「中国にデータ送信」というと米中の貿易戦争を連想してしまうが、今回はファーウェイの話ではない。Nokiaブランドのスマートフォンを開発・製造するHMD Globalの「Nokia 7 Plus」が、中国のサーバーにデータを送っていたことが明らかになった。HMD Globalもこれを認めている。“誤って”中国向けのソフトウェアが入った端末を提供してしまったという説明だ。
端末を起動すると中国のサーバーにデータが送られる……
「Nokia 7 Plus」を起動すると、情報が中国にあるサーバーに送られているようだ――そのことに気づいたノルウェー在住のHenrik Austad氏は少なくとも今年1月から、Twitterでこの事象を伝え、Nokia/HMD Globalにリーチしようとしていた。だが返事がなかったことから、地元のニュースサイトであるNRKbetaにその情報を伝えた。
NRKbetaは3月21日に、Austad氏の情報に基づく記事を掲載した。それによると、Nokia 7 Plusを起動するたびに、スマートフォンが中国のサーバーと交信し、情報を送信しているのだという。送られる情報としては、端末のシリアル番号、SIM番号、電話が接続している基地局IDなど。暗号化はされていなかったとする。
NRKbetaがさらに調べたところ、送り先は「http://zzhc.vnet.cn/」。CNNIC(China Internet Network Information Center)によると、このドメインはChina Telecomのものだという。
NRKbetaはGoogle検索などにより、Nokia 7 Plusが使っているものと類似しているクアルコムのコードを発見、これを使うことで端末のデータを収集して、同じサーバーに送ることができるとのことだ。このようなことから、NRKbetaは「中国市場向けのNokia 7 Plusが偶然中国外に流通したのではないか」と予想した。
このコード自体はGitHubでホスティングされており、NRKbetaから情報を得て分析したTelecoms.comは、HMD GlobalかそのODMが、China Telecomのネットワークを利用する場合にデータを転送するコードをある開発者からソーシングし、ノルウェー向けのNokia 7 Plusにも搭載してしまったのだろうと予想している。
Nokia 7 Plusは昨年のMWCで発表されたAndroid One端末で、400ドル以下という価格帯と大型ディスプレー(6型)、デュアルカメラ(16MP+12MP)などのバランスの良さもあり、中国では発売から5分で25万台が売れたと言われている。
HMD Globalは誤りを認めた そしてすでにアップデートで修正されていた
さて、その報道からしばらく沈黙を保っていたHMD Globalだが、NRKbetaの記事が広まったところで、以下のような公式な見解を自社サイト上に発表した。
「個人を特定できる情報を任意のサードパーティーと共有していたことはない。今回の件を分析したところ、他国向けの我々のデバイスアクティベーションクライアントが、Nokia 7 Plusのバッチのソフトウェアパッケージに誤って含まれていたことがわかった。この間違いにより、デバイスアクティベーションデータをサードパーティーのサーバーに誤って送信していた」
だがデータは処理されておらず、このデータを元に誰かを特定できることはないと続けている。だが処理されていないという証拠は提示していない。
この”エラー”は2019年2月に正しい国向けのクライアントに切り替えることで修正済みであり、影響を受けていたすべての端末はアップデートを受け取っており、ほとんどですでにインストールされているとのこと。
さらに「スマートフォンが最初に使われるときに、一度のみのデバイスアクティベーションのデータを取得することは業界の慣行であり、これによりメーカーは保証をアクティベートできる」とも記している。
Nokiaのサイトにはこの問題についての特設ページを設けている。またNokia 7 Plus以外のスマートフォンではこの事象は起きていないという。
GDPRに抵触? ミスでは済まされないかもしれない
不正を嫌う北欧らしく、3月21日には早くもフィンランドの個人情報保護局(tietosuojavaltuutettuna Toimisto)が、個人情報を中国に送っていた可能性についての調査を開始することを発表した。フィンランドの新聞であるHelsingin Sonomatによると、同局を率いるReijo Aarnio氏は「我々内部のIT担当者に問い合わせてみたところ、この問題はかなり深刻に見える」とコメントしている。
Aarnio氏は「中国の企業は通常、中国政府や公務員と結びつきが強いことに触れておきたい」とし、中国では国家保安のために情報提供に応じることを命ずる「サイバーセキュリティ法」があることを指摘している。
HMD Globalによると、中国以外の消費者のデータはすべて同社がシンガポールにもつサーバー(AWSがホスティングしている)に保存しているとのことだ。
欧州では2018年5月末より「EU一般データ保護法(GDPR)」が施行されている。欧州の消費者のデータを消費者の合意なしに収集したり域外に持ち出すことを禁じるものであり、HMD Globalの”ミス”が違反とみなされる可能性がある。
外部リンク