エンタープライズ向けスマートコントラクト・プラットフォーム「ベースラインプロトコル」の医療検査分野への適用に取り組んでいる開発者が、ブロックチェーンを利用した新型コロナウイルス感染症(COVID-19)の濃厚接触検出・追跡(コンタクト・トレーシング)ソリューションを提案した。その中で、アップルとGoogleの濃厚接触検出・追跡技術において確認された問題の解決に取り組んでいるという。

アップルとGoogleによるコンタクト・トレーシング

アップルとGoogleは2020年4月10日、政府と保健機関による感染拡大防止活動の支援をうたい、Bluetoothを利用し濃厚接触の検出・追跡を可能にするソリューションを共同発表した。AndroidおよびiOS端末間で相互運用可能なAPIを5月にリリースするそうだ。さらに発表後数ヵ月をかけて同APIをOSに組み込むことで、より広範にコンタクト・トレーシングを行えるプラットフォームの実現を目指すという。

発表によると、Bluetooth LE(Low Energy)技術のBLE Beacon機能を利用し、10~15分間などの間隔でローリング近接ID(10分間ごとに変更)を発信し合い、受け取り日時と電波強度を履歴としてデバイス上に14日間記録する。GPSと違い、Bluetooth規格では距離や方角などの情報は持てないものの、電波強度によってデバイス間の距離を割り出すようだ。

感染が確認された場合、そのスマートフォンの持ち主の日次診断キー(ローリング近接IDの基盤)が「中央サーバー」にアップロードされる。アップルとGoogleの共同APIを利用している公衆衛生当局製アプリは、これを基にローリング近接IDを再生成した上で保存中のIDと比較し、濃厚接触したかどうかを検出する。検出処理はスマホ上で行われ、その結果が中央サーバーに報告されることはないそうだ。

日本では、「東京都新型コロナウイルス感染症対策サイト」開発を手がけた非営利団体コード・フォー・ジャパンが4月15日、「コンタクト・トレーシング・アプリ」を発表した。シンガポール政府が公開したオープンソースプロジェクト「BlueTrace」を基に5月公開目途として開発を進めており、アップルとGoogleの共同APIにも対応予定としている。

アップルとGoogleの共同APIで確認されてセキュリティ上の問題

ベースラインプロトコルは、大手監査法人アーンスト・アンド・ヤング(EY)、イーサリアム開発企業コンセンシス、マイクロソフトの3社によるエンタープライズ向けプラットフォーム。ゼロ知識証明(zk-SNARKs)による暗号化、メッセージングシステムWhisper、ブロックチェーンといった技術を組み合わせたオープンソースプロジェクトとなっている。企業が機密データをブロックチェーン上に残すことなく、イーサリアムまたはイーサリアム 2.0上で安全や匿名性を維持してビジネスを展開できる。

コンセンシスのグループ・エグゼクティブであるジョン・ウォルパート氏は、悪意を持つ第三者が、アップルとGoogleの取り組みを悪用できる2種類の重要な機会を特定しているそうだ。

「誰かのローリング近接IDを自分のデバイス上のID履歴に入れることで、悪意を持って騒ぎを起こせる。また自分の状態を感染したと偽って設定し、騒乱を起こせる方法を見つけたり、自分を感染していないと設定したりできる」

これらの問題を解決するため、ウォルパート氏は「Bluetoothキーと他の属性は、近くの近隣デバイスとBluetooth経由でやり取りされ、当事者のデバイスが実際に近くに存在したと確認したことを証明する。否認防止のリスクはもうない」(ベースラインプロトコル基盤の)システムを提案している。

同様にウォルパート氏は、ベースラインの証明に反したステータス情報の配信(を行う個人)が識別できるよう、ブロックチェーン基盤の暗号証明に対してテスト結果を検証するよう提案した。

ベースラインによる分散コンタクト・トレーシング

またウォルパート氏は、「(アップルとGoogleの)ソリューションは、『匿名』IDが政府や他組織にプールされることを意味している」と述べており、アップルとGoogleが匿名性をうたうものの、その取り組みが根本的に中央集権的であることを問題にしているようだ。

またベースラインを利用することで、Googleやフェイスブックが明文化した計画よりもプライバシー保護とセキュリティに優れたコンタクト・トレーシングを提供できると主張した。

「検査で陽性だった場合、あなたの(IDをハッシュ関数により変換した)ハッシュ値は、〔中略〕『感染』のような新しい値に関連付けられる。ハッシュ値が(接触履歴などの)リストに含まれている人は誰でも、(イーサリアムの)メインネット上で確認できる。〔中略〕あなたの検査結果が陽性だった場合、自分の接触履歴リストに感染確認者(あなた)を含む者は誰でも次のようなアラートを受け取る。『このボタンをクリックして、アメリカ疾病予防管理センター(CDC)に連絡先を報告する』」

ウォルパート氏は、このシステムが「AI技術に長けた友人がいる政府が、「興味深い」学習済みアルゴリズム(分類器)を生成可能にするような、『匿名』IDのグループ」の収集を防ぐと述べた。

翻訳・編集 コインテレグラフジャパン