韓国の検疫アプリはセキュリティを意識せずにリリースしていた

韓国のコロナ対策の主要手段である「検疫アプリ」はセキュリティ対策を考えて無かったと言っても過言では無い状況だった様です。

www.nytimes.com

しかし、その戦略の1つの柱である、検疫の実施を支援するモバイルアプリには、個人情報がハッカーに対して脆弱になる深刻なセキュリティ上の欠陥があったと、ソフトウェアエンジニアが発見しました。

ニューヨークタイムズによって確認され、現在は修正されているこの欠陥により、攻撃者は、隔離されている人の名前、リアルタイムの場所、その他の詳細を取得できる可能性があります。また、この欠陥により、ハッカーがデータを改ざんして、アプリのユーザーが隔離オーダーに違反しているか、どこかにいるにもかかわらず隔離されているかのように見せかけることができた可能性もあります。

（NewYorkTimes記事より引用）※機械翻訳

キタきつねの所感

韓国の新型コロナ対策、いわゆるK防疫は、日本の無策感の溢れる場当たり的な対策に比べて優れている点が多々あるのは間違いありません。

しかし韓国政府が開発した「自己隔離安全性保護」アプリは、3月5日のリリースから時間があったにも関わらず、セキュリティ対策の不備を7月になって外部から指摘されるという何とも残念な設計思想だった様です。

NewYorkTimesは、アプリ利用者の個人情報流出の危険と、位置情報を操作できる可能性があった事を報じました。

アプリの詳細説明は割愛しますが、「自己隔離安全性保護」アプリは、2週間の自己隔離に対しGPS等を使って監視する機能や、隔離対象者の体調の変化の把握や、隔離エリア（自宅）から外に出てない事を地方自治体担当者にも警告メッセージを送る事で確認できる様になっています。

参考：

www.technologyreview.jp

アプリインストールは強制ではない様ですが、5月時点で16.2万人がダウンロードしており、コロナ対策に一定の効果を上げています。

しかし、エンジニアのFrédéric Rechtenstein氏（ホワイトハッカーと思われます）が指摘した、下記のセキュリティ不備（バグ）については、

攻撃者は、隔離されている人の名前、リアルタイムの場所、その他の詳細を取得できる可能性があります。また、この欠陥により、ハッカーがデータを改ざんして、アプリのユーザーが隔離オーダーに違反しているか、どこかにいるにもかかわらず隔離されているかのように見せかけることができた可能性もあります

（NewYorkTimes記事より引用）※機械翻訳

日本の接触確認アプリ（COCOA）のリリースに際して議論にもなった事から分かる様に、普通はアプリの基本設計段階で考慮すべき点です。

NewYorkTimes氏の取材に対し、韓国側の内務省の責任者は、

「私たちは本当にウイルスの拡散を遅らせるのを助けるためにこのアプリをできるだけ早く作成して展開するのを急いでいました」と内務省の災害対策部門の責任者であるJung Chan-hyunは言ったアプリ。「アプリの展開を遅らせる時間のかかるセキュリティチェックを行う余裕はありませんでした。」

（NewYorkTimes記事より引用）※機械翻訳

と答えていますが、この回答は、セキュリティインシデントの発生に対して、多くのソフトウェア開発者にとって教訓にすべき事であると同時に、「嘘」を感じます。

というのは、同じ記事の中で、既にアプリが改修されたと書かれているからです。