中国国家安全部、「ソフトウエア開発キットSDK」に情報漏洩リスク

中国国家安全部は27日、「警告!海外のソフトウェア開発キット(SDK)の背後に潜む“データスパイ”による機密侵害」と題する文章を発表し、近年、海外の組織がSDKを使って中国のユーザーデータや個人情報を収集し、中国の国家安全に一定のリスクをもたらしている事実を突き止めたと公表した。

同文書によると、SDKは、ソフトウエアを開発する際に必要なプログラムや文書・サンプルなどをまとめてパッケージ化したものだが、データ安全のリスクが潜んでいる。

1つ目は、ユーザーデータの過度な収集。SDKの中には、提供するサービスと無関係な個人情報を収集したり、位置情報や通話記録、アルバムといった情報やカメラ、録音などの機能など、不必要な使用権限の申請を強制したりするものがある。

2つ目は、海外の諜報機関がSDKをデータ収集の重要なツールとみなすようになっている点だ。報道によると、米国の特殊作戦部隊は以前に、米SDKメーカーのAnomaly Sixから「商業リモートセンシングデータソース」へのアクセスサービスを購入した。Anomaly Sixが公表している内容によれば、同社のSDKは世界の500以上のアプリケーションに組み込まれ、世界の約30億台のスマートフォンの位置情報を監視可能という。

中国の権威筋機関が把握している情報によれば、2022年12月時点で、中国で使用されている10万の主要アプリ中、2万3,000件余りが海外のSDKを使用しており、国内の3万8,000台の端末に海外のSDKによって開発されたアプリがインストールされているとしている。

警惕!一些境外SDK背后的“数据间谍”窃密

Tags: , , , ,

関連記事