新型コロナウイルスの接触追跡アプリに100万人のデータが流出リスクにさらされる欠陥があったと判明

世界中で新型コロナウイルスが猛威を振るう中、一部の国々ではスマートフォンの位置情報などを利用した「新型コロナウイルス感染者を追跡するアプリ」が開発されています。アラビア半島東部に位置するカタールでも「Ehteraz」というアプリが新型コロナウイルス感染者の追跡に用いられていますが、このアプリにセキュリティ上の欠陥が存在し、およそ100万人のユーザーデータが流出のリスクにさらされていたと報じられています。

Qatar: Contact tracing app security flaw exposed sensitive personal details of more than one million | Amnesty International
https://www.amnesty.org/en/latest/news/2020/05/qatar-covid19-contact-tracing-app-security-flaw/

Qatar’s contact tracing app put over one million people’s info at risk | Engadget
https://www.engadget.com/qatar-contact-tracing-app-security-flaw-202051697.html

Qatar makes COVID-19 app mandatory, experts question efficiency | Qatar News | Al Jazeera
https://www.aljazeera.com/news/2020/05/qatar-covid-19-app-mandatory-experts-question-efficiency-200524201502130.html

Qatar tracing app flaw exposed 1 mn users' data: Amnesty
https://techxplore.com/news/2020-05-qatar-app-flaw-exposed-mn.html

新型コロナウイルスの感染者と接触した人を早期に特定し、これ以上の感染拡大を抑えるための策を講じることは、新型コロナウイルスの感染を抑えるために役立つ可能性があります。そのため、一部の国々では新型コロナウイルス追跡アプリの開発が行われ、政府が国民に対してアプリをインストールするように要請しています。

人口約275万人のカタールでは、記事作成時点で全人口の1.7％に当たる4万7000人以上が新型コロナウイルスに感染し、28人が死亡する被害が出ています。そこで、カタール政府は国民に対し、2020年5月下旬から「Ehteraz」というアプリをスマートフォンにインストールするよう義務づけました。アプリをインストールせずに外出した場合、最高で5万5000ドル(約590万円)の罰金または3年の懲役が科される可能性があるとのことですが、GPSとBluetoothを利用するアプリにはプライバシー上の懸念があると指摘されていました。

この指摘に対してカタール政府は、ユーザーデータは安全かつ医療従事者以外によるアクセスは不可能で、法執行機関などによるデータへのアクセスは認められず、収集されたデータは2カ月間で廃棄されると主張しています。カタールの公衆衛生局長であるMohamed bin Hamad Al Thani博士は、「Ehterazアプリのユーザーデータは完全に機密であり、必要な場合のみ関連する専門チームがアクセス可能になることを確認しています」と述べています。

ところが、5月26日に人権団体のアムネスティ・インターナショナルが発表した内容によると、Ehterazにはセキュリティ上の欠陥が存在していたそうです。悪意のあるハッカーがこの欠陥を使って攻撃を仕掛けた場合、アプリをインストールしていた100万人を超えるユーザーの名前・国民ID・健康状態・位置情報といったデータが流出する危険があったとのこと。

Ehterazは収集したユーザーデータを中央データベースにアップロードして保管する仕組みとなっていますが、この中央データベースにセキュリティ上の問題があった模様。5月21日にセキュリティ上の欠陥を発見したアムネスティ・インターナショナルは、すぐにカタール当局に通知を行いました。当局はこの報告を受けて修正に着手したそうで、翌日の5月22日にはアプリの修正が完了し、24日にはアプリの包括的なアップデートが実施されました。

アムネスティ・インターナショナルのセキュリティラボで責任者を務めるClaudio Guarnieri氏は、「カタール当局はこの問題に迅速に対処しましたが、カタールの接触追跡アプリには悪意のある攻撃者が簡単に悪用可能な、大きなセキュリティ上の弱点と根本的な欠陥がありました」と指摘。今回の事態は、設計やプライバシー保護機能が不十分な接触追跡アプリのリリースを急いでいる、世界中の政府に対する警告になるはずだとGuarnieri氏は考えています。

新型コロナウイルスの感染拡大を防ぐためにテクノロジーを利用しようと考える国は多く、アムネスティ・インターナショナルによると記事作成時点で45カ国以上が、新型コロナウイルス追跡アプリの開発を行ったか、あるいは計画しているとのこと。「テクノロジーがウイルスの追跡において効果的な役割を果たすには、接触アプリがプライバシーや人権を保護するという確信を人々が持つ必要があります」と、Guarnieri氏は述べました。