EFF曰く、AppleとGoogleによるSARS-CoV-2感染者との接触検出技術にはプライバシー保護とセキュリティ対策のさらなる強化が必要 23
ストーリー by headless
対策 部門より
対策 部門より
AppleとGoogleが協力して開発を進める新型コロナウイルス(SARS-CoV-2)感染者との接触検出技術について、さらなるプライバシー保護およびセキュリティ対策が必要だとEFFが主張している(Deeplinks Blogの記事、 Computingの記事)。
この接触検出技術を使用するスマートフォンは毎日生成される秘密鍵を用いてRolling Proximity Identifier(RPID)と呼ばれる近接識別子を生成し、少なくとも5分ごとにRPIDを含むPingを送信する。RPIDは10~20分ごとに更新され、端末で生成した秘密鍵と他の端末から受信したRPIDは端末内にのみ2週間保存されるため、プライバシーリスクは最低限となる。
ただし、感染が判明したユーザーが保健当局に情報の共有を許可すると、秘密鍵が「diagnosis key (診断鍵)」として公開されることになる。他のユーザーはこの診断鍵を用いて接触の有無を確認できるのだが、悪意をもった人物が大量にRPIDを収集すれば、顔認識などの技術と組み合わせて感染者データベースを作ったり、感染者の行動範囲を地図上に表示したりといったことが可能になってしまう。そのため、EFFでは緩和策として秘密鍵の更新頻度を高くすることを提案している。
捜査当局が情報を利用してユーザー同士を関連付けることも可能となるが、ユーザーが必要に応じてアプリを無効化したり、特定期間のデータを削除したりできるようにすることで緩和できる。これではアプリの実効性が低下しそうだが、EFFは別の方法として強い暗号とパスワードによる保護も提案している。このほか、RPIDを生成したデバイスから送信されたかどうかを確認する手段がないため、受信したRPIDを再送信して精度を低下させるといった攻撃も考えられるとのこと。
この接触検出技術の第1段階はAPI提供で、AppleとGoogleは保健当局によるアプリ開発を意図したものだと説明している。ただし保健当局の多くは自前でのアプリ開発ができないため、開発を外部に発注することになる。そのため、外部の開発者がアプリを悪用しないように注意を払う必要もある。第2段階ではAppleとGoogleがOSに接触検出技術を組み込むことになるが、ユーザーの明示的な許可を確実に得る仕組みが必要だ。また、両社は感染拡大の危機的状況が終われば接触検出技術を削除すると述べているが、削除計画も明確にする必要があるとのことだ。
なお、AppleとGoogleは4日、それぞれサンプルコードを公開した。
この接触検出技術を使用するスマートフォンは毎日生成される秘密鍵を用いてRolling Proximity Identifier(RPID)と呼ばれる近接識別子を生成し、少なくとも5分ごとにRPIDを含むPingを送信する。RPIDは10~20分ごとに更新され、端末で生成した秘密鍵と他の端末から受信したRPIDは端末内にのみ2週間保存されるため、プライバシーリスクは最低限となる。
ただし、感染が判明したユーザーが保健当局に情報の共有を許可すると、秘密鍵が「diagnosis key (診断鍵)」として公開されることになる。他のユーザーはこの診断鍵を用いて接触の有無を確認できるのだが、悪意をもった人物が大量にRPIDを収集すれば、顔認識などの技術と組み合わせて感染者データベースを作ったり、感染者の行動範囲を地図上に表示したりといったことが可能になってしまう。そのため、EFFでは緩和策として秘密鍵の更新頻度を高くすることを提案している。
捜査当局が情報を利用してユーザー同士を関連付けることも可能となるが、ユーザーが必要に応じてアプリを無効化したり、特定期間のデータを削除したりできるようにすることで緩和できる。これではアプリの実効性が低下しそうだが、EFFは別の方法として強い暗号とパスワードによる保護も提案している。このほか、RPIDを生成したデバイスから送信されたかどうかを確認する手段がないため、受信したRPIDを再送信して精度を低下させるといった攻撃も考えられるとのこと。
この接触検出技術の第1段階はAPI提供で、AppleとGoogleは保健当局によるアプリ開発を意図したものだと説明している。ただし保健当局の多くは自前でのアプリ開発ができないため、開発を外部に発注することになる。そのため、外部の開発者がアプリを悪用しないように注意を払う必要もある。第2段階ではAppleとGoogleがOSに接触検出技術を組み込むことになるが、ユーザーの明示的な許可を確実に得る仕組みが必要だ。また、両社は感染拡大の危機的状況が終われば接触検出技術を削除すると述べているが、削除計画も明確にする必要があるとのことだ。
なお、AppleとGoogleは4日、それぞれサンプルコードを公開した。
類似手法との比較 (スコア:2)
類似手法であるDP3Tの場合、IDを生成するための鍵ではなく、発信した短命なIDそのもの(と粗い時刻)をカッコーフィルタ(ブルームフィルタみたいなやつ)の形で公開するので、トラッキングされなくなる。また、1日のうち一部の時間帯に送信したIDのみ公開することもできる。
仕組みを説明した漫画(英語)が公開されているのでわかりやすい。
https://twitter.com/ncasenmare/status/1248271370368114688 [twitter.com]
https://github.com/DP-3T/documents/blob/master/DP3T%20White%20Paper.pdf [github.com]
ただし、各ユーザがダウンロードするデータサイズは大きくなり、1日に4万人が陽性になる場合、各ユーザが110 MBを毎日ダウンロードする必要がある。
また、Bluetoothで受信したIDとカメラ画像をセットで保存しておくと、その映像に写った人が陽性であるということはバレてしまう (これはBluetoothを使ったどの方法でも同じ)。
Re: (スコア:0)
トラッキングですが"悪意を持った人物が大量にIDを収集する"ことで行われる場合は、DP3TでもIDの頻繁な変更でしか対応できないですよね?
(White Paperでいうと、p.10の"To avoid location tracking ..."の辺り)
"特定期間のデータ削除"がカッコーフィルタのおかげでより柔軟にできるあたりが優位性なのでしょうか?
別の手段によるトラッキングを指しているor自分の理解不足でしたらすみません。
Re:類似手法との比較 (スコア:2)
IDの頻繁な変更が必要というのはその通りです。
Apple & Googleの手法の場合、陽性患者はIDの元となる鍵(1日ごとに変わる)を公開するので、1日の行動が追跡される可能性があります。
DP3Tの場合はIDの変更間隔は調整可能であり、パフォーマンスの見積りは1日100回変更した場合(約14分間隔)で計算しているようです(14日間、各epochに100人分の信号を受信して14万件受信すると見積もっているため)。そしてIDの元となる鍵ではなく各IDそのもの(のカッコーフィルタ)を公開するので、ID間の結び付けは防げます。
信号の発信間隔はデバイスに依るとしていますが、5分に1回送信とすると、同じIDが出力されるのは2, 3回程度となり、トラッキングはかなり限定されたものになります(「トラッキングされなくなる」はやや不正確でしたすいません)。
日本医師会の釜萢敏先生が (スコア:1)
日本医師会の釜萢敏先生がどこかの番組でおっしゃったこと、COVID-19の感染追跡のために、スマホアプリの導入を検討していると。検討しているのは政府? 専門家委員会? 医師会?
それが、このAPPLEとGOOGLEの接触検出技術関連のものなのでしょうか? それとも、別のもの?
医療界隈の中枢?でもそのような行動履歴追跡の導入を考えているのにちょっとだけ驚いた。
いまのような、クラスター追跡に保健所の調査を人海戦術でやっているようでは、第2波で大苦労しそう。
Re:日本医師会の釜萢敏先生が (スコア:5, 参考になる)
接触検出、contact tracingは全世界的に検討、所によっては既に導入が進んでいます。国内で誰が発案したのかを考えるのは無駄です。単にトレンドを取り入れてるだけ。
中越は既に独自方式のAndroidアプリを配っていて、これが発信IDが固定だとか精密な位置情報ベースだったこともあり、このストーリで言及されているような各種方式の開発が始まっています。AppleとGoogleが開発している規格はPrivacy-Preserving Contact Tracing方式といい、Bluetooth Low Energyを使って「分析鍵」から生成される「一時曝露鍵」を生成、曝露鍵から「巡回近接識別子」を生成、この識別子を交換して各端末が蓄積、政府機関が感染者の端末から分析鍵を取得して公開すると、未診断の濃厚接触者は接触履歴があることを知ることができるという仕組みです。
で、この記事は、そのPPCT方式でもまだまだプライバシー保護が不十分で、ストーカー行為ができてしまう、と改善提案がされているというお話です。指摘しているのは電子フロンティア財団というオープンソースの親玉みたいなところで、技術的な権威はありますから事実なんだと思います。
他の方式としてはEPFL, ETHZ, TU Delftなど名だたる大学が主導、エストニアやフィンランド政府が作業を進めているDecentralized Privacy-Preserving Proximity Tracing(脱中央集権プライバシー保持型近接追跡, DP-3T)方式、欧州8カ国の政府が主導するPan-European Privacy-Preserving Proximity Tracing(汎欧州プライバシー保持型近接追跡, PEPP-PT)方式があります。DP-3T方式はPPCTより少し簡素なこと以外は似ているようですがあまり支持がなく、フランスなどはPEPP-PTで進めているものの、PEPP-PT方式ではPPCT方式の識別子に相当するものが利用者端末の申請を受けて都度サーバより発行されることになっていたり、接触履歴もサーバに許可を受けて提出して、さらにサーバ上で分析を行うことになっていたりと、国民監視や政府による管理を指向していると批判が強まっています。ドイツはDP-3T、PEPP-PTからの離脱とPPCT方式への転換を発表しています。
このPPCT, DP-3T, PEPP-PT方式のどちらでもない、世界各地の地元政府による「自作」タイプも引き続き登場していて、米国ユタ州の"Healthy Together"アプリはGPS位置情報とBluetoothの両方を使うとされています。開発元は「AppleとGoogleの方式を使わずとも十分だが、有効なら取り入れたい」と発言しています。これら「とにかく全部記録しちゃう」方式に対しては両社は規約違反を名目にストアからの削除も辞さないと強硬な態度を取っています。
技術はともかく接触検出をどのように運用するかというと、一般市民の4割が導入すれば有効というどこかの試算があるようで、おそらく感染が収まらない地域では外出や通勤する際にスマートフォンの携帯、アプリの導入と設定が義務付けられるんではないかなと思います。果たしていわゆる自粛の解除と交換条件になるのか、自粛の上でさらにアプリも必須となるのかは分かりません。特に米国など累計121万8025名が感染(今日は+5190名)、7万653名が死亡(+732名)、イタリアでは21万3013名が感染(+1075)、2万9315名が死亡(+236)などしていますが、日本は全て捕捉はできていないとしても今のところ感染1万5078名、死亡536名で済んでいますし、接触検出導入を急ぐような切迫感というのは弱いですね。
Re:日本医師会の釜萢敏先生が (スコア:1)
技術的な解説ありがとうございました。
実際にどのように導入するのか、なんらかのインセンティブが必要になるでしょう。
うまく、プライバシーをユーザーがコントロールできてなおかつ付加価値が高まれば、コロナ後の世界でも流行るかもしれないですね。
Re: (スコア:0)
今、政府が集めてるんだから、政府から適切なAPI出してもらうだけで済みそうな。
政府が個人の接触情報システムなんざ作ったら、絶対手放さないことはわかってるんだし。
Re: (スコア:0)
改正された政府の基本方針にも何箇所か出てきますね。
具体的にどうしろとは書いてないですが、イベント参加や施設利用の条件として追跡アプリのインストールをさせるようなことをして欲しいように読める。
7)は政府が開発するわけではなくて、そういうアプリを開発したところに情報開示を要請して追跡に活用したいんだろう。
Re:日本医師会の釜萢敏先生が (スコア:2)
現実的にはApple/GoogleのPPCTじゃないのかなと思うんですが、PPCTは開示命令で政府に位置情報を提出するようなものではなくて、政府が事前にApple/Googleにアプリを提出して申請すると、個々の利用者が勝手に濃厚接触を知れる仕組みなんですよね。今後どうなるか分かりませんが、もし濃厚接触の検出ではなく生のGPS情報を逐一記録して提出させるような仕組みだと、Apple/Googleから配布を差し止められる可能性はあるかなと思います。他の国が追随しますし。
Re:日本医師会の釜萢敏先生が (スコア:1)
公式の資料をありがとうございます。
接触の追跡をして、大規模に検査と隔離をする、つまり韓国式をこれからはとらざるを得なくなるのでしょう。プライバシーとかの問題をどう解決するのか、ですが。
Re: (スコア:0)
韓国で感染者のプライバシーが問題に コロナVS個人情報 - CUBE MEDIA [cubeglb.com]
プライバシーを解決できるわけがない
これだけ蔓延した今、特定することにそれほど効果が無く
差別ツールとしての危険性の方が高い
Re:日本医師会の釜萢敏先生が (スコア:1)
私もあまり理解できていませんが、
>プライバシーを解決できるわけがない
たしかに、韓国のように行動履歴を公表して、というやり方では日本でも大問題になるに決まっています。行動履歴のデータにアクセスできるのは、クラスターつぶしのための実働組織のみ、濃厚接触者の可能性がある人にはメールやアプリで直接知らせる、というようなことをすれば、そこまで問題にはならないような気もします。
>これだけ蔓延した今、特定することにそれほど効果が無く
今回の緊急事態宣言の目的に一つには新規感染者を減らして、クラスターつぶしができるようにすること、ということがあります。ICTで行動履歴解析して、濃厚接触者をわりだせれば、解除を早める要因になりえます。もちろん、医療体制の余裕の確保は重要ですが。
あと、次の感染拡大の蔓延が始まった時にも有用でしょう。
Re: (スコア:0)
ワイドショーでは、こぞって韓国はスバラシイと称賛してるのですが。
Re: (スコア:0)
スバラシイと称賛するなら、韓国のやっているクラスター潰しの手法についても紹介して、
それをやれるようにするよう法整備、それだけで不足があれば改憲をすべきと主張するべきだよね。
Re:日本医師会の釜萢敏先生が (スコア:1)
私が理解する範囲では、韓国と日本のクラスターつぶしに基本的な違いはないと思います。
というか、韓国もクラスターつぶしをしている点は同じ。
大きな違いは、韓国ではICTなどを使った行動追跡・接触解析で濃厚接触者を効率よく探しだして、PCR検査を大規模に行うことで、クラスターつぶしを効率的・徹底的に行っている。
それに対して日本では保健所の人が人力で問い合わせたりしているので、濃厚接触者の割り出しが難しくなる、できなくなる。
必ずしも参考になる記事ではないかもしれない [agora-web.jp]ですが、
「で、韓国以上に検査しているドイツがそれほど成功してないところを見ると、東アジア諸国で成功している国はこの「接触者追跡」をメチャクチャ徹底的にやってるところが鍵なのではないでしょうか。」
Re: (スコア:0)
だからプライバシー問題があるでしょうに
Re:日本医師会の釜萢敏先生が (スコア:2)
早くに始めた、ってのが大きいんじゃないかな
韓国は中国の隣でSARSも経験済み危機感が大きかったのでは
ドイツは遠いからな、油断してたんでしょう
日本は韓国程やる気が(経験も準備も)無かった
Re: (スコア:0)
国民1人当たりで見れば日本と韓国は同程度なのだから、韓国で有効だったなら日本でも有効だろう。
Google/Appleの方式なら韓国方式のデメリットはほぼない。
少なくとも経済封鎖よりはだいぶましだ。
コロナ収束したら停止するって明言しないでやるのはおかしいやん (スコア:0)
コロナ収束したら情報収集停止するって明言しないでやるのは怪しいな
Re:中国式ビッグブラザーのほうが効率的では? (スコア:1)
コロナ関連のIT界隈の火事場感がすごい
Re: (スコア:0)
他国がとか他方式に、より簡単に個人を特定できる方法があるからと言って、
個人を特定できてしまう問題を軽視することはできないよ・・・
Re: (スコア:0)
既にやってる
Xiaomiのスマホは何千万ユーザーの行動をこっそりとアリババのサーバーに送信している - GIGAZINE [gigazine.net]