カタールW杯の参加者にインストールが求められるアプリ「Hayya」「Ehteraz」についてデータ保護当局が警告、使い捨てスマホの使用を推奨

2022年11月20日(日)からカタールで開催予定の2022 FIFAワールドカップで現地へ向かう人々には、渡航許可証や入場券として機能するアプリ「Hayya」のインストールが義務づけられるほか、新型コロナウイルス感染症(COVID-19)の感染追跡を行うアプリ「Ehteraz」のインストールが求められる可能性があります。ところが、これらのアプリにはセキュリティやプライバシー面の問題があると指摘されており、ヨーロッパのデータ保護当局は人々に警告を発しています。

Don’t download Qatar World Cup apps, EU data authorities warn – POLITICO
https://www.politico.eu/article/qatar-world-cup-app-data-warning/

Euro Governments Warn World Cup Fans Over Qatari Apps - Infosecurity Magazine
https://www.infosecurity-magazine.com/news/euro-authorities-world-cup-fans/

2022年のカタールワールドカップでは、現地に向かうすべての外国人に対して「Hayya」という渡航許可証・入場券・交通機関利用券として機能するアプリのインストールが義務づけられています。また、現地の医療機関を訪れる場合はCOVID-19の接触確認を行う「Ehteraz」というアプリもインストールが必要とのこと。

しかし、これらのアプリを分析したセキュリティ専門家からは、アプリがインストールされたスマートフォンに非常に多くの権限を要求することがわかっています。Hayyaが要求する権限を悪用すれば、個人情報の共有や位置情報の収集、スリープ状態への移行を防ぐといったことが可能になるそうです。また、Ehterazが要求する権限はスマートフォンのすべてのコンテンツの読み取り、削除、端末上のすべてのコンテンツの変更、Wi-FiやBluetoothへのアクセス、他アプリの上書きなど多岐にわたると報じられています。

ワールドカップに参加するすべての人がインストールを義務づけられている公式スマホアプリは「カタール当局に家の鍵を渡すようなものだ」とセキュリティ専門家が警告 - GIGAZINE

ドイツのデータ保護機関であるBfDIは2022年11月15日、カタールを訪れる人々がインストールを求められるHayyaとEhterazについて警告を発しています。

BfDIは「アプリのうち1つは電話がかけられたかどうか、どの番号で電話をかけたのかに関するデータを収集します」「他のアプリは、インストールされているデバイスがスリープモードになるのを積極的に防ぎます。また、アプリで使用されるデータはローカルに残るだけでなく、中央サーバーに送信されることも明らかとなっています」と警告しています。そして、どうしてもアプリをインストールする必要がある場合は、普段使っているものとは別に使い捨てのスマートフォンを購入し、そちらにインストールすることを推奨しました。

また、ノルウェーの規制当局は11月14日の声明で、アプリが必要とする広範なアクセス権限への警戒を表明。「カタールへの訪問者、特に脆弱(ぜいじゃく)なグループがカタール当局によって監視される可能性が現実的にあります」と述べています。

フランスのデータ保護当局であるCNILは、現地を訪れるサポーターは写真やビデオに「特別な注意」を払う必要があると警告。アプリをインストールするのは出発直前にして、フランスに戻ったらすぐに削除することを推奨しています。

フランスのデジタル移行・電気通信担当大臣であるジャン=ノエル・バロ氏はデータ保護当局の声明を引用し、「フランスではGDPRのおかげで、すべてのアプリケーションが個人の基本的権利とデータ保護を保証する必要があります。これはカタールでは当てはまりません。カタールワールドカップに観戦に行くサポーターは、CNILの警戒勧告に従ってください」と述べました。