Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

アベノアプリの脆弱性

ウィルス感染拡大防止の目的で来月にも導入される接触確認アプリ(アベノアプリ)ですが、その概要が判明してきました。

www.fnn.jp

 

キタきつねの所感

FNNの番組記事がよくまとまっていましたが、内容としては5/17のNHKスペシャルで取り上げられていた内容と似ている印象です。

では、この“アベノアプリ”で、どう感染を防げるのだろうか?
手順はまず、アプリをダウンロードする。するとアプリを利用している人同士が1メートル以内の距離で15分以上一緒にいると、接触として記録される。
この通信手段には近距離無線通信「ブルートゥース」を利用。匿名で記録されるため、個人名が公開されることはないということだ。

(FNN記事より引用)

NHKスペシャルで専門家がテレビ会議をしている映像を見返してみたのですが、セキュリティ面での懸念を語っていたのは、CODE BLUEの篠田佳奈さんでしたし、出席メンバーの多くがCODE BLUE関係の方でした。ラックの西本さんも居ましたが。

 

関連する記事を見つけました。接触確認アプリの(本当の)名前は「まもりあいJAPAN」だそうです。

現在の開発主体は厚生労働省と記事に書かれているので、現在GitHubソースコードが公開されている、このアプリが採用されて「アベノアプリ」となりそうです。

xtech.nikkei.com

 

FNNの記事ではプライバシー面の懸念が書かれていますが、匿名性の高いアラートの上げ方をするアプリの基本構成となっていますので、何か所かの懸念はあるものの、中国で活用されている「健康コード」等に比べればプライバシー面には考慮されていると思います。

 

しかし、懸念もない訳ではありません。

コード・フォー・ジャパンは当初、5月上旬のリリースを目指していたが、利用するAPI(アプリケーション・プログラミング・インターフェース)の開発元である米アップル(Apple)と米グーグル(Googleが提供先を保健機関に限定したため、見送った経緯がある。現在の開発主体は厚生労働省で、6月中のリリースを目指している。

(日経XTECH記事より引用)

 

ベースの技術(API)がAppleGoogleにあるという事ですので、2社のには感染者と紐づけられるデータが蓄積される(分析すれば)、あるいは米国政府が各国の感染状況を秘密裏に把握できてしまう可能性があります。

 

また、NHKスペシャルやFNN記事でも指摘されていますが、同様なソフトを日本に先駆けて導入しているシンガポールは、政府が個人監視をする懸念等からソフトのダウンロード率が25%程度でしかありません。

こうしたアプリが感染防止に効果を発揮するには60-70%程度の普及が必要と言われていますが、強制力のない状態で、アプリが日本国民に広がるかと考えると第2波で2度目の緊急事態宣言が出るなどの大きなインパクトが無ければ、シンガポール以下の普及率で終わってしまう気がします。

例えば病院、商業施設の入口、映画館、スポーツジム、ライブハウス等のクラスター懸念がある場所では、「アベノアプリ」がインストールされていないと「面倒な手続きが必要」といった、優遇措置を考える事も必要だと思いますし、海外からの観光客にも半強制的にDLさせる、といった施策も重要かも知れません。

 

しかし、このアプリの最大の弱点(脆弱点)は、(※以下FNN記事の図を引用)「感染者本人がアプリで申告する」という性善説に基づく運用な気がします。

 

この運用だと、感染者本人が公開したくない場合(申告しない場合)、濃厚接触者には通知されません。さらに想像すると、感染者がアプリ入力をする間も無く倒れてしまった(又はICUに運び込まれてしまった)場合、これも入力が出来なくなる可能性を感じます。

 

運用設計の問題ではありますが、(※以下FNN記事の図を引用)感染した場合は、保健所のシステムに登録がされるのであるならば、本人が陽性申告しなくても、保健所からの情報として濃厚接触者に通知する方が良いのではないでしょうか?(偽陰性の可能性も含め)

 

おそらく本人の(匿名での)情報公開に対する許諾部分が絡んでいるのだと思いますが、医療機関受診時(PCR検査)の条件として、同意を取れば良いのではないでしょうか?

 

結局保健所には感染者情報は残る訳ですし、性善説運用をする事によって、結局感染リスクが(アプリが導入されていても)減らない事態が考えられるだけに、運用・普及設計をしっかりと考えた方が良いのではないかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 一般市民の携帯電話を覗く警察官のイラスト(日本)

 

更新履歴

  • 2020年5月27日 AM(予約投稿)