Nokiaスマホ、中国サーバーに位置情報やシリアル番号を勝手に送信。製造元は「すでに修正済み」と表明

Nokiaスマホ、中国サーバーに位置情報やシリアル番号を勝手に送信。製造元は「すでに修正済み」と表明

ノキアブランドのスマートフォンから中国サーバーに個人情報が送信されていた件につき、端末を製造するHMD Globalが「中国向けソフトウェアを誤って他国向けに入れた」との声明を発表したと報じられています。この件は、ノキアブランド端末のNokia 7 Plusから位置情報やSIMカード番号が中国の大手通信キャリアで国営のChina Telecom(中国電信)サーバーに送信されていた疑惑を受けてのものです。

ことの発端は、ノルウェーの国営放送NRKによる報道でした。NRKは読者のHenrik Austadと協力し、Nokia 7 Plusから発信されるデータパケットを独自に調査。その結果、端末の電源を入れたりロック解除するたびに、位置情報や電話のシリアル番号が暗号化されずに送信されていたことが発覚したしだいです。

そうした疑惑に基づき、フィンランド(HMD Globalの拠点)のデータ保護オンブズマン、Reijo Aarnio氏がGDPR(EU一般データ保護規則)に違反している可能性があるとして、調査に乗り出すと表明しています。

これに対して、同端末の製造元であるHDM Globalは声明を発表。今回の件は中国向け端末用のアクティベーションソフトウェアを他の国向けのパッケージに「誤って入れた」結果であると説明してして、全ての端末に故意に入れたのではない旨を示唆しています。

同声明によると、送信されたデータは処理されたことがなく、本データに基づいて個人を特定することもできず、いかなる第三者とも共有されなかったとのこと。その上で、今回のエラーは2019年2月のソフトウェアアップデートで修正され、「ほぼ全ての」デバイスにパッチが適用されていると述べられています。

さらにHMD Globalは、その他の同社スマートフォンが個人情報を第三者と共有しているとの疑惑も否定。中国向け以外のノキアブランド端末のデータは全て、シンガポールのHMD Globalサーバー(Amazon Web Servicesが提供)に保存され、現地の法律に従っていると表明しています。

一連のHMD Globalによる説明は、裏返せば「中国向けの自社製スマートフォンは、中国国営キャリアのサーバーに個人情報を送信する仕様」であると暗に認めたことになります。が、アップルも中国やロシアにおける国内ユーザー情報を両国内に置かれるサーバーで管理していることは周知の事実。要はHMD Globalも「現地の法律に従っている」に過ぎないとも言えます。

海外旅行や出張の際には、現地のスマートフォンを使う機会も多いはず。その折には、デバイスが送信するデータもまた「現地の法律」を遵守していることを念頭に置いておくほうがよさそうです。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

Nokiaのスマホが中国のサーバーにデータを送っていた フィンランド当局が調査へ

 「中国にデータ送信」というと米中の貿易戦争を連想してしまうが、今回はファーウェイの話ではない。Nokiaブランドのスマートフォンを開発・製造するHMD Globalの「Nokia 7 Plus」が、中国のサーバーにデータを送っていたことが明らかになった。HMD Globalもこれを認めている。“誤って”中国向けのソフトウェアが入った端末を提供してしまったという説明だ。

端末を起動すると中国のサーバーにデータが送られる……

 「Nokia 7 Plus」を起動すると、情報が中国にあるサーバーに送られているようだ――そのことに気づいたノルウェー在住のHenrik Austad氏は少なくとも今年1月から、Twitterでこの事象を伝え、Nokia/HMD Globalにリーチしようとしていた。だが返事がなかったことから、地元のニュースサイトであるNRKbetaにその情報を伝えた。

 NRKbetaは3月21日に、Austad氏の情報に基づく記事を掲載した。それによると、Nokia 7 Plusを起動するたびに、スマートフォンが中国のサーバーと交信し、情報を送信しているのだという。送られる情報としては、端末のシリアル番号、SIM番号、電話が接続している基地局IDなど。暗号化はされていなかったとする。

 NRKbetaがさらに調べたところ、送り先は「zzhc.vnet.cn」。CNNIC(China Internet Network Information Center)によると、このドメインはChina Telecomのものだという。

 NRKbetaはGoogle検索などにより、Nokia 7 Plusが使っているものと類似しているクアルコムのコードを発見、これを使うことで端末のデータを収集して、同じサーバーに送ることができるとのことだ。このようなことから、NRKbetaは「中国市場向けのNokia 7 Plusが偶然中国外に流通したのではないか」と予想した。

 このコード自体はGitHubでホスティングされており、NRKbetaから情報を得て分析したTelecoms.comは、HMD GlobalかそのODMが、China Telecomのネットワークを利用する場合にデータを転送するコードをある開発者からソーシングし、ノルウェー向けのNokia 7 Plusにも搭載してしまったのだろうと予想している。

 Nokia 7 Plusは昨年のMWCで発表されたAndroid One端末で、400ドル以下という価格帯と大型ディスプレー(6型)、デュアルカメラ(16MP+12MP)などのバランスの良さもあり、中国では発売から5分で25万台が売れたと言われている。

HMD Globalは誤りを認めた

そしてすでにアップデートで修正されていた

 さて、その報道からしばらく沈黙を保っていたHMD Globalだが、NRKbetaの記事が広まったところで、以下のような公式な見解を自社サイト上に発表した。

 「個人を特定できる情報を任意のサードパーティーと共有していたことはない。今回の件を分析したところ、他国向けの我々のデバイスアクティベーションクライアントが、Nokia 7 Plusのバッチのソフトウェアパッケージに誤って含まれていたことがわかった。この間違いにより、デバイスアクティベーションデータをサードパーティーのサーバーに誤って送信していた」

 だがデータは処理されておらず、このデータを元に誰かを特定できることはないと続けている。だが処理されていないという証拠は提示していない。

 この”エラー”は2019年2月に正しい国向けのクライアントに切り替えることで修正済みであり、影響を受けていたすべての端末はアップデートを受け取っており、ほとんどですでにインストールされているとのこと。

 さらに「スマートフォンが最初に使われるときに、一度のみのデバイスアクティベーションのデータを取得することは業界の慣行であり、これによりメーカーは保証をアクティベートできる」とも記している。

 Nokiaのサイトにはこの問題についての特設ページを設けている。またNokia 7 Plus以外のスマートフォンではこの事象は起きていないという。

GDPRに抵触? ミスでは済まされないかもしれない

 不正を嫌う北欧らしく、3月21日には早くもフィンランドの個人情報保護局(tietosuojavaltuutettuna Toimisto)が、個人情報を中国に送っていた可能性についての調査を開始することを発表した。フィンランドの新聞であるHelsingin Sonomatによると、同局を率いるReijo Aarnio氏は「我々内部のIT担当者に問い合わせてみたところ、この問題はかなり深刻に見える」とコメントしている。

 Aarnio氏は「中国の企業は通常、中国政府や公務員と結びつきが強いことに触れておきたい」とし、中国では国家保安のために情報提供に応じることを命ずる「サイバーセキュリティ法」があることを指摘している。

 HMD Globalによると、中国以外の消費者のデータはすべて同社がシンガポールにもつサーバー(AWSがホスティングしている)に保存しているとのことだ。

 欧州では2018年5月末より「EU一般データ保護法(GDPR)」が施行されている。欧州の消費者のデータを消費者の合意なしに収集したり域外に持ち出すことを禁じるものであり、HMD Globalの”ミス”が違反とみなされる可能性がある。

フリーランスライター。アットマーク・アイティの記者を経てフリーに。欧州のICT事情に明るく、モバイルのほかオープンソースやデジタル規制動向などもウォッチしている。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏