Howdy! How can we help you?
(EFF)AppleとGoogleのCOVID-19 Exposure Notification API。Q&A
以下は、米国の電子フロンティア財団の記事の翻訳です。
AppleとGoogleのCOVID-19 Exposure Notification API。質問と回答
by bennett cyphers and gennie gebhartapril 28, 2020
AppleとGoogleは、技術支援によるCOVID-19コンタクトトレースの名のもとに、AndroidとiPhoneが相互に連携するシステムを構築するため、前例のないチームワークを行っています。
両社の計画は、Bluetoothの信号強度を利用して、近接ベースのモバイルアプリケーションによる手動のコンタクトトレースを強化するための提案の一部です。AppleとGoogleは、モバイルOSの分野で実質的な二重構造になっているため、両社の計画は特別な重みを持っています。AppleとGoogleの技術は、大部分が分散化されており、データのほとんどがユーザーの携帯電話に保存され、中央のデータベースから離れています。この種のアプリには、後述するように、避けられないプライバシーとのトレードオフがあり、AppleとGoogleはプライバシーの漏洩を防ぐためにもっと努力すべきです。しかし、AppleとGoogleのモデルは、Bluetoothによる近距離トラッキングのプライバシーリスクを軽減するように設計されており、中央のサーバーに依存する他の戦略よりも好ましいものです。
近接追跡アプリは、せいぜいCOVID-19に対する公衆衛生上の大きな対応策の一部に過ぎないかもしれません。このBluetooth技術の使用は実証されておらず、すべての人に行き渡るわけではないスマートフォンアプリでの使用を想定しています。AppleとGoogleの新しいシステムの上に構築されたアプリは、シェルターインプレイスの現状を解決する「魔法の弾丸」のような技術ではありません。その効果は、多くのトレードオフと、一般に広く普及するための十分な信頼性にかかっています。プライバシー保護が不十分であれば、そのような信頼を失い、アプリの有効性が損なわれます。
どのように機能するのか?
Apple社とGoogle社は、Bluetoothを利用した近距離トラッキング・アプリを開発するために必要なiPhoneおよびAndroidのインフラの一部を、早速提供し始めています。これらのアプリをダウンロードすると、携帯電話のBluetoothチップを利用して、Bluetoothの機能である、他の機器を探すための小さな無線信号を発信します。通常、これらの信号は、外部スピーカーやワイヤレスマウスなどを探します。COVID-19近接追跡アプリの場合は、この目的のためにBluetoothの使用を選択した近くの人々に連絡を取ります。その人たちの携帯電話からもピン音が発せられ、その音を聞くことができる。アプリは、Bluetoothの信号強度を利用して、2台の携帯電話間の距離を推定します。両者が現在のCDCの指針に基づき、6フィート(約1.5メートル)以内の距離で近づけば、、接触イベントが記録されます。
現在、基本的にはこれと同じことを行うためのさまざまな提案がなされていますが、効率、セキュリティ、プライバシーの観点からは若干の違いがあります。この記事の残りの部分では、AppleとGoogleの提案(バージョン1.1)を主に紹介します。
それぞれの携帯電話は、「一時公開鍵temporary exposure key」と呼ばれる特殊な秘密鍵を毎日生成します。そして、その鍵を使って「Rolling proximity identifiers」(RPID)と呼ばれるランダムな識別番号を生成します。Bluetoothが有効になっている場合、少なくとも5分に1回はPingが発信されます。それぞれのPingには、携帯電話の現在のRPIDが含まれており、このRPIDは10〜20分ごとに変化します。これは、第三者の追跡者がこのPingを利用して人々の位置を受動的に追跡するリスクを低減するためのものです。オペレーティングシステムは、一時的な公開キーをすべて保存し、接触したRPIDを過去2週間分記録します。
近接追跡アプリは、せいぜいCOVID-19に対する公衆衛生上の大きな対応策の一部に過ぎないかもしれません。
アプリのユーザーは、自分が感染していることを知った場合、公衆衛生当局に一時的な曝露キーtemporary exposure keysを公開する許可を与えることができます。誤報の氾濫を防ぐために、保健当局はユーザーが実際に感染していることを確認してから鍵をアップロードする必要があります。アップロードされたユーザーの一時曝露キーは「診断キーdiagnosis keys」と呼ばれます。診断キーは公的なレジストリに保存され、アプリを使用するすべての人が利用できます。
診断キーには、感染したユーザーのデバイスに関連するRPIDの完全なセットを再生成するために必要なすべての情報が含まれています。参加しているアプリは、レジストリを利用して、ユーザーが接触したRPIDと、COVID-19の感染が確認されたキャリアのRPIDを比較することができます。一致した場合、ユーザーには感染の危険性を知らせる通知が送られます。
このプログラムは、2段階に分けて展開されます。第1段階では、GoogleとAppleが、それぞれのプラットフォームに新しいAPIを構築します。このAPIには、iPhoneとAndroidの両方で近接探索スキームを機能させるために必要な最低限の機能が含まれています。他の開発者は、新しいAPIを実際に実行するアプリケーションを作らなければなりません。このAPIの仕様案はすでに公開されており、今週中には開発者が利用できるようになるかもしれません。第2段階では、近接トラッキングを “OSレベルで導入し、広く普及させる “と両社は述べています。この第2段階については、まだ多くのことがわかっていません。
うまくいくのか?
自動化された近接追跡には、技術的にも社会的にもいくつかの課題があります。まず、これらのアプリは「携帯電話=人間」を前提としています。しかし、米国でも携帯電話の普及率は決して高くはありません。高齢者や低所得世帯ではスマートフォンを所有している可能性が低く、COVID-19のリスクが最も高い多くの人々が除外されている可能性があります。また、古い携帯電話の多くには、Bluetoothによる近距離トラッキングに必要な技術が搭載されていません。携帯電話は、電源を切ったり、家に置きっぱなしにしたり、電池切れになったり、機内モードに設定したりすることができます。そのため、ほぼ全世界で採用されている近接追跡システムであっても、毎日何百万人もの連絡先を見逃すことになります。
これらのアプリは、「携帯電話=人間」と仮定していますが、携帯電話の普及は全世界的なものではありません。
第二に、近接追跡アプリは、「私の近くに強いBluetooth信号がある」から「2人の人間が疫学的に適切な接触を経験している」へと大きく飛躍しなければなりません。Bluetooth技術はこのような用途には適していません。風の強い歩道でマスクをした2人が一瞬すれ違ったり、渋滞中に窓を開けた2台の車が隣り合ったりしても、アプリは接続を記録します。完全なPPEを着用した看護師に患者が近づいても、Bluetoothにとっては2人がキスをしているのと同じように見えるかもしれません。また、人間の体のように大量の水があると、Bluetoothが乱れることがあります。場合によっては、2人が触れ合うほどの距離にいても、2人の携帯電話が無線通信を確立できないこともあります。2つのデバイス間の距離を正確に推定することは、さらに困難です。
第三に、アップルとグーグルの提案では、携帯電話が信号を発信する頻度は5分に1回程度と規定されています。そのため、最適な条件であっても、2台の携帯電話が必要な時間だけお互いの近くにいないと、接触が記録されない可能性があります。
第四に、アプリを実際に使用する人が相当数いることです。シンガポールでは、政府が開発したアプリが数週間後には約20%しか普及していません。アップルとグーグルは、モバイルプラットフォームを独占しているため、新しいソフトウェアを大規模に展開するのに最適な立場にあると言えます。それでも、普及は遅々として進まないでしょうし、万能ではないでしょう。
プライベートで安全なのか?
実際のところ、近距離トラッキング・アプリがどの程度有効なのかは誰にもわかりません。さらに、潜在的なメリットと、プライバシーやセキュリティに対する非常に現実的なリスクを比較検討する必要があります。
まず、Apple社とGoogle社の提案のように、診断キーの公開データベースとユーザーのデバイスのRPIDを照合する近接追跡システムでは、感染者の連絡先が、遭遇した人の中でどの人が感染しているかを把握する可能性があります。例えば、友人と連絡を取っていて、その友人が感染したと報告してきた場合、自分の端末の連絡先ログを使って、その友人が病気であることを知ることができます。極端に言えば、悪質な業者がRPIDを一斉に収集し、顔認識などの技術を使ってIDと結びつけ、誰が感染しているかをデータベース化することも可能です。EUのPEPP-PTやフランス・ドイツのROBERTのように、中央のサーバーで照合を行うことで、この種の攻撃を防ぐ、あるいは少なくとも困難にすることを目的とした提案もありますが、これはプライバシーに対するより深刻なリスクをもたらします。
第二に、Apple社とGoogle社は、感染したユーザーが、数分ごとのRPIDではなく、1日1回の診断キーを公開することを選択したため、これらのユーザーはリンケージ攻撃にさらされることになります。資金力のある敵は、公共の場に静的なBluetoothビーコンを設置したり、何千人ものユーザーにアプリをインストールさせたりすることで、一度にさまざまな場所からRPIDを収集することができます。トラッカーは、さまざまな時間や場所でRPIDを大量に受け取ることになります。RPIDだけでは、トラッカーは観測結果を結びつける方法がありません。
もし悪意のある人がBluetoothビーコンを設置したり、アプリを使って人々のRPIDの位置情報を収集したとしても、得られるのはこのような地図だけです。
しかし、ユーザーが毎日の診断キーを公的なレジストリにアップロードすると、トラッカーはそのキーを使って、ある日のその人のRPIDをすべて結びつけることができるのです。
これにより、どこで仕事をし、どこに住み、どこで時間を過ごしているかなど、ユーザーの日常生活のマップを作成することができます。このような地図は個人の固有性が高いため、アップロードされた診断キーの持ち主を特定するのに利用できます。さらには、自宅の住所や勤務先、教会や中絶クリニック、ゲイバー、薬物乱用者支援団体などの機密性の高い場所への出入りなども明らかになってしまいます。位置情報を追跡するリスクは、Bluetoothアプリケーションに限ったことではありません。このような攻撃を実行できるだけのリソースを持つアクターは、セルタワーや第三者のデータブローカーから同様の情報を取得する別の方法を持っている可能性があります。しかし、特にBluetoothによる近接追跡に関連するリスクは、可能な限り低減すべきです。
このリスクは、1つの診断キーがRPIDの生成に使用される時間を短くすることで軽減できますが、その代償として暴露データベースのダウンロードサイズが大きくなります。MITのPACTのような同様のプロジェクトでは、毎日のキーではなく、1時間ごとのキーを使うことが提案されています。
第三に、警察は近接アプリで作成されたデータを求めることがあります。各ユーザーの携帯電話には、他の人の携帯電話に物理的に接近したログが保存され、その結果、他の人との親密で表現豊かな関係が数週間にわたって記録されます。2人のユーザーの携帯電話の近接アプリのデータにアクセスした人は、2人がお互いに連絡先を記録したかどうか、またどの日に連絡先を記録したかを知ることができます。このリスクは、どのような近接追跡プロトコルにも内在している可能性があります。このリスクは、ユーザーが選択的にアプリをオフにしたり、特定の期間の近接データを削除したりするオプションを提供することで軽減されるはずです。また、他の多くのプライバシー上の脅威と同様に、強力な暗号化とパスワードによって、このリスクを軽減する必要があります。
AppleとGoogleのプロトコルは、他の種類の攻撃にも影響を受ける可能性があります。例えば、RPIDを送信した機器が、実際にそのRPIDを生成した機器であるかどうかを確認する方法は現在のところありません。そのため、荒らしが他人のRPIDを収集し、自分のRPIDとして再放送することも考えられます。人通りの多い街角に設置されたBluetoothビーコンが、観測したRPIDをすべて再放送するネットワークを想像してみてください。悪い」ビーコンの近くを通った人は、そのビーコンの近くにいた他の人のRPIDを記録してしまいます。これでは多くの誤検出が発生し、近接探索アプリに対する社会的信頼が損なわれる可能性があり、さらには公衆衛生システム全体に対する信頼も失われてしまいます。
アプリ開発者は何をすべきか?
AppleとGoogleのフェーズ1はAPIであり、新しいAPIを使用する実際のアプリの開発は世界中の人々に委ねられています。グーグルとアップルは、「公衆衛生当局」がアプリを作ることを想定していると述べている。しかし、ほとんどの保健当局は、社内にそのような技術的リソースを持っていないため、民間企業と提携することになるでしょう。インターフェイスの上にアプリを作る人は、プライベートで安全なアプリを作るために、多くのことを正しく行わなければなりません。
悪意のあるアプリ開発者は、ハイテク企業が慎重に構築したプライバシー保証を破壊しようとするかもしれません。例えば、ユーザーのデータは端末に保存されることになっていますが、APIにアクセスできるアプリは、すべてのデータをリモートサーバーにアップロードできるかもしれません。そして、日々の秘密鍵をモバイル広告IDやその他の識別子にリンクさせ、ユーザーの交友関係の履歴を利用して、ユーザーをプロファイリングすることができるのです。また、アプリを「トロイの木馬」として利用し、ユーザーに一連のより侵襲的なトラッキングに同意するよう説得することも可能です。
では、責任あるアプリ開発者は何をすればよいのでしょうか?まず第一に、自分たちが構築しているプロトコルを尊重することです。開発者は、ユーザーのデータをユーザーの端末に保持するAppleやGoogleの「分散型」モデルの上に、より多くのデータを中央機関と共有する「中央集権型」のプロトコルを接ぎ木しようとすべきではありません。また、開発者は、感染したユーザーが診断キーをアップロードするなど、絶対に必要な場合を除いて、インターネット上でデータを共有すべきではありません。
開発者は、アプリがどのようなデータを収集しているのか、そしてそれを止める方法について、ユーザーに極めて率直に説明すべきです。ユーザーはいつでもRPIDの共有を停止したり、開始したりすることができるべきです。また、自分が受け取ったRPIDのリストを見て、その連絡履歴の一部または全部を削除することもできるべきです。
システム全体が信頼に基づいています。
同様に重要なことは、「何をしてはいけないか」ということです。これは公衆衛生上の危機であり、スタートアップ企業を成長させるチャンスではありません。開発者は、何かにつけてユーザーにアカウントの登録を強要してはいけません。また、連絡先追跡アプリに余計な不必要な機能をつけて出荷すべきではありません。アプリは自分の仕事をして、邪魔にならないようにするべきで、ユーザーを新しいサービスに引き込もうとするべきではありません。
もちろん、近接型トレーシングアプリは、広告(およびそれに付随する搾取的でデータを吸い取るような行為)とは何の関係もないはずです。同様に、サードパーティとデータを共有する分析ライブラリも使用すべきではありません。一般的には、開発者は強力で透明性の高い技術的・政策的な保護手段を用いて、このデータをCOVID-19の目的のためだけに隔離するべきです。
システム全体が信頼に依存しています。ユーザーは、アプリが自分の利益のために機能していると信頼できなければ、そのアプリを使用しません。そのため、開発者は、アプリがどのように動作するか、どのようなリスクがあるかについて、可能な限り透明性を確保する必要があります。開発者はソースコードやドキュメントを公開し、技術に精通したユーザーや独立した技術者が自分たちの仕事をチェックできるようにすべきです。また、専門家によるセキュリティ監査や侵入テストを受けることで、自分たちのアプリケーションが実際に機能していることを可能な限り確認する必要があります。
これらの作業には時間がかかります。うまくいかないことはたくさんありますし、急ごしらえのずさんなソフトウェアを作る余裕はありません。公衆衛生局と開発者は、一歩下がって、物事を正しく理解する必要があります。そしてユーザーは、アップルとグーグルが初めてAPIを公開してから数日後に出荷されるアプリに注意する必要があります。
AppleとGoogleは何をすべきか?
AppleとGoogleは、自分たちの基準が何であるかを明確にすべきです。
AppleとGoogleは、第一段階では、APIは「公衆衛生当局のアプリによる連絡先の追跡にのみ使用できる」とし、「公衆衛生当局と共同でのみ管理され、プライバシー要件を満たし、ユーザーデータを保護するように設計された特定の基準に基づいて承認を受ける」としています。アップルとグーグルは、これらの基準が何であるかについて、透明性をもって具体的に説明すべきです。アップルとグーグルは、これらの基準を通じて、アプリが持つ他の許可をコントロールすることができます。例えば、「COVID-19」と呼ばれる近接型トラッキングアプリが、モバイル広告IDやその他のデバイス識別子にアクセスできないようにすることができます。また、APIを利用するすべてのアプリに対して、ユーザーがコンタクトログの一部をさかのぼって削除できる明確な仕組みを持たせるなど、より詳細なポリシーを規定することもできます。また、アップル社やグーグル社のアプリストアの承認基準やそれに関連する制限も、公平に適用されなければなりません。もし、アップル社やグーグル社が友好的な政府や企業に例外を設けるようなことがあれば、インフォームド・コンセントに必要な信頼性が損なわれてしまいます。
第2段階では、両社は近接トラッキング技術をAndroidおよびiOSに直接組み込む予定です。このため、当初はアプリを必要としませんが、AppleとGoogleは、被ばく量の一致が検出された場合、ユーザーに公衆衛生アプリのダウンロードを促すことを提案しています。上記のアプリ開発者への推奨事項は、すべてAppleとGoogleにも当てはまります。重要なことは、約束されたオプトインは、いかなる種類の近接追跡を有効にする前に、各ユーザーから特定のインフォームド・コンセントを得なければならないということです。また、オプトインしたユーザーが後からオプトアウトしたり、デバイスが収集したデータを閲覧・削除したりすることを容易にする必要があります。近接トラッキングのために収集したデータとそれ以外のデータとの間に、強力な技術的障壁を設けること。また、独立したセキュリティアナリストが自分たちの仕事をチェックできるように、実装をオープンソース化すること。
このプログラムは、COVID-19の危機が去ったときに終了しなければなりません。
最後に、このプログラムはCOVID-19の危機が去ったときに終了しなければなりません。近接追跡アプリは、より軽度の季節性インフルエンザの発生を追跡したり、犯罪の目撃者を見つけたりするなど、他のことに再利用してはならない。GoogleとAppleは、”不要になった場合、地域ごとに被ばく通知システムを無効にすることができる “と述べています。これは重要な能力であり、アップルとグーグルは、このプログラムをいつ終了させ、OSからAPIを削除するかについて、明確で具体的な計画を立てるべきです。どのような基準で「危機の終わり」を定義するのか、どの公衆衛生当局がそれを指導するのかなどを含めて、公に表明すべきです。
COVID-19の技術的な解決策はすぐには見つかりません。どんなアプリを使っても、いつも通りの生活に戻ることはできません。アプリを使った接触者の追跡には重大な制限があり、そのメリットの範囲もまだわかっていません。AppleとGoogleがこの壮大な社会実験の先頭に立つのであれば、プライバシーリスクを最小限に抑える方法で行わなければなりません。そして、この実験を成功させるためには、人々の信頼を獲得し、維持しなければなりません。