5月26日に政府CIOポータルでその仕様が公開された日本版の「接触者確認アプリ」は、6月中旬の公開予定となっている。新型コロナウイルスの感染拡大を阻止するためには、全人口の6割程度がこのアプリを導入する必要があるとの説も聞かれる中、「リリースされたらインストールすべきか」と判断に迷う人もいることだろう。
アプリを自分の端末に導入する上で、まず気になるのはプライバシーの問題だ。自分の行動や健康状態についての情報は適切に保護されるのか。すでに多くの報道で知られているように、今回のアプリはプライバシー上の懸念を払拭するために感染者や接触者を「追跡」するのではなく「確認」することにその機能をとどめている。GPSを利用した個人の位置情報の利用は行われず、感染者や接触者が「誰なのか」といった個人識別が可能な情報はアプリからは判別・追跡することは出来ない仕様だ。
新型コロナウイルス感染症対策テックチーム事務局の資料によると、このアプリを導入する目的は「スマートフォンを活用して、①自らの行動変容を確認できる②自分が感染者と分かったときに、プライバシー保護と本人同意を前提に、濃厚接触者に通知し、濃厚接触者自ら国の新型コロナウイルスの「感染者等把握・管理支援システム(HER-SYS):Health Center Real-time information-sharing System on COVID-19」に登録できるようにすることで、健康観察への円滑な移行等も期待できる。」となっており、アプリを利用して自らの行動変容を確認することが第一の目的となっている。
プライバシーへの配慮がなされていることを納得できたとしても、そこにセキュリティー上の問題があれば、予期せぬことが起こるのではないか。企業の機密情報も保護されているはずなのに、外部流失してしまうのはセキュリティー上の問題からだ。いささか心配のしすぎかもしれないが、懸念材料があればアプリの普及は進まない。アプリをインストールするかどうかは最終的に利用者個人の判断だが、その判断材料となるように接触者確認アプリのセキュリティーはどのように担保されているのか、企業システムのセキュリティーのコンサルタントにあたり、この分野に詳しいNTTデータ先端技術株式会社セキュリティ事業本部セキュリティコンサルティング事業部マネジメント&診断サービス担当の小松徹也氏にお話をうかがった。
(なお、質疑はまだアプリがリリースされていない6月上旬に行い、回答はその時点で公開されている情報を元にしたものとなります。)
* * *
――仕様書公開時の情報で、日本の「接触確認アプリ」に懸念されるセキュリティーまたはプライバシー保護上の問題点はありますでしょうか。
小松徹也氏(以下、小松):仕様書を確認した限り(※)では、現時点で懸念される問題点はないものと考えております。セキュリティー面に関しては、下記内容を実施することが要求されています。
また、プライバシー面に関しては、下記内容を実施することが要求されています。
これらを考慮した場合、セキュリティー・プライバシー対策方針としては妥当と考えられます。ですが、実際に接触確認アプリが上記要件を満たしているかは、運用段階等で適切に検証する必要があるでしょう。
この「接触確認アプリ」と連携して個人情報が取り扱われる「感染者等把握/管理支援システム」について、厚生労働省によって運営管理され、行政機関の保有する個人情報の保護に関する法律が適用されることになります。こちらについては、その運営管理の適正性をどのような仕組みで担保するのかが現時点(6日11日)で明確になっていませんので、今後明らかになることが望まれます。
※政府CIOポータルにて、2020年5月26日公開の『接触確認アプリ及び関連システム仕様書』および『「接触確認アプリ及び関連システム仕様書」に対するプライバシー及びセキュリティー上の評価及びシステム運用留意事項』を参照した。
――「Bluetoothで接触を感知する」「位置情報を取得しない」という仕様になっていますが、この前提が“アプリの改造”や“グーグル・アップルが提供するAPIの欠陥”によって、必要以上の情報が取得できるようになるといった可能性はないのでしょうか。また偽の接触情報を大量のアプリに認識させ、そこに偽の感染情報を通知するといった愉快犯的な行為は防止できるのでしょうか?
小松:まず、「政府機関等の情報セキュリティー対策のための統一基準」に準拠したセキュリティー対策が実施されますので、ITシステムの基本的なセキュリティー対策を施したシステムが構築されることになります。また、システム導入時には脆弱性検査を実施することが定められていますので、アプリや通知サーバのセキュリティー上の問題点は、検査によって把握されることになります。発見された危険度の高い脆弱性は、修正したのち、アプリケーションストアにて一般公開されることになりますので、容易に情報を取得できるような事象は、想定されないと判断しています。
また、「接触確認者」の識別情報を他者が受け取っただけでは、アラートは表示されない仕様となっています。アラート通知には医療機関での診療と陽性認定が必要となります。医療機関では本人確認が実施され、かつ、PCR検査で陽性であったという結果通知を受け取らなければアラート通知ができませんので、故意に偽の陽性通知をばらまいて混乱を招くことができません。
つまり、匿名性をもったまま、悪意ある行動はとれないフローとなっており、簡単に迷惑行為を実行できないものと想定しています。
――なるほど、ではBluetooth通信のセキュリティー上のリスクはないのですか?
小松:Bluetooth通信機能は、OS機能の一部です。そのため、アプリに問題がなくてもBluetooth機能の実装に問題があった場合には影響を受けてしまいます。2017年にはBluetoothで機器を接続する際に、本来必要となる接続先デバイスとのペアリング無しに相手端末の操作が可能となる脆弱性(別名BlueBorne)が発見されました。Bluetoothが検出可能モードではなくとも攻撃が可能な為、見知らぬ人の端末を感染させることができます。このようなBlueBorneにより乗っ取られた端末は、ユーザが意図しない状況でカメラを起動させるなど、攻撃者の端末からの不正な操作を受け付けてしまいます。
* * *
こうした脆弱性はOSを最新の状態に保つことで回避できる。またBluetoothをオフにしておくことでも防止できるが、今回のアプリにおけるBluetoothの役割を考えると、オフでは役に立たないので、オンオフの切り替えによって攻撃を防ぐのは難しいだろう。
当然のことながら、今回の「接触確認アプリ」では、その方法が容易に想像できるような悪意のある利用については、実施が不可能なようにチェックポイントが設けられている。またセキュリティーに関しても、必要な対策は施されており、きちんと手順を踏んで公開されたものを利用するという前提のもとにおいてはいまのところ問題は見当たらない。しかしどんな製品も基本的なルールに則って使用しなければせっかくの対策がないも同然になってしまう。
――アプリを利用する上での一般的なセキュリティー上の注意点を教えて下さい。
小松:どんなアプリでもそうですが、利用者は、以下の点に注意する必要があります。
こうすることで、最新のセキュリティー状態が保たれたアプリを利用することが出来ます。さらに端末の盗難も考慮した場合、PINや指紋などの認証を設定し第三者が容易にアクセスできないようにすること。加えて、遠隔操作で端末の情報を消去・無効化できるリモートワイプ機能を有効しておくことも必要です。
また、アプリケーションを提供する側は、「アプリケーションの配布を公式アプリストアのみに限定する」ことも重要です。公式のストアでアプリケーションを配布するにあたり、事前に審査を受ける必要があります。
「アプリケーションストアへの公開前の審査」の具体的な内容は公開されていませんので、どのように審査されているのか外部からはわからない状態です。ただし、審査を通過するためには、ガイドラインやポリシーを考慮し、セキュリティーを意識したアプリケーションが求められています。
* * *
「接触確認アプリ」が効果を発揮するには、国民が広く利用するアプリになる必要がある。今回の質問に回答していただいた小松氏からは「公開後に脆弱性が発見され、一時公開停止といった事象が発生した場合、不信感から普及しづらくなります。こうしたことを避けるためにも、第三者のセキュリティー専門家によるセキュリティー診断を実施していただき、アプリケーションを公開していただくことが重要かと考えます」との指摘があった。利用者目線での妥当な意見と思うのでこれも最後に付け加えておきたい。
■接触確認アプリ「COCOA」関連の情報(6月19日 編集部追記)