結城永人近年、中国製のモバイルアプリケーションは世界中でその利用を拡大していますが、同時に、これらのアプリケーションがもたらす潜在的な危険性について、政府機関、サイバーセキュリティ専門家、プライバシー擁護団体からの懸念が高まっています。これらの懸念は、単に特定のアプリケーションに限定されるものではなく、データプライバシー、国家安全保障、サイバーセキュリティといった多岐にわたる側面に及んでいます。米国におけるTikTokの禁止未遂事件は、中国製アプリケーションに対する広範な懸念を浮き彫りにする重要な事例と言えるでしょう。しかしながら、問題の根源はTikTok単独にあるのではなく、中国で開発されたアプリケーションのエコシステム全体に潜在するリスクに目を向ける必要があります。本報告書は、現時点で入手可能な研究資料と専門家の意見に基づき、中国製アプリケーションに関連する危険性について包括的な分析を提供することを目的としています。
中国製アプリケーションに対する警戒感は、米国と中国の間の技術および経済政策におけるより大きな潮流の一部として捉えることができます。関税や輸出規制と並行して、中国の通信技術、ソフトウェア、インターネット接続デバイスに対する制限が、米国の対中経済技術政策の主要な柱となりつつあります。この背景を理解することは、中国製アプリケーションの危険性を評価する上で不可欠です。
データプライバシーに関する懸念
広範なデータ収集慣行
中国製の多くのアプリケーションは、ユーザーの個人データに関して広範な収集慣行を実施しています。これには、基本的なアカウント情報に加えて、顔認証や音声認証などの生体認証データ、位置情報の追跡、閲覧履歴、デバイス識別子、ユーザーが作成したコンテンツが含まれます。例えば、RedNote(中国語名:小紅書)は、写真や動画から抽出される顔データや、動画や音声メッセージの音声データから抽出される声紋などの生体認証データを収集します。さらに、位置情報の追跡、閲覧履歴、デバイス識別子、ユーザー生成コンテンツも収集対象です。DeepSeekというアプリケーションは、ユーザーのチャットや検索履歴、使用デバイス情報、キーストロークのパターン、IPアドレス、インターネット接続情報、他のアプリからのアクティビティなど、広範なデータを収集することがプライバシーポリシーで示されています。電子商取引アプリにおいては、少なくとも位置情報、閲覧履歴、携帯電話番号が収集されることが、中国消費者協会の調査で明らかになっています。Taobao(淘宝)の派生アプリであるTmall(天猫)、旅行アプリのCtrip(シートリップ、Skyscannerを所有)、短編動画アプリのKuaishou(快手)を含む13のアプリが、SMSメッセージ、アドレス帳、位置情報、録音など、過剰な量の機密性の高い個人データを収集していると指摘されています。このような広範なデータ収集は、業界の慣例に沿ったものである可能性もありますが、中国の特異な規制環境下においては、より深刻な懸念を引き起こします。
RedNoteのようなアプリによる生体認証データの収集は、特に懸念されます。なぜなら、生体認証データはパスワードとは異なり、一度漏洩した場合に変更することが不可能であり、悪意のある第三者や政府機関にとって非常に魅力的な標的となるためです。このことは、このようなアプリのユーザーが生体認証データ侵害という恒久的なリスクに直面していることを意味します。
第三者および政府とのデータ共有
中国製アプリケーションは、収集したデータを広告会社や分析プロバイダーなどの第三者と共有することがあります。しかし、より重大な懸念は、中国の法律、特に国家情報法およびサイバーセキュリティ法が、中国企業に対して政府からの要求に応じてデータを提供する義務を課している点です。これは、令状や明確な法的プロセスを必要としない場合も含まれます。DeepSeekの事例では、ユーザーの明示的な同意なしに、親会社であるByteDance(TikTokの親会社)と秘密裏にデータを共有していた証拠が、韓国の個人情報保護委員会によって発見されています。
中国企業が政府にデータを提供する法的義務を負っているという事実は、民間部門によるデータ収集と国家による監視との境界線を曖昧にするものです。この法的枠組みにより、中国政府はこれらのアプリによって収集された膨大な量のユーザーデータに直接アクセスできる可能性があります。これは、ユーザーがどこにいるかに関わらず、そのデータが中国政府にアクセスされる可能性があることを示唆しています。
プライバシー侵害と透明性の欠如
中国製アプリケーションによるプライバシー侵害の疑いのある事例も報告されています。例えば、ヨーロッパのユーザーの個人データが、適切な保護措置なしに中国に送信されたとして非難されています。RedNoteのように、一部のアプリではユーザーデータの保存、共有、保護の方法に関する透明性が欠如していることが指摘されています。また、プライバシーポリシーが中国語で記述されている場合など、ユーザーがその内容を理解することが困難なケースもあります。EUのプライバシー擁護団体であるnoybは、TikTok、AliExpress、SHEIN、Temu、WeChat、Xiaomiの6つの中国企業に対して、EUのデータ保護規則に違反するデータ転送を行っているとして正式な苦情を申し立てています。
透明性の欠如と、中国のアプリ企業に対するデータアクセスや削除要求などのデータ権利の行使の難しさは、プライバシーに関する懸念をさらに悪化させます。ユーザーは、データ収集の全容を把握しておらず、自身の情報を管理する手段も限られています。この力の不均衡は、ユーザーを潜在的なデータ悪用に対して脆弱な状態に置きます。
国家安全保障上の懸念
スパイ行為と情報収集
中国製アプリケーションによって収集される広範なデータ、特に位置情報や生体認証データは、中国政府によるスパイ行為に利用される可能性があります。このデータは、監視やモニタリングのためのAIシステムの訓練にも使用される可能性があります。米国政府は、TikTokが情報収集ツールとして使用される可能性について懸念を表明しています。中国の国家情報法の下では、TikTok、Temu、Sheinのような中国企業からCCPがデータにアクセスする権限が付与されています。
何百万人ものユーザーから収集された一見無害なデータの集積は、国家にとって重要な情報洞察を提供する可能性があります。個々のデータポイントは機密性が低いように見えても、大規模に組み合わせることで、戦略的価値のあるパターンや傾向が明らかになることがあります。中国製アプリケーションの広範な利用は、意図せずとも中国にとって重要な情報データベースの構築に貢献している可能性があります。
影響力工作とプロパガンダ
中国が管理するソーシャルメディアアプリが、アルゴリズムを操作して北京に有利な情報を拡散し、選挙を含む政治的な議論に干渉するリスクがあります。米国政府は、TikTokが米国の政治システムや政治的言説に不正に干渉する可能性があるとして懸念を表明しています。CCPは、多言語のライフスタイルインフルエンサーを育成し、彼らのコンテンツにCCPに有利な情報を埋め込むなど、ソーシャルメディア戦略を用いて世界の情報エコシステムを形成しようとしています。また、TikTokが中国政府の利益に合致するかどうかに基づいてコンテンツを組織的に推奨または非推奨にする可能性があるという分析結果も出ています。
人気のあるソーシャルメディアアプリのアルゴリズムを制御することは、世論を形成し、他国の政治プロセスに影響を与える可能性のある強力なツールとなります。アルゴリズムはユーザーが見るコンテンツを決定するため、微妙な情報操作に対して脆弱になります。外国政府は、これらのプラットフォームを利用して他国の内政に干渉する可能性があります。
重要インフラへのサイバー攻撃
中国が、人気のあるアプリを含むソフトウェアや接続技術の制御を利用して、米国の重要インフラや政府ネットワークにサイバー攻撃を仕掛ける懸念があります。米国政府は、中国のハッキング活動が単なるスパイ行為に留まらず、米国内のネットワークを妨害する能力を獲得することを目的としている可能性について、ますます懸念を深めています。Temuのようなアプリは、分散型サービス拒否(DDoS)攻撃に利用される可能性も指摘されています。
ユーザーデバイスに広く普及している中国製ソフトウェアは、サイバー戦争の目的で悪用される可能性のあるバックドアや脆弱性を生み出す可能性があります。これらのアプリに脆弱性がある場合や、意図的にバックドアが仕込まれている場合、遠隔操作されたり、ネットワークへの侵入口として利用されたりする可能性があります。これは、特に重要インフラに関して、重大な国家安全保障上のリスクとなります。
サイバーセキュリティの脆弱性
既知のセキュリティ上の欠陥
10億人以上のユーザーのキーストロークを暴露する可能性のある重大なセキュリティ上の欠陥が、中国のキーボードアプリで発見されています。これには、Baidu(百度)、Tencent(騰訊)、Xiaomi(小米)、OPPO、Vivo(維沃)、Honor(栄耀)のアプリに見られる脆弱性が含まれており、脆弱な暗号化や暗号化されていないHTTPによるデータ送信などが挙げられます。DeepSeek AIアプリでも、旧式の暗号化(Triple DES)、ハードコードされたキー、暗号化されていない機密データの送信など、セキュリティ上の脆弱性が特定されています。
一部の中国製アプリに見られる脆弱な暗号化プロトコルやカスタム暗号化プロトコルの普及は、確立されたセキュリティのベストプラクティスを無視しているか、あるいは透明性の低い方法を意図的に選択している可能性を示唆しています。安全な暗号化の開発は複雑な作業であり、十分にテストされた標準から逸脱すると、しばしば脆弱性が生まれます。これらのアプリのユーザーは、悪意のある第三者によってデータを傍受され、解読されるリスクが高くなります。
マルウェアとバックドア
中国製アプリケーションには、意図的または侵害されたソフトウェア開発キット(SDK)を通じて、マルウェアやバックドアが含まれている可能性があります。Pinduoduo(拼多多)がマルウェアの発見によりGoogle Playストアから一時的に削除された事例はその一例です。Huawei(華為)製品にバックドアが存在し、不正アクセスを許しているという懸念も指摘されています。悪意のあるSDKは、攻撃者にデバイスのルートレベルのアクセス権を与え、ユーザーデータを不正に取得する可能性があります。
モバイルアプリ開発の複雑なサプライチェーン、特にサードパーティ製のSDKの利用は、アプリケーションに悪意のあるコードを注入するために悪用される可能性のある脆弱性を生み出します。開発者自身がそのことを知らない場合もあります。開発者はしばしば外部のライブラリやツールに依存しており、これらが侵害される可能性があります。その結果、ユーザーは、データを盗んだり、他の悪意のある行為を実行したりするマルウェアを含むアプリを意図せずインストールしてしまう可能性があります。
データ暗号化の実践
DeepSeekにおけるTriple DESのような脆弱なまたは旧式の暗号化アルゴリズムの使用など、中国製アプリケーションのデータ暗号化の実践を分析すると、懸念すべき点が見られます。Citizen LabによるWeChatのMMTLS暗号化プロトコルの分析では、TLS 1.3への変更と、安全性の低いカスタムプロトコルの使用により、脆弱性が明らかになっています。これに対し、米国当局はハッキングから保護するために暗号化されたメッセージングアプリの使用を推奨しています。RedNoteのようなアプリでは、暗号化の実践に関する透明性が欠如していることも指摘されています。
一部の中国製アプリ開発者が非標準または脆弱な暗号化方式を使用する傾向は、ユーザーの通信と転送中のデータのセキュリティに関する懸念を高めます。独自の暗号化や旧式の暗号化に依存すると、容易に悪用される可能性のある脆弱性が生じる可能性があります。その結果、ユーザーデータは、インターネット経由で送信されたとしても、傍受から適切に保護されない可能性があります。
中国政府の影響力と法的枠組み
国家情報法とデータアクセス
2017年に制定された中国の国家情報法は、すべての組織および国民に対し、国家情報活動を支援、援助、協力する義務を課しています。この法律は、CCPに対し、国内外の中国企業から広範なデータを収集する権限を与えています。また、企業に対し、機器やソフトウェアにバックドアを設置することを強制し、従わない場合には罰則を科すなど、コンプライアンスを確保するためのインセンティブとペナルティのシステムを構築しています。
国家情報法は、中国のテクノロジー企業に対し、データのアクセスに関して国家情報機関の延長として機能することを事実上義務付ける法的枠組みを構築しています。この法律の広範な文言は、明確な制限や監督なしに、情報活動への協力を強制します。その結果、中国企業が保有するあらゆるデータは、中国政府によってアクセスされる可能性があります。
サイバーセキュリティ法とデータセキュリティ法
2017年のサイバーセキュリティ法は、重要インフラストラクチャ企業に対し、中国国内でデータを保管し、情報機関がアクセスできるようにすることを義務付けています。2021年のデータセキュリティ法は、中国国内の企業とデータに対するCCPのアクセスと管理をさらに拡大し、データの国外への流れも管理の対象としています。2023年には、反スパイ法が改正され、すべての国民と組織に対し、反スパイ活動への協力を義務付けています。
中国の一連のデータセキュリティおよび国家安全保障に関する法律は、国内および国外のデータとサイバーセキュリティに対する国家の管理のための強固な法的枠組みを確立しています。これらの法律は、中国で事業を行う企業または中国と関係のある企業が保有するデータへのアクセス、管理、規制に関して、政府に広範な権限を与えています。この法的環境は、中国国外のユーザーに属するデータのプライバシーとセキュリティを確保する上で、重大な課題を提起します。
中国共産党(CCP)の役割
データ管理は、CCPがデジタルおよび技術的な優位性を世界的に確立しようとする上で中心的な役割を果たしています。CCPは、大規模な民間企業に対し、企業内に党支部を設置することを義務付けており、主要なテクノロジー企業の株式を取得することで、直接的な影響力を行使しています。ByteDanceのデータにはCCPの特別部門がアクセスできるという主張も存在します。
主要な中国のテクノロジー企業のガバナンスと運営へのCCPの直接的な関与は、データとコンテンツに対する政府の影響力の可能性をさらに強固にするものです。CCPの組織構造と戦略的目標は、これらの企業に深く組み込まれています。その結果、データ処理、セキュリティ、コンテンツモデレーションに関する決定は、CCPの意図によって影響を受ける可能性があります。
国際的な対応と規制
政府による禁止と制限
国家安全保障とデータプライバシーの懸念を理由に、中国製アプリケーション、特にTikTokの使用を禁止または制限している国々の概要を示します。これには、インドによる全国的な禁止、米国最高裁判所によるTikTok禁止法の支持、オーストラリア、ベルギー、カナダ、デンマーク、フランス、オランダ、EUなどによる部分的な禁止が含まれます。テキサス州では、州政府発行のデバイスでの中国製AIおよびソーシャルメディアアプリの使用が禁止されています。WeChat、CapCut、Temuなどの他の中国所有アプリにも監視と禁止措置が拡大される可能性についても議論されています。
中国製アプリに対する政府による禁止と制限の増加は、国家安全保障とデータプライバシーに対する潜在的なリスクに対する国際的な共通認識の高まりを反映しています。これらの措置は、データ処理慣行、潜在的な政府アクセス、および地政学的な状況への懸念によって推進されています。この傾向は、グローバルなアプリエコシステムのさらなる断片化につながる可能性があります。
国際的な対策とサイバーセキュリティ組織の意見
米国の政策立案者は、国境を越えるデータフローと中国製ソフトウェアからのデータセキュリティおよび影響力のリスクを管理するための、より体系的で包括的な枠組みの開発を求めています。米国当局は、中国製アプリが国家安全保障、プライバシー、人権、経済に及ぼす多面的な脅威について警告しています。CIS CTIチームは、PRC所有のアプリは、CCPがデータ収集と悪意のある影響力工作に利用できるため、ユーザーにとって脅威であると評価しています。世界のサイバーセキュリティ機関(CISA、NSA、FBIなど)は、中国による通信ネットワークに対するスパイ行為の脅威について共同で警告を発しています。
世界中のサイバーセキュリティ組織と政府機関は、中国製のアプリとテクノロジーの使用に関連するリスクについて、ますます懸念を表明し、警告を発しています。これらの警告は、データ収集の実践、中国企業の法的義務、および観測されたサイバー活動の証拠に基づいています。この広範な懸念は、特定されたリスクの正当性と深刻さを裏付けています。
ユーザーエクスペリエンスとセキュリティ評価
ユーザーレビューとセキュリティ問題に関する報告
一部のユーザー、特に若年層は、他の情報源からのデータ暴露を理由に、プライバシーに関する懸念をあまり感じていないようです。TikTokの禁止に対する反発や、RedNoteのような他の中国製アプリへのユーザーの移行は、時には抗議の行動として行われています。RedNote(クリアテキストHTTP送信)、DeepSeek(安全でない暗号化、ByteDanceとのデータ共有)、中国のキーボードアプリ(キーストロークの暴露)など、特定のアプリに見られるセキュリティ上の脆弱性に関するユーザーレポートや専門家による分析が詳細に報告されています。中国の調査では、モバイルアプリによる過剰なデータ収集を懸念している回答者の割合が高いことが示されています。
一部のユーザーはリスクに関して無関心または反抗的かもしれませんが、技術的な分析とユーザーレポートは、さまざまな中国製アプリに重大なセキュリティおよびプライバシーの脆弱性が一貫して存在することを示しています。これらの調査結果は、技術的な調査とユーザーエクスペリエンスに基づいており、潜在的な危険性の具体的な証拠を提供しています。これらのアプリの使用を選択するユーザーは、知らず知らずのうちにさまざまなセキュリティおよびプライバシーのリスクにさらされている可能性があります。
サイバーセキュリティ専門家による分析と評価
サイバーセキュリティの専門家や組織が実施した、中国製アプリケーションの詳細な分析結果をまとめます。これには、中国でのデータ保管、検閲の可能性、積極的なデバイスフィンガープリンティング、およびこれらの企業がCCPに対して負う法的義務に関する懸念が含まれます。DeepSeekのチャットボットが、米国での事業を禁止されている中国移動通信(China Mobile)と関連付けられているという分析は、さらなる国家安全保障上の懸念を引き起こしています。AlipayやWeChatのような人気のある中国製アプリを含む多くのアプリで使用されているPII(個人識別情報)を要素とする認証(PaFA)の脆弱性を指摘する研究も注目されます。
サイバーセキュリティ専門家は、技術的な脆弱性と地政学的なリスクの両面から、中国製のアプリの使用がもたらすセキュリティとプライバシーへの影響について、圧倒的に懸念を表明しています。これらの専門家の意見は、技術的な分析、脅威インテリジェンス、および地政学的な状況の理解に基づいています。ユーザーはこれらの警告に注意を払い、中国製アプリの使用を検討する際には慎重になるべきです。
推奨事項と安全な代替手段
個人および組織への推奨事項
特に評判の低い情報源からの中国製アプリをダウンロードして使用する際には注意するようユーザーにアドバイスします。アプリの権限を注意深く確認し、必要なアクセスのみを許可することを推奨します。強力でユニークなパスワードを使用し、可能な場合は二要素認証を有効にすることを推奨します。デバイスとアプリを最新のセキュリティパッチで常に最新の状態に保つようアドバイスします。機密情報には暗号化された通信アプリを使用することを推奨します。組織に対しては、特に機密データや重要インフラストラクチャを扱う従業員に対して、企業デバイスでの外国所有アプリの使用に関する明確なポリシーを策定することを推奨します。特に厳格なインターネット監視が行われている地域では、オンライン活動を保護するためにVPNの使用を検討することを推奨します。ビジネスの状況においては、中国製アプリケーションを深く調査せずに使用しないようアドバイスします。
ユーザーの意識向上、技術的な保護措置、組織のポリシーを組み合わせた多層的なセキュリティアプローチは、中国製アプリに関連するリスクを軽減するために不可欠です。単一の対策だけでは、すべての潜在的なリスクに対応することはできません。効果的な保護のためには、包括的なセキュリティ戦略が必要です。
中国製アプリの安全な代替手段
ソーシャルメディア(Triller、Instagram、YouTube Shorts)、ブラウザ(Google Chrome、Firefox、Brave)、ファイル共有(Files by Google、Send Anywhere)、ドキュメントスキャン(Adobe Scan、Microsoft Office Lens)、VPN(ProtonVPN)など、さまざまなカテゴリにわたる人気のある中国製アプリの安全な代替手段のリストを提供します。プライバシーとセキュリティの実績が強く、データ処理慣行が透明な開発者からのアプリを選択することの重要性を強調します。
ほとんどの人気のある中国製アプリケーションには、実行可能で、多くの場合、よりプライバシーを重視した代替手段が存在するため、ユーザーは特定されたリスクへの暴露を減らすことができます。アプリ市場は、同様の機能を持つ幅広い選択肢を提供しています。ユーザーは、機能性や利便性を大幅に損なうことなく、非中国製のアプリに切り替えることができます。
結論
中国製のモバイルアプリケーションには、データプライバシー侵害、国家安全保障上のリスク、サイバーセキュリティの脆弱性など、重大な危険性が伴うことを改めて強調します。中国政府の影響力と、中国企業に国家情報活動への協力を義務付ける法的枠組みは、これらのリスクをさらに深刻化させています。国際的な懸念は高まっており、政府による規制や禁止の動きも増加しています。ユーザーは、中国製テクノロジーの利用には慎重な姿勢で臨み、個人情報の保護と国家安全保障の両面から潜在的なリスクを考慮する必要があります。
コメント