Skip to content

英国の追跡アプリ「COVID-19」のソースコードを公開: サイバーセキュリティに対するスピンの勝利

英国政府がイングランド向けにCOVID-19追跡アプリを開発しようとしていることはよく知られています(分立政権は別の戦術をとっています)。

このアプリがウイルス抑制のための有用なツールとなるためには、大規模な導入が必要です。試算では、スマートフォンユーザーの80%がアプリをダウンロードしなければ、期待通りの効果は得られないと考えられます。 このスケールの導入は、市民がこのツールを信頼することで初めて実現します。

 

一元化 vs. 分散型データ収集

 

英国政府は、サイバーセキュリティの専門家が推奨する「分散型」のアプローチに反して、「集中型」のデータモデルを選択したことで、悪評の渦に巻き込まれました。 一元化モデルでは、すべてのトラッキングデータを政府が管理する単一のデータベースに集めます。 これは理論的には、政府がすべてのデータにアクセスでき、攻撃者が標的とする「ハニーポット」が1つになることを意味しています。 分散型のアプローチでは、データとその処理がアプリを実行するすべての電話機に分散され、各電話機は必要なデータだけを受け取ります。

実際には分散型モデルの方が良いのですが、新型コロナウイルス感染症を追跡する用途では、分散型アプローチのメリットはほとんどないのが現実です。 ある要素を考慮すると、よりシンプルな集中型のアプローチが選択された理由は容易に理解できます。 追跡に必要なデータは小さく、個人の私的な情報は含まれていません。 また、アプリの利用期間も(願わくば)短く、ユーザーは数ヶ月でアプリを削除することができます。

 

安全なソースコードの必要性とは

 

Cambridge Analytica社のスキャンダルやTiktok社に関する最近の報道を受けて、一般の人々は、個人データをオンラインで共有することによるプライバシーリスクについて、これまで以上に意識するようになっています。 しかし、人々はデータを共有することは止めず、自分の情報が意図された目的のためだけに使用されることを知りたがっています。

英国のCOVID-19アプリのサイバーセキュリティ上の課題は、まさにソースコードが公開されたときから始まりました。 おそらく、政府がソースコードを公開したのは、データの一元化モデルを選択した後のマスコミの悪評に対処するためだと思われます。 今回の公開は、透明性を高めるためのものです。 そのジレンマの中で、誰でもダウンロードできるように BBC NewsはGithubリポジトリへのリンクまで用意 してくれました。 政府の透明性を高めることは通常良いことですが、今回はモバイルアプリのセキュリティに関して全く理解していないことがわかりました。

悪評を払拭するためにソースコードを公開したところ、悪意あるハッカーに貴重な情報をさらしてしまったのです。

 

ソースコードがハッカーの手中に

 

サイバー攻撃の最も一般的な形態の1つは、人気のあるアプリの模倣版を作成し、脆弱なユーザーを騙して(または「フィッシングして」)ダウンロードさせることです。 歴史的に見ても、マルウェアの86%はこの方法で配信されています。 最も注目を集めた例の一つが、ジオフェンシング規制を回避すると謳ったポケモンGOの広告・謎解きバージョンでした。

通常、攻撃者は時間をかけて模倣品を作成し、見た目や動作があたかもオリジナルバージョンであるかのように仕上げます。 ユーザーがオリジナルのアプリを使っていると思う時間が長ければ長いほど、マルウェアはユーザーの携帯電話に検出されずに残ります。 ソースコードを公開することで、攻撃者は完璧な模倣アプリを作るために必要なものすべてを手に入れることができたのです。

 

アプリの保護を活用して、市民とそのデータの安全を守る

 

COVID-19が大流行したことに加え、ソースコードが公開されたことで、ハッカーにとっては最悪の事態となりました。つまり、政府から簡単に模倣できるアプリをインストールするように言われ、人々が疑念を抱いたのです。 もしサイバー犯罪者がNHSを装い、テキストメッセージや電子メールで偽装アプリをダウンロードするためのリンクを送った場合、どれだけの市民が悪意ある餌に食いつくでしょうか? 今日の情勢では、このような攻撃は当たり前になっています。 Verimatrix(ベリマトリックス 社)は先日、新型コロナ感染症の最中にフィッシング攻撃が激増したことを報告しました。

他の国では アプリケーションシールディング技術 を使用し、Vermatrix社も同じく、リバースエンジニアリングから追跡アプリを保護しています。 これはベストプラクティスであり、アプリが処理するデータの完全性とプライバシーを確保しながら、犯罪者がアプリの悪意のあるコピーを作成することをはるかに困難にします。

英国政府のアプリについては、現在、開発が難航しています。 Wight島での限定的なトライアルを除き、まだ展開されていません。

 
 
Do you have questions about applications and content security?

Book a call with one of our experts

Want to keep up with Verimatrix news?

Sign up to the newsletter

Want to take a deep dive?

Connect with us

This site is registered on wpml.org as a development site.