Android版「COCOA」の不具合、4ヶ月間にわたり見逃されたことを問題視 | ScanNetSecurity
2024.06.13(木)

Android版「COCOA」の不具合、4ヶ月間にわたり見逃されたことを問題視

厚生労働省は4月16日、新型コロナウイルス接触確認アプリ「COCOA」(Android版)で発生したアプリ利用者に接触通知が到達しない不具合について、報告書をまとめ公表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 6 枚 拡大写真
厚生労働省は4月16日、新型コロナウイルス接触確認アプリ「COCOA」(Android版)で発生したアプリ利用者に接触通知が到達しない不具合について、報告書をまとめ公表した。

新型コロナウイルス接触確認アプリ「COCOA」(Android版)では、2020年9月28日のバージョンアップ(1.1.4 バージョンアップ)以降に利用者に対し接触通知が到達しない不具合が発生しており、厚生労働省では「COCOA 不具合調査・再発防止策検討チーム」を設置、1.1.4 バージョンアップとその後の経過について関係者へヒアリング等を行い、事実関係を調査整理するとともに外部のIT専門家から技術的助言を得ながら、再発防止策等をまとめた。

COCOAは2020年5月27日に、厚生労働省からパーソルプロセス&テクノロジー株式会社に開発と7月31日までの運用保守を委託、株式会社エムティーアイ、日本マイクロソフト株式会社、株式会社IXER、株式会社イーガーディアン、ディザイアード株式会社への再委託を承認し、6月19日にはバージョン1.1.0版をリリース、7月31日にはパーソルプロセス&テクノロジー社との契約を2021年3月31日まで延長していた。また9月1日に、ソースコードをGitHub上で公開、11月25日にはGitHub上でAndroid版の「接触があっても検知・通知が行われない障害」について指摘があり、12月4日に検討リストに追加していた。

同報告書によると、「接触通知までの一連の流れに係る結合テスト」は行わずに1.1.4 バージョンのリリースを行った判断について、当時はテスト環境が整備されておらず一定程度やむを得ない判断であったとしているが、テストを行わずにリリースするリスクを、厚生労働省もCIO補佐官や事業者と同程度に認識していれば、2020年10月12日以降にテスト環境が整備された後に、事後的に当該テストを行うことが優先的な課題として位置付けられた可能性もあったと指摘している。また、関係者間でテスト環境の整備の目的自体が認識共有されていなかった点を問題視している。

テスト環境整備後も、厚生労働省側の問題点として、テストに対する認識が低く業者任せにしたことを、事業者側の問題点として、厚生労働省と具体的かつ明確な認識共有が図れておらず、テスト環境の整備後において標準的なテストケース等の検討・提案などが行われなかったこと等を挙げている。

GitHub上で問題が指摘されたが対応が行われなかったこと等について、2020年9月頃に厚生労働省は GitHub の Issue についての管理を追加依頼したが、事業者側では、誰がいつどのように行うか具体的な業務フローがあいまいであり、その原因として、明確な役割分担が行われておらず、事業者間のコミュニケーションが不足していたため、各々が「他がやっているだろう」という思い込みを持っていたこと等が考えられるとしている。

同報告書では以上を含めたまとめとして、不具合が発生したこと以上に、不具合が4ヶ月間にわたって見逃されたことがより大きな問題であったとしている。

再発防止策として、同報告書では事業の委託・再委託等に当たり、文書等により明確かつ継続的なコミュニケーションの徹底と指示内容の明確化等、重層的な確認を行うことが適切として挙げている。

同報告書で取り上げられた、テストを行わずにリリースするリスクの認識、関係者間でテスト環境の整備の目的自体が認識共有されていなかったこと、業務フローがあいまいで明確な役割分担が行われていなかった点、コミュニケーションが不足し、各々が「他がやっているだろう」という思い込みを持っていた点などは、不正アクセス対策やヒューマンエラーによる情報漏えい等の全てのセキュリティ管理に関わることと言えるだろう。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

    イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

  2. 失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

    失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

  3. 6日後 警察署から「見つかった」~ 日刊工業新聞社のノートパソコンとスマートフォンが盗難被害

    6日後 警察署から「見つかった」~ 日刊工業新聞社のノートパソコンとスマートフォンが盗難被害

  4. 不正アクセス 盗まれたのは公式サイトのドメイン

    不正アクセス 盗まれたのは公式サイトのドメイン

  5. デジタル庁「テキスト生成 AI 利活用におけるリスクへの対策ガイドブック(α版)」公開

    デジタル庁「テキスト生成 AI 利活用におけるリスクへの対策ガイドブック(α版)」公開

  6. 「タリーズ オンラインストア」への不正アクセス、イオン銀行ではカードの不正利用早期に発見体制を整備

    「タリーズ オンラインストア」への不正アクセス、イオン銀行ではカードの不正利用早期に発見体制を整備

  7. 公開範囲「パブリック」で生徒の個人情報アップロード、都立高校教諭が Microsoft Teams に

    公開範囲「パブリック」で生徒の個人情報アップロード、都立高校教諭が Microsoft Teams に

  8. 山口県信用保証協会のメールアカウントを不正利用、迷惑メール大量送信確認

    山口県信用保証協会のメールアカウントを不正利用、迷惑メール大量送信確認

  9. PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

    PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

  10. CTFの覇者 市川遼が目指す「GMOイエラエの技術者が攻撃しようとするときに最初にやること全部の完全自動化」~ ネットde診断 for ASM

    CTFの覇者 市川遼が目指す「GMOイエラエの技術者が攻撃しようとするときに最初にやること全部の完全自動化」~ ネットde診断 for ASMPR

ランキングをもっと見る