GoogleとAppleは、SARS-CoV-2にさらされた可能性のあるユーザーに警告することで、新型コロナウイルス感染症と戦うための接触追跡APIとBluetoothの仕様を発表した。
アップデート 6 (2020 年 5 月 20 日 @ 1:55 PM EST): Google と Apple の接触通知 API が公衆衛生機関で利用できるようになり、新型コロナウイルス感染症の接触追跡を実装できるようになりました。
アップデート 5 (2020 年 5 月 4 日 @ 3:25 PM EST): AppleとGoogleは、暴露通知APIのスクリーンショットをいくつか共有し、位置追跡が禁止されることを発表した。
アップデート 4 (2020 年 4 月 29 日 @ 2:30 PM EST): Apple と Google は、公衆衛生機関向けに接触通知 API のベータ版をリリースしました。
アップデート 3 (2020 年 4 月 24 日 @ 3:15 PM EST): Apple と Google は、接触追跡 API の名前を「接触通知」に変更し、プライバシー保護を強化します。
アップデート 2 (2020 年 4 月 24 日 @ 午前 11 時 30 分 (EST)): AppleとGoogleの接触追跡APIは来週公開され、ほとんどのHuaweiデバイスが含まれる予定だ。
アップデート 1 (2020 年 4 月 13 日 @ 5:51 PM EST): GoogleとAppleは記者との電話会議で、接触追跡がユーザーにどのように展開されるかについて、さらに詳細を明らかにした。
SARS-CoV-2 による継続的な脅威を受けて、Google と Apple は提携して、「Contact」と呼ばれる新しい API と Bluetooth Low Energy 仕様を発表しました。 接触追跡の背後にある考え方は、陽性と診断された人と最近接触したかどうかをユーザーに知らせることです。 COVID-19(新型コロナウイルス感染症。 韓国と台湾は新規感染者数を制限し「曲線を平坦化」することに成功した 広範な検査と接触を実施することにより、医療システムの能力を下回るようにする 追跡中。 による AP通信, チェコ共和国、イギリス、ドイツ、イタリアを含むヨーロッパのいくつかの国は、独自の接触追跡ツールを開発しています。 Apple と Google は、世界中の国々や医療機関にウイルスの蔓延を追跡できるようにしたいと考えています。 しかし両社は、このパンデミックの封じ込めに伴う潜在的なプライバシー上の懸念も認識している 方法。 そのため、両社は「ユーザーのプライバシーとセキュリティを設計の中心に据えて」新しい API と Bluetooth 仕様を作成したのです。
Google と Apple は、新しい API と Bluetooth LE サービスを展開するという目標を概説するブログ投稿とドキュメントを公開しました。 緊急の必要性があるため、両社は 2 段階でこの問題に取り組んでいます。 まず、両社は 5 月に、「アプリを使用した Android デバイスと iOS デバイス間の相互運用性を可能にする API」をリリースします。 これらのアプリは、ユーザーが Google Play ストアおよび Apple App でダウンロードできるようになります。 店。 Android では、Google Play サービスの更新を通じて API がアプリで利用できるようになる可能性があります。 次に、今後数か月以内に、Google と Apple の両社は、Android と iOS に新しい Bluetooth Low Energy サービスのサポートを追加する予定です。 iOS の場合、この新しい BLE サービスは OS アップデートによって提供される可能性が高く、Android の場合、このサービスは Google Play Services への別のアップデートの一部として追加される可能性があります。 Googleは、Bluetooth LE接触追跡サービスの追加は「APIよりも堅牢なソリューションであり、より多くの個人が利用できるようになるだろう」と述べている。 オプトインを選択した場合は参加するだけでなく、アプリや政府の保健のより広範なエコシステムとの対話を可能にします 当局。"
アプリに新しい API が統合されるか、BLE 仕様が統合されると、Android および iOS ユーザーは次のことを行うことができます。 最近感染症と診断された人と接触した場合に通知を受け取る COVID-19(新型コロナウイルス感染症。 特に、BLE ソリューションでは、ユーザーがアプリケーションをインストールする必要はありません (おそらく、必要なのは Google Play サービスだけです)。 公式アプリのいずれかをインストールすることを選択した場合、そのアプリは、通知を受け取った後に実行する次の手順を通知できます。 通知。 これにより、ユーザーは14日間の自己隔離が必要か、それとも検査やさらなる医療介入が必要かを判断できるようになる。 Google と Apple がこの新しい Bluetooth LE サービスで実現できると想定しているフローの例を次に示します。
Bluetooth Low Energy を使用した新型コロナウイルス感染症 (COVID-19) の接触追跡の概要。 出典: Google/Apple。
Google は、ユーザーのプライバシーとセキュリティを保護するために新しい Android Contact Tracing API をどのように設計したかについて次のように述べています。
- startContactTracing メソッドを介して API を呼び出すアプリは、接触追跡を開始するためにユーザーの同意を得る必要があります。 API を初めて呼び出す場合は、トレースを開始する許可を求めるダイアログがユーザーに表示されます。
- この API を使用するためにホワイトリストに登録されるために、アプリは「配信前にキーのセットにタイムスタンプを付け、暗号的に署名する必要があります。」 認可された医療機関の署名のあるサーバー。」言い換えれば、無許可の新型コロナウイルス感染症アプリはこれを使用することを許可されません。 API。
- ユーザーがアプリをアンインストールすると、stopContactTracing メソッドが「自動的に呼び出され、データベースとキーがデバイスから消去されます」。
- ユーザーは、新型コロナウイルス感染症 (COVID-19) の陽性診断を確認した後、14 日間の毎日のトレース キーをアップロードすることに明示的に同意する必要があります。 アプリが startSharingDailyTracingKeys メソッドを呼び出すと、ダイアログがユーザーに表示されます。
- ユーザーには、感染の可能性のある人物と接触した日付と接触時間が 5 分単位で表示されますが、誰とどこで接触したかは表示されません。
新しい BLE 接触検出サービスがユーザーのプライバシーとセキュリティをどのように保護するかは次のとおりです。
- この仕様では、ユーザーの位置情報やその他の個人を特定できる情報は必要ありません。 位置情報の使用は完全に任意であり、ユーザーが明示的に同意した後にのみ行われます。
- ローリング近接識別子は平均して 15 分ごとに変更されるため、「時間が経っても Bluetooth 経由でユーザーの位置を追跡できる可能性は低くなります」。
- 他のデバイスから取得された近接識別子は、「デバイス上で排他的に処理されます」。 これは、「連絡を取った人のリストが携帯電話から離れることは決してない」ことを意味します。
- 接触者追跡に貢献するかどうかはユーザーが決定します。 新型コロナウイルス感染症 (COVID-19) と診断されたユーザーは、診断キーをサーバーと共有することに同意する必要があります。 ユーザーの接触追跡への参加については透明性が確保され、「陽性反応を示した人は他のユーザーには特定されず、 Google、または Apple。「実際、この情報は」新型コロナウイルス感染症パンデミックに対する公衆衛生当局による接触追跡にのみ使用されます。 管理。"
- 念のために言っておきますが、ハードウェアと OS が正常に動作している場合、コンテンツ検出サービスはデバイスのバッテリーを大幅に消費することはありません。 「公共スペースにおける大量の広告主に対応する」ため、「Bluetooth コントローラーの重複フィルターとその他の [ハードウェア] フィルター」をサポートします。 スキャンは「日和見的」です。つまり、既存のスリープ解除およびスキャン ウィンドウ サイクル内で実行できますが、少なくとも 5 回ごとに実行されます。 分。
新しい接触追跡の仕様はユーザーのプライバシーとセキュリティを念頭に置いて設計されているため、新型コロナウイルス感染症の蔓延を制限するのにどれほど効果があるかについては議論の余地があります。 によると ザ・ヴァージ、そのようなオプトイン型の非侵襲的な接触追跡手段は、効果が限られている可能性があります。 この問題は、国民に広く普及していないことと、Bluetooth 近接イベントの誤検知が多数発生する可能性があることに要約されます。 それでも、この新しい取り組みが成功することを願っています。 Google と Apple が何かで協力するのは珍しいことですが、絶望的な時代には必死の対策が必要です。
出典: Google ブログ投稿, 新型コロナウイルス感染症(COVID-19)の接触追跡の概要, 接触追跡 BLE 仕様, 接触追跡の暗号化仕様, Android 接触追跡 API 仕様
アップデート 1: 詳細
GoogleとAppleは記者との電話会議で、今後の接触追跡APIに関するいくつかの点を明らかにした。 (「フェーズ 1」の一部として 5 月中旬に展開) および BLE 接触検出サービス (今年後半に「フェーズ 1」の一部として展開) "フェーズ2")。 によると テッククランチ そして アクシオス、接触追跡 API と BLE 接触検出サービスの両方が Android デバイスで利用可能になります。 Google Play サービスのアップデートに従う - Android スマートフォンが Android 6.0 を実行している限り マシュマロ。 Google Play 開発者サービスの更新は Google Play ストアを通じてバックグラウンドでサイレントに行われるため、ユーザーはデバイスを手動で更新したり、OS を更新したりする必要がありません。
BLE 接触検知サービスの導入により、ユーザーは接触するためにアプリケーションをインストールする必要がなくなります。 Googleによると、陽性接触イベントが発生した場合でも、ユーザーは関連する公衆衛生アプリをダウンロードするよう促されるという。 検出されました。 これは、ユーザーが取るべき次のステップを決定するのに役立ちます。 Appleは、データはデバイス上でローカルに処理された後、世界中の公衆衛生機関が運営するサーバーに「中継」される可能性があるが、集中化されたデータサーバーは存在しないと述べている。 これにより、政府やその他の悪意のある主体による監視の実施が困難になります。 によると アクシオス、各国は独自のサーバーを実行することも、Apple や Google のサーバーを使用することもできます。 人々が偽陽性の診断を提出するのを防ぐために、Apple と Google は公衆衛生機関と協力して診断を確認する方法を検討しています。
Google が Google Play サービスのアップデートを通じて Android デバイスに接触追跡機能を導入することが確認されたため、Google モバイル サービスのない数百万台のデバイスはどうなるでしょうか? もちろん、私が言っているのは、中国にある数百万台のデバイスと、Huawei と Honor がリリースした新しいスマートフォンのことです。 によると ザ・ヴァージ、Googleは「これらの企業が安全で匿名の追跡を複製するために使用できるフレームワークを公開するつもりです」 Google と Apple によって開発されたシステムです。」したがって、それを使用するかどうかはサードパーティの判断に任されています。 システム。 Googleは、接触者追跡フレームワークがオープンソース化されるかどうかは確認していないが、システムの導入を希望する企業にコード監査を提供すると述べた。
アップデート 2: 初期展開、ファーウェイの関与
当初は「5月中旬」に稼働する予定だったが、AppleとGoogleの接触追跡スケジュールが前倒しされたようだ。 欧州委員会国内市場担当のティエリー・ブルトン氏によると、計画のフェーズ1は4月28日に開始される予定だという。 この情報はApple CEOのティム・クック氏からブレトン氏に提供された。
接触追跡のフェーズ 1 は API に関するものです。 これらの API は、サードパーティのアプリケーションではなく、公衆衛生機関に代わって作業する開発者によって使用されます。 API は Google Play サービスのアップデートを通じて利用可能になり、Android 6.0 以降と Bluetooth Low Energy を搭載したほとんどのデバイスで接触追跡をサポートできます。
もちろん、最近の Huawei および Honor デバイスには Google Play サービスがありませんが、古いデバイスの多くには依然として Google Play サービスがあります。 テックレーダー これらの古いデバイスでは、 ない Huawei Mate 30、P40、Honor V30などがロールアウトに含まれます。 他の Huawei/Honor デバイスに関しては、前回の記事更新では、Google が「 これらの企業は、Google によって開発された安全で匿名の追跡システムを複製するために使用できるフレームワークと、 りんご。"
出典 1: レゼコー | 経由: テッククランチ | 出典 2: テックレーダー
アップデート 3: さらなるプライバシー保護
AppleとGoogleは現在、接触追跡計画を「接触通知」と呼んでおり、このツールの目的をより適切に説明しているとしている。 また、保健当局が API とプライバシー保護をどのように微調整できるかについて、さらに詳しい情報もあります。
API は Bluetooth を使用して、陽性反応を示した人の近くにいたかどうかを検出します。 しかし、それは不正確になる可能性があります (十分に近くにいなかったり、背後にいない人を検出したりする場合)。 壁)。 API は Bluetooth 信号の強度を共有するため、保健当局は「接触イベント」を構成するものについて独自のしきい値を設定できます。
API は、個々の「接触イベント」から経過した日数を共有します。 2人が接触していた正確な時間は共有されない。 むしろ、最小 5 分から最大 30 分まで 5 分刻みで暴露時間の推定値のみを共有します。 保健当局はこの情報を使用して、イベントが発生してからどれくらい経ったかに基づいてユーザーへのガイダンスを変更できます。
Bluetooth メタデータは、逆識別攻撃で個人を追跡するために使用されるのを防ぐために暗号化されます。 このメタデータには、信号強度やその他の情報が含まれます。 暗号化アルゴリズムは、これまで使用していたHMACからAESに変更されている。 AES 暗号化は多くのモバイル デバイスで高速化できるため、API の電力効率が向上します。
最後に、潜在的な接触を追跡するために使用されるキーは、特定のデバイスに永続的に関連付けられている「トレース キー」から 24 時間ごとに導出されるのではなく、ランダムに生成されるようになりました。 これにより、デバイスに直接アクセスできる攻撃者が、トレース キーからキーがどのように生成されるかを理解できる可能性が排除されますが、これはすでに非常に困難です。
出典 1: アクシオス | 出典 2: ブルームバーグ | 出典 3: テッククランチ
アップデート 4: ベータ API が利用可能になりました
Apple と Google は、接触通知 API (以前は「接触追跡」と呼ばれていました) を本日よりプライベート ベータ版で公開します。 Google は Google Play Services を通じてベータ アップデートをリリースしているため、Bluetooth Low Energy を備えた Android 6.0 以降のデバイスで動作します。 公衆衛生機関は Android Studio でこれらの API を使用し、テストを開始できます。
API の安定バージョンは今後数週間以内にリリースされる予定です。 両社が一貫して繰り返し述べているように、この API はサードパーティ開発者による使用を意図したものではありません。 これは公衆衛生機関向けであり、これらの機関の開発者による作業が完了したら、そこからアプリをダウンロードすることになります。
ソース: ブルームバーグ
アップデート 5: スクリーンショット、位置追跡なし
Apple と Google は、暴露通知 API に関するさらなる情報を引き続きリリースしています。 まず両社は、契約追跡アプリをそれぞれのアプリストアに掲載するために公衆衛生当局が従う必要があるいくつかのガイドラインを共有した。 アプリによるデバイスの位置データの収集は禁止されており、API は国ごとに 1 つのアプリに制限されており、収集されたデータはターゲットを絞った広告に使用できません。
API の制限は 1 国あたり 1 アプリに制限されていますが、これは断片化を減らすためですが、Apple と Google は柔軟に対応し、複数のアプリが必要になる可能性がある国の政府と協力する予定です。 たとえば、接触追跡が地域ごとまたは州ごとに行われている国などです。
Apple と Google は、接触通知の設定とアプリがどうあるべきかを示したモックアップ スクリーンショットもいくつか共有しました。 上の画像は、Google Play 開発者サービスの新しい「COVID-19 接触通知」セクションを示しています。 このセクションでは、有効になっているかどうか、およびどのアプリが暴露通知を送信できるかを示します。 ユーザーはここからアプリを起動し、過去 14 日間に行われた「露出チェック」の数を確認したり、ランダム ID を削除したり、通知をオフにしたりできます。
Google はまた、Exposure Notice API を使用するアプリがどのようなものかを示すいくつかのサンプル スクリーンショット (上) も共有しました。 このアプリのソースコードは以下で公開されています 会社の Github ページ 保健機関がアプリの構築にそれを使用したい場合。
出典: ベンチャービート, 9to5Google, 9to5Google
アップデート 6: API ライブ
数週間の準備を経て、Apple と Google は現在、公衆衛生機関が使用できる接触通知 API をリリースしています。 特に Google は、新しい API を含む Google Play サービスのアップデートを展開しています。 公衆衛生機関の開発者は、これらの API を使用して、新型コロナウイルス感染症用の接触追跡アプリを実装できるようになりました。 米国の 3 つの州は、この API を使用して開発中のプロジェクトをすでに発表しています。 合計 22 か国が API へのアクセスを受け取りましたが、正確にどの国かはわかりません。
ソース: グーグル, ザ・ヴァージ