今月26日に公開された「COVIDSafe」、オーストラリアに住む189万人以上がすでにダウンロードしています。
このアプリは、保健当局者がCOVID-19の感染者と接触のあった人を迅速に特定するためのもので、連邦政府はオーストラリアに住む人に対し、アプリを早急にダウンロードするよう呼び掛けています。
このアプリはブルートゥースを使い、アプリのユーザー2人が1.5メートル以内に接近し、15分間以上過ごした場合に、その「接触」を記録します。アプリのユーザーがCOVID-19に感染した場合には、そのユーザの同意を得た後、ユーザーの最近の接触データが保健当局と共有されます。
もしオーストラリアで十分な数の人がこのアプリをダウンロードすれば、COVID-19の封じ込めに大きな役割を果たすことになると、医療の専門家は期待を寄せています。その一方、テクノロジーやプライバシーの専門家からは、アプリが収集するデータについて懸念する声が上がっています。
COVIDSafeが公開される前に私たちは、について説明しました。そしてアプリが公開された今、アプリが基準を満たしているのかどうか、そしてアプリをダウンロードするべきかどうかについての専門家の意見を紹介します。
ソフトウエアエンジニアがCOVIDSafeをリバースエンジニアリングしました。その結果です
COVIDSafeが公開される前、テクノロジーやプライバシーの専門家は連邦政府に対して、アプリのフルソースコードを公表するよう求めました。フルソースコードが公表されれば、独立した第三者の専門家によるアプリの問題の調査や、問題の解決策の提案、また政府の言葉通りにアプリが機能するかどうかの確認を行うことができるからです。
ソースコードが公表されるのを待つ間、オーストラリアのソフトウエア開発者たちは代わりにアプリのリバースエンジニアリングを始めました。そこでの発見をソーシャルメディアでシェアしています。
ソフトウエア開発者のマシュー・ロビンス氏は26日にCOVIDSafeをダウンロードし、アンドロイド版についてソースコードの解析・変換処理(デコンパイル)に成功しました。
ロビンス氏は業界で10年近くの経験があり、最近の8年間はアプリ開発に力を入れています。同氏はプライバシーの専門家ではありませんが、アプリの構築の仕方や仕組みについて専門知識を持っています。ロビンス氏とほかのソフトウエア開発者たちは過去24時間かけて、COVIDSafeについてコードから分かることを調べました。
調査から分かったことの多くは、良いニュースでした。ロビンス氏はツイッターで、アプリの機能は政府の言葉通りだと述べています。「接触データ」はユーザーのスマートフォンに安全に保管され、記録されるのはほかのユーザーのアプリからのシグナルのみ、21日ごとに全てのデータが自動的に消去され、ユーザーの許可のもとで初めてデータが保健当局にアップロードされる、ということです。
また、アプリでは位置情報が記録されないことも分かりました(アンドロイドユーザーの人は、アプリをダウンロードする際に位置情報へのアクセスを求めるメッセージを受け取ります。これはアンドロイドの変な癖のようなもので、COVIDSafeのようにブルートゥースへのアクセスが必要なアプリをダウンロードする場合、位置情報へのアクセスも自動的にユーザーに求める設定になっています。COVIDSafeはそれでも、位置情報を記録・利用しません)。
ロビンス氏はSBSのThe Feedに対し、自分の自由時間にCOVIDSafeのデコンパイルを行ったのは興味があったためだとし、その結果に自分は満足していると語ります。
「集められるデータは、良い言い方が見つかりませんが、比較的害のないものです。アプリの構築の仕方についてもかなり信頼できます」。
ロビンス氏が小さな間違いとして見つけた点も複数ありました。しかしそれは、アプリの開発を急いだことによるものだと考えています。
ただロビンス氏は引き続き、アプリのフルソースコードが公表されることを望んでいます。アンドロイド版よりもiOS版のほうがリバースエンジニアリングが難しくなっています。しかし全体としてはロビンス氏は、アプリについて目立った危険信号(major red flags)には遭遇しなかったと語ります。
「断然インストールする価値があると思います」とロビンス氏は述べました。
"I think it's absolutely worthwhile installing," he said.
ロビンス氏のほかにも、多くの熟練したソフトウエア開発者がアプリのコードを調査し、その結果として、オーストラリアに住む人にアプリのインストールを勧めています。
READ MORE
豪政府の感染追跡アプリ「COVIDSafe」、どういう仕組み?
アプリが公開されて24時間。これまでにどんな問題があった?
COVIDSafeではこれまでに、今後問題になるかもしれない事柄がいくつか見つかりました。
まずはアプリが正常に機能するための方法をユーザーが理解しているかどうかです。COVIDSafeと別のアプリを同時に使うこともできますが、外出時にはCOVIDSafeを常にバックグラウンドで開いた状態にしておく必要があります。
また、iPhoneではCOVIDSafeの機能が停止してしまう可能性が一部の専門家から指摘されています。例えばiPhoneが低電力モードで使われているとき、またはブルートゥースを使うアプリを複数使用しているときに、COVIDSafeが機能しなくなる可能性があります。
また現時点で、アプリが機能しているかどうかをユーザーがチェックする際のアドバイスについて、政府が異なる内容を示しています。政府のでは、iOSユーザーに対し、24時間以上アプリが機能していないときには、問題を解決する手順を示した通知がユーザーに送られるとしています。
さらに現時点では、COVIDSafeのバッテリー消費量について専門家の意見が割れています。これは今後数日内に判明するでしょう。
これらの問題はアプリのユーザーにとってのセキュリティー上の問題とはなりませんが、今後対応されなければアプリの有効性に影響が出る可能性があります。専門家はiOS版のフルソースコードの公開を求めています。そうすればアプリのパフォーマンスについての問題を調査し、解決策を提示できる可能性があります。
セキュリティーの専門家はアプリをどうみているの?
セキュリティーの専門家はCOVIDSafeについて、まだいくつか懸念を抱いています。セキュリティー上の不安でアプリのインストールをためらっているのだとしたら、それはその個人個人の状況に左右されると専門家は語ります。
The Feedは先週、アプリの公開前に、プライバシーの専門家であるダリ・カーファー教授に話を聞きました。カーファー教授は、オプタス・マッコーリーユニバーシティ・サイバーセキュリティーハブのエグゼクティブディレクターです。カーファー教授は、をおおまかに説明し、そのうちの多くがまだCOVIDSafeに残ったままだと語ります。
カーファー教授やほかの専門家が指摘する大きな懸念の一つは、アプリが収集したデータがセントラルサーバーにアップロードされるということです。カーファー教授はThe Feedに対し、COVIDSafeのようなアプリのセントラルサーバーにアクセスできる人は誰でも、アプリから集められた膨大な情報にアクセスできると説明します。もしそのサーバーがハッキングされたり、悪意を持った人がアクセスした場合には、これらの情報がさまざまなことに悪用される可能性があります。
アプリの公開後、 オーストラリア国立大学(ANU)のバネッサ・ティーグ准教授などのプライバシーの専門家は、を指摘しています。例えば、このアプリでは、探知したスマートフォンやデバイスのメーカーやモデルをプレーンテキストで保存します。これは、そのスマートフォンにアクセスできて、テクノロジーのことが少し分かれば誰でも簡単に読めるものです。
「一見無害な情報に見えるかもしれませんが、接触した人の携帯電話の正確なモデルが分かるということは、非常に多くの情報がそこから分かってしまう可能性があります」。ティーグ准教授と同僚の研究者は27日、ブログにこのような文章を投稿しています。
「例えば、ある誰かが、携帯電話にアクセスできる別の人(A)について、その人が特定の共通の知人を訪ねたかどうかを知りたいと思ったとします。この人は(Aの)COVIDSafeに残された(プレーンテキストの)ログを見て、仮説にそって電話のモデルを照合することができます」。
「これは特定のアイデンティティーを示すのに非常に有効な手段というわけではありませんが、特定の人物に会ったかどうかという仮説を証明するまたは反論する上で非常に役立つでしょう」。
カーファー教授はまた、ユーザーが理解している以上の情報をアプリを通して当局が受け取ることを懸念しています。教授の説明によると、例えばAさんがCOVID-19に感染し、接触データをアップロードすることに同意したとします。その結果、AさんがBさんとCさんと出かけたことが判明し、当局はBさんとCさんが会ったということも分かります。しかしBさんもCさんも、2人が会ったという情報が当局者と共有されていることを必ずしも知っているわけではありません。
カーファー教授はここで、各個人の特有の状況を考える必要が出てくると語ります。
「これらの情報は多くの人にとってそれほどセンシティブではないでしょうが、とても重要だという人もいます。例えば、2つの異なる政党に所属する2人の政治家が会う、またはジャーナリストと政治家の会合などです」。
カーファー教授は、これらプライバシーの問題の多くは、アプリに比較的小さな修正を加えることで解決できるといいます。ある国際的な専門家の集まりによると、、ウイルスの追跡アプリを作成することは可能だとしています。
カーファー教授はThe Feedに対し、現時点で個人的にはCOVIDSafeをインストールしないとしています。しかしほかの人にどうアドバイスするかについては、心を決めかねています。
「(アプリの)インストールを勧めるかどうかについては、何とも言えません。非常に難しい質問です」。
「連邦政府はプライバシーについてある程度対応していると思いますが、いくつか大事な点が満たされていません。評価できる取り組みもあります。位置情報を記録しなかったり、データを21日後に全て消去するということなどです」。
「重要なのは、プライバシーは非常に個人的なものだということです。誰かと同じ場所にいたという情報にセンシティブな人もいれば、全く関係ないと考える人もいます」。
「白黒はっきりしたアドバイスはできません。今は様子見です。テクノロジーと法律の面でもう少し透明性が必要です」。
COVIDSafeをインストールするべき?
結論です。COVIDSafeが急ピッチで公開されたのには理由があります。私たちがまだパンデミックの最中にいるからです。もし社会活動を再開させたいと思うなら、新たな感染者に接触した可能性のある人を早急に特定できることは、とても重要になります。
もしオーストラリアで十分な数の人がこのアプリをインストールして正しく使うことができれば、COVID-19の封じ込めという点で大きく貢献できる可能性があります。しかし連邦政府によると、アプリが効果を発揮するには、少なくともオーストラリアで生活する人の40%がアプリを使う必要があります。数にすると1,000万人近くの人がアプリを使うことが必要です。アプリをインストールした人は27日時点で200万人近くとなっています。
アプリをインストールするかどうかという個人の判断は、その人にとってプライバシーは何かということにかかっているでしょう。それはカーファー教授が指摘するように、個人で違い、個人が決めることです。カーファー教授はこう語ります。
「この種のディベートで一番もどかしさを感じるのは、『人を助ける』ことと『プライバシー』の板挟みにされることです。プライバシーのことを気にしない人がいるからといって、プライバシーを大切にする人のことを自分勝手な人だと決めつけることは本当にひどいことです」。
デビッド・ベイル氏は、ニューサウスウェールズ大学のアレンズハブ・フォー・テクノロジー、ローアンドイノベーションでデータ保護・監視のストリームリードを務めます。ベイル氏はこう語ります。
「ソーシャルグラフのデータが集約されて保管される可能性があり、その保護が法律やテクノロジーによる修正に頼ることになる今回のようなケースでは原則として、注意し慎重になるよう促します。しかしながらパブリックヘルス上の問題も非常に重要であり、それが判断を難しくしています」。
現時点でCOVIDSafeをインストールしないと決めた人も、今後アプリがアップデートされ改善されていくなかで、あなたが懸念している状況が今後変わる可能性があることを忘れないでください。今後の進展についても、引き続き情報を発信していきます。
オーストラリアでは、ほかの人との距離を1.5メートル以上保たなければいけません。連邦政府のウェブサイトによると、コロナウイルスの症状は軽いものから、肺炎まで多岐にわたります。主な症状としては、発熱やせき、喉の痛み、倦怠感、息苦しさがあります。
ウイルス検査が必要だと思う人は、医師またはコロナウイルス・ヘルスインフォーメーション・ホットラインに電話で問い合わせます。
ホットラインの電話番号は1800 020 080です。通訳サービスが必要な場合はまず131 450に電話をし「ジャパニーズ・プリーズ」と伝えて下さい。
呼吸をするのが困難なときや緊急時には救急の番号000に電話をしてください。
