世界中の中国語話者が使っているキーボード・アプリ（IME）のほぼすべてに、ユーザーの入力内容を盗み取れるセキュリティの抜け穴が存在することが明らかになった。

この脆弱性は、キーボード・アプリがクラウドに送信するキーストローク・データの傍受ができてしまうというものだ。何年も前から存在し、サイバー犯罪者や国家の監視グループに悪用された可能性があるとトロント大学のテクノロジー・セキュリティ研究機関、シチズン・ラボ（Citizen Lab）の研究チームは指摘している。

漢字入力を楽にできるこうしたアプリは、中国語話者が使用するデバイスに広く普及している。基本的に中国語話者は必ず、バイドゥ（Baidu）、テンセント（Tencent）、アイフライテック（iFlytek）などの大手インターネット企業が開発した4大人気アプリのいずれかを使って入力している。研究者チームは、中国で販売されているAndroid（アンドロイド）スマートフォンのプリインストールのキーボード・アプリも分析した。

その結果は衝撃的だった。サードパーティ・アプリのほぼすべて、キーボードがプリインストールされているAndroidスマホのすべてに、入力内容を適切に暗号化してユーザーを保護する機能が存在しなかった。唯一、脆弱性が発見されなかったのはファーウェイ製のスマホだけだった。

2023年8月、同じ研究チームが、特に人気の高いキーボード・アプリである搜狗（ソゴウ）に欠陥を発見した。予測入力の向上を目的にキーストローク・データをクラウド・サーバーに送信する際、トランスポート層セキュリティ（TLS）が使われていなかったのだ。TLSは、既知の暗号化の抜け穴からユーザーを保護するために広く採用されている国際的な暗号プロトコルである。TLSを使用しなければ、キーストロークが収集され、第三者によって解読されてしまう可能性がある。

「幸運が重なって発見できた脆弱性だったので、もしかしたら他のアプリにも同様の問題があるのではないか？ と考えました」とシチズン・ラボの上級研究員ジェフリー・ノッケルは話す。「残念ながらその推測は正しかったことが分かりました」。

昨年、問題が公になってからソゴウは脆弱性を修正したが、スマホにプリインストールされているソゴウ・キーボードの中には最新バージョンにアップデートされないものもあり、今も傍受の危険は残ったままだ。

今回の発見によって、この脆弱性が当初の想定よりもはるかに広まっていることが明らかになった。

プリンストン大学コンピューター科学の博士課程生で、報告の共著者であるモナ・ワンは、「これらのキーボードを使ってきたユーザーとして、とても恐ろしいと思いました」と話す。「問題の規模の大きさは非常に衝撃的でした。また、まったく異なるメーカーが、それぞれ個別によく似た間違いを犯しているということも、きわめてショックです」。

膨大に広がった問題をさらに悪化させるのは、こういった脆弱性を悪用するのは難しくないという事実だ。「暗号を解読するのに巨大なスーパー・コンピューターは必要ありません。テラバイト規模のデータを収集しなくても解読できてしまいます」とノッケル上級研究員は説明する。「同一のWi-Fiネットワーク上であれば、この脆弱性を理解すれば攻撃が可能になります」。

狙いやすさ、得られる見返りの大きさを考えれば、すでにハッカーが悪用している可能性が高いと研究者たちは指摘する。銀行口座のパスワードや機密事項も含めて個人が入力する内容をすべて把握できるからだ。現時点で実際に悪用された証拠はない。ただし、欧米政府が雇ったハッカー集団は、2011年に中国のブラウザー・アプリにあった同様の抜け穴を狙っている。

アリゾナ州立大学のセキュリティと暗号学専門の准教授で、今回の報告書執筆に際して助言したジェディディア・クランドールによると、この報告書で指摘されている抜け穴のほとんどは「モダンなベストプラクティスから大きく遅れている」ため、入力されている内容を解読するのはとても簡単だという。メッセージの解読に大した手間がかからないので、大集団を大規模に監視したければ恰好の標的になると同准教授は話す。

研究者がこれらのキーボード・アプリの開発元に連絡したところ、大半は修正された。だが、数社からは反応がなく、QQピンイン（QQ Pinyin）やバイドゥなど一部のアプリやスマホ、また最新バージョンにアップデートされていないキーボード・アプリにはまだ脆弱性が残っている。MITテクノロジーレビューは、バイドゥ、テンセント、アイフライテック、サムスンに取材を求めたが、返答は得られなかった。

抜け穴が広まってしまった原因の1つとして考えられるのは、これらのキーボード・アプリのほとんどが、ソフトウェア開発においてTLSプロトコルの使用が一般的になる以前の2000年代に開発されたことだ。以来、アプリは何度もアップデートを重ねているにもかかわらず、開発者は安全な代替施策を取り入れなかった可能性がある。

今回の報告書が指摘するのは、言語の障壁と異なるテクノロジー・エコシステムが原因で、英語を話すセキュリティ研究者と中国語を話すセキュリティ研究者の間で問題の迅速な解決につながる情報を共有できていないということだ。例えば、中国ではグーグルのプレイストアがブロックされているため、中国製アプリの大半はグーグル・プレイで入手できない。だが、欧米の研究者は分析するアプリを探すときにグーグル・プレイをよく利用する。

少し余計な手間をかけるだけで済む場合もある。シチズン・ラボの研究者はアイフライテックにメールを2通送ったが、返答を得られなかった。そこでメールの件名を中国語に変え、英語の本文に中国語で1行の要約を付け加えた。3日後、アイフライテックから返信が届いた。そこには、問題は解決したと書かれていた。

• 37
• 5

人気の記事ランキング

1. Why handing over total control to AI agents would be a huge mistake 「AIがやりました」 便利すぎるエージェント丸投げが危うい理由
2. OpenAI has released its first research into how using ChatGPT affects people’s emotional wellbeing チャットGPTとの対話で孤独は深まる？ オープンAIとMITが研究
3. An ancient man’s remains were hacked apart and kept in a garage 切り刻まれた古代人、破壊的発掘から保存重視へと変わる考古学
4. How to have a child in the digital age 「あなたはもうママですね」 ネット・デジタルが約束する 「完璧な出産」の幻想