アプリに送信されるコロナ検査キットの結果は改ざんできるのか？

モバイルアプリに送信される結果の書き換えに成功したが、メーカー側は既に対策が完了

現在、様々な活動の場において新型コロナウィルスの陰性結果証明が求められるケースが増えている。では、この陰性結果証明の結果にはどの程度信用がおけるのだろうか。

ウィズセキュアは、同社のリサーチの結果、アメリカのヘルスケアテクノロジー企業であるCue Health社が市場に提供する新型コロナウィルス検査キットに問題があり、Bluetooth経由でモバイルアプリに送信される結果が改ざん可能であったことを発見したと発表した。

この問題に関しては既にCue Healthと共有し、Cue Healthによる対応策の実施が完了している。

Cue Healthが提供する新型コロナウィルス検査キットは医療用綿棒／検査カートリッジ／リーダーで構成され、約20分で検査結果をモバイルアプリに自動的にアップロードすることができる。

この検査はRNA検出法を用いて分子レベルでのウィルスの有無を調べるものであり、抗原を調べる通常の検査と比較して僅かなウィルスをも検出し、また、短時間で正確な結果を得ることができるとされている。

同社の検査キットはそのスピード／正確さ／使いやすさにより、アメリカ／EU／カナダ／インド／シンガポールにおいて、業務用および家庭用として認可された。

新型コロナウィルス検査は、鼻腔からサンプルを採取するための医療用綿棒 (スワブ) と検査カートリッジとがセットになったキットと、Cue Readerという2種類のデバイスを使用。ユーザーは綿棒で鼻腔からサンプル採取し、カートリッジにセット。

カートリッジが検査をおこない、リーダーに挿入するとそのデータがリーダーに送られ、その後、リーダーはBluetooth経由で個人のスマートフォンにインストールされたHealth App (iOSおよびAndroidで利用可能) に結果を送信する。

WithSecureはリサーチにより発見したこの問題をCue Healthに通知し、Cue Healthは迅速に対応し調査を開始し、今後の検査結果の改ざん防止対策を迅速に実施した。Cue Healthでは、WithSecure以外からはデータ改ざんの可能性や実際の改ざんがあったという報告は受けていない。

PCを使って特定のタスクを実行するデバイスメーカーは常に認識しておくべき問題

ウィズセキュアのセキュリティコンサルタントであるKen Gannon (ケン・ギャノン) 氏は、検査結果を改ざんする方法の発見について、次のように語っている。

「Cue HealthのリーダーからスマートフォンのモバイルアプリにBluetooth経由で送信されるデータをFridaスクリプトを使用して傍受することが可能でした。それにより検査結果 (陰性／陽性) を知ることができ、また、陰性→陽性および陽性→陰性という改ざんをすることができました。

そして、Health App内でプロクタリングを行い、検査結果を認証してもらいました。検査結果をどちらに変更する場合でも、プロセスは同じです。こうした方法を知っている人が実際に結果を改ざんし始めると、大きな問題になる可能性がありました」

Cue Healthで情報セキュリティおよびプライバシー担当副社長を務めるVimal Subramanian (ヴィマル・サブラマニアン) 氏は、この問題について、以下のように話した。

「当社にとって技術の信頼性と安全性は最も重要なものです。ウィズセキュアの協力により、サイバーセキュリティに関する高度な専門知識やスキルを持つ者が当社の新型コロナウィルス検査キットの結果を改ざんできてしまう可能性が存在したことを認識することができました。

Kenをはじめとするウィズセキュアのリサーチチームがこの問題を発見してくれたことに非常に感謝しています。当社では既にCue Healthアプリにおけるこの問題を修正するためのソフトウェアアップデートを行っています。

こうした問題、そしてリサーチ結果を直接当社のようなメーカー側に報告してくれることは、最終的には人々が使用する製品をより安全かつ信頼性の高いものにすることにつながります。ウィズセキュアと当社が今回行ったことは、まさにそれなのです」

本年2月初め、ニューヨークで2人の看護師が新型コロナウィルスのワクチン接種済み証明に関連した150万ドルの詐欺で起訴され （※1）、検査結果の改ざんに関する問題が浮き彫りにされた。

Gannonは昨年12月に別メーカー製の新型コロナウィルス検査キットで同様の問題を発見しているが（※2）、彼は様々なデバイスにこうしたセキュリティが潜んでいるであろうと考えている。

「私は最近、業務上の好奇心に基づいて新型コロナウィルス検査についてリサーチを行っています。今回発見したような問題は、IoTデバイスをはじめとした、PCを使って特定のタスクを実行する様々なデバイスのメーカーは常に認識しておくべきだと考えます。

今回、ウィズセキュアとCue Healthが共同作業により新型コロナウィルス検査の完全性を確保できたことは喜ばしいことではありますが、全てのデバイスメーカーにとっては、いち早くセキュリティ上の問題を発見し、ユーザーが被害を受ける前に対策を施すことが重要なのです」

今回のリサーチの詳細ついては、以下のページを参照 (英語):
https://www.withsecure.com/en/expertise/research-and-innovation/research/faking-another-positive-covid-test

※1: https://www.insider.com/long-island-nurses-arrested-millions-fake-covid-vaccine-card-scheme-2022-1

※2: https://labs.f-secure.com/blog/faking-a-positive-covid-test

関連情報：https://www.withsecure.com/jp-ja/

構成／Ara