ワールドカップに参加するすべての人がインストールを義務づけられている公式スマホアプリは「カタール当局に家の鍵を渡すようなものだ」とセキュリティ専門家が警告

2022年11月20日から12月18日までの約1カ月にわたり、カタールで開催予定の2022 FIFAワールドカップでは、現地へ向かうすべての人が「Ehteraz」と「Hayya」という2つのアプリをスマートフォンにインストールすることが義務付けられています。これらのアプリをインストールすることは、「カタール当局に家の鍵を渡すようなものだ」とセキュリティ専門家が警告しています。

Everyone going to the World Cup must have this app - experts are now sounding the alarm – NRK Sport – Sportsnyheter, resultater og sendeplan
https://www.nrk.no/sport/everyone-going-to-the-world-cup-must-have-this-app---experts-are-now-sounding-the-alarm-1.16139267

「Ehteraz」は新型コロナウイルス感染症(COVID-19)の接触確認アプリで、「Hayya」は試合のチケットを入手した人が無料でカタールの地下鉄を利用できるようになるというワールドカップ公式アプリです。このEhterazとHayyaの2つのアプリを、ノルウェーの公共テレビ・ラジオ局であるNRKのセキュリティ責任者であるオイヴィン・ヴァサーセン氏と、ITセキュリティ企業のBouvetとMnemonicが分析・調査しています。

調査の結果、ワールドカップ期間中にカタールへ出向く18歳以上のすべての人がインストールすることを義務付けられているEhterazは、インストールしたスマートフォンに多数の権限を要求することが明らかになりました。要求する権限を使えば、インストールされたスマートフォンのすべてのコンテンツの読み取り、削除、端末上のすべてのコンテンツの変更、Wi-FiやBluetoothへのアクセス、他アプリの上書き、端末のスリープ状態への移行防止などが可能となります。

HayyaはEhterazほど多くの権限を要求するわけではありませんが、それでもほとんど制限なしでインストールされたスマートフォン上の個人情報を共有したり、端末の正確な位置情報を収集したり、デバイスがスリープ状態に入ることを防いだり、電話のネットワーク接続を表示したりすることが可能になるとのこと。

2022 FIFAワールドカップの取材へ向かうNRKのスタッフのために2つのアプリの調査を行ったというヴァサーセン氏は、「2つのアプリをインストールすると契約に記載されている条件に同意したとみなされます。この条件は非常に寛大なものとなっており、基本的にスマートフォン上のすべての情報を渡すことに同意するような内容です。そして、アプリをコントロールする人々に、情報を取得・変更する力を与えてしまいます。また、この力があれば他のアプリから情報を取得することも可能となってしまいます」と指摘。

そのため、ヴァサーセン氏は「これは、あなたがカタール当局に対して『家に入られても問題ない』と約束しているようなものです。カタール当局があなたの家に入るためのカギを手に入れ、自由に出入りできるようになるようなものです。そして、そこで当局が何をしているのかはあなたにはわかりません。カタール当局はその力を得ながらも何もしないと言うかもしれませんが、あなたはそのチャンスを渡さなければいけないのです。そんなことがあり得るでしょうか」と記し、HayyaとEhterazの仕様に疑問を呈しています。

特に批判を集めているのが、COVID-19接触確認アプリのEhterazです。これはノルウェー政府が公開していた接触確認アプリのSmittestoppと比べ、明らかに多くの権限を要求してくるそうです。そのため、Ehterazを運用している公衆衛生当局が少しでも悪意を持っている場合、「アプリが収集する多くの情報を用いることで、多岐にわたる悪事を働くことが可能となる」とヴァサーセン氏は指摘しています。

Bouvetのマーティン・グラヴァーク氏は、Ehterazがユーザーの位置情報を追跡し、誰と会って話したかを知ることができることは、「反対派や同性愛者、その他の気に入らない人たちを狩るのに、このようなアプリは大いに役立つ」と述べました。

また、Mnemonicの分析によると、Ehterazは特にGPSと位置情報に関するデータを処理しているため、悪用される可能性が高いとのこと。また、記事作成時点ではEhterazがスマートフォンにローカルで保存されているデータを変更するような兆候は見つからなかったそうです。ただし、Mnemonicは「まだそのような機能が実装されていないだけの可能性があります」と警告しています。

オスロ大学法学部でリサーチフェローを務めるナオミ・リンフェット氏もNRKの要請に応じてEhterazとHayyaのレビューを行っており、「アクセス権限の一部にだけ同意するといったことはできず、全てに一括で同意する必要があります。アプリに対する理解が正しければ、そこにはアクセス権限を変更するようなオプションも存在しません。つまり、ワールドカップに行きたいならば、これを使用する以外の選択はないということです。これは選択肢のない、強制的なアプリということです」と指摘。さらに、「もしも自分が雇用主なら従業員が仕事用のスマートフォンをカタールに持ち込むことは禁じる」とまで語っています。

なお、NRKはEhterazとHayyaに存在するセキュリティ上の脆弱性をまとめたレポートをワールドカップの主催者である国際サッカー連盟(FIFA)に提出していますが、FIFAは記事作成時点ではこの件についてのコメントを拒否しているそうです。