アップルとグーグル、新型コロナウイルス感染症の接触追跡に関する懸念に回答

グーグルとアップルが先週、Bluetoothベースの新型コロナウイルス感染症接触追跡を可能にするため、AndroidとiOSに改良を加えると発表した際、即座に激しい批判が巻き起こった。シリコンバレーが私たちの生活の新たな指標を監視する計画という発想は、システムの実用性とプライバシーについて即座に疑問を投げかけた。今こそ、その答えを探るべき時だ。

AppleとGoogleは、来月からモバイルOSに新機能を追加すると発表しました。これにより、政府の保健機関が運営する特定の承認アプリが、Bluetooth無線を利用して携帯電話間の物理的な距離を追跡できるようになります。その後、誰かが新型コロナウイルス感染症の陽性と診断された場合、アプリを通じて報告することができ、最近接触したユーザーには通知が届きます。このシステムはBluetoothのみを使用し、完全にオプトイン方式で、ユーザーの位置データは収集しません。また、新型コロナウイルス感染症の陽性と診断されていない人からは一切データを収集しません。AppleとGoogleは、スマートフォンによる自動接触追跡を可能にする様々な方法の中で、おそらく最もプライバシーに配慮した方法を選択したと言えるでしょう。

しかし、だからといって必ずしもプライバシーが十分に確保されている、あるいは実用的であるとは限りません。セキュリティとプライバシーを重視する技術者たちは、AppleとGoogleのシステムには、新型コロナウイルス感染症の陽性ユーザーの身元を明らかにしたり、広告主が追跡したりする可能性のある技術、荒らしによる誤検知、誤った自己診断、端末間の信号不良など、数多くの潜在的な欠陥があると指摘しています。

これらの問題は確かに現実のものだが、解決策があるものもある。WIREDは、Bluetoothによる接触追跡の潜在的な落とし穴について暗号学者やセキュリティ専門家に話を聞いた後、Apple、Google、そしてBluetoothベースの接触追跡に特化した12以上のグループからなるコンソーシアム「TCN Coalition」（Covid Watch、Co-Epi、Novidなどを含む）で接触追跡システムの構築に携わる技術者数名に、それらの問題を提起した。

その結果、複雑な状況が生まれます。未検証のシステムであり、その欠陥によってユーザーが導入をためらったり、意図しないプライバシー侵害につながる可能性さえあります。しかし同時に、このシステムは最も重要な点でプライバシーを保護すると同時に、世界各国が新たな感染拡大を防ぐための重要なツールとして機能する可能性もあるのです。

以下に概説するBluetoothベースのシステムに対する批判は、スマートフォンによる接触追跡をめぐる、より広範な社会学的・政治的問題の一部を網羅しているとは言えません。効果的な接触追跡には、COVID-19の検査を現在の水準をはるかに超えて増強する必要があります。感染と診断された人や感染の疑いのある人は、自主隔離するための経済的自由とスペースが必要です。そして、最もリスクが高いと思われる低所得者層や高齢者の多くは、スマートフォンを所有している可能性が低いのです。そこで、本稿では、システムの潜在的な技術的脆弱性という、より差し迫った問題を検証します。

それは人々を追跡するために使用できますか?

接触追跡システムに参加する人が最も懸念するのは、監視の強化に加担しているのではないかということです。Bluetoothベースの接触追跡は、おそらく最も監視に適さない選択肢ですが、その保護対策は完璧ではありません。

これらの欠陥を理解するために、まずGoogleとAppleの計画、そしてTCN連合が提案している類似の計画がどのように機能するかを改めて確認しておきましょう。接触追跡アプリは、1日に1回変更される暗号鍵から生成される、固有のローテーションBluetoothコードを絶えず送信します。同時に、周囲のスマートフォンを常に監視し、一定の範囲と時間内（例えば、6フィート以内で10分間など）に接触した他のスマートフォンのコードを記録します（どちらの数値も、COVID-19感染の発生状況に関する最新のデータに基づいて「調整可能」です）。ユーザーがCOVID-19の陽性診断を報告すると、アプリは過去2週間にコードを生成するために使用された暗号鍵をサーバーにアップロードします。他のユーザーのアプリは、これらの日々更新される鍵をダウンロードし、それらを使用して、生成された固有のローテーションコードを再生成します。保存されているコードのいずれかと一致するコードが見つかった場合、アプリはそのユーザーに感染の可能性があることを通知し、自主隔離または検査を受けるための情報を表示します。

このシステムでは、すべての携帯電話がBluetoothコードを常時ブロードキャストしますが、10分または15分ごとに番号を切り替えることで、盗聴者がコードを盗聴して人物の動きを追跡する能力を制限します。それでもなお、連邦取引委員会の元主任技術者であるアシュカン・ソルタニ氏は、いわゆる「相関攻撃」によって、依然として何らかの形の追跡が可能になる可能性があると指摘しています。

ソルタニ氏は、この問題を実証するために、詮索好きな隣人が窓の外にカメラを設置し、通り過ぎる人全員の顔を録画する状況を想像する。同じ隣人は、その隣人の携帯電話を「ルート化」し、他のユーザーから受信する接触追跡用のBluetooth信号をすべて確認できるようにする。その後、通行人の一人が新型コロナウイルス感染症陽性だと報告すると、詮索好きな隣人のアプリは接触追跡サーバーからその人のキーをすべて受信し、カメラの前を通過した瞬間に発信されたコードを照合することで、見知らぬ人が新型コロナウイルス感染症陽性であると特定できる。感染者の写真をNextdoorに投稿し、近隣住民に注意を促すまでになるかもしれない。

「システム自体は匿名性を備えていますが、実装は識別子をブロードキャストするため匿名ではありません」とソルタニ氏は言う。「感染者としてNextdoorに載ってしまう可能性があると分かっているなら、こうしたアプリを使いたがらないかもしれません。」

GoogleとAppleの共同プロジェクトの接触追跡開発者も、TCNコンソーシアムも、この疑問に簡単な答えを出せなかった。しかし、両チームとも、この種の相関攻撃を大規模に実行するのは困難だと示唆した。Google/Appleチームの広報担当者は、もし攻撃者が監視カメラを使う気があれば、診療所やその他の検査場の入り口にカメラを向けて人々の顔を撮影する方が簡単だと指摘した。

接触追跡プロジェクトの責任者であるCo-Epi創設者スコット・ライブランド氏は、相関攻撃は接触追跡プロトコルの本来の機能と切り離せないものだとまで述べています。Bluetoothベースの接触追跡アプリの一部バージョンでは、後に感染と診断された人と接触した正確な時間と場所に関する情報を通知し、リスクをより適切に評価できるようにする場合があります。これは、後に陽性反応を示した人の身元を特定するのにも役立つ可能性があります。「私たちがしなければならないことの一つは、報告を提出することを選択した場合、友人や見知らぬ人に接触の事実を漏らす可能性があることを、人々に明確に伝えることです」とライブランド氏は言います。

この技術は広告に利用されるのでしょうか?

朗報なのは、ターゲティング広告企業がGoogleやAppleのBluetooth接触追跡プロトコルを直接実装してユーザーを追跡することは許可されないことです。しかし、ジョンズ・ホプキンス大学の暗号学者マシュー・グリーン氏が提案した別のシナリオは、上記の「相関攻撃」の亜種であり、商業的な追跡に有効である可能性を示唆しています。広告会社は、来店客が発信する接触追跡コードを収集するBluetoothビーコンを店舗に設置することができます。そして、公衆衛生アプリを利用して、後に新型コロナウイルス感染症陽性と診断された人々のキーをすべてダウンロードし、過去2週間分のコードをすべて生成することができます。この手法により、どのコードの痕跡が特定の人物を表しているかを理論的に特定し、店舗から店舗へと追跡することが可能になります。

しかし、グリーン氏はそのシナリオを描写しながらも、自身はすぐに軽視した。まず、この攻撃によって小売業者が追跡できるのは、新型コロナウイルス感染症の陽性と申告した人だけで、大多数の利用者は追跡できない。また、追跡できるのは、感染した少数の人について、診断前の2週間だけに限られる。さらにグリーン氏は、広告主は既に、クレジットカード取引からアプリから送信される超音波信号に至るまで、店舗間の移動を追跡するツールを豊富に持っていると指摘する。彼らは、追跡手段を一つ増やすためだけに、新型コロナウイルス感染症の陽性者を特別に監視するというスキャンダルを冒すだろうか？

「悪質な広告主がこれを利用してデータセットを拡張する可能性は確かにあります」とグリーン氏は言う。「しかし、それは本当に多くの悪意を必要とします。そして、私にはこれは小さなケースのように思えます。」

もちろん、広告トラッキングを起こりにくいシナリオとして維持するには、コロナウイルスの脅威が薄れた後もAppleとGoogleが広告主のAPIへのアクセスを拒否し続けるか、機能を完全に廃止するかどうかにかかっている。

接触追跡アプリも位置情報を要求するのか？

新型コロナウイルス感染症（COVID-19）の感染者追跡をGPS位置情報データではなくBluetoothの連絡先に基づいて行うことで、プライバシーに関する大きな懸念を回避できる。GPS位置情報データは、不倫から政治的反体制活動まで、あらゆるものの証拠として利用できるからだ。しかし、一部の批評家は、GoogleやAppleのBluetooth追跡機能を利用する接触追跡アプリは、いずれにしても位置情報を要求することになると指摘している。

人気の暗号化通信アプリSignalの開発元で暗号学者のモクシー・マーリンスパイク氏は、AppleとGoogleの発表後の一連のツイートで、システムをより効率的にするためにそうするかもしれないと主張した。AppleとGoogleのAPIの初期の説明によると、アプリユーザーのスマートフォンは毎日、新たに新型コロナウイルス感染症と診断されたすべての患者の鍵をダウンロードする必要があり、データ量はすぐに膨大になるという。「ある週に中程度の数のスマートフォンユーザーが感染した場合、スマートフォン1台あたり数百メガバイトのダウンロードが必要になる」とマーリンスパイク氏は記し、「これは到底受け入れられない」と付け加えた。代わりに、アプリは位置情報データを収集することで、誰がどの鍵をダウンロードする必要があるかをより適切に判断し、ユーザーの移動エリアに関連する鍵のみを送信できるはずだ。

GoogleとAppleの共同プロジェクトとTCN連合の代表者たちは、この点に関して同じ回答を示しました。アプリがユーザーに地域を尋ねるだけであれば、その非常に大まかな位置情報で、管理可能な数のキーをダウンロードできるでしょう。両グループの計算によれば、アプリに現在地の国を知らせることで、1日のキーのダウンロード量はわずか1～2MBにまで削減でき、GPSトラッキングも不要になるということです。

だからといって、GoogleとAppleのAPIを利用する一部のアプリが位置情報を一切要求しないということではありません。医療機関はGPSを使用しないシステムの趣旨を理解していないかもしれませんし、感染状況の追跡精度向上のために追加データが必要なだけかもしれません。GoogleとAppleは、位置情報追跡アプリがGPSを使用する場合は、他のアプリと同様に、まずユーザーに許可を求める必要があると指摘しています。

しかし、位置情報データの問題はより大きな問題を示唆している。GoogleとAppleは、開発者に最もプライバシーを保護するアプローチを指示することしかできない。すべてのアプリは、そのフレームワークをどのように実装しているかに基づいて、個別に評価される必要がある。「アプリ開発者が製品を出荷するために解決しなければならない問題は他にもたくさんある」とマーリンスパイク氏は書いている。「責任ある対応は可能かもしれないが、AppleとGoogleは私たちに代わってそれをやってくれない」

アプリ自体がCOVID-19患者を識別できるのか？

Bluetoothベースの新型コロナウイルス感染症接触追跡システムは、ほとんどのユーザーのデータはアップロードせず、感染者のみの匿名データのみをアップロードするように設計されています。しかし、陽性と申告したユーザーのデータは依然として一部アップロードされています。データの出所を知られずにインターネット上でデータを移動させることがいかに難しいかを考えると、アップロードが本当に匿名でいられるのかという疑問が生じます。

アプリがサーバーにアップロードするキーが個人を特定できないとしても、例えば、アップロードした携帯電話のIPアドレスと紐付けられる可能性があります。そうなると、そのサーバーを運営する者（おそらくは政府の保健機関）は、陽性と報告した人の携帯電話を特定し、ひいては居場所や身元を特定できる可能性があります。

ジョンズ・ホプキンス大学のグリーン氏によると、アプリはHTTPS暗号化を使用し、アップロードするデータをパディングして隠蔽することで、サーバー以外の者がIPアドレスを盗聴して診断を受けたユーザーを特定するのを防ぐことができる。しかし、それでもアプリサーバー自体がアップロードされたデータから個人識別データを収集・保存しないことを信頼する必要がある。

TCN連合とGoogle/Appleプロジェクトはどちらも、ポリシー上、サーバーはこれらのIPアドレスを収集すべきではないと述べています。しかし、そのポリシーに従うかどうかはアプリ開発者の責任です。

実際、多くの医療機関はCOVID-19陽性者を特定したいと考えているでしょう。しかし、この点に関して、Google/Appleプロジェクトの代表者は、感染者のCOVID-19感染状況を医療機関自身から隠蔽しようとするのは非現実的な目標かもしれないと主張しました。結局のところ、これらの機関はCOVID-19検査を実施している可能性が高いため、国民は既にCOVID-19陽性者の特定データを彼らに託しているのです。

誤検知はどうでしょうか?

監視の問題に加えて、Bluetooth接触追跡アプリが、感染の疑いがあるという誤った警告でユーザーを圧倒しないよう注意を払う必要がある。こうした誤検知は、ユーザーが誤って自己診断したり、さらに悪いことに、荒らしがシステムにスパムを送信したりすることで発生する可能性がある。ケンブリッジ大学のコンピューター科学者で暗号学者のロス・アンダーソン氏は、「パフォーマンスアートのアーティストが犬に携帯電話を結びつけ、公園を走り回らせる」ことで、犬の接触追跡に混乱を引き起こすだろうと警告した。