用語集:
SDKとは英語のSoftware Development Kit、つまりソフトウェア開発ツールキットの略称で、さまざまな種類があります。ソフトウェア システムの開発を、「寝室が 3 つとリビング ルームが 1 つ」ある家を建てることにたとえると、さまざまな SDK は、「リビング ルーム」、「ベッドルーム」、「バスルーム」、「キッチン」などの家の機能モジュールに相当します。この家を建てるには、「レンガを積む」「壁を建てる」ことから始めるのではなく、この機能モジュールをさまざまなサプライヤーから選択して組み立てるだけで済むため、ソフトウェア開発の効率が大幅に向上します。
モバイル アプリケーションの人気に伴い、ソフトウェア開発キット (SDK) への依存度が高まっていますが、SDK に関連するデータ リスクにも直面しています。 SDKによっては、サービスの提供に関係のない個人情報を含むユーザーデータを過剰に収集したり、地理的位置、通話記録、アルバム写真などの不必要な権限へのアクセスを強制したり、写真の撮影や録音などの機能を備えているものもあります。これらの SDK は、大量のデータを収集することで、さまざまなユーザー グループのプロファイリングを行い、同僚との関係、部隊の位置、行動習慣など、役立つ可能性のある情報を分析できます。海外の SDK サービスプロバイダーの中には、無料のサービスを提供したり、開発者にデータの取得料を支払ったりする場合があります。たとえば、米国でアプリケーションの毎日のアクティブ ユーザーが 50,000 人である場合、その開発者は毎月 1,500 ドルを稼ぐことができ、その見返りとして、SDK サービス プロバイダーはアプリケーションからユーザーの位置データを収集できます。
さらに、海外の諜報機関も重要なデータ収集チャネルとして SDK を使用しています。報道によると、米国特殊作戦軍は、米国の SDK サービスプロバイダーである Anomaly Six から「商用テレメトリ データ ソース」へのアクセス サービスを購入しました。サービスプロバイダーによると、同社は世界中の500以上のアプリケーションにSDKソフトウェアを組み込んでおり、約30億台の携帯電話の位置情報を監視できるという。さらに、2022 年 4 月には、パナマの企業が世界中のアプリケーション開発者にお金を払ってデータを収集し、自社の SDK コードを数百万台のモバイル デバイスに密かに統合していたことを関連メディアが暴露しました。同社は、米国情報機関にサイバー情報収集などのサービスを提供する防衛請負業者と緊密な関係にある。
国内の権威ある機関によると、2022年12月現在、わが国の10万件のヘッドアプリケーションのうち、海外のSDKを使用したサンプルが2万3千件以上検出されており、海外のSDKアプリケーションを使用している国内端末は約3億8千万台あるという。これについてはどうすればよいでしょうか?
SDK の背後にあるデータ リスクに対処するために、次の措置を講じることができます。
アプリ開発ビジネスの場合:
合法性と信頼性を確保するために、登録および認定されている SDK を選択するようにしてください。
海外のSDKを導入する前に、セキュリティテストとリスク評価を実施し、ユーザーデータにリスクを及ぼさないことを確認してください。
SDK のプライバシー ポリシーを深く理解し、それがアプリケーションのプライバシー保護ポリシーと一致していることを確認します。
SDKのデモサンプルやAPPのテスト環境を利用して、SDKの宣言内容と実際の動作の整合性を比較し、SDKの異常な動作を継続的に監視します。
個人ユーザーの場合:
個人情報保護意識と安全利用スキルを向上させます。
アプリケーションをダウンロードして使用するには安全で信頼できるチャネルを選択し、不明なソースからアプリケーションをインストールしないでください。
機密性の高いアクセス許可をやみくもに付与しないでください。特に、SDK アプリケーションがアプリケーションの機能と何の関係もないことがわかった場合は、十分に警戒する必要があります。
上記は SDK データのリスクへの対応であり、適切な予防措置を講じることにより、ユーザー データのセキュリティとプライバシーをより適切に保護できます。
参考: https://mp.weixin.qq.com/s/xq_0nAxzuZ4t0HLXLy8BEg
元記事、著者:最高セキュリティ責任者、転載する場合は出典を明記してください: https://cncso.com/jp/foreign-spy-sdks-illegally-stealing-chinese-user-privacy-data.html
