もえるにほん彡(^)(^)

アジアをとやかく言う前にまずは日本やろ

COCOA

https://asahi.5ch.net/test/read.cgi/newsplus/1613790878/

1: trick ★ 2021/02/20(土) 12:14:38.45 ID:75wuVEBj9
COCOA開発受注企業が事業費94%を3社に再委託、さらに2社に…不具合の原因企業「分からない」:東京新聞 TOKYO Web
https://www.tokyo-np.co.jp/amp/article/87051

2021年2月20日 06時00分

 新型コロナウイルス陽性者との接触を知らせるアプリ「COCOA(ココア)」の開発で、厚生労働省の委託先の企業が別の3社に、契約金額の94%で事業を再委託していたことが分かった。同省は再委託比率を「原則2分の1未満」とする規定を設けているが、それを大きく超える比率で認めていた。ココアは不具合が続発。同省の調査や監督が及ぶ元請け企業の役割が小さく、原因把握が難航している。 (皆川剛)

◆厚労省の規定を大幅に逸脱
 厚労省の資料によると、同省はココアの開発業務を3億9000万円でパーソルプロセス&テクノロジー(東京)に随意契約で委託している。同社は日本マイクロソフト(同)など3社に計3億6800万円で再委託し、さらに2社に再々委託もされている。
 パーソルは感染者情報を共有するシステム「HER―SYS(ハーシス)」の委託先でもあり、その業務と連携するためココアも受注。ハーシスでも再委託比率は契約金額の93%に上り、ココアと同様に再委託先の企業が事業の大半を担う構図となっている。

◆パーソル「厚労省に承認得た」
 業務の大半が再委託されると、事業の責任が曖昧になるほか、役所の監督が及びにくくなるなどの懸念があるため、厚労省は再委託比率が50%を超えることを原則禁止している。ココアで94%の再委託を認めた理由について、田村憲久厚労相は19日の衆院予算委員会で「それぞれの得意分野があり、チームで対応していただくため」と説明した。一方、パーソルは本紙の取材に「厚労省に再委託先や再委託金額の承認を得ながら進めている」と回答した。
 ココアを巡っては、昨年9月以降、アンドロイド版で陽性者との接触を通知できない不具合があった。厚労省は問題を把握するまで4カ月かかった。iPhone(アイフォーン)の一部でも不具合が発覚している。
 厚労省の正林督章健康局長は予算委で、どの企業の業務が不具合につながったかは「現時点で分からない」と述べた。平井卓也デジタル改革担当相は「管理も含めて発注者の能力が低いことが一番の問題だ」と指摘した。

【【コロナ接触確認】パーソル、COCOA開発の94%を再委託 厚労省の規定、大幅逸脱】の続きを読む

unnamed

https://asahi.5ch.net/test/read.cgi/newsplus/1598803428/

1: サーバル ★ 2020/08/31(月) 01:03:48.48 ID:SSFJfAIK9
■新型コロナウイルス接触確認アプリ(COCOA)で攻撃できる問題

はじめに

#COCOAボランティアデバッグ に尽力されている皆様に深い敬意を表します。
併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。
project dead? · Issue #773 · Covid-19Radar/Covid19Radar · GitHub
COCOA が抱えるアプリケーション設計上の問題点

攻撃者が COVID-19 感染者になりすまして「陽性情報の登録」を比較的容易に行える設計であること

登録に必要な「処理番号」のフォーマットは半角数字8桁であることが明示されてしまっている
ブルートフォース対策としてなのか、複数回の入力ミス発生時は「登録回数上限になりました。アプリケーションを終了します」としてアプリケーションが強制終了するが、特にそれ以上のペナルティは確認できない
SMS による処理番号通知を行っているのであれば、8桁数字ではなくハッシュ値を含む URL による登録など、ブルートフォース対策を含めた登録方法とするべきでは無かったか?
接触記録の条件である「概ね1メートル以内で15分以上」の距離条件を大きく逸脱している可能性があること

(注) これはアプリケーション固有の問題ではない( Apple-Google API の問題)が、前項の問題点と併せることで脅威となりうるので便宜的に示しておきます
この API は端末間距離を Bluetooth の電波強度により測定しているとしているが、実際の距離を担保するものではない
5m 離れていてもこの API による接触記録対象となる可能性がある
Corona-Warn-Apps: Studie findet Probleme bei der Kontaktverfolgung im ÖPNV | heise online
これにより後程示す悪用者が居なくとも COCOA 利用者が「陽性者と接触した旨の通知を過剰に受ける」脅威にさらされている可能性が考えられる
日本国内における現行法制下では代案を示すことが難しい問題であるが、まずは第三者による検証が求められる
COCOA が抱える運用上の問題点

※一部で報じられている「保健所から COCOA への陽性情報の登録に必要な処理番号が即日発行されない」などの問題もありますが、ここでは省略します
COCOA により陽性者と接触した旨の通知を受け取ると感染症コールセンターへの連絡を促され PCR 検査を受けることになる
余談レベルだが、感染症コールセンターを始めとする各所への通話料金は COCOA 導入者自身が負担することになる

(略)

細かい説明や具体的な表現は控えましたが、この攻撃を仮に受けたとして致命傷に近いダメージを受ける事業者は少なくないと思います。
事業所単位で COCOA の導入を推奨している管理者は直ちに見直すことを推奨します。
まとめ

本日より COCOA の導入を促すテレビCMが放映されているようです。( #検察庁法改正案に抗議します で一躍有名になったきゃりーぱみゅぱみゅ氏などが出演されているようです)
一方で COCOA アプリケーションのリリースは 2020年7月13日 にリリースされた v1.1.2 を最後にアップデートが途絶えており、不具合ととれる多数の事象は解決されず、上記に挙げたような問題点が払拭されることも残念ながら当面は無さそうです。

世間では高ぶる正義感からか COCOA の導入を声高らかに勧めたり、従業員やビジネスパートナーに導入を強いている管理者も現れているようです。
このエントリを通じて、そのような方々へ抵抗出来る材料が提供できれば幸いです。
余談

冒頭のように COCOA の原型であるとされる Covid-19Radar/Covid19Radar プロジェクトも OSS にあるまじき「放置状態」が続いています。
これが GitHub を買収した企業に所属する人間の所作ですか?

IT/ICT や OSS を通じて昨今の COVID-19 感染拡大を発端とする諸問題を解決する動きは支持したいですが、このような杜撰なサービス運営により IT/ICT や OSS に対する世間の期待を悪化させることを強く憂慮しています。

https://anond.hatelabo.jp/20200830172134

https://github.com/Covid-19Radar/Covid19Radar/issues/773

【【COCOA】接触確認アプリに「陽性情報の登録を総当たりで登録できる」脆弱性 ボランティアが発見し修正依頼→無視され更新もなし】の続きを読む

このページのトップヘ