イスラエルCellebrite、新型コロナ濃厚接触ハッキングツールを警察に売込みの噂

陽性者のデバイスからいっきに位置データを吸い上げる方向

Kiyoshi Tane
Kiyoshi Tane
2020年04月29日, 午後 02:50 in android
0シェア
FacebookTwitter
Cellebrite
JACK GUEZ via Getty Images

新型コロナウイルス感染拡大を封じ込めるべく、世界各国では陽性者と濃厚接触した人々を特定するため、スマートフォンから情報収集するアプリやシステムの開発が進められています。先日アップルとGoogleが協力を発表したiOSとAndroidの相互運用を可能とする技術への取組みもその1つです。

そんななか、イスラエルの企業Cellebriteは、新型コロナウイルス陽性と診断された人の持つスマートフォンに侵入して位置データや連絡先を吸い上げ「適切な人々を隔離できる」ツールを売り込んでいると報じられています。このCellebriteは、ゲームの「いっき」などで知られる日本のサン電子の子会社です。国際刑事警察機構(インターポール)とのパートナーシップを締結しており、iPhone/Android向けのUFED(データ抽出ツール)を世界の捜査機関に提供するフォレンジック企業として知られています。

さてReutersによると、Cellebriteがハッキングツールを売り込んだ相手は、インドのデリー警察とされます。同社の広報が送ったとされるメールによれば、本ツールは通常は本人の同意を得てから使われるものの、陽性患者が(感染拡大を避けるための)集会を禁じる法律に違反した場合などは、警察が没収したデバイスに侵入するのも正当化されうるとのこと。さらに「データを収集するにはパスコードは必要ありません」とも付け加えられています。

そして同記事では、世界中の法執行機関に濃厚接触者を追跡するツールを売り込もうとしているのは、Cellebriteだけではないとも述べられています。そうした企業は少なくとも8社あり、中南米、ヨーロッパ、アジアの10数カ国以上で「製品」を試験的に導入している最中という、関係者による証言も伝えられています。ただし、米国政府による購入は確認されていないとのことです。

そうした各社のアプローチは、感染者の端末からデータを直接に取り出すもの。これに対してアップルとGoogleのそれはプライバシーを侵害したり位置情報を収集せずに、Bluetooth信号により接触履歴のみを検出および送信する手法です。公衆衛生当局から提供されるアプリは各自が入手し、機能の有効化にもユーザーの同意が必要とされるオプトイン式とされています。

そのため、接触履歴検出システムが効果を発揮する上で必要な60%の使用率が見込めるかどうか、疑問視する声もあります。しかもアップルとGoogleは、接触履歴のデータを各デバイス内に置く「分散型」システムを採用していることから、直接データを保健当局に送信する「中央サーバー型」を主張するフランスなどは仕様の変更(Bluetoothの制限解除)を求めています

緊急事態ということもあり、アップルとGoogleに頼らない手段を探る国もあると報じられています。たとえばイスラエル政府は、サイバーインテリジェンス大手のNSO Groupに大量監視プラットフォーム構築の支援を求めているとのことです。ちなみに同社は、iCloudなどクラウドサービスから個人データをひそかに奪えるマルウェアを売り込んでいるとの噂があった企業です。

アップルとGoogleの公衆衛生当局向けAPIは4月28日(米現地時間)にリリースが予告されていますが、それを各国が実際に採用するかどうかは、記事執筆時点では不明です。あくまでユーザーの同意を必須としてプライバシー保護を徹底する両社の姿勢にしびれを切らせ、陽性者のデバイスを直接ハッキングして濃厚接触者の身柄を確保しようとする国も少なくないのかもしれません。
 
 

TechCrunch 注目記事新型コロナのソーシャルディスタンスを支援するビデオチャットアプリ8選

新型コロナウイルス 関連アップデート[TechCrunch]
関連キーワード: android, apple, Cellebrite, coronavirus, COVID-19, google, iphone, privacy, security, smartphone
0シェア
FacebookTwitter