サイバーリスク：接触確認アプリの課題と注意点

新型ウイルス感染の感染拡大防止に、各国で「接触確認アプリ」や「コロナ追跡アプリ」といった名称で新しいアプリの開発と展開が進められている。

このアプリがインストールされたスマホを持つもの同士が近接すると、スマホやサーバなどにその日時や場所などの情報が記録されるというものである。
アプリ利用者が感染していることが後日判明した場合、接触があったことを知らせたり感染拡大防止に活用するとされている。

台湾における新型ウイルスの早期終息に大きく貢献したことからも、ご存知の方は多いことだろう。
日本でも6月中旬頃（注：本稿執筆時点）の展開を待ち望む声が、早い段階から聞かれた。

今回はこの接触確認アプリが抱える課題や、私たちが気を付けるべき点について考えていきたい。

人里離れなければ

本稿執筆時点では各国での外出制限が段階的に解除され、徐々に平時へと戻ろうとしている。

以前のように戻るにはまだまだ時間を要するが、以前のようには戻らないこともある。
一旦は終息に向かったものの感染拡大の第二波が訪れた都市など、いまだ予断は許されない状況だ。

このような状況下、期待されている取り組みの一つが「接触確認アプリ」だ。
国ごとに仕様は異なっているが、アプリ利用者同士が近接するとその日時や場所などの情報が記録されるといったものである。

ところで、場所を示す「位置情報」。

カーナビやGPSなどの技術に詳しい方であれば、建物内では正確な場所を特定することが難しいことに気付かれる方もおられるだろう。
それでは近接どころか、同じオフィスやフロアにいなかったとしても濃厚接触者に分類されてしまうのではないかと心配になるところではあるが、これらのアプリでは携帯電話やWi-Fiから発せられる電波も用いて測位することで、より高い精度での「位置情報」を取得している。

例えば、スマホの設定画面から「Wi-Fi」の設定項目をご覧いただきたい。

いま接続しているWi-Fiルータだけでなく、電波を捉えている他社やご近所さんのWi-Fiルータも一覧には表示されているだろう。
もしそこに三つ以上のWi-Fiルータが表示されているのであれば、あなたが今いる場所をかなり高い精度で把握することができる。その数が四つ、五つと増えれば更にその精度は高まる。

何故なのか？

Wi-Fiの電波強度から、そのルータまでのおおよその距離を導き出せる。
そしてそれらが三つ以上あれば、三角法でそれぞれの位置関係から居場所を割り出すことができるというわけだ。
Wi-Fiの電波が多く飛び交っているオフィス街であれば、どの会議室でおおよそどのあたりの席に座っているのかまで分かる。

当然このことはWi-Fiに限らず、携帯電話の電波強度からも居場所は割り出せる。

またBluetoothなども活用し近接したことを把握しているため、よほど人里離れた場所にでも行かない限りは高い精度で場所を把握することができる。

人里離れていれば、濃厚接触の心配が少ないことはさておきだ。

同時に議論されている課題

接触確認アプリを運用していく上で最も大きな課題は、誰がいつ感染するのか分からないこと。

現状では新型ウイルスにどのタイミングで感染するかが分からないため、感染する前から大量に個人の行動履歴を継続的に追跡しておく必要がある。
そして前述のとおり、高い精度で位置情報などの情報が記録されていく。

そのため自宅や職場が把握されてしまうだけでなく、よく訪れる場所や行動パターンといったプライバシーに関する情報を第三者に把握されてしまうことを懸念する声もある。
また多くの国では、これら個人の行動履歴を追跡する情報は特に重要なプライバシー情報として扱われることが多く、データ保護法だけでなくプライバシー権からの指摘も多い。

日本の個人情報保護委員会からは2020年5月1日に「アプリに関与する事業者が取得する情報が個人情報保護法に規定する個人情報に当たらないものが多いと考えられる」と見解が示された。

しかし同時に「当該事業者の保有する他の情報との関係によっては個人情報となる可能性もあることから、アプリごと、事業者ごとに具体的に検証した上で、個人情報保護法など関係法令に則った適切な運用が求められる」という見解も示されている。

つまり一言で定義することは難しい。

また、重要なプライバシー情報が収集されていくことで、感染拡大防止のために公衆衛生に資する価値だけでなく、サイバー犯罪を行う者にとっても価値のあるデータがそこには蓄積されていく。

そしてこれらのシステムが停止してしまえば恐怖と混乱に陥れることもできるため、サイバーテロやサイバー戦争の標的となる懸念もある。

サイバーテロやサイバー戦争と言ってしまうと何やら仰々しい感じもするが、実際、医療機関・製薬会社・研究機関・地方自治体などを狙ったサイバー攻撃は今回のパンデミック以降急増している。
2020年5月には英国NCSC（国家サイバーセキュリティセンター）と米国CISA（国土安全保障省傘下のサイバーセキュリティおよびインフラストラクチャ庁）から共同で警戒情報が発令された。(*1)

このようにテクノロジーを活用した公衆衛生への取り組みは、同時にプライバシーやサイバーリスクといったまた別の課題についても議論されることとなっている。

一旦立ち止まる

英国ではNHSと呼ばれる国民健康保険サービスによって独自の接触確認アプリが開発され、5月28日より展開されている。英国での携帯電話加入者の8割以上がこのアプリを使用しなければ有効なデータの蓄積を行えないとする研究結果もあり、利用者数とアプリの精度は相関する。

アプリの案内は、ロンドン在住の筆者のもとにも早い段階でSMSのメッセージという形で届いた。

平時よりNHSではアプリを活用した診療予約や簡易診断などが行われており、SMSで近隣の医療機関から健康診断の案内やお役立ち情報が届く。
今回もいつもの方法で、案内が届いたというわけだ。

ところが……今回は何かがおかしい。

気になった点は、二点。
一つはアプリのダウンロード先となっているドメインが医療機関のものに似ているが、よく見ると異なっていること。
ただし接触確認アプリは新しい取り組みでもあるため、もしかしたら新たに用意されたドメインかもしれない。

そしてもう一つは、普段からSMSで案内が届いている医療機関からのメッセージであるにも関わらず、これまでとは異なる発信元からSMSが送られてきたこと。

もちろん筆者が逐一、医療機関の電話番号を暗誦しているわけではない。
過去にメッセージを受け取っている送信元からであれば、過去のメッセージが履歴として一緒に表示されているはずである。
ところが今回はそれらが表示されず、過去にメッセージを受け取ったことの無い番号からのものであることが確認できた。

そこで、このドメインからいきなりアプリのダウンロードは行わず、少し調べてみることにした。

まずはアプリのダウンロード先として示された「ドメイン情報」をウェブ上で検索し確認してみる。

本家本元の医療機関のドメインは、もちろん英国内で登録されておりそのサーバも英国内に存在していた。
続いて、届いたメッセージに記載されているドメインを調べてみると、なんと米国で登録され、サーバも米国に存在していたのだ。
政府が運営する医療サービスのデータを、あえて国外に送出するようなことがあるのだろうか！？

そこで次に調べてみたのが、サーバ間でやり取りされるデータの流れ。これはちょっとしたツールを用いることで調べることができる。

なんと米国のサーバが受け取ったデータは、背後に隠された100台以上ものサーバに振り分けられていたのだ。
更にそれらは、アクセス集中時に負荷を分散する為のCDNサービスと呼ばれる技術を悪用し、その背後にある存在、すなわち真犯人へと近付くためのヒントを隠蔽していることが分かった。

このような場合、完全に怪しい。

そして、このようなサイトからアプリをダウンロードしてはいけない。もしこの手口に騙されてしまい何らかの被害に遭ったとしても、英国の執行機関に捜査令状があっても米国のIT事業者に情報開示させて追いかけることは困難である。
しかるべき手順とそれなりの手間を掛けて英国の執行機関が追加の手続きをしなくてはならないためだ。

そのため私たちにできることは、未然に被害を防げるよういつも以上に注意し、怪しいと思ったら一旦立ち止まることだ。

たしかに少ない情報から偽情報だと気付けることは難しいし、誰しもが真偽を確かめるための術を持ち合わせているわけでもないのだが、まずは周囲に同様の連絡が来ていないか確認してみることも一つだろう。
ちなみに筆者も周知を兼ねて周囲に確認してみたが、同じ医療機関に電話番号の登録をしたことがある人たちにこのメッセージは届いているようであった。

番号流出の経路は憶測でしかないが、どこかから情報が漏洩していることは間違いないだろう。

最大限活用するために

GoogleによるとCOVID-19関連のスパムメールは一日あたり2億4000万通も飛び交っているそうだ。

世界のインターネット普及率は2018年に50％を超えたとする統計もあるため30億人から40億人が利用していると考えると、月に何度かはこのようなメールを目にする機会があってもおかしくない。ここから悪意ある者たちが送信先より差し引かれるので、むしろより高い頻度で目にしている可能性もある。

そして新型ウイルスの脅威に対して例外的な人は今のところいないため、ほぼ全ての人たちが自身の心配ごととしてこれらの情報へ敏感に反応してしまう。

しかし、被害に遭ってからでは技術的にも法的にもその対応は困難だ。手間やコストが莫大なものとなってしまう。
そのため、このようなサイバー犯罪が行われていることを知り、被害を未然に防いでいかなければならない。
オレオレ詐欺のような特殊詐欺も、啓発活動が進むことで年々被害件数とその額は減少してきている。

もし、少しでも不自然に感じることがあれば一旦手を止めよう。

連絡先として記されている電話番号やドメインなどの情報をネットで調べてみると、「これは詐欺です」といった情報を見つけることができる場合もある。
また、友人や同僚に同じようなメッセージが届いていないかを確認してみても良いだろう。

また、アプリは基本的に公式のアプリストア（iPhoneのApp Storeや、AndroidのGoogle Playなど）で配信されることになるため、公式のアプリストアを用いずにダウンロードを勧められた場合には気を付けられたほうが良い。

またサイバー犯罪を仕掛けてくる相手は、専門知識を持った悪意のプロフェッショナルである可能性が極めて高い。
そのため、不用意に追跡することはお勧めしない。返り討ちに遭うことだってある。

筆者も自身の身元を隠蔽した上で調査を実施するなどそれなりの準備はしているし、逆に悪意ある者のサーバに不正侵入するための相手の弱点も見つけ出すことができた。
もちろん合法的な範囲での手段であったことを付け加えておく。

新たな課題が顕在化したり、混乱に乗じて悪意をもたらす者たちもいたりするが、決して新しいテクノロジーを否定したいわけではない。リスクを適切に管理し、最大限活用していきたい。そして新型ウイルスの早期終息を願っている。

脚注

^*1 https://www.ncsc.gov.uk/news/warning-issued-uk-usa-healthcare-organisations