人気記事!

おすすめの記事!


※このRSSフィードはVIPインフォ速報独自システムにより配信されています。
相互依頼は問い合わせフォーム よりお願いします。



Loading・・・

1: サーバル ★ 2020/08/31(月) 01:03:48.48 ID:SSFJfAIK9
■新型コロナウイルス接触確認アプリ(COCOA)で攻撃できる問題

はじめに

#COCOAボランティアデバッグ に尽力されている皆様に深い敬意を表します。
併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。
project dead? · Issue #773 · Covid-19Radar/Covid19Radar · GitHub
COCOA が抱えるアプリケーション設計上の問題点

攻撃者が COVID-19 感染者になりすまして「陽性情報の登録」を比較的容易に行える設計であること

登録に必要な「処理番号」のフォーマットは半角数字8桁であることが明示されてしまっている
ブルートフォース対策としてなのか、複数回の入力ミス発生時は「登録回数上限になりました。アプリケーションを終了します」としてアプリケーションが強制終了するが、特にそれ以上のペナルティは確認できない
SMS による処理番号通知を行っているのであれば、8桁数字ではなくハッシュ値を含む URL による登録など、ブルートフォース対策を含めた登録方法とするべきでは無かったか?
接触記録の条件である「概ね1メートル以内で15分以上」の距離条件を大きく逸脱している可能性があること

(注) これはアプリケーション固有の問題ではない( Apple-Google API の問題)が、前項の問題点と併せることで脅威となりうるので便宜的に示しておきます
この API は端末間距離を Bluetooth の電波強度により測定しているとしているが、実際の距離を担保するものではない
5m 離れていてもこの API による接触記録対象となる可能性がある
Corona-Warn-Apps: Studie findet Probleme bei der Kontaktverfolgung im ÖPNV | heise online
これにより後程示す悪用者が居なくとも COCOA 利用者が「陽性者と接触した旨の通知を過剰に受ける」脅威にさらされている可能性が考えられる
日本国内における現行法制下では代案を示すことが難しい問題であるが、まずは第三者による検証が求められる
COCOA が抱える運用上の問題点

※一部で報じられている「保健所から COCOA への陽性情報の登録に必要な処理番号が即日発行されない」などの問題もありますが、ここでは省略します
COCOA により陽性者と接触した旨の通知を受け取ると感染症コールセンターへの連絡を促され PCR 検査を受けることになる
余談レベルだが、感染症コールセンターを始めとする各所への通話料金は COCOA 導入者自身が負担することになる

(略)

細かい説明や具体的な表現は控えましたが、この攻撃を仮に受けたとして致命傷に近いダメージを受ける事業者は少なくないと思います。
事業所単位で COCOA の導入を推奨している管理者は直ちに見直すことを推奨します。
まとめ

本日より COCOA の導入を促すテレビCMが放映されているようです。( #検察庁法改正案に抗議します で一躍有名になったきゃりーぱみゅぱみゅ氏などが出演されているようです)
一方で COCOA アプリケーションのリリースは 2020年7月13日 にリリースされた v1.1.2 を最後にアップデートが途絶えており、不具合ととれる多数の事象は解決されず、上記に挙げたような問題点が払拭されることも残念ながら当面は無さそうです。

世間では高ぶる正義感からか COCOA の導入を声高らかに勧めたり、従業員やビジネスパートナーに導入を強いている管理者も現れているようです。
このエントリを通じて、そのような方々へ抵抗出来る材料が提供できれば幸いです。
余談

冒頭のように COCOA の原型であるとされる Covid-19Radar/Covid19Radar プロジェクトも OSS にあるまじき「放置状態」が続いています。
これが GitHub を買収した企業に所属する人間の所作ですか?

IT/ICT や OSS を通じて昨今の COVID-19 感染拡大を発端とする諸問題を解決する動きは支持したいですが、このような杜撰なサービス運営により IT/ICT や OSS に対する世間の期待を悪化させることを強く憂慮しています。

https://anond.hatelabo.jp/20200830172134

https://github.com/Covid-19Radar/Covid19Radar/issues/773

251: 不要不急の名無しさん 2020/08/31(月) 02:36:44.70 ID:QeBL5bDb0
>>1
システムの設計が紙ベースの処理法をなぞっているだけって雰囲気だなあ

 

256: 不要不急の名無しさん 2020/08/31(月) 02:38:03.52 ID:sLJIJaeB0
作った人に罪はない
本来オープンソースってのは不特定多数のプログラマが
得意な技術を生かして進化させていくもの
考慮が足りない所があれば>>1みたいな人が指摘して直すことで改善される

その改善のプロセスが動いていないのが問題だな
クソ官僚は何をしてるんだろうか
運用の契約どこかと結んでないのか?

 

280: 不要不急の名無しさん 2020/08/31(月) 02:50:14.33 ID:MkIsvQLW0
>>1
アプリの重要性がわからない馬鹿が政治家だからだよ

 

340: 不要不急の名無しさん 2020/08/31(月) 03:23:10.53 ID:Ysdn1mgx0
>>1
対人のセキュリティなんて最高にヘビーな仕事
こればっかりは腕効きのプロに金を払ってやってもらうしかない

 


419: 不要不急の名無しさん 2020/08/31(月) 03:59:07.71 ID:UVBn7gRW0
>>416
配信されてきた処理番号しかキーがない。なので、なりすましが可能というのが >>1 で語られてることやんなw
そんなんもわからへんの?

 

477: 不要不急の名無しさん 2020/08/31(月) 05:01:57.43 ID:b967A09s0
>>1
このアプリやめた方がいい
開発元の社長がテレビでなんか喋っていたけれど
なんか胡散臭い

この開発会社に個人情報がパクられるかも
もし、文句あればSOURCEとプロジェクトも全て公開しないとね
公開できるかな

わたくしプロだからコード読めますよ

 

507: 不要不急の名無しさん 2020/08/31(月) 05:33:26.77 ID:b967A09s0
>>1
使えないアプリを開発した社長よ
お前は、情報処理技術者の国家資格持っていないだろ?
情報処理とは何ぞや、から学び直せ

 

2: 不要不急の名無しさん 2020/08/31(月) 01:04:22.61 ID:5lQZ8ep60
つーかここ1ヶ月更新もないよな

 

461: 不要不急の名無しさん 2020/08/31(月) 04:40:53.35 ID:xeDcYOqp0
>>2
制作と運営が別だからだろ
タダ働きなぞしない

 

464: 不要不急の名無しさん 2020/08/31(月) 04:43:53.69 ID:JPrUZErh0
>>461
国家的アプリでそれで納得してる国民は不幸というよりxx



3: 不要不急の名無しさん 2020/08/31(月) 01:05:26.57 ID:qbeuBZVq0
それCOCOAを無意味に出来るバグじゃん
なんで放置されてるの

 

36: 不要不急の名無しさん 2020/08/31(月) 01:23:48.69 ID:rIYqJXPS0
>>3
他人を攻撃するのが好きなパヨやIT系でマウント取りたいゴミが
アプリ開発者を誹謗中傷しアプリ開発者の心を壊したから。

 

38: 不要不急の名無しさん 2020/08/31(月) 01:24:15.31 ID:+zv5MV+30
>>36
工作員丸出しだな

 

74: 不要不急の名無しさん 2020/08/31(月) 01:36:39.05 ID:cH63A09v0
>>36
開発者は関係ない
業務委託受けてる企業がなんで放置してんのかってこと

 

245: 不要不急の名無しさん 2020/08/31(月) 02:32:53.07 ID:gC/9UzTA0
>>3
全然接触しなくてつまんないから
陽性登録者増えないと意味無い

 

262: 不要不急の名無しさん 2020/08/31(月) 02:40:59.36 ID:dGca68J00
>>3
政府による、対策したぞっていうポーズのためのパフォーマンスだから
予算は身内で食い尽くして、小銭みたいなはした金でn次受けにぶん投げてさらに在野のボランティアまで頼んで形にしたけど、
現場の士気はゼロっつうかマイナスでしょ
バージョンアップやサポートができる人はもうそこにはいないんじゃない?

 

486: 不要不急の名無しさん 2020/08/31(月) 05:07:53.73 ID:rEUSTJaF0
>>262
この構図って安倍政治のほとんどすべてに当てはまるよな。
仲間内で利権を山分けしつつ国民には仕事してるフリ、やってるフリのアピール。そんなんだから当然成果は0、一事が万事その調子。

 

407: 不要不急の名無しさん 2020/08/31(月) 03:48:07.69 ID:O6dOn8Uk0
>>3
感染しても殆どの人は死なないただの風邪に
こんなソフト作る事自体が無意味

 

508: 不要不急の名無しさん 2020/08/31(月) 05:34:28.17 ID:AQVvGE0O0
>>3
カビだらけ染みだらけのアベノマスクを配布したり、ウイルス感染に伴う収入減少を口実に日本国内に住所登録されている者全てに10万円をばら撒くような大味なことしかできない政府だぞ
コロナ対策をしたというアリバイ作りに過ぎないだろ
効果があるかどうかなんで関係ない
こんな糞アプリを入れてる、あるいは入れさせられてるやつは御愁傷さまだなw

 

510: 不要不急の名無しさん 2020/08/31(月) 05:40:04.08 ID:b967A09s0
>>508
安部があんなデザインのマスクを発注する?
その時点で考えようか
誰が安部の回りに彷徨(うろつ)いているのか
どう考えても、50年前の給食マスクは無いだろ
人を責めても解決はできない、なぜそうなるのかを解明すること

お前は自民党を許せないんだろ?
マスクごときに躍起になんな
それともアプリが許せないのか?

 

7: 不要不急の名無しさん 2020/08/31(月) 01:07:35.78 ID:t678QcS00
つーかそこまでしてPCR受けたいか?

この糞暑い中わざわざハイリスクな検査場に行く方が・・・保険適用外以外じゃその辺の病院で手軽にできるわけじゃないだろうし


11: 不要不急の名無しさん 2020/08/31(月) 01:09:00.71 ID:LDpmI0lZ0
日本の技術的限界。やるなら金かけて作れや。、プライバシーなんかいらん。

 

13: 不要不急の名無しさん 2020/08/31(月) 01:10:11.68 ID:MQh25Ypw0
総当たりで入力を繰り返す事で本物の陽性患者の登録番号を割り出せる上に本人じゃない者がその番号でエントリーできるって事?

 

14: 不要不急の名無しさん 2020/08/31(月) 01:10:39.54 ID:H+twG9wY0
だってピンハネで抜かれて実務者はバイトみたいな連中でしょ

 

15: 不要不急の名無しさん 2020/08/31(月) 01:11:04.09 ID:ZDdxAqle0
cocoa導入に抵抗できる材料が提供できれば幸いってどんだけ嫌なんだよ…

 

16: 不要不急の名無しさん 2020/08/31(月) 01:11:50.09 ID:Xr9WtOoO0
管理者がいないんだっけ?

 

17: 不要不急の名無しさん 2020/08/31(月) 01:11:56.47 ID:kzO9mmaW0
こんなんに力入れんでも勝手に収束しとるがな

 

18: 不要不急の名無しさん 2020/08/31(月) 01:12:27.43 ID:OzxhBHSL0
これ、有志がフリー開発し始めたプロジェクトを
強引に持ってって国開発としてる奴だろ?

 

27: 不要不急の名無しさん 2020/08/31(月) 01:18:00.06 ID:F+VUzg060
>>18
んで予算をがっぽり取った連中は何もせずボランティアにタダ働きさせたのな。
ピンハネってレベルじゃないぜ。

 

48: 不要不急の名無しさん 2020/08/31(月) 01:29:16.63 ID:TXwuguxu0
>>27
タダ働きもクソも開発者が顔出しで売名目的でやってんだよ
だから不具合指摘されたら不貞腐れて逃亡した

 

21: 不要不急の名無しさん 2020/08/31(月) 01:14:39.39 ID:Xj0ILp6L0
修整できるプログラマーがいないだけ

 

32: 不要不急の名無しさん 2020/08/31(月) 01:20:43.18 ID:weBMJ9kd0
>>21
先進国最下位のコンピューター技術だからな

 

24: 不要不急の名無しさん 2020/08/31(月) 01:16:26.35 ID:3LyDvDyF0
8桁の番号の正誤のチェック仕様は?

機械的に解析できるから、もうわかってるよね

 

25: 不要不急の名無しさん 2020/08/31(月) 01:16:31.34 ID:52C8pXkq0
会社で強制的に入れさせられたが

 

45: 不要不急の名無しさん 2020/08/31(月) 01:27:51.16 ID:19EQNHqW0
まあ実用性はもうないって事か

 

50: 不要不急の名無しさん 2020/08/31(月) 01:30:02.93 ID:3LyDvDyF0
>>45
最初から無い
コロナ陽性者に、陽性者登録するメリット無いから登録しないよ

 

引用元:【COCOA】接触確認アプリに「陽性情報の登録を総当たりで登録できる」脆弱性 ボランティアが発見し修正依頼→無視され更新もなし [サーバル★]・https://asahi.5ch.net/test/read.cgi/newsplus/1598803428/


 

Loading・・・

新着記事フィード(自動取得された記事です)

おすすめの記事