さすがチャイナ（笑）。

さすがです（笑）。個人を管理するため、クレジットスコア、顔認識、SNS管理など、あらゆる手段を用いている中共ですが、チャイナ人民は悪政の3000年を凌いできていますからシブトイ（笑）。管理側から漏れるという事態が発生しましたから、次は、管理する側を管理する組織が出てきて、次は、管理する側を管理する組織を管理する者（笑）。イタチごっこのスタートです。「漢民族の偉大なる復興」を掲げる習近平ですが、漢民族は元奴隷で堕落した民族でしかないことを忘れましたか？モラルなど存在しない民族ですから、取り締まるのは大変ですよ（笑）。

中国「監視国家」の副作用、流出情報を闇取引

2022 年 7 月 22 日 10:20 JST

　中国政府は世界有数の徹底したサイバーセキュリティーとデータ保護体制を築き上げてきた。だが、こうした取り組みにもかかわらず、中国市民の個人情報を売買する国境を越えた闇市場が広がっている。

　データの大半は、中国政府がこれとは別に注力する大型セキュリティー対策から来ている。巨大な市民の監視網だ。

　今月初め、人気のサイバー犯罪フォーラムで、ある匿名ユーザーが上海警察から盗んだとする推定10億人の中国市民の個人情報を売りに出していた。これは史上最大級の個人情報漏えいとされ、公民身分番号（国民識別番号）、犯罪歴といった極めて扱いに慎重を要する個人情報が含まれていた。

　ウォール・ストリート・ジャーナル（WSJ）はこの問題が発覚して以降、サイバー犯罪関連の投稿フォーラムやチャットツールのテレグラム上で中国市民の個人情報が売りに出されているのを数十例発見した。無償で提供されているものもあった。WSJが分析したところ、盗まれたキャッシュのうち、4つは政府から流出したデータである可能性が高いことが分かった。政府データが含まれているとして売りに出されているものも複数あった。

　流出データを追跡するLeakIXによると、数万件に及ぶ中国のデータベースがネット上で無防備な状態で放置されている。合計のデータ規模は700テラバイト以上と、世界最大だという。

　中国公安省と中国サイバースペース管理局（CAC）、上海政府はコメントの要請に応じていない。

　とはいえ、世界各国がデータ保護に苦慮している。LeakIXによると、中国の次に多いが米国で、ネット上で公開された状態にあるデータが540テラバイト近くに上った。ただ、無防備に放置されているデータが広範に及び、かつ扱いに慎重を要するデータであるという点で、中国は突出する。背景には、国家運営の監視プラットフォーム上で政府機関や企業など複数のデータ元から流れてくる個人情報を一元管理しているとの事情がある。

　サイバーセキュリティーの専門家は、これだけの膨大なデータを1カ所に集約すれば、それだけ流出のリスクも高まると指摘する。パスワードが1つでもぜい弱だったか盗まれた、あるいは誰かがフィッシングに引っ掛かる、不満を抱えた社員が1人でもいるという状況になれば「システム全体がやられる」。ダークウェブ分析会社シャドーバイトの創業者、ビニー・トロイア氏はこう指摘する。

　米シンクタンク「ニュー・アメリカ」の中国サイバー政策専門家サム・サック氏は、こうしたぜい弱性がデータの悪用を防ごうとする中国政府の取り組みを損なっていると指摘する。

　中国政府は2013年以降、国家のデータ保護を国家安全保障の最優先課題と位置づけてきた。米国家安全保障局（NSA）の元契約職員エドワード・スノーデン氏が、中国のネット基盤に米政府がハッキングで不正侵入していると暴露したことがきっかけだった。当時国家主席に任命されたばかりの習近平氏を含め、スノーデン氏の暴露は中国の政府高官に衝撃を与えた。習氏はそれから程なく、すでにネット利用者が5億人に達していた国内のサイバー空間を封鎖した。

　その後数年で、ネット利用者がさらに数億人増えるのに伴い、中国当局は国内データの安全対策に不備が多いことを発見する。闇市場では、大半が政府のコンピューターネットワークから盗まれたとみられる個人情報が売買されていた。その結果、電話を通じた詐欺で多額の資金をだまし取られる事件が起きるなど、国民の間で怒りが高まっていた。

　中国政府は21年、世界で最も厳格とされる欧州連合（EU）のプライバシー保護法をひな形とする個人情報保護法を成立させた。個人情報の収集やクロスボーダーのデータ移転を制限した。17年には重要データの国外流出を阻止する「サイバーセキュリティー法」を可決するなど、入念なデータ保護規制の枠組みを整備しており、個人情報保護法はその集大成に相当する。

　習氏は同時に、顔認証など生体認証機能ツールと、公民身分番号やハイテク企業から入手した行動に関する大量のデータを組み合わせ、巨大なデジタル監視網を構築した。こうして一元化されたプラットフォームで膨大なデータが収集・解析されるようになり、当局はこうしたデータを利用して、社会秩序を脅かすとみる行為を排除し、予測すらできるようになっていく。

　上海警察から盗んだとされるデータが20万ドル（約2750万円）相当で売りに出されると、数日以内にデータ全部か、一部を売却するとの広告がさまざまな形でネット上に出回るようになった。一方、最初に売りに出されたサイバー犯罪フォーラムでは、似たようなデータをさらに安価で売るとの投稿が複数見受けられた。

　1つは、同じデータベースを10万ドルで売るとの広告だった。2つ目は、河南省 の警官と名乗る人物が上海警察のデータ流出に影響されたとして、9000万人の個人情報を暗号資産（仮想通貨）ビットコイン1BTC（約20万ドル）で売りに出していた。

　3つ目は、推定900万人に関する中国疾病対策予防センター（中国CDC）のデータが2000ドルで売りに出ていた。その数日後には、中国市民4万人の氏名や電話番号、住所、公民身分番号のデータを500ドルで売るとする4つ目の投稿もあった。

　WSJが各投稿のデータサンプルを分析したところ、判別できるデータ元から来ている可能性が高く、正規のものが複数含まれていることが分かった。上海警察の流出データと同じように、その多くはテレグラム上で拡散。中には、銀行や宅配サービス企業、公安当局などから得たとする詳細情報を合わせて売っているものもあった。これには公民身分番号や戸口（戸籍）、社会福祉のアカウント、連絡先、顔認証の記録が含まれる。

　河南省 の警察や中国CDCはコメントの要請に応じていない。

　闇市場の実態からは、中国のデータがどのように流出しているかも明らかになった。

　例えば、上海警察の場合、データベースが接続するオンラインのダッシュボードが、パスワードなしで1年余りネットで公開された状態になっていた。サイバーセキュリティーの専門家が明らかにした。こうしたぜい弱性は一般的なものだという。

　WSJが分析した国家収集データのキャッシュの売人2人は、企業の社員や政府職員から入手したと明かした。売人の1人は、政府職員は政府の公式名簿で見つけやすく、賄賂ですぐなびくと話した。

　テレグラム上で中国語の「毒」のハンドルネームを持つその売人は「彼らの月給は大したことない」とした上で、「データベースを1つでも渡せば、数年分の収入に相当する稼ぎが手に入る」と述べた。

　中国ハイテク政策の専門家によると、中国のデータセキュリティー規制はまだ日が浅く、執行状況も均一ではないため、問題をさらに難しくしている。政府自身の活動を制限する場合には、特にこうした傾向が強いという。

　また、ネット上でこれだけ膨大なデータが売られているという実態は、まさに中国政府が避けたいと考える国家安全保障上の脅威だと専門家は話している。

　米外交評議会（CFR）のデジタル・サイバー空間政策プログラムの責任者アダム・シーガル氏は、政府の監視データベースには本質的に、個人の弱みや国家のぜい弱性を外国の情報当局者が把握できるような機密情報が含まれていると指摘する。

　中国政府は上海警察の情報漏えいについて公の場でコメントしておらず、ソーシャルメディア上では関連の投稿が削除されている。