パスワードを忘れた? アカウント作成
14216356 story
ソフトウェア

新型コロナウイルス接触確認アプリ「COCOA」試行運用開始 185

ストーリー by hylom
ガラケーは対象外 部門より

厚生労働省が、新型コロナウイルス感染者追跡のためのスマートフォンアプリ「COCOA」を6月19日午後に公開した(NHK厚生労働省の発表)。

このアプリケーションは、スマートフォンのBluetooth通信機能を利用してスマートフォン端末同士の接触を記録し、それによって新型コロナウイルス感染が発覚した利用者と接触があった利用者に対し通知などを送信するもの。アプリの利用にはiOS 13.5以上もしくはAndroid 6.0以上が必要。

なお、ソースコードはMozilla Public License Version 2.0ライセンスでGitHubで公開されているが、利用規約には「複製、改変、編集、頒布等を行わず、また、リバースエンジニアリングを行わない」との文言がある。

  • by Anonymous Coward on 2020年06月19日 17時55分 (#3836649)

    各ストアでCOCOAで検索しても出てこず、「新型コロナウイルス接触確認アプリ」じゃないと出てこない。
    COCOAとはいったい・・・うごごご

    ここに返信
  • by Anonymous Coward on 2020年06月19日 20時20分 (#3836767)

    このアプリ自体の問題ではないですが、日本の3キャリアの概ね2年ぐらい前のAndroid端末は、月例更新パッチが提供されていないものが多くあります。

    Android の Bluetooth は、過去に何度も重大な脆弱性が発見されていますが、例えば 2020年2月のセキュリティ更新 にパッチが含まれている BlueFrag [engadget.com] という脆弱性は、少なくとも Android 8.0と9.0に影響(Android 7以下は未検証だが脆弱な可能性有り)し、

    • 攻撃者が Bluetooth MACアドレス を知る必要がある (一部の端末ではBluetooth MACアドレスは、WiFi MACアドレスから推測が可能)
    • Bluetoothの圏内にいる

    というだけで、任意のコードが実行可能という致命的な脆弱性です。Bluetooth MACがランダム化されていたとしても、近くにいる人はそれを知ることができるので、何らかのBluetooth 通信(このアプリを含む)をしていれば近くの人に攻撃されるリスクは避けられません。

    端末によって操作は異なりますが、設定 → デバイス情報 → Android バージョン などの操作で「Android セキュリティパッチレベル」が確認できますので、それが2020年2月以降になっていないような端末では、このアプリは使わず、Bluetooth を無効にしたおいた方が良いです。
    (6月の月例パッチは配布済みですので、できれば、2020年6月になっているのが望ましいです)

    今までBluetoothを有効にしっぱなしだった人も、このアプリを使うことで、周囲にBluetooth MACアドレスが巻き散らされますので、リスクは高まります。

    任意のコードが実行可能だと、スマホに保存している全情報の漏洩だけでなく、最悪スマホが踏み台に使われて冤罪で逮捕される可能性まであります。
    Bluetooth 無効が嫌で、このアプリを使いたかったら、スマホを買い替えた方が良いです。

    ここに返信
    • iOS 11以降とAndroid 7以降では、Bluetooth(Bluetooth Classic)を明示的にオフにしてもBluetoothモデムの通信は止まりませんし、Bluetooth Low Energyは無効になりませんので、その注意喚起は全く現実と乖離しています。

      https://www.eff.org/deeplinks/2017/10/ios-11s-misleading-ish-setting-b... [eff.org]
      https://qz.com/1169760/phone-data/ [qz.com]

      スラドでスマートフォンとかBluetoothの話が出るたびに毎度設定でオフにしているとか電池持ちがどうとか言ってる人だと思いますが、端末の公称待ち受け時間が広告から消え、モバイルOSやアプリが提供するものが”機能”から”体験”に変わり、遂には設定画面のトグルがダミーになり、以来年単位の時間が過ぎていますので、どうか知っていただくようお願いしたく。Windows 10を使っていてパーソナライズ設定をオフにしたからテレメトリも止まっただろうと思い込むくらいズレてますので。

      • by Anonymous Coward on 2020年06月19日 23時06分 (#3836876)

        そのページ全部読みましたが、

        iPhoneの場合、クイック設定やコントロールセンターからのOFFでは不十分で、

        The only way to turn off the Wi-Fi and Bluetooth radios is to enable Airplane Mode or navigate into Settings and go to the Wi-Fi and Bluetooth sections.
        (Wi-FiおよびBluetooth無線をオフにする唯一の方法は、機内モードを有効にするか、[設定]に移動して[Wi-Fi]および[Bluetooth]セクションで選択することです。 )

        と、「[設定]に移動して[Wi-Fi]および[Bluetooth]セクションで選択する」ことで完全にオフにできる(それ以外の方法だと実は動いたまま)とあり、その方法ではBluetoothを完全に無効にできるような書き方がされています。

        Androidの方は、
        ・「Bluetooth」だけでなく「Androidの設定メニューの奥深くに埋め込まれたオプションである『Bluetoothスキャン』」も無効にしないと駄目
        ・位置情報の設定でも、GPS、WiFi、Bluetooth、携帯電話の信号を使用する「高精度」ではなく、GPSのみを使用して場所を特定するモードにしないと駄目
        とあり、完全にBluetoothを無効にするための設定がややこしいことは書かれていました。

        しかし、「Bluetooth(Bluetooth Classic)を明示的にオフにしてもBluetoothモデムの通信は止まりませんし、Bluetooth Low Energyは無効になりません」という趣旨のことは書かれていませんでした(Bluetooth Low Energyには触れられてもいなかった)。

        「Bluetooth(Bluetooth Classic)を明示的にオフにしてもBluetoothモデムの通信は止まりませんし、Bluetooth Low Energyは無効になりません」という情報が間違いだと主張するつもりはないのですが、提示していただいたURLにはそんなことは一切書かれておらず、大変気になるので、それに関するソースがあれば教えてください。

        • andoroid に於いては、どんなに頑張って設定しても「強制的に最新版にされてしまうデバイス管理アプリ」である「GooglePlay開発者サービス」が強制的にオンできてしまうので、抵抗してもあんまり意味ない。

          // 泥9の端末で音声入力が GooglePlay開発者サービスにジャックされてて面倒

    • 日本の端末はroot塞がれてますが、それでも実行できてしまうんですかね。

      • by Anonymous Coward on 2020年06月20日 0時19分 (#3836914)

        そもそも、root塞がれている古い端末って、何らかの脆弱性使ってroot取れることが多いですよね
        現に私は中古端末買ったら大抵の場合root取りに成功してます (機種名 + root化 でググるとやり方出てくることが多い)
        脆弱性でroot取れるならクラッカーも取れるでしょう

        それがどれぐらい容易か、については日本のガラパコススマホは、オリジナルから色々変更されているなど多様性があるので、既存の汎用攻撃用スクリプトがそのまま使えないことが多く、不特定多数をターゲットにした攻撃には強いです

  • 入れますか?入れたくないですか?あるいは保留中ですか?

    ここに返信
  • by Anonymous Coward on 2020年06月20日 17時46分 (#3837180)

    なお、ソースコードはMozilla Public License Version 2.0ライセンスでGitHubで公開されている [github.com]が、利用規約には「複製、改変、編集、頒布等を行わず、また、リバースエンジニアリングを行わない」との文言がある。

    これは誤解を招く文章です。厚生労働省の「COCOA」は有志によるオープンソース・ソフトウェア「Covid-19Radar」を含むプロプライエタリ・ソフトウェアです。「COCOA」の利用規約 [mhlw.go.jp]は次のように書かれています。

    (本アプリ等に関する知的財産権等)
    第5条 厚生労働省がアプリ利用者に提供する一切のサービス、プログラム及び各種著作物(本利用規約及び利用手順書等を含みます。以下同じ。)に関する著作権及び著作者人格権、商標権その他の知的財産権並びにノウハウその他の知的財産に係る権利は、全て厚生労働省に帰属します。

    2 アプリ利用者は、本アプリの利用に際し、厚生労働省がアプリ利用者に提供する一切のサービス、プログラム及び各種著作物を次の各号のとおり取り扱うものとします。

                一本利用規約に従った本アプリの適正な利用のためにのみ使用すること。
                二複製、改変、編集、頒布等を行わず、また、リバースエンジニアリングを行わないこと。
                三営利目的の有無にかかわらず、第三者に貸与、譲渡若しくは承継し、又は担保の設定をしないこと。
                四厚生労働省が指定する者が表示した著作権表示又は商標権表示を削除又は変更しないこと。

    3 前2項にかかわらず、オープンソースの利用に関連して、当該オープンソースの規定に従う必要がある事項については当該規定が優先します。当該オープンソースに関しては、 https://github.com/Covid-19Radar/Covid19Radar [github.com]において確認することができます。

    「Covid-19Radar」はMPL 2.0でライセンスされており、「Covid-19Radar」に由来する部分のソースコードさえ開示していれば、厚労省による独自改変部分について独自の制限を設けても構いません。「COCOA」と「Covid-19Radar」の差分がどの程度か不明なため、同一であると断定するのは勇み足です。

    ここに返信
  • by yoshiteru (5564) on 2020年06月20日 18時02分 (#3837185)
    どっちが優先するのかな?
    ここに返信
  • by Anonymous Coward on 2020年06月22日 8時19分 (#3837606)

    Githubのコードは「公式アプリの元になっているオープンソースコード」であり厚労省公式アプリそのものではない。
    このコードを元にアプリを生成しても公式アプリにはならない。
    作成したのはこちらの方々。
    https://github.com/Covid-19Radar/Covid19Radar/blob/master/CONTRIBUTORS.md [github.com]
    ライセンスは読んでないけどForkも前提に作ってるのではないでしょうか。

    利用規約で「複製、改変、編集、頒布等を行わず、また、リバースエンジニアリングを行わない」と書いているのは公式アプリ。
    この公式アプリは厚労省がパーソルプロセス&テクノロジーに発注し、上記OSSを元に作成。

    ここに返信
  • by Ryo.F (3896) on 2020年06月22日 0時49分 (#3837569) 日記

    これは、このアプリに限った話じゃないんだけど、
    設定ページに行くと、「接触の検出」「通知」の二つのスライドスイッチがある。
    これら、現在の状態がONなのかOFFなのか、よく解らない。
    昔から言われてる [appllio.com]のに、なんでこの手のスライドスイッチUIって無くならないんだろう?
    チェックボックスの方がまだマシだと思うんだけど。

    ここに返信
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...