大学の新型コロナウイルス接触追跡アプリに名前や住所などの個人情報を流出させる脆弱性が発見される

アメリカの大学が生徒に使用を義務づけた新型コロナウイルス感染症接触追跡アプリに「名前や住所などのユーザーの個人情報を抜き取ることができる」という脆弱性があると判明しました。

College contact-tracing app readily leaked personal data, report finds | Ars Technica
https://arstechnica.com/tech-policy/2020/08/college-contact-tracing-app-readily-leaked-personal-data-report-finds/

Go read this investigation into a flawed contact-tracing app used by one US college - The Verge
https://www.theverge.com/2020/8/20/21376971/contact-tracing-app-albion-college-privacy-concerns-location-data-qr-codes-security-flaws

「新型コロナウイルス接触追跡アプリ」は、COVID-19感染者が接触した人を突き止めてCOVID-19の流行を把握するというアプリで、世界各国の政府機関が利用を推奨しています。日本では厚生労働省が「COCOA」という新型コロナウイルス接触追跡アプリをリリースしており、COCOAは国内の感染者を半分に抑える効果があるというシミュレーション結果も出ています。

日本政府公式の新型コロナ接触確認アプリ「COCOA」に感染者を抑える効果はあるか実際にシミュレーションした結果とは？ - GIGAZINE

しかし、アメリカ・ミシガン州のアルビオン大学が生徒や教職員に使用を義務づけていた新型コロナウイルス接触追跡アプリに、「第三者が名前や住所を抜き取ることができる脆弱性」が発見されました。

問題の新型コロナウイルス接触追跡アプリは、Nucleus Healthcareが開発した「Aura」というアプリ。Auraはユーザーに陽性反応が出た場合には、そのユーザーと接触した他のユーザーと大学当局に通知を送るという機能に加えて、自身の検査結果を示すQRコードを生成するという機能を有していました。

Aura: Ensuring a safe, compliant workforce through COVID-19 testing & contact tracing software - YouTube


問題が見つかったのは、このQRコード生成機能です。調査によると、QRコードはデバイスではなくAuraのウェブサイト上を経由して生成されるという仕様で、このウェブサイトのURLには「ユーザーのアカウント番号」が含まれていたとのこと。さらに、URL上のアカウント番号を手動で改ざんすることで、他ユーザーのQRコードを生成し、他人の検査結果を盗み見ることが可能であることが明らかになりました。

また、Auraのソースコードには、バックエンドサーバー用にハードコーディングされたセキュリティキーが書き込まれていることも発覚。このセキュリティキーを用いてアプリのデータベースとクラウドストレージに侵入すると、他のユーザーの検査結果に加えて、氏名・住所・生年月日まで取得することができたとのこと。

加えて、Auraの「接触監視システム」自体も問題視されています。Auraの接触監視システムは位置情報を活用するもので、GoogleやAppleが共同開発した「接触追跡API」を用いていません。AppleとGoogleが共同開発した接触追跡APIは、セキュリティおよびプライバシー面を考慮に入れて、位置情報の追跡を禁じています。

AppleとGoogleの「新型コロナウイルス追跡システム」を実装したアプリでは位置情報の追跡を禁止 - GIGAZINE

Auraが位置情報を活用しているのは、大学による「監視」機能を実装しているため。Auraには学生が許可なくキャンパスを離れると学校に通知が届き、学生のIDカードがロックされてキャンパスのアクセスが制限されるという機能が存在するとのこと。

Nucleus Healthcareは情報流出を引き起こすAuraの脆弱性をすでに修正しています。しかし、位置情報を活用した監視機能はそのままとのことで、アルビオン大学には学生やその親からの苦情が相次いでいます。