以下の文章は、電子フロンティア財団の「Daycare Apps Are Dangerously Insecure」という記事を翻訳したものである。
昨年、EFFのあるスタッフが子供を入園させたところ、すぐに保育管理アプリをダウンロードするよう言われたという。保育園や幼稚園のアプリは、授乳やおむつ交換、写真、アクティビティ、送迎などを保護者に通知するために使われることもあるし、入園したばかりの子どもとその保護者の分離不安を解消する上では有益な機能ではあるのかもしれない。だが、我々のようなプライバシーを重視する組織で働く者として考えずにはいられない。こうしたアプリの使用は強制なのか? セキュリティは大丈夫なのか? 残念ながら、前者の答えは「イエス」だった。保育所・幼稚園側が保健所のガイドラインに従い、不要な接触を避けるためのものでもあったからだ。だが厄介なことに、2番目の答えは「ノー」だったのである。
この種のサービスではよくあることだが、ごく一握りのアプリが突出して人気がある。そこで、まずは使うように指示されたアプリから調査を進め、それから業界全体に目を向けてみることにした。
(大半は)つれない反応
最近では、ユーザのログインを認証するために2つの異なる手段を用いる2要素認証(2FA)が一般的である。EFFも、2FAは簡単にセキュリティを向上させる手段としてたびたび推奨してきた。したがって、保育(Daycare)アプリには当然の機能だと思われた。
2021年10月、人気の保育サービス「Brightwheel」のモバイルアプリに2要素認証がないことについて連絡しようとした。だが、セキュリティの問題や懸念の報告窓口をサイト上で探し回ったものの、見つけることはできなかった。
数回のよそよそしいメールのやりとりを経て、ミーティングの機会を得た。Brightwheel は、すべての管理者と保護者に2FAを導入すると約束してくれたのでホッとした。同社がそれを発表したとき、彼らは「業界初のセキュリティ水準」だと謳っていた。実に興味深い文句ではあるが、同時に大いに懸念もされた。
本当に「業界初」なのか? 残念なことに、どうもそのようだった。そこで、他の人気の保育アプリにも働きかけを行うことにした。2022年4月、別の人気アプリ「HiMama」の技術担当副社長に連絡(返答なし)。次に、HiMamaのサポートメールに2FAに関する問い合わせメールを送付。我々の機能リクエストは製品チームに送られ、参考にさせて頂く、という迅速かつあてにならない返信が返ってきた。そこで、さらに詳しく調べてみることにした。
さらなる掘り下げ――と冷遇の歴史
人気の保育・幼児教育アプリを調べてみると、2FAがないだけでなく、もっと多くの問題を抱えていることがすぐにわかった。いくつかのアプリを静的・動的に分析すると、セキュリティの問題のみならず・プライバシー侵害的な機能も発見された。たとえば、脆弱なパスワードポリシー、Facebookのトラッキング、平文での通信(cleartext traffic enabled)、悪意あるアプリがセンシティブデータを閲覧するためのベクターなどなど。
調査ツールや調査手法について記しておくと、アプリケーションコードの静的解析にはMobSFとapktoolを、動的解析にはmitmproxy、Frida、adb(Android Debug Bridge)を使用し、ネットワークトラフィックとアプリの挙動を取得した。
当初、こうしたサービスの多くが問題意識を持っていないのだろうと考え、脆弱性があれば各社に開示するつもりだった。だが、アプリのセキュリティ問題を指摘しても暖簾に腕押しだったのは、何も我々だけではなかったようだ。
2022年3月、AWARE7、Institute for Internet Security、Max Planck Institute for Security and Privacy、Ruhr University Bochumの学術・セキュリティ研究者グループが、オーストラリア・シドニーで開催されたPET (Privacy Enhancing Technologies) シンポジウムで論文を発表した。彼らは問い合わせへの応答がほとんどがなかったことについて、次のように述べている。
「子どもたちのデータが危機に直面していること、その開示プロセスへの応答がほとんどなかった(42社中6社(±14%)が開示に応答した)ことから、我々の取り組みがこのセンシティブな問題への注意喚起になることを期待している。保育園の経営者、保育士、保護者はこの種のアプリを自力では分析できない。したがって、どのアプリにするかを決める手助けが必要とされている」
実際、研究者らは2021年11月に我々が調査していたのと同じアプリの多くに脆弱性があることを開示していた。子どもたちのデータが危険にさらされていることを知ったにも関わらず、この業界ではセキュリティ管理が最優先課題となることはなかった。また、プライバシーの問題も残っていた。たとえばTadpolesのAndroidアプリ(v12.1.5)は、イベントベースのアプリアクティビティをFacebookのグラフAPIに送信し、さらに広範囲に及ぶデバイス情報をBranch.ioに送信していた。
[関連:iOS/Androidで広告IDのトラッキングを停止する方法と、今すぐそうすべき理由]
Branch.ioのプライバシーポリシーでは、こうした情報を販売、「貸与」しないと述べられているが、送信されるデータの粒度は極めて細かく(デバイスのCPUタイプに至るまで)、Tadpolesアプリの外部で親/保護者の詳細なプロファイルが作成されてしまう。このプロファイルは、Branch.ioの合併・買収の際のデータ共有の対象にもなっている。Tadpolesのプライバシーポリシーでは、Branch.ioもFacebookもまったく記載・言及されてはいない。
クラウドセキュリティに関する注意点
多くの保育アプリに共有するもう1つのトレンドは、クラウドサービスだから安全であるかのように謳っていることだ。こうしたアプリはしばしば、最高級のセキュリティを提供するために「クラウド」を使用していると述べている。たとえばHiMamaは、Amazon AWSについて「政府の機密アプリの実行に適しており、300以上の米国政府機関や海軍、財務省、NASAで使用されています」とインターネット・セイフティ・ステートメントで言及している。これは技術的には正しいのだが、AWSには政府のサーバおよびそのサーバ上のアプリケーションに要求される政府基準を満たすよう特別に分離・構成されたサービス(AWS GovCloud)が存在する。いずれによ、アプリが標準的なクラウド提供であれ、政府レベルのクラウド提供であれ、大部分の設定、アプリケーションセキュリティは開発者・企業次第である。HiMamaなどの保育アプリは、自社の利用するクラウドサービスの具体的なセキュリティ設定について強調すべきだろう。
保育ニーズと情報に基づく選択のコンフリクト
急に保育が必要になり、自宅や職場近くに保育園がピンポイントにあるという場合、保育園が選択したアプリに不満があっても、喧嘩を売るようなマネはしたくない。また、保育園や幼稚園は、特定のアプリを使用するよう義務づけられているわけでもない。だが、彼らは第三者が子どもたちのデータを倫理的かつセキュアに扱ってくれることを信頼するよりほかない。COPPA(児童オンライン・プライバシー保護法)のような規制は、こうしたアプリには適用されない可能性が高い。一部のサービスプロバイダは、13歳未満の子供から直接データを収集しないというCOPPAを念頭に置いたポリシーを設定していたり、別のあるアプリではCOPPAの遵守を約束する文言もあった。
データセキュリティの実態について保護者に誤解を与えかねない曖昧な表現、保育園向けの少ない選択肢(特にパンデミックの最初の2年間)、漏洩しかねないインセキュアなアプリ、アカウントのセキュリティ管理オプションの欠如などによって、保護者は十分な情報を得た上でプライバシーに関する決定を下すことができない状況にある。
保育・幼児向けアプリへの要請
この種のアプリを開発する企業は、一般的かつ容易に修正可能なセキュリティの脆弱性を放置しないことが極めて重要である。保護者や学校に対して適切なセキュリティ管理を行い、アプリのインフラを強化することは、子どもたちのデータを扱うアプリ、とりわけ保育業界が相手にしている幼い子どもたちにとって、最優先事項であるべきだ。この種の全てのサービスに対し、以下の基本的な保護とガイドラインの遵守を最優先に実施することを求める。
緊急の課題
- すべての管理者・スタッフに2FAを利用できるようにする
- モバイルアプリの既知のセキュリティ脆弱性に対処する
- トラッカーやアナリティクスを導入している場合はそれを開示し、その使用法についても開示する
- 書き換え不能なクラウドサーバイメージを使用する。さらに、サーバ上の古い技術を継続的にアップデートするプロセスを導入する
- 子供のビデオや写真を保存するパブリッククラウドバケットをロックダウンする。こうしたセンシティブなデータは一般公開されるべきものではなく、アクセス・閲覧できるのは保育園と親/保護者に限定すべきである。
こうした修正によって、話すこともできない幼い子どもたちのデータを扱うための、より安全かつプライベートな環境を構築できるだろう。だが、子どもたちのプライバシーに関する業界のベンチマークとなるようなアプリを作ろうとするなら、さらに多くのことが求められる。
強く推奨される課題
学校と保護者間のE2EE(エンドツーエンド暗号化)メッセージング
学校と保護者とのコミュニケーションは、極めてセンシティブなものであると考えるべきである。学校と保護者とのコミュニケーションをサービス自身が閲覧する必要性はない。
脆弱性を報告するためのセキュリティ窓口の構築
EFFとAWARE7らの研究者は、複数のアプリケーションの問題を発見したが、適切な報告窓口を見つける事ができなかった。企業のサポートメールからの返信を待たなければならないというのではなく、研究者が適切な担当者とコンタクトを取れるようにすべきである。簡素なsecurity.txtをウェブサイトに掲載しておくことが望ましい。
我々EFFのスタッフは親でもある。そして、現在の状況は親にとって公正とは言い難い。もし我々がより良いデジタルの未来を望むのであれば、今日のより良いスチュワードになることからはじめて、まだ一歩も踏み出していない子どもたちのプロファイリングやデータ侵害の前例を作り出さないようにしなければならない。
MITM Proxy Traffic Sample Capture: Tadpoles
Daycare Apps Are Dangerously Insecure | Electronic Frontier Foundation
Author: Alexis Hancock / EFF (CC BY 3.0 US)
Publication Date: June 21, 2022
Translation: heatwave_p2p
Header image: Markus Spiske