新型コロナ追跡システムの開発で「プライバシーを守るために開発で注意すべきこと」がわかるベトナム政府謹製アプリの脆弱性の数々

AppleとGoogleが新型コロナウイルス感染症の感染者の接触状況を追跡できる「新型コロナウイルス追跡システム」をiOSとAndroidに組み込むことを発表しましたが、システムに脆弱性があるとの指摘もあります。ベトナム政府が独自に開発した新型コロナ追跡アプリ「Bluezone」に複数の脆弱性があり攻撃を受ける可能性があると、GoogleのソフトウェアエンジニアであるThai Duong氏がブログで報告しており、追跡システムの開発において「どこに気を付ければよいか」という良い反例となっています。

Vietnam's contact tracing app broadcasting a fixed ID
https://vnhacker.blogspot.com/2020/04/vietnams-contact-tracing-app_26.html

Bluezoneは、ベトナム政府主導で国内のIT企業とベトナム情報通信省が共同で開発した、新型コロナウイルス感染症に感染した人物の接触状況を追跡するアプリで、記事作成時点では2万4000人の利用者がいるとのこと。Thai氏はBluezoneに興味を持ち、開発の手助けをしたいと申し出ましたが、アプリに関する情報は何ももらえなかったそうです。開発元はアプリのソースコードを公開すると誓約していましたが、アプリのリリース時点でもソースコードが公開されなかったので、アプリをリバースエンジニアリングした結果、複数の脆弱性を発見したとThai氏は語っています。

1つ目の脆弱性としてThai氏が指摘したのは、Bluezoneがアプリをインストールした端末ごとに固定のIDを割り振り、そのIDを他の端末にブロードキャストしている点。Thai氏が調査したところ、固定のIDをブロードキャストする仕様をもつ新型コロナウイルス追跡システムはBluezoneのみだったそうです。Bluezoneの開発元は「BluetoothのMACアドレスも同じように端末に対して固定であり、かつ他端末にブロードキャストされている」と弁明していますが、Thai氏は「Bluetoothの場合は検出機能をオフにすればMACアドレスのブロードキャストを止めることができ、Bluetooth Low EnergyではMACアドレスはランダム化されている」と指摘しています。

2つ目の脆弱性として、固定のIDが予測可能であることが挙げられます。Bluezoneは現在の日付と時刻をseedrandomライブラリに入力してIDを生成しているとThai氏は推定しており、攻撃者は日付と時刻から有効なIDを生成できてしまう可能性が高いとのこと。このため、事前に将来の日付と時刻を用いてIDを大量に生成し、他の端末にブロードキャストするといった攻撃が可能になるとThai氏は懸念しています。

3つ目の脆弱性は、IDが短すぎる点です。IDの長さが36の6乗から2の31乗桁しかないため、6万5000人以上が利用すればIDの衝突が起こってしまう計算になるとのこと。利用者の増加速度を考えると、この衝突により今後2週間以内に、同じIDを2人のユーザーが共有する状況が発生し、感染情報が共有されてしまう誤動作が起きるとThai氏は予測。開発元はIDの衝突が起こらないようにしていると述べていますが、Androidアプリをリバースエンジニアリングした結果から見ると、そうした仕組みはないとThai氏は語っています。

4つ目の脆弱性として、Androidアプリでは検出した他の端末のIDやBluetoothのMACアドレスを保存するため、外部ストレージへのアクセスを要求しますが、その要求項目に写真やメディアへのアクセスも含まれている点が挙げられています。この点について、開発元は外部ストレージへの要求は適切だと回答しています。

Thai氏は開発元の責任者からアプリの改善を手伝ってほしいという旨のメールを受け取り、GitHubにソースコードを公開すれば喜んで手伝うと回答したそう。Thai氏の働きかけもあってか、Bluezoneは2020年4月26日にGitHubにソースコードが公開されました。

GitHub - BluezoneGlobal/bluezone-app: Bluezone - Bảo vệ mình, bảo vệ cộng đồng
https://github.com/BluezoneGlobal/bluezone-app