中国は長らく、10億人以上を対象とした国家による完全監視の実験段階にあり、政府が国民を物理的にもデジタル的にも監視する能力に対する法的規制は事実上存在しない。しかし、国民の個人データが少数の政府機関に集中すると、その管理はそこに留まらなくなる。それどころか、その膨大な個人情報は活発な闇市場へと流出し、内部関係者が金さえ払えば詐欺師やストーカーに自身のアクセス権を売り飛ばすという事態に発展している。
金曜日にバージニア州アーリントンで開催されるセキュリティカンファレンス「Cyberwarcon」において、サイバーセキュリティ企業SpyCloudの研究者らは、中国国民のデータを安価かつ容易に検索できるブラックマーケットサービス群の監視結果を発表する予定だ。これらの業者は多くの場合、中国の監視機関や政府請負業者から内部関係者を募集し、そのアクセスをオンライン購入者に無条件で転売することで機密情報を入手している。その結果、わずか数ドル相当の暗号通貨で、誰でも標的の電話番号、銀行口座情報、ホテルやフライトの履歴、さらには位置情報までも照会できる、完全に公衆の目にさらされたエコシステムが誕生した。
Telegramベースのデータブローカーサービスの募集投稿のスクリーンショット。中国語で「誠意ある協力、公安関係者募集」と大きく書かれたテキスト。
SpyCloud提供「中国は巨大な監視装置を構築しました」と、監視データがどのように闇市場に流出するかを追跡してきたSpyCloudの研究者2人のうちの1人、オーロラ・ジョンソンは語る。「そして、一般の人々は経済的・社会的流動性がほとんどないシステムの中で働き、政府やテクノロジー企業での職歴に基づいて、こうした情報データベースに自由にアクセスできるようになっています。そのため、彼らはそのアクセスを悪用し、多くの場合、データを盗んで犯罪市場で売却しているのです。」
SpyCloudの研究者たちは、メッセージングサービスTelegramのアカウントでサービスを提供する中国語のデータベンダー、Carllnet、DogeSGK、X-Rayなどに焦点を当てました。これらのサービスはいずれもTelegramグループに数万人のメンバーを抱えており、自らをSGK(ソーシャルエンジニアリングライブラリ)と称しています。研究者たちはこれを「ソーシャルエンジニアリングライブラリ」と訳しています。この名称から、これらのサービスは主に詐欺師によって利用されていると考えられます。これら3つのサービスはすべてポイントシステムを採用しており、顧客は支払い(通常は暗号通貨Tetherで行われますが、場合によっては中国の決済サービスWePayやAlipayが利用できる場合もあります)で「ポイント」を獲得できます。顧客はポイントを換金し、名前やメールアドレス、電話番号、中国のQQ、WeChat、Weiboなどのソーシャルネットワーク上のユーザー名など、様々な識別子に基づいて検索を実行できます。
これらの検索クエリに対し、これらのサービスは、電話番号、通話記録、銀行口座、結婚記録、車両登録、ホテル予約など、様々な個人情報を含むターゲットのデータと記録の提供を約束しています。SpyCloudの研究者によると、数百ドルにも及ぶ高額料金を支払えば、パスポート画像や位置情報記録といったさらに機密性の高い情報に対するプレミアム検索も提供されるとのことですが、これらのプレミアム検索については限定的な実験しか実施していません。一部のサービスは、中国の「ビッグ3」と呼ばれる国営通信会社、中国電信、中国聯通、中国移動のデータへの詳細なアクセスを具体的に約束しています。
WIREDはTelegram経由でCarllnet、DogeSGK、X-Ray、そして彼らがデータにアクセスできると主張する中国の3大通信会社に連絡を取ったが、どの会社もコメントの要請には応じなかった。
これらのサービスは、ハッカーによってオンラインに漏洩されたデータ集である侵害されたデータベースや、多くの無料スマートフォンアプリが収集する位置情報データなど、欧米のデータブローカーが提供するものと同様の商業的に収集されたデータソースを利用しているケースもあるようです。しかし、これらのサービスは、ハイテク企業や通信企業、銀行、中国の国家監視機関の内部関係者からの情報も提供しているようで、収入源を求めるこれらの組織の職員を募集する広告を公然と掲載しているようです。SpyCloudが翻訳したTelegramに投稿されたある広告には、「協力関係を築くために公安職員を募集しています」と書かれています。
対象個人の位置情報追跡の例を示す、Telegram ベースのデータ ブローカーの投稿の翻訳されたスクリーンショット。
SpyCloud提供X-Ray Telegramフィードの別の投稿では、「公安、民政、銀行」の「社内職員」にサービスへの協力を呼びかけている。投稿の翻訳には「社内検索の条件を満たしているあらゆる業界のエリートの方々のご参加を歓迎します!」とある。
ある広告によると、内部関係者は1日1万元(約1400ドル)以上を支払われるとのことです。一方、別の求人広告ではその2倍の金額を約束し、中には1日7万元(約1万ドル)もの報酬を受け取る人もいるとしています。ある求人広告には、「私たちに協力し、何年も安定して働いてくれている同志が大勢います」と書かれています。さらに不安を和らげるため、「あなたを守るための完全なリスク回避プラン」を約束しています。
SpyCloudの翻訳によると、ある広告によると、これらの情報源への支払いは「仮想通貨」の形で行われ、「ミキシング」などの引き出し方法のトレーニングが「ダークネットワークのブラックマーケット担当者の手法に匹敵する」と謳われている。これは、ブロックチェーン分析に基づく仮想通貨追跡を突破するために「ミキシング」サービスが一般的に利用されていることを考えると、内部関係者への支払いは仮想通貨で行われている可能性が高いことを示唆している。「安心して資金を受け取り、安心して資金を引き出すことができます」と書かれている。
SpyCloudの研究者たちは、政府監視機関の内部関係者がデータブローカー市場で副業をしているさらなる証拠として、今年初めに公安部と国家安全部を請け負うサイバースパイ請負業者であるI-Soonから漏洩した通信と文書を指摘している。漏洩したチャット会話の1つには、同社の従業員の1人が別の従業員に「私はただQBを売りに来ただけだ」「あなたもQBを売ってみろ」と提案している様子が見られる。SpyCloudの研究者たちは、「QB」を「qíngbào(情報)」、つまり「諜報」を意味すると解釈している。
中国では国営IT企業でさえ平均年収が3万ドル程度に過ぎないことを考えると、監視データへのアクセスを販売すればその3分の1近い金額を毎日稼げるという約束は、信憑性の有無に関わらず、強い誘惑となるとSpyCloudの研究者たちは主張する。「彼らは必ずしも天才的な頭脳を持っているわけではない」とジョンソン氏は言う。「彼らは副業で少し儲けたいという機会と動機を持っている人々だ」
中国が腐敗との絶え間ない闘いを続ける中、政府関係者の一部が監視データへのアクセスを事実上、利益を得ているのは当然だと、サイバーセキュリティ企業SentinelOneで中国政策・サイバーセキュリティを専門とする研究者で、SpyCloudの調査結果をレビューしたダコタ・ケアリー氏は指摘する。例えば、トランスペアレンシー・インターナショナルは、腐敗指数で中国を世界180カ国中76位にランク付けしている。これは、ハンガリー(同順位)を除くEU加盟国(ブルガリア、ルーマニアを含む)の順位を大きく下回る。「腐敗は治安機関、軍隊、政府のあらゆる部門に蔓延している」とケアリー氏は指摘する。「現在の政治情勢におけるトップダウン型の文化的姿勢だ。こうしたデータを持つ個人が、職務の一環としてアクセスを事実上貸し出している状況は、全く驚くべきことではない」
SpyCloudのアナリストたちは、調査の中で、Telegramベースのデータブローカーを用いて、中国共産党と人民解放軍の高官、米国の起訴状で特定された中国政府支援のハッカー、そしてサイバーセキュリティ企業I-SoonのCEOである呉海波氏の個人情報を検索しようと試みた。その結果、政府関係者や請負業者の電話番号、メールアドレス、銀行カード番号、自動車登録記録、そして「ハッシュ化」されたパスワード(データ漏洩によって取得されたと思われるパスワードで、何らかの暗号化で保護されているものの、解読されやすい場合もある)が大量に見つかった。
データブローカーの中には、少なくとも有名人や政府関係者を除外するために検索を制限していると主張するケースもあります。しかし、研究者たちは、通常は回避策を見つけることができたと述べています。「検索を依頼し、彼らに関する文書を入手してくれる別のサービスを見つけることはいつでも可能です」と、SpyCloudの研究者であるカイラ・カルドナ氏は述べています。
カルドナ氏の説明によれば、その結果は、国内のあらゆる国民に関する膨大な集中データを収集するシステムのさらに予想外の結果である。監視データが個人の手に漏れるだけでなく、監視者を監視する人々の手にも漏れるのだ。
「これは諸刃の剣です」とカルドナ氏は言う。「このデータは彼らのために、そして彼らによって収集されます。しかし、彼らに不利に働く可能性もあります。」
