Symantecは7日、一部のワクチンパスポートアプリにおいて、セキュリティリスクがあるとして、調査結果を報告した。
ワクチンパスポートアプリでは、QRコードを利用してワクチン接種に関する情報を表示/証明する。名前、生年月日、接種日といった個人情報に加えて、改ざんを防止するための署名などが含まれている。しかし、こういった情報が詐欺師などに入手されてしまうことで、標的型のフィッシング攻撃に利用されたり、改ざんしたデータを表示することで、アプリを悪用されてしまう可能性があるという。
そのうえで同社では、世界各国の政府機関や医療機関などが提供する40のワクチンパスポートアプリを調査。外部ストレージへアクセスする、SSL認証局への検証を無効化する、HTTPS接続を要求しない、暗号化されていないデータを送信する、クラウド認証情報をハードコードしている、という5つの項目から分析を行なった。
その結果、40のうち27のアプリが、上記5項目のうち少なくとも1項目に該当していることが分かった。Google WalletやAppleのHealthアプリについても調査したが、端末に侵入されたりするケースを除けば、セキュリティ上の問題点はなかったとしている。
また、検証用アプリについても調査を行なったところ、現時点で利用できる7つのアプリについては、これらの項目に該当しなかったとしている。
同社では、サードパーティが提供するアプリは避け、主要なプラットフォームの提供するワクチンパスポートアプリを使用するよう推奨している。あわせて、こういったアプリに限らず、プライバシーや個人情報の保護を謳うアプリには警戒し、アクセス権限の許可を適切に行なうなど、注意喚起をしている。
コメント