1. セキュリティ対策ラボ
  2. インテリジェンス
  3. 国家 安全保障
  4. FBI、中国製モバイルアプリの利用について安全保障上のリスクを警告-個人情報漏洩やマルウェア 混入の恐れ

FBI、中国製モバイルアプリの利用について安全保障上のリスクを警告-個人情報漏洩やマルウェア 混入の恐れ

インテリジェンス

投稿日時: 更新日時:

FBI、中国製モバイルアプリの利用について安全保障上のリスクを警告-個人情報漏洩やマルウェア 混入の恐れ

2026年3月31日、米連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)は、「米国内における外国開発モバイルアプリの使用に関するデータセキュリティリスク」と題した公式警告(PSA)を発表しました。

この警告の最大の焦点は、ユーザーの利便性を装った中国製アプリ(あるいは収集したデータを中国のサーバーへ送る外国製アプリ)による、過剰かつ執拗なデータ収集の実態です。

本記事では、FBIが公式に警鐘を鳴らした「特定国へのデータ流出リスク」、その背景にある中国の法律の脅威、そして私たちが直ちに行うべきスマートフォンのセキュリティ対策を解説します。

【30秒でわかる本記事の概要】

  • FBIが、中国製などを念頭に置いた外国開発モバイルアプリのデータ収集リスクについて公式警告(PSA)を発表しました。

  • アプリの利用規約に「収集したデータを中国にあるサーバーに保存する」と明記されているケースが存在します。

  • 最も危険なのは、アプリを利用していない友人や取引先の個人情報(連絡先リスト)まで、ユーザーのスマホ経由で芋づる式に中国のサーバーへ送られる点です。

  • 中国にデジタル基盤を持つアプリは「国家情報法」などの対象となり、中国政府が合法的にデータへアクセスできるリスクがあると米当局(DHS等)が警告しています。

  • FBIは「不要な権限の無効化」や「利用規約の事前確認」など、5つの強力な自衛策を呼びかけています。

FBIが名指しで警戒する「中国のサーバー」へのデータ流出

FBIの警告は、特定の外国製アプリが、ユーザーの想定をはるかに超える広範なデータを収集し、自国(米国や日本)の法的管轄外へ転送している実態を浮き彫りにしています。

アプリを使っていない「知人・取引先」のデータまで抜かれる

最も深刻な手口の一つが、アプリの「招待機能」などを悪用した連絡先データの収集です。 ユーザーがデフォルトの権限設定のままアプリに「連絡先へのアクセス」を許可すると、開発企業はユーザー本人の情報だけでなく、

アドレス帳に登録されている「そのアプリを使っていない非ユーザー」の名前、メールアドレス、住所、電話番号まで収集することが可能になります。つまり、一人の従業員が中国製アプリをインストールしただけで、社内の役員や重要顧客の連絡先リストがごっそりと海外へ流出する危険性があるのです。

バックグラウンドでの持続的な監視

一度アクセス権限を許可してしまうと、そのアプリを利用していない時(バックグラウンド動作中)であっても、持続的にデバイスのデータを収集し続ける可能性があります。位置情報やマイク、カメラへのアクセスが常時行われていれば、もはや「ポケットに入ったスパイカメラ」と同義です。

背景にある中国の「国家安全保障関連法」の脅威

今回FBIが強調したのは、単に「中国企業がアプリを作っているから危険」という点ではありません。中国国内にデジタル基盤を持つアプリが、中国の広範な国家安全保障関連法の枠組みに完全に置かれていることが根本的な問題です。FBI IC3は、こうした法制度によって、中国政府がモバイルアプリ利用者のデータに合法的にアクセスし得る可能性があると明言しています。

国家情報法による「協力の義務化」

具体的に注目されるのが、中国の「国家情報法」です。米国土安全保障省(DHS)のData Security Business Advisoryは、同法について以下の危険性を指摘しています。

  • 第7条: あらゆる組織や市民が国家情報活動を支援、補助、協力しなければならず、知り得た国家情報活動の秘密を守る義務がある。

  • 第14条: 情報機関が関係機関や組織、市民に対して必要な支援、補助、協力を求めることができる。

急速に整備されるデータガバナンス法体系

中国では国家情報法だけでなく、サイバーセキュリティ法やデータ安全法を含む形で、データガバナンスの法体系が整備されています。米中経済安全保障審査委員会(USCC)は、中国のデータガバナンス体制が2015年以降急速に発展し、中国国内でデータを扱う組織に大きな影響を与えていると説明しています。データ安全法そのものも、「データ処理を規律し、国家の主権、安全、発展利益を守ること」を目的に掲げています。

企業や利用者にとっての「3つの具体的なリスク」

こうした中国の法体系は、企業や利用者にとって以下の重大なリスクをもたらします。

データの行き先が完全に「ブラックボックス」化する

FBIは、連絡先、位置情報、メッセージ、写真、システムプロンプトなど、アプリが継続的に収集し得る情報が中国国内サーバーに保存される場合があると警告しています。中国にデジタル基盤を置くアプリは国家安全保障関連法の対象となるため、米当局の見立てでは、中国政府がそのデータへアクセスできる可能性を否定できないという構図になります。

秘密保持義務による「不透明性」

もう一つのリスクは、企業側が「どの範囲まで中国政府からデータ利用や開示の要請を受けたのか」、外部からは全く検証できないことです。国家情報法には協力義務に加えて「秘密保持義務」も課されています。DHSもこの点を踏まえ、企業データや個人データが中国政府へ渡る可能性を安全保障上の懸念として扱っています。利用者側からは、どのような法的根拠で、自分のどのデータが政府に渡ったのかを知る術がありません。

 クロスボーダー(越境)データ移転とコンプライアンスの壁

実務面では、クロスボーダーのデータ移転や保管場所の問題も無視できません。USCCは、中国のデータガバナンス体制が越境データ移転への障壁を強めていると指摘しています。これはグローバルに事業を展開する企業にとって、単なるプライバシーリスクにとどまらず、「どの国の法令に従うべきか」「データをどこに置くべきか」「他国政府からのデータ提供要請にどう対応するか」という法務、コンプライアンス、事業継続(BCP)の根幹に関わる問題に直結します。

企業と個人が直ちに行うべき5つの自衛策

FBIは、リスクの高い外国製アプリから自身のデータを守るため、以下の5つの防衛策(Tips to Protect Your Data)を強く推奨しています。

  1. 不要なデータ共有(権限)を無効化する: アプリの本来の目的に全く関係のない権限(連絡先、位置情報、マイクへのアクセス等)の許可を直ちに取り消す。

  2. 公式アプリストアからのみダウンロードする: Apple App StoreやGoogle Playなど、セキュリティ審査を通過した公式ストアのみを利用する。

  3. パスワードを定期的に変更する: 万が一データが流出してもアカウントを乗っ取られないよう、強固なパスワード管理を行う。

  4. デバイスとアプリを常に最新に保つ: ソフトウェアアップデートを適用し、OSレベルのセキュリティ機構を最新状態に維持する。

  5. インストール前に利用規約(EULA)を確認する: そのアプリが「データをどの国のサーバーに保存するのか」を事前に確認する。

こんな「異常な挙動」が出たら即刻対応を

FBIは、アプリをインストールした後にスマートフォンやタブレットに以下のような「不審な活動(Suspicious activity)」が見られた場合、背後で過剰なデータ収集が行われている可能性があるとして警戒を呼びかけています。

  • 異常なデータ通信量(パケット通信量)の急増

  • 使っていないのにバッテリーが極端に消耗する

  • 各種アカウントへの身に覚えのないログイン通知

  • デバイスのマルウェア検知アラートの作動

これらの兆候が見られた場合は、速やかに該当アプリをアンインストールし、FBIのIC3(インターネット犯罪苦情センター)等へ報告することが推奨されています。

まとめ

FBIの今回の警告は、私たちが何気なく使っている「便利で無料の外国製アプリ」が、実は国家規模のデータ収集の入り口になっているという事実を突きつけています。特に「国家情報法」を持つ中国のサーバーにデータが保存されるアプリは、自国の法的保護が全く及ばない場所に情報を明け渡すことを意味します。

企業はBYOD(私用端末の業務利用)のガイドラインを厳格化し、従業員に対して「出所が不明なアプリに連絡先へのアクセスを絶対に許可しない」といったセキュリティ教育を早急に徹底すべきです。

【よくある質問(FAQ)】

Q. FBIは「中国製アプリ」を名指しで危険視しているのですか?

A. 今回のPSA(I-033126-PSA)では個別のアプリ名は記載されていませんが、FBIは明確に「収集したデータが、開発者が必要と判断する期間、中国にあるサーバーに保存されると明記しているアプリ」の存在を指摘し、警戒を促しています。

Q. アプリを使っていなくても自分の個人情報が中国へ流出することはありますか?

A. はい、十分にあり得ます。FBIの警告によれば、あなたの友人や同僚がリスクのあるアプリをインストールし「連絡先(アドレス帳)へのアクセス」を許可した場合、そのアプリを使っていないあなたの「名前、メールアドレス、住所、電話番号」が、友人のスマホ経由で海外のサーバーへ収集されるリスクがあります。

Q. 中国のサーバーにデータが送られると何が問題なのですか?

A. 中国には「国家情報法」や「データ安全法」などの法律があり、政府機関から要求があった場合、中国国内の企業やサーバー管理者はデータを提出する義務を負います。また、同法には「秘密保持義務」もあるため、企業秘密や個人の行動履歴が中国の国家機関に筒抜けになっていても、外部からはそれを検証することができないという重大なリスクが存在します。

出典

Data Security Risks of Using Foreign-Developed Mobile Apps in the United States (PSA: I-033126-PSA)

関連記事

GitHubが内部リポジトリへの不正アクセスを調査中、顧客情報への影響を示す証拠は確認されずGitHubの内部リポジトリへの不正アクセス、VS Code 拡張機能から侵害される エプスタインに関わる情報漏洩と関連する日本人のまとめ-エプスタイン文書では伊藤 穰一氏、林 千晶氏、田中 美歌氏のアテンド記録もエプスタインの情報漏洩と関連する日本人のまとめ-エプスタイン文書では松本 大氏や伊藤 穰一氏、林 千晶氏のアテンド記録も Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 オンラインコード/JSON 整形ツールに貼り付けた機密情報が世界に晒されている-秘密鍵や個人情報などが大量に漏洩オンラインコード/JSON 整形ツールに貼り付けた機密情報が世界に晒されている-秘密鍵や個人情報など大量に漏洩 SonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれるSonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれる Googleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセスGoogleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセス 中国系ハッカー グループがReact Server Componentsの脆弱性 React2Shell(CVE-2025-55182)を即日悪用-AWSが警告中国系ハッカー グループがReact Server Componentsの脆弱性 React2Shell(CVE-2025-55182)を即日悪用-AWSが警告 Gmailのアカウント 情報、最大25億人分が漏洩の可能性-パスワード変更を推奨Googleへ不正アクセス、Gmail アカウント 情報の最大25億人分が漏洩の可能性-パスワード変更を推奨 LINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩 インシデントLINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩 インシデント