ジャマイカの新型コロナアプリ失敗の経緯、サイバー攻撃ではなく単に安全ではなかった

2020年3月に新型コロナウイルスのパンデミックが宣言され、各国の政府が次々とロックダウンを発令する中、一部の国では国境の再開に向けた計画が進められていた。2020年6月、ジャマイカは国境を開放した最初の国の1つとなった。

ジャマイカ経済の約5分の1を占める観光業。2019年だけでも400万人の旅行者がジャマイカを訪れ、300万人の住民に多大な雇用をもたらしている。しかし夏が近づくにつれ新型コロナウイルスの影響が忍び寄り、ジャマイカは経済の急落に直面する。同国にとっては観光業が復活の道への唯一の希望である。たとえそれが公衆衛生の犠牲を意味したとしてもだ。

ジャマイカ政府は、キングストンに本社を置くテクノロジー企業Amber Groupと契約し、住民や旅行者が島に戻ってこられるような国境通過システムを構築した。アプリとウェブサイトで展開されたこのシステムは「JamCOVID」と名づけられ、到着前に入国者をスクリーニングできるようになっている。旅行者が米国などの高リスク国からのフライトに搭乗する前に、新型コロナウイルス検査の陰性結果をJamCOVIDにアップロードしなければ入国できないというシステムである。

Amber Groupの最高経営責任者Dushyant Savadia(ドゥシャント・サヴァディア)氏は、同社がJamCOVIDをわずか「3日」で開発し、ジャマイカ政府に同システムを事実上寄贈したと誇らしげに語っている(その見返りに政府がAmber Groupに対して追加機能やカスタマイズの費用を支払うという条件だ)。この導入は成功したと見られ、同社はその後少なくとも4つのカリブ海の島々に国境通過システムを導入する契約を獲得している。

ところが2021年3月、過去1年間に島を訪れた50万人近い旅行者(多数の米国人を含む)の入国書類、パスポート番号、新型コロナウイルス検査結果がJamCOVIDから漏洩したという事実をTechCrunchが暴いたのだ。Amber Group はJamCOVIDのクラウドサーバーへのアクセスをパブリックに設定しており、誰もがウェブブラウザーからデータにアクセスできるようになっていたのである。

今回のデータ流出の原因が人為的なものであれ過失によるものであれ、これはテクノロジー企業が、ひいてはジャマイカ政府が犯してしまった恥ずかしい過ちだ。

さらに、この騒動も終わるかというところで、今度はこれに対する政府の対応が新たな騒動となってしまった。

セキュリティ問題3連チャン

接触者追跡アプリがまだ初期段階の、新型コロナウイルスの第1波が終わった頃、国境に到着した旅行者をスクリーニングする計画を立てている政府はほとんど存在せず、ウイルスの広がりを把握するための技術を構築したり、獲得したりするために各国の政府は奔走していた。

関連記事:AppleとGoogleが共同開発する新型コロナ追跡システムは信頼できるのか?

ジャマイカは位置情報を利用して旅行者を監視していた数少ない国の1つで、権利団体からは当時からプライバシーやデータ保護に関する懸念が寄せられていた

こういった新型コロナウイルス関連のアプリやサービスを幅広く調査した結果、TechCrunchはJamCOVIDがパスワードのない露出したサーバーにデータを保存していることを発見した。

TechCrunchが報道を通じてセキュリティ上の欠陥データの流出を発見したのは今回が初めてではなく、またパンデミック関連のセキュリティ脅威もこれが初めてではない。イスラエルのスパイウェアメーカーであるNSO Groupは、新たな接触者追跡システムのデモに使用した保護されていないサーバーに、実際の位置情報を残していた。また、ノルウェーは接触者追跡アプリを最初に導入した国の1つだが、国民の位置情報を継続的に追跡するというのはプライバシー上のリスクになると同国のプライバシー当局が判断したため、アプリの導入は中止されている。

どんな記事の場合でも同様だが、我々はサーバーの所有者と思われる人物に連絡を取り、またジャマイカ保健省には2月13日の週末にデータが流出していることを報告した。しかし保健省の広報担当者であるStephen Davidson(スティーブン・デビッドソン)氏にデータ流出の具体的な内容を伝えたにも関わらず返事が来ない。その上2日後、データは依然として流出されたままだったのである。

このサーバーからデータが流出した2人の米国人旅行者と話した後、サーバーの所有者をAmber Groupに絞り込む事ができた。2月16日、CEOのサヴァディア氏に連絡を取ったところ、同氏はメールの受領は認めたもののコメントはなく、その約1時間後にサーバーのセキュリティが確保された。

その日の午後、 TechCrunchが本件の記事を掲載した後ジャマイカ政府が声明を発表し、この失態は「2月16日に発覚」し「直ちに修正した」という嘘を述べている。

それどころか同政府は 、TechCrunchが最初に書いた記事の発端となった保護されていないデータに「不正な」アクセスがあったかどうかについて刑事捜査を開始した。これは我々に向けられた薄っぺらな脅しである。同政府は海外の法執行機関と連絡を取ったと伝えている。

FBIの広報担当者にジャマイカ政府から連絡があったかどうかについて聞いてみたが、回答は得られなかった。

その後もJamCOVIDが改良されたことはない。最初の記事から数日後、政府はクラウドコンサルタントのEscala 24×7にJamCOVIDのセキュリティ評価を依頼しており、その結果は公表されなかったものの同社はJamCOVIDには「脆弱性がない」と確信していると述べている。またAmber Groupは、今回の失態が「単発的な出来事」であったと結論づけている。

1週間が経過し、TechCrunchはAmber Groupにさらに2つのセキュリティ問題を警告することになる。最初のニュースを見たセキュリティリサーチャーがJamCOVIDのサーバーやデータベースの秘密鍵やパスワードがウェブサイトに隠されているのを発見し、さらに50万人以上の旅行者の検疫命令の流出という3つ目の失態を暴いている。

関連記事
ジャマイカ政府の新型コロナアプリ請負業者Amber Groupが今月2度目のセキュリティ事故
2週間で3回目、旅行者50万人の個人情報が露出しジャマイカの新型コロナ対策アプリ・サイトがオフラインに

Amber Groupと同政府はサイバー攻撃やハッキングに見舞われたと主張しているが、実際は単にこのアプリのセキュリティがなっていないだけである。

政治的に不都合なタイミング

ジャマイカ政府は今回2度目の試みとなる国民識別システム(NIDS)の立ち上げを行おうとしている最中のため、このセキュリティ問題はジャマイカ政府にとって政治的に非常に不都合だ。NIDSにはジャマイカ国民の指紋などの生体情報も保存されることになる。

1度目の試みがジャマイカの高等裁判所で違憲と判断されてから2年、政府は今回2度目の立ち上げを目前にしている。

JamCOVIDのセキュリティ問題を国家データベース案打ち切りの理由として挙げている評論家もいる。プライバシーや権利に関する団体の連合はJamCOVIDを例に挙げ、国家データベースは「ジャマイカ人のプライバシーとセキュリティにとって危険」と主張。ジャマイカの野党の広報担当者は地元メディアに対し「そもそもNIDSはあまり期待されていなかった」と語っている

最初の記事を掲載してから1カ月以上が経過したが、Amber GroupがJamCOVIDの構築や運用の契約をどのようにして獲得したのか、クラウドサーバーがどのようにして公開されたのか、また発売前にセキュリティテストが行われたのかなど、多くの疑問点が残されている。

TechCrunchはジャマイカの首相官邸とジャマイカ国家安全保障省のMatthew Samuda (マシュー・サムダ)大臣にメールを送り、JamCOVIDを運営するために政府がAmber Groupにいくら支払いまたは寄付したのか、またどのようなセキュリティ要件が合意されたのかを尋ねてみたが、回答は得られなかった。

Amber Groupもまた政府との契約でいくらの金を手にしたのか明らかにしていない。同社のサヴァディア氏はある地方紙に対して契約額の開示を拒否しており、また契約に関するTechCrunchの質問メールにも答えていない。

ジャマイカの野党は、政府とAmber Groupとの間で交わされた契約書の公開を首相に要求しているが、Andrew Holness(アンドリュー・ホルネス)首相は記者会見で、政府との契約について国民には「知る権利がある」と述べた上で、国家安全保障上の理由や「機密の貿易および商業情報」が開示される可能性がある場合など「法的なハードル」が開示を妨げることもあると伝えている

地元紙のThe Jamaica Gleanerが国家公務員の給与を示す契約書の入手を要求したところ、法律に守られているため個人のプライバシーを開示することはできないとして政府から拒否された数日後に、首相のこの発言である。評論家らは、政府役人に対して公的資金がいくら支払われているかを知る権利が納税者にはあると主張している。

ジャマイカの野党は、被害者に対してどのように今回の件を通知したのかという質問も投げている。

サムダ大臣は当初セキュリティ問題を軽視し、影響を受けたのはわずか700人だと主張していた。我々は証拠を見つけるためソーシャルメディアを探ったが、何も見つかっていない。これまでのところ、ジャマイカ政府が旅行者にセキュリティ事故について通知したという証拠は一切見つかっていない。情報が流出して被害を受けた数十万人の旅行者にも、政府が通知したと主張しながらも公表されていない700人の旅行者にも同様である。

TechCrunchは政府が被害者に送ったという通知のコピーを要求するため大臣にメールを送ったが、回答は得られなかった。また、Amber Groupとジャマイカの首相官邸にもコメントを求めたが、返事は未だない。

今回のセキュリティ過失の被害者の多くは米国人である。1度目の記事で話を伺った2人の米国人は、いずれも情報漏えいの通知を受けていない。

住民の情報が流出したニューヨーク州とフロリダ州の検事総長の広報担当者は、TechCrunchの取材に対し、州法でデータ流出の開示が義務づけられているにもかかわらず、ジャマイカ政府からもAmber Groupからも連絡がなかったと伝えいてる。

大きな代償を支払うことになったジャマイカの国境解放。ジャマイカではその後1カ月間に100人以上の新規感染者が判明したが、その大部分は米国から到着した人々である。2020年6月から8月にかけてコロナウイルスの新規感染者数は、毎日数十人単位から数百人単位へと推移してしまった。

これまでにジャマイカでは、パンデミックによる3万9500人以上の感染者と600人の死亡者が報告されている。

ホルネス首相は先月、国会で国の年間予算を発表する際に、当時の国境解放に対する決定を振り返りコメントしている。同氏によると2020年度の経済の落ち込みは「観光産業における70%という大規模な縮小によってもたらされた」とのことで、住民と観光客を含む52万5000人以上の旅行者がジャマイカを訪れたというが、この数字は2月に流出したJamCOVIDサーバーで見つかった旅行者の記録の数をわずかに上回っている。

ホルネス首相は、同国の国境解放の決定を擁護している。

「もし国境を開けていなかったら観光収入の落ち込みは75%ではなく100%になり、雇用も回復せず国際収支の赤字も悪化し、政府全体の収入も脅かされ、さらに支出を増やそうという議論にもならなかったでしょう」と同氏。

ジャマイカ政府もAmber Groupも国境を開くことで利益を得た。ジャマイカ政府は落ち込んだ経済を回復させたいと考え、Amber Groupは政府との新たな契約でビジネスを活性化させたわけだ。しかし、どちらもサイバーセキュリティに十分な注意を払っておらず、彼らの過失による被害者には、その理由を知る権利がある。

カテゴリー:セキュリティ
タグ:ジャマイカ新型コロナウイルス旅行データ漏洩プライバシー

画像クレジット:Valery Sharifulin / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Dragonfly)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。