2020-08-30

新型コロナウイルス接触確認アプリ(COCOA)で攻撃できる問題

はじめに

#COCOAボランティアデバッグ に尽力されている皆様に深い敬意を表します。

併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。

project dead? · Issue #773 · Covid-19Radar/Covid19Radar · GitHub

COCOA が抱えるアプリケーション設計上の問題点

攻撃者が COVID-19 感染者になりすまして「陽性情報登録」を比較的容易に行える設計であること
接触記録の条件である「概ね1メートル以内で15分以上」の距離条件を大きく逸脱している可能性があること

(注) これはアプリケーション固有の問題ではない( Apple-Google API問題)が、前項の問題点と併せることで脅威となりうるので便宜的に示しておきます

COCOA が抱える運用上の問題点

※一部で報じられている「保健所から COCOA への陽性情報登録必要な処理番号が即日発行されない」などの問題もありますが、ここでは省略しま

上記で挙げた問題点悪用することで行えること

※以下はあくまシミュレーションであり、 COCOA悪用助長する意図はありません


かい説明や具体的な表現は控えましたが、この攻撃を仮に受けたとして致命傷に近いダメージを受ける事業者は少なくないと思います

事業所単位COCOA の導入を推奨している管理者直ちに見直すことを推奨します。

まとめ

本日より COCOA の導入を促すテレビCMが放映されているようです。( #検察庁法改正案に抗議します で一躍有名になったきゃりーぱみゅぱみゅ氏などが出演されているようです)

一方で COCOA アプリケーションリリース2020年7月13日リリースされた v1.1.2 を最後アップデートが途絶えており、不具合ととれる多数の事象解決されず、上記に挙げたような問題点払拭されることも残念ながら当面は無さそうです。

世間では高ぶる正義感からCOCOA の導入を声高らかに勧めたり、従業員ビジネスパートナーに導入を強いている管理者も現れているようです。

このエントリを通じて、そのような方々へ抵抗出来る材料提供できれば幸いです。

余談

冒頭のように COCOA の原型であるとされる Covid-19Radar/Covid19Radar プロジェクトOSS にあるまじき「放置状態」が続いています

これが GitHub を買収した企業所属する人間所作ですか?

IT/ICTOSS を通じて昨今の COVID-19 感染拡大を発端とする諸問題解決する動きは支持したいですが、このような杜撰サービス運営により IT/ICTOSS に対する世間の期待を悪化させることを強く憂慮しています

  • これはのびる。。ブクマのびのびさろんどぷろ

  • じゃあ君が悪用して見せてよ。

  • じゃあ君が悪用して見せてよ。

  • SMSの認証ってそんな長くなくね。 ヤフーidとか六桁じゃなかった?

  • スマホのエミュとかで近隣のBluetoothの検出をエミュレートして自由に記録できると…?

  • 適当な問題をでっちあげてOSSコミュニティへの悪影響を残している増田を軽蔑してはどうか。

  • 表現が大層な割に、あまり大した問題じゃなかった

  • ブルートフォース対策したら終わりやんけ

  • 厚労省的にはCOCOAは「終わった問題」なんだろうなという気がする そこが問題では

  • 問題はそこではなくボトルネックとなる保健所に問合せが殺到する点。攻撃されて最終的に被害を被るのは保健所。

  • 脆弱性をネットに公開するのって犯罪じゃなかったっけ

  • このいたずらが広まるとCOCOAの信頼性がなくなる方が影響おおきくね?

    • ガバガバに信頼性があると思いこんじゃうほうがリスクじゃね? あと攻撃方法が分かれば対策も練りやすくなる。

  • 処理番号の話するならこのissueもあげとくべきでは。 https://github.com/Covid-19Radar/Covid19Radar/issues/535

  • 陽性者登録が行われた後にその人Aと接触のあった人Bに連絡が行く、という流れで、 Aが番号を入力すれば自動的にBに連絡が行くわけではなく、一度その番号が発行済みか 中央でチェッ...

  • これは怖いね・・・ 国が責任持って改良、改修してくれないと使えないよ

  • mtv-vmas-2020 mtv-vmas-2020 mtv-vmas-2020 mtv-vmas-2020 イアリー

  • 登録番号って感染者かどうかに関わらず貰えるもんなん?それならなりすまし(陽性者騙り?)も可能だし問題だと思うが。 ただ単に「別人が貰った感染者の登録番号を総当りで入力出来る可...

  • 登録番号って感染者かどうかに関わらず貰えるもんなん?それならなりすまし(陽性者騙り?)も可能だし問題だと思うが。 ただ単に「別人が貰った感染者の登録番号を総当りで入力出来る可...

  • 既に指摘されているけど、有効な処理番号を送信した場合に、既に登録されている処理番号かどうかを判定するロジックがあるのかな?コードを読んでないからわからないけど、もしあ...

  • 濃厚接触疑惑だけでも従業員自宅待機で仕事にならないわけでいくらでも経済破壊に利用できるね

  • 通報すました

  • デプロイ王子は所詮デプロイしかできず、保守はできないのだ・・・

  • 正規の陽性登録件数がたったの累計517件(8/31 17:00時点)のところに平均試行回数5000万回のブルートフォースを仕掛けて怪しまれないと思うか?

  • 何でこんな話を増田に書いてんの

  • openCACAO のオーガナイザー( #COCOAボランティアデバッグ ) と Covid-19Radar のオーガナイザーが Twitter 上で殴り合い始めてる。 デプロイ王子が openCACAO のメンバーを煽ってるようなメンション...

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん