2020年04月13日 11時09分 モバイル

AppleとGoogleが共同発表した「新型コロナウイルス追跡システム」に対して浮かぶセキュリティおよびプライバシーに関する疑問への回答



AppleとGoogleが共同で発表した「新型コロナウイルス追跡システム」について、公開されている技術文書から、プライバシーおよびセキュリティ対策がどのようなものになっているのかを海外テクノロジーメディアのThe Vergeが読み取っています。



The biggest questions about Apple and Google’s new coronavirus tracker - The Verge

https://www.theverge.com/2020/4/11/21216803/apple-google-coronavirus-tracking-app-covid-bluetooth-secure



AppleとGoogleが発表した「新型コロナウイルス追跡システム」は、スマートフォンのBluetoothを用いてユーザー同士の接触を記録し、新型コロナウイルス感染症(COVID-19)に感染した人と接触した恐れのある人に通知するというシステムです。



AppleとGoogleが「新型コロナウイルス追跡システム」をiOSとAndroidに組み込む - GIGAZINE





◆何をするものなのか？

新型コロナウイルスのような新種のウイルスによる感染症が登場した際、公衆衛生当局は感染者が接触した可能性のある人すべてを追跡し、それぞれを隔離することで感染拡大を阻止しようとします。AppleとGoogleの追跡システムは、公衆衛生当局が感染者と濃厚接触した疑いのある人を自動で検出・追跡するもので、従来の接触追跡システムと組み合わせることで大きく役に立つものとのこと。重要なのは、この新しい追跡システムがスマートフォンのOSレベルで組み込まれることとなるため、従来の接触追跡システムよりも大規模に動作可能という点です。また、追跡システムはAppleとGoogleが共同で取り組んでいるものであり、アプリではないことに注意する必要があるとのこと。なお、The Vergeは「2社はプライバシーとセキュリティを保証していますが、追跡システムを使用するアプリの構築は第三者に委ねています」と指摘。



◆どのように機能するのか？

追跡システムが実行されている場合、スマートフォンは固有のIDを含む匿名のコードを定期的に送信します。近くに存在するスマートフォンは相互にコードを送受信し、コードそのものと「いつコードを受信したか」を記録。そして、追跡システムに新型コロナウイルス感染症に感染した旨が報告されると、そのユーザーのIDが中央データベースに送信され、データベース上のログから感染者と濃厚接触した可能性のあるユーザーが割り出され、それぞれに感染の疑いがあると警告が送られることとなるわけです。The Vergeは「正確な位置情報を収集したり、中央データベース上に最小限の情報を維持したりすることなく、追跡が可能となるシステム」と評しています。



◆感染したことをどのように報告するのか？

技術文書には詳細に書かれていないものの、想定されている方法のひとつは、医療提供者が診断書を提出できるようになるというものです。それがどのように行われるかは明らかではありません。



◆スマートフォンはコードをどうやって送信するのか？

追跡システムの要となるIDを含む匿名化されたコードは、Bluetooth経由で送受信されます。Bluetooth Low Energy(BLE)が用いられるため、バッテリー消費はそれほど顕著ではありません。BLEのビーコン技術を用いることで、双方向でのコード交換が機能します。





◆信号はどのくらいまで届くのか？

BLEは理論上は100メートルの距離まで接続可能ですが、接続距離は特定のハードウェア設定に大きく依存しており、壁などがあれば簡単に遮断されてしまいます。BLEの最も一般的な用途は「AirPodsケースとiPhoneのペアリング」で、その有効範囲はわずか6インチ(約15cm)です。技術文書にはソフトウェアレベルで接続距離を微調整できるとしているものの、その詳細は不明です。



新型コロナウイルス対策として有効な社会的距離を確保する方法では、公共の場では他人と「1.8メートル」の距離を取ることを推奨していますが、最新の研究ではよりウイルスの拡散範囲が広いという指摘もあります。そのため、追跡システムを用いたユーザーへの警告が役に立たないものとならないように、「適切な範囲にまで通信距離を狭める可能性があります」とThe Vergeは指摘しています。



◆追跡システムはアプリですか？

プロジェクトの初期段階(2020年5月中旬)では、追跡システムは公衆衛生当局がリリースするアプリにAPIとして組み込まれます。アプリはテクノロジー企業が開発したものではなく、州レベルの公衆衛生当局により構築されたものです。よって、ユーザーへの通知方法などの多くの重要な決定は、公衆衛生当局が担当することとなります。



さらにその後、OSそのものに追跡システムが組み込まれることとなるため、将来的にはスマートフォンの「設定」アプリの中から追跡システムのオンオフができるようになる可能性があります。ただし、OSレベルに組み込まれるまでの間は、公衆衛生当局のアプリを使用することが推奨されます。



◆本当に安全なのか？

技術文書に基づけば、AppleとGoogleの追跡システムはBluetooth経由で送受信されるコードのみを用いて濃厚接触者を追跡します。しかし、Bluetooth経由で送受信されるコードのみから機密情報をたどることは非常に難しいため、The Vergeは「ほとんどのケースで安全な追跡システムとなるようです」と記しています。ただし、システムを利用するために医療従事者が診断書をアップロードする場合、感染者の個人情報が知られることになります。



◆ハッカーはこのシステムを悪用して感染者リストなどを作成することができますか？

非常に困難なものの、不可能ではありません。中央データベース上には新型コロナウイルス感染症に感染した人々が濃厚接触した相手に送信されるコードが格納されています。悪意のある人物がそれらのコードを入手しようとする可能性は十分にあります。AppleとGoogleのエンジニアは、このコードから個人のIDに直接アクセスできないようにしていますが、「この保護が機能しないいくつかのシナリオを想定することは可能です」とThe Verge。



追跡システムの暗号化仕様は3段階に分かれています。端末上にのみ保存される端末ごとに固有な「マスターキー」、1日ごとに生成される「1日ごとに生成される追跡キー」、端末同士の相互通信が行われた際に生成される「近接ID」の3段階。上位のキーから下位のキーを生成することは可能ですが、逆は不可となっており、どの近接IDがどの日に生成された追跡キーに由来するものかも、追跡キーがなければわからないようになっています。



スマートフォンごとに送受信されるのは近接IDであるため、これを単独で入手しても役に立たないようになっています。誰かが新型コロナウイルス感染症に感染した場合、感染者の近接IDと追跡キーが共有されることとなり、各端末は公開された追跡キーから日付けを割り出し、近接IDに感染者のものがないかを判断し、存在する場合は「感染者と濃厚接触した可能性あり」とユーザーに通知するわけです。





濃厚接触した可能性のある人に警告しながら、プライバシーを完全に保護することは非常に困難であり、いくつかの点でトレードオフを受け入れる必要があるともThe Vergeは指摘しています。また、既存の濃厚接触者を追跡する最良の方法が「感染者に直接尋ねること」であることから、「完全に匿名で濃厚接触者を追跡するシステムを構築することは基本的に不可能です」ともThe Vergeは記しています。



◆AppleやGoogle、ハッカーが位置情報の追跡にシステムを悪用することはできますか？

AppleやGoogleは端末の位置情報を収集しているかもしれませんが、その情報を追跡システムと紐付けていないため、追跡システム上でやり取りされるデータのみで位置を追跡することはできません。ただし、近接IDと報道情報などを照らし合わせることで、ユーザーがどこで感染した症例かを特定できる可能性はあるとのこと。



◆追跡システムを利用してユーザーが接触している人を知ることは可能？

スマートフォンは端末間で送受信される近接IDのログを保持しますが、仕様ではログがスマートフォン上から移動できないようになっていることがわかります。また、特定のログが特定の端末上に残っている限り、テキストとメールを保護するのと同じように、端末そのものにかけられている暗号化によりログは保護されます。



また、悪意のあるユーザーが端末を盗み、セキュリティを突破できたとしても、送受信される近接IDのログから「誰と接触したか」を突き止めることは非常に困難です。



◆スマートフォンでこの追跡システムを実行したくない場合はどうなるのか？

公衆衛生当局のアプリをインストールしなければOK。また、OSレベルで追跡システムが導入された際には、追跡設定をオフにするだけでOKです。AppleとGoogleは追跡システムへの参加は自発的なものであるべきと主張しているため、まったく関与せずにいられるはずです。

