接触者追跡アプリのセキュリティ欠陥を指摘されたインド政府が「設計通り」と回答

次の記事

フォルクスワーゲンが全電動ID.3ハッチバックを6月に販売開始

インド政府は、国が作った接触者追跡アプリであるAargya Setuが9000万ユーザーの位置データを取得し、地域内の新型コロナウイルス検査陽性者の密度を見られるようにしているのは「意図的」であると語った。

同国政府はフランス在住のセキュリティー研究者であるBaptiste Robert(バプティスト・ロバート)氏がデザイン欠陥およびプライバシー問題であると指摘したことを受けて声明を発表した。

ユーザーの位置情報を取得していることは常に公表していると政府はいっているが、Apple(アップル)とGoogle(グーグル)の共同プロジェクトなど、同様のテクノロジーと比べてセキュリティー保護が不十分であると専門家は指摘している。

Aarogya Setuのプライバシーポリシーによると、アプリはユーザーが登録した時に位置情報データを取得するだけでなく、「連続的に位置データを取得し、ユーザーがいた場所のデータを15分毎に端末に記録」している。新型コロナウイルス検査が陽性だった場合、あるいは感染している可能性を示す兆候があると自己申告した場合、アプリはこのデータをユーザーのデジタルIDとともにサーバーにアップロードする。

位置データの収集は、例えデベロッパーや運用者の善意であっても複雑な問題である。米国時間5月4日にグーグルとアップルは、両者が共同開発した新型コロナウイルス追跡アプリの位置追跡機能の利用を禁止した。

デベロッパーの中には、感染爆発の動きや多発地域の確認のために位置データのアクセスが必要であると主張する向きもあるが、プライバシー擁護団体は、もしこのデータが暴露されると感染した人たちが排斥される恐れがあると警告している。

ロバート氏がもうひとつ懸念しているのは、2020年4月始めに公開されたAarogya Setuのユーザーは誰でも、半径500mから10km以内にいる新型コロナ感染の疑いがあるか感染が確認された人たちの分布を見られることだ。同氏はTechCrunchに、自分が書いたスクリプトで、世界で2番目に人口の多いこの国のありとあらゆる場所について同様のデータを見ることができたと語った。

3月後半に国全体で都市封鎖を行った同国政府は、せめて可視半径を500m以内にすべきだったとロバート氏は話した。

これに対してインド政府は、システムはデータを大量取得するスクリプトを防ぐよう設計されていると発表し、「この方法で複数の緯度経度データを取得することは、何人かの人たちにそれぞれが住む場所の新型コロナ統計データを尋ねるのと変わらない」と語った。

「この情報はすべて全地域について公開されており、いかなる個人情報や秘密情報にも抵触しない」と開発チームは語っている。

一部の人たちは、このような何千人もの死者がでる危機の中では、こうした「不具合」は取るに足らない問題であり、アプリははるかに大きな目的を果たしていると主張する。しかし、わずか35日間に9000万人のアクティブユーザーを集めたAarogya Setuは、その間にさまざまな反発を買ってきた。5月始めにインド政府は、政府および民間企業の従業員は全員、スマートフォンにこのアプリをインストールしなければならない、と発表した。

米国時間5月5日に、デリー郊外で64万人以上が住むノイダ市では、当局がスマートフォンにAarogya Setuアプリをインストールしていない者は罰金あるいは懲役刑に処すると発表している。

新型コロナウイルス 関連アップデート

[原文へ]

(翻訳:Nob Takahashi / facebook