世界各国が新型コロナウイルス感染症(COVID-19)の感染拡大追跡に役立つスマートフォンアプリの開発を急ぐ中、プライバシー擁護団体は、これらのシステムが適切に実装されなければ、健康データとデジタル監視が混在する危険な状況につながる可能性があると警告している。インドの新たな接触追跡アプリは、こうしたプライバシーの落とし穴に関する教訓となるかもしれない。セキュリティ研究者によると、このアプリは政府当局だけでなく、その欠陥を悪用できるほど巧妙なハッカーにも新型コロナウイルス感染症患者の居場所を明かしてしまう可能性があるという。
独立系セキュリティ研究者のバティスト・ロバート氏は本日、インド政府の国立情報学センターが開発したヘルスブリッジアプリ(通称アーロギャ・セトゥ)について警告するブログ記事を公開した。ロバート氏は、このアプリの、ユーザーが近くに感染者がいるかどうかを確認できるように設計された機能の一つが、GPS位置情報を偽装し、半径500メートル以内で感染を申告した人数を知ることができることを発見した。感染報告が比較的少ない地域では、ハッカーがいわゆる三角測量攻撃を用いて、陽性と疑われる人の診断結果を確定させる可能性もあるとロバート氏は指摘する。
「このアプリの開発者は、悪意のある人物がアプリのリクエストを傍受し、特定の地域の情報を得るために改ざんできるとは考えていなかったのです」と、インドの国民IDシステム「アーダール」のセキュリティ上の脆弱性を発見したことでも知られるフランス人研究者、ロバート氏は語る。「三角測量を使えば、誰が病気で誰が病気でないかを非常に正確に把握できます。正直言って、アプリのこのような用途は想定していませんでした。」
ロバート氏のようなセキュリティ研究者がAarogya Setuに注目したのは、その規模の大きさも一因となっている。インド政府は多くの労働者に対し、この接触追跡アプリの使用を義務付けており、政府当局によると、すでに9000万回以上ダウンロードされているという。
当社のコロナウイルス関連記事はすべてこちらでご覧ください。
現在ヨーロッパで展開され、間もなく米国でも展開される多くのアプリとは異なり、Aarogya SetuはBluetoothデータだけでなくGPSを用いて感染の可能性のある人々の移動を追跡します。これは、接触追跡アプリ、特に位置情報データに依存するアプリの実装に欠陥があると、機密性の高い医療情報の深刻な漏洩につながる可能性があることを示す、教訓となるかもしれません。
「多くの接触追跡アプリがこうした問題を抱えていると予想しており、特にGPSに依存するものはプライバシー侵害がより深刻になるだろう」と、ロバート氏の調査結果を検証し、他の接触追跡アプリを分析した連邦取引委員会(FTC)の元主任技術者、アシュカン・ソルタニ氏は述べる。「健康状態などと関連付ければ、こうした推論が成り立つのも不思議ではない」
ロバートがアーロギャ・セトゥのプライバシー問題に初めて気づいたのは、一定半径内の感染者報告をチェックする機能を分析した時だった。彼は、ノートパソコンからこうしたリクエストを模倣することで、自分の位置情報を偽装し、任意の緯度経度から半径500メートル以内の感染者数を尋ねるクエリに変更できることを発見した。
GPSスプーフィングの可能性は、それだけでも十分に懸念すべき問題です。遠隔地に住んでいる人がCOVID-19陽性者だと簡単に特定されてしまう可能性があります。しかし、ロバート氏は、このバグを利用して三角測量または三辺測量と呼ばれる技術を実行し、より標的を絞った場所にいる人のCOVID-19感染状況を特定できる可能性もあると示唆しています。
ハッカーが新型コロナウイルス感染の疑いのある人物がいる場合、標的の周囲500メートルの円形エリアを複数、重なり合うようにチェックします。円の中心は、標的の自宅を覆わないように注意しながら、円の端が周囲に境界線を描くようにします。半径500メートルの各エリアに感染者がいない場合は、ハッカーは新たな円を描き、今度はその中心を標的の自宅に置きます。感染者の数が1人増えれば、ハッカーはその限定されたエリアに感染者がいると推測できます。「ある家に住む人々が感染しているかどうかを知りたい場合は、周囲に境界線を描けば、アプリケーションが結果を表示します」とロバート氏は言います。
インド議会を狙った三角測量攻撃の例:攻撃者が標的の周囲のエリアをすべて測定し、厳密な境界を設定し、感染者がいないと判断できれば(左図)、標的の場所における感染者数をはるかに正確に数えることができます(右図)。赤い六角形は、攻撃者がCOVID-19の症例報告を確認できる、より正確なエリアを表しています。スクリーンショット:WIREDスタッフ
この技術には重大な限界がある。ロバート氏によると、この技術を使えば新型コロナウイルス感染症の感染者の位置を各次元で数メートル単位で特定できる可能性があるという。しかし、それはアプリの測定精度に大きく依存する。ロバート氏は、プライバシー侵害を避けるため、この技術を完全にテストしていないと述べている。「動作確認のために最低限のテストはした」と彼は言う。
この三角測量は、半径約1キロメートル圏内で新型コロナウイルス感染症の疑いのある人が1人しか報告されていない場合にも最も効果的です。この最後の条件は、少なくとも今のところは、それほどあり得ない話ではありません。インドの人口密度が高いにもかかわらず、ロバートはニューデリー中心部の半径500メートル圏内を調査し、ほとんどの場合、新型コロナウイルス感染症の陽性と報告されたのは1人か2人だけだったことを発見しました。地方の方がはるかに標的になりやすいのかもしれません。
インドのコンピュータ緊急対応チーム(CERT)と国立情報センター(NIC)は、WIREDのコメント要請に応じなかった。しかし、このアプリを開発するグループのTwitterアカウントは声明を投稿し、「ユーザーの個人情報が危険にさらされていることは証明されていない」とし、「データ漏洩やセキュリティ侵害は確認されていない」と主張した。また、この声明は、ユーザーが別の位置情報を偽装する機能はバグではなく仕様であると主張しているようだ。「ユーザーは緯度と経度を変更することで、複数の位置情報を取得できます」
この声明は、三角測量によるユーザー標的化の可能性については言及していないものの、Webアプリケーションファイアウォールがユーザーがアプリから送信できるリクエストの頻度を制限していることを述べています。しかし、ロバート氏は、三角測量技術では連続して10回未満の位置情報読み取りで済む可能性があり、これは自身のテストで容易に実行できたと指摘しています。アプリのファイアウォールを突破するために複数のアカウントからより多くの測定を行うことで、ハッカーは標的のCOVID-19陽性ステータスをより確実に特定できる可能性があります。
元FTCの技術者ソルタニ氏は、三角測量に関する脆弱性を考慮しても、インドのアプリはGPSによる位置情報追跡機能によって、より根本的なプライバシー侵害を犯していると主張する。「これが本来の用途です。感染者がどこにいるかを知ることができるのです。これはプライバシー侵害とみなされるだけでなく、公衆衛生上の必要性でもあります」とソルタニ氏は言う。「アプリの本来の用途はプライバシーの侵害です。」
位置情報は、接触追跡アプリの開発会社とプライバシー擁護団体の間の議論において、特に大きな争点となっている。新型コロナウイルスは、表面に残された痕跡によって人に感染する可能性があり、いわゆる「環境伝播」と呼ばれる。そのため、一部のアプリ開発者は、Bluetoothだけでユーザー間の近接性を測定するだけでは、すべての感染の可能性を把握するには不十分だと主張している。しかし、位置情報の追跡は、アロギャ・セトゥ事件ほど安全に行われていたとしても、政府当局が人々の行動を把握することを可能にし、不倫から政治的反対派グループに至るまで、機密性の高い活動を暴露する可能性がある。複雑な暗号化方式をもってしても、位置情報追跡システムの悪用を完全に防ぐことはできない。
しかしロバート氏は、接触追跡アプリにおけるプライバシーと公衆衛生のトレードオフというより深い問題を超えて、アーロギャ・セトゥの欠陥は、開発者が場合によっては基本的なセキュリティ対策さえ講じずにアプリを開発していることを示していると主張している。「私が見つけたのは非常に簡単なのに、なぜ私より前に誰も気づかなかったのか理解できません」とロバート氏は言う。「新型コロナウイルス感染症と戦うには新しいツールが必要です。私たちは危機的状況にあります。それでも、セキュリティとプライバシーを念頭に置いて開発を行うよう注意を払う必要があります。」
WIREDのCOVID-19に関するその他の記事
- 「命を救おう」:パンデミックへの医師の旅
- 中国のコロナウイルス隠蔽初期の内幕
- すべてが変わった日の口述歴史
- コロナウイルスのパンデミックは気候変動にどのような影響を与えているのでしょうか?
- 新型コロナウイルス感染症に関するよくある質問とガイド
- コロナウイルスに関する当社の報道はすべてこちらでご覧いただけます
