で動作する、上位のアプリケーションを作成します。基本的な動作、例えばSDカードへのアクセスとか、画面へのマルチタッチの状態を受け取るとか・・・は、アプリケーションが個々に機能を実装するのではなく、AndroidOSの機能を利用する事で、プログラム安定性の向上や開発の容易性などを享受出来るのです。SDKとは、OSとアプリケーションの間に位置する汎用関数群と考えれば分かりやすいでしょう。SDKを利用する事で、アプリケーションの開発者は、上位の適用業務機能の実装に専念出来るという訳です。
バックドアはあくまでも最上位の適用業務プログラムの運用の為の通信手段の筈で、これがよりによってSDKの一部として汎用的に組み込まれていたとなると、アプリ利用者やアプリ開発者が意図していない使い方を、中国バイドゥ社が画策していたと疑われても仕方ありません。
実際のところバックドアやトロイの木馬といった潜伏型のマルウエアは、どんな形にせよ外部との通信を秘密裏に行おうとしますから、個々のアプリの安全性を検証すると同時に、セキュリティソフトを導入してスマートフォンのインバウンドパケットとアウトバウンドパケットを全て監視し、未知の通信を遮断するという方策が必要になります。WIFIで接続している場合、WIFIルータで通過パケットを監視する事が可能です。しかしスマートフォンはWIFI以外にもLTEやWIMAXや3Gといったモバイルネットワークを利用した通信方法も実装されていますから、外部のファイアウォール等での通信監視だけでは無理があります。やはり端末機ごとにセキュリティソフトを導入してパケット監視をしなければならないでしょう。実際に私のスマートフォンでは、こうした監視用セキュリティツールが常時立ち上がっていて、意図しない不法な通信が行われていないか24時間見張っています。
中国バイドゥ社が中国政府とつるんで、悪意をもって違法な情報収集をしたり、サイバーテロ用の攻撃プラットフォームを構築しようとしたりしているのではないか、といった意見がネット上で囁かれています。現時点で、悪者と断定し得る確たる証拠が挙がった訳ではないでしょうが、中国バイドゥ社の行動もかなりグレーである事は間違いないですから、反感や嫌悪感を持たれても仕方がないのかも知れませんがね。
本当の問題は、中国バイドゥ社の事だけではなく、こうした危機意識を持たない多くの人々が、丸裸の状態でスマートフォンを利用してしまっている事でありましょう。危機意識の欠如は、自分が被害を受けるに留まらず、例えば意図せずDDOS攻撃の一役を担ってしまうといった、自らがサイバーテロの加害者となり得る可能性をも秘めている事を忘れてはなりません。
スマートフォンは我々の生活に必要不可欠な非常に便利なツールです。しかも24時間通電し、常にネットワークに接続されていて、個人情報もたっぷり格納されています。パソコン以上に強固な仕組みで守るべき対象の筈なのに、ほとんどの端末は丸裸のまま。今こそネットワークリテラシー教育が必要である事は間違いないでしょう。少なくとも各携帯キャリアには、ユーザに対してこうした説明を行った上で機器を販売する責任があると、私は思います。
【つづく】
「あれこれ」の目次に戻る