https://asahi.5ch.net/test/read.cgi/newsplus/1598803428/
1: サーバル ★ 2020/08/31(月) 01:03:48.48 ID:SSFJfAIK9
■新型コロナウイルス接触確認アプリ(COCOA)で攻撃できる問題
はじめに
#COCOAボランティアデバッグ に尽力されている皆様に深い敬意を表します。
併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。
project dead? · Issue #773 · Covid-19Radar/Covid19Radar · GitHub
COCOA が抱えるアプリケーション設計上の問題点
攻撃者が COVID-19 感染者になりすまして「陽性情報の登録」を比較的容易に行える設計であること
登録に必要な「処理番号」のフォーマットは半角数字8桁であることが明示されてしまっている
ブルートフォース対策としてなのか、複数回の入力ミス発生時は「登録回数上限になりました。アプリケーションを終了します」としてアプリケーションが強制終了するが、特にそれ以上のペナルティは確認できない
SMS による処理番号通知を行っているのであれば、8桁数字ではなくハッシュ値を含む URL による登録など、ブルートフォース対策を含めた登録方法とするべきでは無かったか?
接触記録の条件である「概ね1メートル以内で15分以上」の距離条件を大きく逸脱している可能性があること
(注) これはアプリケーション固有の問題ではない( Apple-Google API の問題)が、前項の問題点と併せることで脅威となりうるので便宜的に示しておきます
この API は端末間距離を Bluetooth の電波強度により測定しているとしているが、実際の距離を担保するものではない
5m 離れていてもこの API による接触記録対象となる可能性がある
Corona-Warn-Apps: Studie findet Probleme bei der Kontaktverfolgung im ÖPNV | heise online
これにより後程示す悪用者が居なくとも COCOA 利用者が「陽性者と接触した旨の通知を過剰に受ける」脅威にさらされている可能性が考えられる
日本国内における現行法制下では代案を示すことが難しい問題であるが、まずは第三者による検証が求められる
COCOA が抱える運用上の問題点
※一部で報じられている「保健所から COCOA への陽性情報の登録に必要な処理番号が即日発行されない」などの問題もありますが、ここでは省略します
COCOA により陽性者と接触した旨の通知を受け取ると感染症コールセンターへの連絡を促され PCR 検査を受けることになる
余談レベルだが、感染症コールセンターを始めとする各所への通話料金は COCOA 導入者自身が負担することになる
(略)
細かい説明や具体的な表現は控えましたが、この攻撃を仮に受けたとして致命傷に近いダメージを受ける事業者は少なくないと思います。
事業所単位で COCOA の導入を推奨している管理者は直ちに見直すことを推奨します。
まとめ
本日より COCOA の導入を促すテレビCMが放映されているようです。( #検察庁法改正案に抗議します で一躍有名になったきゃりーぱみゅぱみゅ氏などが出演されているようです)
一方で COCOA アプリケーションのリリースは 2020年7月13日 にリリースされた v1.1.2 を最後にアップデートが途絶えており、不具合ととれる多数の事象は解決されず、上記に挙げたような問題点が払拭されることも残念ながら当面は無さそうです。
世間では高ぶる正義感からか COCOA の導入を声高らかに勧めたり、従業員やビジネスパートナーに導入を強いている管理者も現れているようです。
このエントリを通じて、そのような方々へ抵抗出来る材料が提供できれば幸いです。
余談
冒頭のように COCOA の原型であるとされる Covid-19Radar/Covid19Radar プロジェクトも OSS にあるまじき「放置状態」が続いています。
これが GitHub を買収した企業に所属する人間の所作ですか?
IT/ICT や OSS を通じて昨今の COVID-19 感染拡大を発端とする諸問題を解決する動きは支持したいですが、このような杜撰なサービス運営により IT/ICT や OSS に対する世間の期待を悪化させることを強く憂慮しています。
https://anond.hatelabo.jp/20200830172134
https://github.com/Covid-19Radar/Covid19Radar/issues/773
はじめに
#COCOAボランティアデバッグ に尽力されている皆様に深い敬意を表します。
併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。
project dead? · Issue #773 · Covid-19Radar/Covid19Radar · GitHub
COCOA が抱えるアプリケーション設計上の問題点
攻撃者が COVID-19 感染者になりすまして「陽性情報の登録」を比較的容易に行える設計であること
登録に必要な「処理番号」のフォーマットは半角数字8桁であることが明示されてしまっている
ブルートフォース対策としてなのか、複数回の入力ミス発生時は「登録回数上限になりました。アプリケーションを終了します」としてアプリケーションが強制終了するが、特にそれ以上のペナルティは確認できない
SMS による処理番号通知を行っているのであれば、8桁数字ではなくハッシュ値を含む URL による登録など、ブルートフォース対策を含めた登録方法とするべきでは無かったか?
接触記録の条件である「概ね1メートル以内で15分以上」の距離条件を大きく逸脱している可能性があること
(注) これはアプリケーション固有の問題ではない( Apple-Google API の問題)が、前項の問題点と併せることで脅威となりうるので便宜的に示しておきます
この API は端末間距離を Bluetooth の電波強度により測定しているとしているが、実際の距離を担保するものではない
5m 離れていてもこの API による接触記録対象となる可能性がある
Corona-Warn-Apps: Studie findet Probleme bei der Kontaktverfolgung im ÖPNV | heise online
これにより後程示す悪用者が居なくとも COCOA 利用者が「陽性者と接触した旨の通知を過剰に受ける」脅威にさらされている可能性が考えられる
日本国内における現行法制下では代案を示すことが難しい問題であるが、まずは第三者による検証が求められる
COCOA が抱える運用上の問題点
※一部で報じられている「保健所から COCOA への陽性情報の登録に必要な処理番号が即日発行されない」などの問題もありますが、ここでは省略します
COCOA により陽性者と接触した旨の通知を受け取ると感染症コールセンターへの連絡を促され PCR 検査を受けることになる
余談レベルだが、感染症コールセンターを始めとする各所への通話料金は COCOA 導入者自身が負担することになる
(略)
細かい説明や具体的な表現は控えましたが、この攻撃を仮に受けたとして致命傷に近いダメージを受ける事業者は少なくないと思います。
事業所単位で COCOA の導入を推奨している管理者は直ちに見直すことを推奨します。
まとめ
本日より COCOA の導入を促すテレビCMが放映されているようです。( #検察庁法改正案に抗議します で一躍有名になったきゃりーぱみゅぱみゅ氏などが出演されているようです)
一方で COCOA アプリケーションのリリースは 2020年7月13日 にリリースされた v1.1.2 を最後にアップデートが途絶えており、不具合ととれる多数の事象は解決されず、上記に挙げたような問題点が払拭されることも残念ながら当面は無さそうです。
世間では高ぶる正義感からか COCOA の導入を声高らかに勧めたり、従業員やビジネスパートナーに導入を強いている管理者も現れているようです。
このエントリを通じて、そのような方々へ抵抗出来る材料が提供できれば幸いです。
余談
冒頭のように COCOA の原型であるとされる Covid-19Radar/Covid19Radar プロジェクトも OSS にあるまじき「放置状態」が続いています。
これが GitHub を買収した企業に所属する人間の所作ですか?
IT/ICT や OSS を通じて昨今の COVID-19 感染拡大を発端とする諸問題を解決する動きは支持したいですが、このような杜撰なサービス運営により IT/ICT や OSS に対する世間の期待を悪化させることを強く憂慮しています。
https://anond.hatelabo.jp/20200830172134
https://github.com/Covid-19Radar/Covid19Radar/issues/773
2: 不要不急の名無しさん 2020/08/31(月) 01:04:22.61 ID:5lQZ8ep60
つーかここ1ヶ月更新もないよな
461: 不要不急の名無しさん 2020/08/31(月) 04:40:53.35 ID:xeDcYOqp0
>>2
制作と運営が別だからだろ
タダ働きなぞしない
制作と運営が別だからだろ
タダ働きなぞしない
464: 不要不急の名無しさん 2020/08/31(月) 04:43:53.69 ID:JPrUZErh0
>>461
国家的アプリでそれで納得してる国民は不幸というよりxx
国家的アプリでそれで納得してる国民は不幸というよりxx
3: 不要不急の名無しさん 2020/08/31(月) 01:05:26.57 ID:qbeuBZVq0
それCOCOAを無意味に出来るバグじゃん
なんで放置されてるの
なんで放置されてるの
262: 不要不急の名無しさん 2020/08/31(月) 02:40:59.36 ID:dGca68J00
>>3
政府による、対策したぞっていうポーズのためのパフォーマンスだから
予算は身内で食い尽くして、小銭みたいなはした金でn次受けにぶん投げてさらに在野のボランティアまで頼んで形にしたけど、
現場の士気はゼロっつうかマイナスでしょ
バージョンアップやサポートができる人はもうそこにはいないんじゃない?
政府による、対策したぞっていうポーズのためのパフォーマンスだから
予算は身内で食い尽くして、小銭みたいなはした金でn次受けにぶん投げてさらに在野のボランティアまで頼んで形にしたけど、
現場の士気はゼロっつうかマイナスでしょ
バージョンアップやサポートができる人はもうそこにはいないんじゃない?
486: 不要不急の名無しさん 2020/08/31(月) 05:07:53.73 ID:rEUSTJaF0
>>262
この構図って安倍政治のほとんどすべてに当てはまるよな。
仲間内で利権を山分けしつつ国民には仕事してるフリ、やってるフリのアピール。そんなんだから当然成果は0、一事が万事その調子。
この構図って安倍政治のほとんどすべてに当てはまるよな。
仲間内で利権を山分けしつつ国民には仕事してるフリ、やってるフリのアピール。そんなんだから当然成果は0、一事が万事その調子。
944: 不要不急の名無しさん 2020/08/31(月) 11:47:50.16 ID:NcbBu5RU0
>>3
政治家や官僚にメリットが無いから。
政治家や官僚にメリットが無いから。
5: 不要不急の名無しさん 2020/08/31(月) 01:06:30.99 ID:p7VcpTNB0
安倍「意味のないアプリだよ!」
14: 不要不急の名無しさん 2020/08/31(月) 01:10:39.54 ID:H+twG9wY0
だってピンハネで抜かれて実務者はバイトみたいな連中でしょ
18: 不要不急の名無しさん 2020/08/31(月) 01:12:27.43 ID:OzxhBHSL0
これ、有志がフリー開発し始めたプロジェクトを
強引に持ってって国開発としてる奴だろ?
強引に持ってって国開発としてる奴だろ?
27: 不要不急の名無しさん 2020/08/31(月) 01:18:00.06 ID:F+VUzg060
>>18
んで予算をがっぽり取った連中は何もせずボランティアにタダ働きさせたのな。
ピンハネってレベルじゃないぜ。
んで予算をがっぽり取った連中は何もせずボランティアにタダ働きさせたのな。
ピンハネってレベルじゃないぜ。
52: 不要不急の名無しさん 2020/08/31(月) 01:30:59.88 ID:lJwUubvy0
これわかってた
誰も指摘しないのが不思議だった
いくらでもなりすましで陽性者登録できる
誰も指摘しないのが不思議だった
いくらでもなりすましで陽性者登録できる
55: 不要不急の名無しさん 2020/08/31(月) 01:31:52.73 ID:L3JVeN+U0
最初から言われてたそのまんま
57: 不要不急の名無しさん 2020/08/31(月) 01:31:53.19 ID:DveXIBp90
国がこれ使って感染者対策に使いだしたんだから
ボランティアなんで~、なんて通らんだろ
ボランティアなんで~、なんて通らんだろ
59: 不要不急の名無しさん 2020/08/31(月) 01:32:05.72 ID:i6wjn6fc0
アプリから通知ありましたけど
と言って保健所に電話しても
たいていは、自宅待機だけ伝えられて
ろくに検査してくれないそうだからね
何のためのアプリなんだろうね
と言って保健所に電話しても
たいていは、自宅待機だけ伝えられて
ろくに検査してくれないそうだからね
何のためのアプリなんだろうね
68: 不要不急の名無しさん 2020/08/31(月) 01:34:10.96 ID:EQxSy+lr0
使えって言う割にポンコツ過ぎじゃね
73: 不要不急の名無しさん 2020/08/31(月) 01:36:37.04 ID:alRMllQX0
結局このアプリってなんだったんだ
やってる感?
どっかに予算流したかっただけ?
やってる感?
どっかに予算流したかっただけ?
77: 不要不急の名無しさん 2020/08/31(月) 01:37:17.62 ID:2cpEVHDb0
どこにこれ依頼してんの?
まともに対応できるITの企業は日本にないんか
まともに対応できるITの企業は日本にないんか
82: 不要不急の名無しさん 2020/08/31(月) 01:38:18.44 ID:s2lR9uRJ0
大体フリーソフトと違って一国に一つと制約付いてるアプリなんだから、不具合あれば批判出るの当たり前だろ……
86: 不要不急の名無しさん 2020/08/31(月) 01:39:43.49 ID:BJQ4pO1M0
やってる感出すためだけの糞アプリじゃね
93: 不要不急の名無しさん 2020/08/31(月) 01:41:06.94 ID:6NXF50cp0
あーなるほどなー
俺入れてるけど、たまに警告出るもん
陽性者との接触の可能性があります!的なボップアップ
確かにイタズラで陽性者で登録したら周りの人ビビるわな
悪質やわ
俺入れてるけど、たまに警告出るもん
陽性者との接触の可能性があります!的なボップアップ
確かにイタズラで陽性者で登録したら周りの人ビビるわな
悪質やわ
106: 不要不急の名無しさん 2020/08/31(月) 01:43:36.07 ID:ez/r/tnZ0
政府の関係してるアプリって基本こんな感じのイメージだなあ
手を抜いて金だけ引っ張ってるイメージしかない
手を抜いて金だけ引っ張ってるイメージしかない
118: 不要不急の名無しさん 2020/08/31(月) 01:46:08.85 ID:DveXIBp90
>>106
なんでかは、よく分かる
官僚はなにか対策をして仕事してます、とアピールする機会を常に欲してる
だから、大臣とかにあることないこと吹き込んで、予算をつけさせて自分の手柄にする
あとは、部下の奴らにやっとけ。というだけ
中身が実際どうなったかなんて関係ない
官僚の手柄のために金が使い潰される
なんでかは、よく分かる
官僚はなにか対策をして仕事してます、とアピールする機会を常に欲してる
だから、大臣とかにあることないこと吹き込んで、予算をつけさせて自分の手柄にする
あとは、部下の奴らにやっとけ。というだけ
中身が実際どうなったかなんて関係ない
官僚の手柄のために金が使い潰される
123: 不要不急の名無しさん 2020/08/31(月) 01:48:13.89 ID:MatIxOs70
笑っちゃうね、こんなものを義務化とかほざいてる間抜けが居るかと思うと
131: 不要不急の名無しさん 2020/08/31(月) 01:51:12.84 ID:CUbc1eWO0
リリースゴールだからなw
日本の官僚も箱物作ったら終わり
それがソフトウェアになっただけ、似たようなもんだ
日本の官僚も箱物作ったら終わり
それがソフトウェアになっただけ、似たようなもんだ
172: 不要不急の名無しさん 2020/08/31(月) 02:02:05.61 ID:iLGOjs/z0
>>131
増税やレジ袋有料化とかも同じ事だわな
増税やレジ袋有料化とかも同じ事だわな
135: 不要不急の名無しさん 2020/08/31(月) 01:52:40.98 ID:6NXF50cp0
ここまで信用の低いアプリだとどれが本当の警告なのか分からなくなる もうダメじゃね?
143: 不要不急の名無しさん 2020/08/31(月) 01:54:34.74 ID:6NXF50cp0
誰か台湾からIT担当大臣みたいな人借りてこいよ
156: 不要不急の名無しさん 2020/08/31(月) 01:57:19.93 ID:DuFhyUD20
未だにファックスやハンコにすがりついてる世代が作るものなんてたかが知れてるだろ(笑)
昭和世代なんてこんなもん
昭和世代なんてこんなもん
167: 不要不急の名無しさん 2020/08/31(月) 02:00:44.51 ID:WDr3PxOg0
悪戯で振り回されるのごめんだから、アンインストールした
178: 不要不急の名無しさん 2020/08/31(月) 02:03:06.28 ID:Lkp6yTh30
ダメダメアプリなのは分かってるからインストしないけど、会社からの圧力がハンパない。
190: 不要不急の名無しさん 2020/08/31(月) 02:06:38.24 ID:7/OIexz90
47氏たすけて
この国はもうダメだ
この国はもうダメだ
195: 不要不急の名無しさん 2020/08/31(月) 02:09:04.01 ID:6NXF50cp0
>>190
亡くなった 2013年だったかな
亡くなった 2013年だったかな
193: 不要不急の名無しさん 2020/08/31(月) 02:08:19.88 ID:DuFhyUD20
パソコン教室に通い始めたおじいちゃんをサイバー担当大臣に任命する国なだけあるねえ
201: 不要不急の名無しさん 2020/08/31(月) 02:12:03.49 ID:6NXF50cp0
和風総本家でこのアプリを取り上げて
日本凄い!日本の底力! とかやってほしい
笑うけどな
日本凄い!日本の底力! とかやってほしい
笑うけどな
コメント
コメント一覧 (10)
peace
がしました
peace
がしました
なんかイマイチわかりにくかったけど、要するに「俺コロナ」のcocoa版ってことやろ?
peace
がしました
絶望的やね
peace
がしました
「もうアンインストールします!」とか言ってる奴は本当にインストールしてるのか?
それともいつものエア不買みたいなもんなのか?
peace
がしました
peace
がしました
peace
がしました
peace
がしました
コメントする