新しいツールがCOVID-19接触追跡アプリのセキュリティとプライバシーの脆弱性を発見

COVID-19パンデミックは世界を混乱に陥れました。その影響は破壊的であり、多くの国を不況の瀬戸際に追いやりました。それに対応して、世界のさまざまな国々がこの脅威に対する解決策を見つけるために精力的に取り組んでいます。そのような解決策の一つがCOVID-19追跡アプリです。

## COVID-19接触追跡アプリとは何ですか？

追跡アプリは、国々がパンデミックに対して行っているデジタル対応の一環です。科学者や研究者が既存のワクチンの微調整に取り組んでいる一方で、テクノロジーの専門家たちもCOVID-19追跡アプリの作成を通じて力を入れています。

COVID-19追跡アプリは、感染者の伝播チェーンを「追跡」するアプリです。これらのアプリはあらゆるタイプのスマートフォンにインストールされます。したがって、AndroidおよびiOSクラスのデバイス用のバリアントを見つけることができます。これらは通常、Google/Apple露出通知（GAEN）システムを利用します。

ここでは、両方のデバイスのBluetoothを使用して、アプリをダウンロードし、互いに近い距離（2メートル以内）にいるユーザーを接続します。もう一方の接続された人がウイルスに陽性であることが確認された場合、アプリはユーザーに通知します。（陽性と判定された人は、自分の近くにいる人にアプリから通知を送る設定を有効にする必要があります。）接触した人は、適切な対策を取ることができます。つまり、検査を受けるか、隔離されるかのどちらかです。

アプリの他のバリアントは、Bluetoothの代わりに無線技術やGRPを使用しています。より高度なバージョンでは、日々の生理状態の自己評価、体温、心拍数などのモニタリングに役立つ機能も備わっています。

単独では、接触追跡アプリはパンデミックに対する戦いに勝つかもしれませんが、強力な規制政策や戦略と組み合わせることで、大きな影響を与えることができるでしょう。さらに、何らかの形で立法的/政治的な支援を受けることができれば、さらに効果的になる可能性があります。

## 連絡先追跡アプリにおけるプライバシー/セキュリティの懸念

COVID-19追跡アプリに関する主要な懸念の一つは、ユーザーのプライバシーが侵害される可能性があることです。今日使用されているさまざまな他のアプリと同様に、セキュリティ侵害の問題は市民の懸念の最前線にあります。実際、クイーンメリー大学ロンドンの研究者によって実施された調査では、ボランティアは追跡アプリをダウンロードする際に最も大きな懸念はプライバシーであると述べました。370人以上の個人を対象としたこの調査では、人々はアプリの効果よりも自分のプライバシーをより重視していることが明らかになりました。

一般的に、GEANシステムは、ユーザーのプライバシーを保護するように構築されています。これは、データの健康当局や政府への共有を防ぎます。これは、ユーザーの主要な懸念に対処するのに役立ちます。通常、政府とデータを共有すると、そのデータが監視や検閲にも使用される可能性があるという滑りやすい斜面につながります。

しかし、一部の追跡アプリは、インストールが完了する前にユーザーの連絡先リストへのアクセスを要求します。他の多くのアプリは、デバイスの位置情報、パスワード、IPアドレス、ユーザーが生成したデータを利用することを明示的に述べています。さらに、ごく少数のプロバイダーのみが、ユーザーのデータを暗号化し、データを完全な期間匿名で保持するという追加の努力をしています。

さらに、プライバシーのリスクや露出は、アプリが分散型または集中型のストレージシステムを使用しているかどうかによって決まります。集中型システムでは、ユーザーのデータがローカライズされます。各アプリによって生成されたすべての情報が中央サーバーにアップロードされます。ここでは、保健当局がデータにアクセスでき、パンデミックへの対策を作成するための重要な統計を形成します。また、当局が感染者を追跡し、治療を提供することを可能にします。

一方で、分散型システムでは、ほとんどのデータがユーザーの電話に保持されます。その後、断片的に外部サーバーにアップロードされます。このシステムはプライバシーに優れています。しかし、集中型のアプローチは、特にウイルスの診断と治療において、保健当局にとってより有用です。

## 対応

積極的な対策として、いくつかの研究者がCOVID-19追跡アプリで遭遇するプライバシーの課題を特定し、修正するためのツールを開発しました。このツールはCOVIDGuardianとして知られています。このプライバシー評価ツールはアプリのチェックを実行します。マルウェア、個人情報の漏洩、埋め込まれたトラッカーを探します。

このツールが導入されて以来、これらのアプリ上で様々なセキュリティ脅威を検出するのに役立っています。セキュリティ専門家はこのソフトウェアを使用してトラッキングアプリを分析し、他の発見の中でも、少なくとも72.5%のアプリが少なくとも1つの安全でないアルゴリズムを使用していること、アプリの半数以上がGoogleなどの第三者に情報を提供するトラッカーを含んでいること、そして1つのアプリにマルウェアが含まれていることが見つかりました。この調査は、ロンドンのQueen Mary Universityの研究チームによって実施されました。彼らはその後、自分たちの発見を公開しました。これに対して、レビュー対象のアプリのうち4つが、ツールによって指摘された問題を修正しました。さらに、問題のある1つのアプリはスマートフォンのアプリストアから完全に削除されました。

## 結論

COVID-19パンデミックの勃発に伴い、政府は利用可能なあらゆる助けを求めています。COVID-19追跡アプリは、ウイルスの拡散を防ぐ手段を提供します。また、感染者を追跡し、ウイルスのさらなる拡散を阻止する手段も提供します。しかし、ソフトウェアに共通の問題として、一部の追跡アプリにはセキュリティ上の問題がありました。そこでCOVIDGuardianが進化し、これらのセキュリティ問題を検出し対処するようになりました。