マサチューセッツ州の保健当局とGoogleが接触追跡アプリをAndroid端末にユーザーに同意を求めずに強制インストールして訴訟をおこされた件

マサチューセッツ州の保健衛生当局とGoogleが接触追跡アプリを地域住民や旅行者のAndroidアプリにユーザーに確認することなく強制インストールさせたことで訴訟を起こされたとのこと。

Mass. health officials worked with Google to covertly install COVID ‘spyware’ into 1M phones, lawsuit claims

https://www.foxbusiness.com/politics/mass-health-officials-google-covid-spyware-1m-phones-lawsuit

善意であろうがなかろうが、普通に気持ち悪いし、”スパイウェア”であろうがなかろうが問題視されることですよね、ましてや行政がそれをやらせたのであれば。

不可解なのは、Googleが事実上の強制インストールに加担したことです。Google / Apple のExposure Notification Serviceの規約では政府がインストールを強制させないことが前提だったはずです。なぜGoogleが州政府の依頼に応じたのか、気になるところです。

--

--

デジタル庁が2021年12月20日からGoogle PlayやApp Storeで提供開始した「新型コロナワクチン接種証明アプリ」( https://www.digital.go.jp/policies/posts/vaccinecert 、以下「接種証明アプリ」)だが、今更な話だが、これは接触確認アプリCOCOA以上に普及しないだろうと思う。 利用には本人確認用にマイナンバーカードが必須であること。これが一番の原因だ。「接種証明アプリ」のためだけに取得に1か月以上かかり、直接役所に訪問する手間をかけてマイナンバーカードを取ろうという人はそんなに居ない。また、マイナンバーカードを持っている人でも、本人確認に必要なパスワードを失念してしまう人が全国で100や200のレベルではないだろう。しかもパスワード入力を3回間違えたらロックされて、その解除には市区町村役所役場での手続きが必要になるという。パスワードを忘れて3回間違えてしまう人たちの阿鼻叫喚がTwetter上で実際見られた。(※2022/04/17追記:コンビニでパスワードを初期化が可能なのは利用者証明用パスワードで、「新型コロナワクチン接種証明アプリ」で使用する、券面事項入力補助用のパスワードではないことに注意。)

デジタル庁が2021年12月20日からGoogle PlayやApp Storeで提供開始した「新型コロナワクチン接種証明アプリ」( https://www.digital.go.jp/policies/posts/vaccinecert 、以下「接種証明アプリ」)だが、今更な話だが、これは接触確認アプリCOCOA以上に普及しないだろうと思う。

  1. 利用には本人確認用にマイナンバーカードが必須であること。これが一番の原因だ。「接種証明アプリ」のためだけに取得に1か月以上かかり、直接役所に訪問する手間をかけてマイナンバーカードを取ろうという人はそんなに居ない。また、マイナンバーカードを持っている人でも、本人確認に必要なパスワードを失念してしまう人が全国で100や200のレベルではないだろう。しかもパスワード入力を3回間違えたらロックされて、その解除には市区町村役所役場での手続きが必要になるという。パスワードを忘れて3回間違えてしまう人たちの阿鼻叫喚がTwetter上で実際見られた。(※2022/04/17追記:コンビニでパスワードを初期化が可能なのは利用者証明用パスワードで、「新型コロナワクチン接種証明アプリ」で使用する、券面事項入力補助用のパスワードではないことに注意。)
  2. NFC対応スマートフォンの普及率の問題。「マイナンバーカードに対応したNFCスマートフォン一覧」( https://www2.jpki.go.jp/prepare/pdf/nfclist.pdf )を見ても分かるように、動作確認されているのは比較的最近の国内メーカー製ばかりが目立つ。海外メーカー製スマートフォンでは、キャリアブランドの端末やGoogleのPixel 3以降とAppleのiPhoneをのぞくと、OppoとXiaomiが本格参入するまで、おサイフケータイ(FeliCa)対応のものはごく最近までほぼ皆無で、NFC機能すらエントリークラスの端末にはついてないことが多かった。また、国内メーカー製であっても、エントリークラスの端末やシニア世代向けの端末にはおサイフケータイどころかNFC機能に対応していないものがある。
    また、いわゆる「格安スマホ」とも言われる、MVNOやサブブランドでは、海外メーカー製の端末がラインナップに並んでいる。シェアが少ないからと言って無視して良いのだろうか。
  3. 動作環境としてOSがiOS 13.7以上、Android 8.0以上と接触確認アプリCOCOAよりも動作環境が限られている。iOS 13.7以上が使えるiPhoneは、現時点で最新のiOS 15まで上げられるはずの機種で、対象機種は接触確認アプリCOCOAと同じだ。一方、Androidはというと、国内メーカー製のAndroidスマートフォンは最近でこそシャープのように2回のメジャーアップデート保証をしているメーカーも出ているが、いまだにOSのメジャーアップデートに積極的でないメーカーもある。
    同様にマイナンバーカードを読み込めるマイナポータルアプリがAndroid 6.0に対応していること( https://img.myna.go.jp/html/dousakankyou.html )を考えると、Android 6.0以降でないのは不可解だ。とある調査によると( https://moduleapps.com/mobile-marketing/android-ver/ )、2021年12月時点で、AndroidだけでのAndroid 8.0以上のシェアが88.9%となるそうだが。Android 6.0以上を対象にすると94.8%。5.9%の差をどう考えるかだが、技術的に不可能である訳ではないのに、サポート上の都合だけで門前払いしてしまうのはいかがなものか。
    接触確認アプリCOCOAにおけるAndroid 5.x対応、iOS 12対応のこともそうなのだが、比較的ユーザーの少ない旧バージョンに人的リソースを裂きたくないのは解るが、ぶっちゃけ「開発者にとって理想的な環境」でしか動作確認しないというのもどうなのか。
    期間限定であろうアプリのために最新のハイスペックなスマートフォンに買い替えなさいというのだろうか(そう言えば、バッテリー消費のはげしい接触確認アプリCOCOAのためにわざわざスマートフォンを買い替えたという人も居るようだが、そんなことが出来るのはごく少数だろう)。毎年のようにスマートフォンを買い替える人が世間一般のユーザーとは言えないし、2年に1度買い替える人もそれほど多いわけでもない。国がスマートフォンの買い替えを求めるなら、それこそ国が買い替えの費用を負担しないといけないし、むしろそっちの方が高くつくのではないか?

--

--

接触確認アプリCOCOAをはじめとする、接触追跡アプリ(Contact Tracing App)のコアとなる、Exposure Notification APIを提供しているGoogleとApple。その本拠地であるアメリカでは既に失敗作という評価のようだ。

アップルとGoogle共同開発のコロナ接触通知API、米国では大失敗との調査結果 — Engadget 日本版
https://japanese.engadget.com/apple-google-exposure-api-failed-us-070051708.html

Apple exposure notification API saved lives, but US apps failed — 9to5Mac
https://9to5mac.com/2021/08/26/google-apple-exposure-notification-us/

Apple and Google Contact-Tracing Apps Barely Used in US: Investigation
https://www.businessinsider.com/apple-google-contact-tracing-apps-barely-used-in-us-investigation-2021-8

Big Tech failed with contact tracing. Can it do better with vaccine passport apps? — CNN
https://edition.cnn.com/2021/08/30/tech/vaccine-passport-apps-apple-samsung/index.html
( 「Big TechがContact Tracing(接触追跡)の失敗の後、ワクチンパスポートでうまくやれるか…?」と言った感じ?)

--

--

私は仕事でBluetooth Low Energy(Bluetooth LE, BLE)を用いたとある医療デバイス用の測定データを自動取得するWindowsプログラムを以前書いたこともあり、ちょっとした好奇心から、昨年(2020年)、接触確認アプリ COCOA で検出するアドバタイズ信号を検出するスキャナーをWindows用に作成。以降、仕事の合間に断続的に1年以上眺め続けている。

スキャナープログラム自体はBLEのアドバタイジング信号を検出するありふれたC#で書かれたサンプルプログラムをベースにCOCOA等、Exposure Notificationで使用する特定のUUIDだけ抽出してリアルタイム一覧表示したりログ出力するようにしたものだ。

モバイルデバイス(スマートフォン)のExposure NotificationのMACアドレスが15分前後で変わるということは以前書いた通りだが、その前後には別のMACアドレスで同じぐらいの信号強度(RSSI)でアドバタイズを始めるのがスキャナーで観察しているとわかる。

接触確認アプリCOCOAの匿名性はこういうところからも良くできてはいる。

上下階の至近距離に近づくモバイルデバイスもスキャナーで解る。「同じ建物でコロナ患者が見つかったのに、COCOAが反応しない」という話があるが、逆に言えば、上下階の近接距離でもなければCOCOA導入済みのモバイルデバイスがあっても接触を検出することもない。

COCOAをはじめとするBLEのアドバタイズ信号を利用した仕組みの最大の欠点は、当たり前のことだが、実際の感染源との物理的障壁や空気とは全く無関係に検知される可能性があること、この方法はもともと誤検知の可能性をはらんでいるということだ。それゆえに行政によるPCR検査などの医学検査の裏付けがかかせない(でも、実際には保健所に連絡しても検査を拒否される事例が散見される)。

--

--

良く仕組みをわかってない人が、Google/AppleのExposure Notification API(GAEN)を使用している海外の接触追跡アプリ(接触確認アプリ)をもちあげ、接触確認アプリCOCOAをけなしているのを見かけた。

「COCOAを不当にけなしている」という人も居るだろうが、正直出来があんまりよくないのは確かだろう。

だが、ロクに使ったこともないであろう海外の接触追跡アプリを持ち上げるのも違う。なぜならOSに近いコアとなる部分はGAENを採用した海外の接触確認アプリも基本全く同じだからである。「Google / Appleの作りがクソ」の可能性も十分あるのだ。実際、いくつか不具合があって更新されていたりする。

我々が目にしている接触確認アプリの本体としているものを「どら焼き」にたとえると、「あんこ」を作っているのはGoogleやApple、接触確認アプリCOCOA自体はほとんど「どら焼きのガワ」に過ぎない。

--

--

Google force installs Massachusetts MassNotify Android COVID app
https://www.bleepingcomputer.com/news/security/google-force-installs-massachusetts-massnotify-android-covid-app/

Even creepier COVID tracking: Google silently pushed app to users’ phones [Updated] | Ars Technica
https://arstechnica.com/gadgets/2021/06/even-creepier-covid-tracking-google-silently-pushed-app-to-users-phones/

アメリカ・マサチューセッツ州の接触確認アプリ”MassNotify”をAndroidスマートフォンに強制インストールさせたとのこと。

インストールされただけ、接触確認が行われず、日本におけるCOCOAと同様、ユーザーによるアクティブ化の操作が必要とのこと。

ちなみにこの接触確認アプリは行政側での開発ではなく、”Exposure Notifycation Express”によるもの。つまり「Google謹製」。

マサチューセッツ州の住民は強制インストールに気味悪がったり、あるいは、激怒してるようです…。当然です。目的が善意だからといってユーザーに確認なくアプリの強制インストールをするのは問題でしょう。

--

--

※随時更新予定

2021年6月14日前後から、Androidスマートフォンで知らないうちに接触確認アプリ COCOAがインストールされていたという話題がtwitterでチラホラ挙がっている。

もし、楽天モバイル向けの端末ならば、それは楽天モバイル側がシステムアップデートでプリインストールさせたものだと思われる。

特にごく最近の話(6月14日以降)であれば、タイミング的に見てOPPO製のReno 3A楽天版ではないだろうか。

実はRakutenブランドの端末(Rakuten mini/Rakuten Hand/Rakuten BIG/Rakuten BIGs)に関しては今年に入ってからシステムアップデート等で接触確認アプリCOCOAを組み込んでいる。

楽天モバイルのアップデート情報を見てもアップデート詳細の記述にCOCOAの記述が見当たらないが、下記のようなサイトもみられる。

COCOA追加など!「Rakuten BIG」ソフトウェアアップデート配信— Jetstream BLOG
https://jetstream.bz/archives/117962

仮にも上場企業である楽天のユーザーをだますようなやり方は理解に苦しむ。

--

--

接触確認アプリ COCOAについて追っている人は既に把握しているような話だと思う。

COCOA、グーグル・アップルOS最新仕様に未対応 政府は数カ月放置 | 毎日新聞
https://mainichi.jp/articles/20210315/k00/00m/020/165000c

( https://archive.is/3qehf )

有料記事なので全体を把握はしていないが、予想はつく。

ケータイWatchの記事が詳細に解説している。

COCOAで活用されるグーグルとアップルの「接触通知API」、初期版と現在の違いとは — ケータイ Watch
https://k-tai.watch.impress.co.jp/docs/news/1312543.html

この記事もこの記事で、「古いAPIも継続的にサポートする」という「グーグル広報」の記事の出どころが曖昧なので、その部分は信ぴょう性に欠けるように思えるのだけど。Google自身が発表してくれれば良いのだが…。

--

--