AppleとGoogleは、COVID-19の感染拡大を追跡し、抑制する可能性のあるBluetooth接触追跡システムの開発に取り組んでいる。しかし、AppleInsiderが話を聞いたセキュリティ専門家は、プライバシーと実行能力に関する懸念を表明しており、システムの有効性を損なう可能性がある。
AppleとGoogleはどちらも、プライバシーとセキュリティに配慮した新型コロナウイルス追跡技術の開発に注力していることを明確にしています。しかし、BluetoothにはAppleとGoogleが緩和できない固有の限界があり、さらにシステムを通じて収集されたデータを扱う第三者に対する懸念も加わっています。
データプライバシーをあまり気にしないユーザー、あるいはパンデミック阻止のためにデータの一部を犠牲にする覚悟のあるユーザーにとっては、それは問題ではありません。一方で、モバイル接触追跡システム、特に自発的なプライバシーとセキュリティプロトコルへの信頼は、人々に利用してもらう上で極めて重要です。万能薬となるわけではありませんが、このシステムが役立つようになるまでには、克服すべき大きなハードルと解決すべき疑問がいくつかあります。
プライバシーとセキュリティの問題
Apple と Google のシステムの仕組みを説明するスライド デッキ。
このシステムは実際にはAPIであり、これを利用するアプリにBluetooth関連の特定の機能(バックグラウンドでのBluetoothトレース実行機能など)を提供するものです。プライバシーに関しては、AppleとGoogleはユーザーの匿名化と位置情報などの大量収集の回避策として、固有のBluetooth識別子を10~15分ごとに変更するなどの対策を講じています。しかし、それでもこのシステムは必ずしも完全に匿名になるように設計されているわけではありません。
例えば、これらのローリング近接識別子は、COVID-19の検査で陽性反応が出るまでは非公開です。陽性反応が出た後は、デバイス識別子がリンク可能になり、システムはその識別子に近づいたすべてのデバイスに暗号鍵のコピーを送信します。
悪意のある人物がこれをどのように悪用するかの例として、連邦取引委員会の元技術者アシュカン・ソルタニ氏は、COVID-19陽性者の身元を明らかにする可能性のある、いわゆる「リンケージ攻撃」の例を挙げた。
「設計上、スマートフォンは数分ごとにBluetooth経由でローテーションする固有識別子(ローリング近接識別子)を通信範囲内にいる全員に送信します」とソルタニ氏はAppleInsiderに語った。つまり、システムを使用しない以外に、ユーザーがこれを回避するための詳細な制御手段はないということだ。
ソルタニ氏によると、Bluetoothスニファーとビデオカメラがあれば、公共の場所で写真とローリングIDのペアを収集できるという。もしこれらの人物のうちの1人がCOVID-19の検査で陽性反応を示した場合、攻撃者はその人物の診断キーと写真およびローリングIDをペアリングできる。
ソルタニ氏は、小売店の位置追跡会社のような十分な資金力を持つ攻撃者は、この戦術をより広範囲に拡大し、個人のより広範な行動パターンを追跡できるようになる可能性があると付け加えている。同氏は以前、FTC向けに小売店の追跡に関するプライバシーに関する考慮事項について執筆している。
広告テクノロジー(アドテック)や小売追跡企業がCOVID-19感染者を特定できる可能性については、暗号学者でありSignalアプリの開発者でもあるモクシー・マーリンスパイク氏も言及しました。接触者追跡アプリがインストールされたデバイスは毎日の識別子のログを取得するため、ユーザーが陽性と診断されると、そのデバイスの情報がリンク可能になる可能性があります。つまり、このシステムは陽性と診断されるまでしかプライバシーが確保されないということです。
「その時点で、アドテク企業は(少なくとも)あなたが誰で、どこに行ったか、そして(COVID陽性者である)ということを知っているだろう」とマーリンスパイク氏は書いている。同氏は、Bluetoothのプライバシーは「一歩後退」すると言う。
もう一つ重要な点は、AppleとGoogleのAPIは、現状では必ずしも最終的な実装ではないということです。開発者が利用するためのフレームワークです。この場合、開発者とは公衆衛生機関のことです。
そのため、システムのプライバシーとセキュリティは、モバイル接触追跡アプリの開発者への信頼に大きく左右されると、サイバーセキュリティ企業Dragosの脅威インテリジェンス担当バイスプレジデント、セルジオ・カルタジローネ氏は述べている。カルタジローネ氏はAppleInsiderに対し、AppleとGoogleが提供する暗号化仕様は「実装においてデータの保存や相関付けを行ってはならないと規定しているだけで、追加の制御は提供されていない。公衆衛生データとその悪用の可能性に関しては、非常に大きな信頼が寄せられている」と語った。
セキュリティに関する経験から言うと、あらゆる仕様書を見て「しなければならない」や「してもよい」という言葉を探し、「もしそうでなかったらどうなるか」と自問するのが一般的なやり方だという。カルタジローネ氏はこれを、暗号で保証されたプライバシーではなく、「信仰に基づく」プライバシーと呼んでいる。
一部の公衆衛生団体がAppleとGoogleの規制に不満を抱いている兆候が既に見られます。例えば、英国の国民保健サービスは、IDの集中データベースの構築を目指しており、両社と「膠着状態」にあると報じられています。これは、AppleとGoogleが各団体に禁じているものです。
さらにソルタニ氏は、組織は「人々が同意すると思われる追加情報を収集するようにアプリを設計できる」と付け加えた。
実際には、Apple と Google の API は「プライバシーを保護する」ものの、医療機関が開発する実際の接触追跡アプリはプライバシーを保護しない方法でデータを収集する可能性があることを意味します。
「Bluetoothによる接触追跡は、GPSや携帯電話基地局情報による位置情報追跡に比べて大幅に改善されていますが、依然として強力なプライバシーとセキュリティの保護が必要です」と、電子フロンティア財団の法務顧問カート・オプサール氏はAppleInsiderへの声明で述べています。ソルタニ氏に同調し、オプサール氏はAppleとGoogleのフレームワークは「方程式の一部」に過ぎず、「このAPIと連携する公衆衛生近接アプリにもプライバシー保護が必要です」と述べました。
こうした安全対策はアプリと医療機関のレベルで実装する必要があるため、必ずしも Apple や Google が保証できるものではありません。
Bluetoothによる接触追跡の図。提供:MIT
Bluetooth の固有のリスクと健康データ収集に関する未解決の疑問は、モバイル契約追跡の究極的には最も重要な部分である導入を損なう可能性があります。
この種の接触追跡が効果を発揮するには、広く国民に普及する必要があります。接触追跡研究団体「Covid Watch」などの専門家は、その有効性を示すには60%という統計を提示しています。
AppleとGoogleは、サードパーティによるアプリの強制を禁止しており、ユーザーは自主的にダウンロードする必要がある。ユーザーがアプリをダウンロードするかどうかは、大手IT企業と保健機関がアプリをどのように構築するか、そしてプライバシーとセキュリティに関してどのような約束をしているかにかかっているかもしれない。
すでに一部の議員や規制当局は、米国や欧州で国民の信頼を得られるかどうか疑問視している。
アメリカ自由人権協会からドナルド・トランプ大統領まで、さまざまな人物や団体がこのシステムに疑問を投げかけており、十分な数のユーザーがこのシステムを信頼して実際にダウンロードし、自分のデバイスにインストールするかどうかは深刻な懸念事項となっている。
暗号学と情報セキュリティの研究者であるベン・アディダ氏は、このプロトコルについて他の研究者よりもはるかに楽観的な見方を示しています。彼はTwitterのスレッドで、このプロトコルは他の追跡監視や提案における多くの問題を解決し、適切な普及率を得るには何らかの「適切に調整されたインセンティブ」があれば十分かもしれないと述べています。
もちろん、現状のモバイル接触追跡の有効性については、真剣な懸念もいくつかあります。シンガポールの接触追跡アプリ「TraceTogether」のプロダクトリーダーであるジェイソン・デイ氏は、このアプリは手作業による接触追跡に取って代わるものではないと述べています。
「世界中で導入されている、あるいは開発中のブルートゥース接触追跡システムが、手動接触追跡に取って代わる準備ができているかと問われれば、私は断固としてノーと答えるだろう」と、同氏はミディアムへの投稿で述べた。
シンガポールの接触追跡方法の有効性については、未解決の疑問が残っています。TraceTogetherはAppleとGoogleのAPIを利用せずに導入されたため、アプリがフォアグラウンドで実行されている場合にのみ機能する点に留意することが重要です。
新しいBluetoothフレームワークによってその問題は解決されたとしても、容易に解決できない問題が他にもある。ソルタニ氏はツイートで、モバイルによる接触追跡は、子供や高齢者などスマートフォンを持っていない人をカバーできないと付け加えた。近接性に基づくため、アパートのような密集した居住空間では、接触の誤検知を引き起こす可能性もある。
米国など一部の国では、導入の最大のハードルは検査の可用性にある可能性が高い。AppleとGoogleのAPIは、公衆衛生当局による診断を受けられるかどうかに依存しているようだ。これは荒らしのリスクを軽減する一方で、実際に機能するために必要な検査が十分に提供されているのかという大きな疑問を提起する。
暗号学者でありZCash Foundationのエンジニアでもあるデイドル・コノリー氏が指摘するように、米国は今のところ、AppleやGoogleのAPIが効果を発揮するために必要な種類のテストを強化する準備ができていない。
— ディアドラ・コノリー (@durumcrustulum) 2020年4月14日念のため言っておきますが、これらの接触通知提案はすべて接触追跡を支援するためのツールであり、効果的な接触追跡には検査能力が必要です。
現在の検査能力が低いため、米国では現時点では配備できません。https://t.co/4HomuAEOoA
もちろん、こうしたプライバシーや有効性に関する懸念にもかかわらず、AppleとGoogleのシステムは、十分な検査やソーシャルディスタンスなどの対策とともに、COVID-19を阻止するためのより広範な解決策の一部となる可能性がある。
それが実現するかどうかは、Apple、Google、そして公衆衛生団体が十分な数の人々にダウンロードと使用を促せるかどうかにかかっています。最終的には、その役割はAppleとGoogleには与えられないかもしれません。
一般の人々を含む関係者全員による集中的で透明性があり信頼できる努力がなければ、モバイルによる接触追跡は単なる希望的観測で終わってしまうだろう。
