デジタル庁が12月20日に公開した「新型コロナワクチン接種証明書アプリ」で、通信内容のデータが見れてしまうというツイートが話題になった。投稿者は該当ツイートを削除しているが、同庁はツイートについて把握しており、触れられている内容については「問題ない」との認識を示した。
投稿の内容は、同アプリの通信解析を試みたユーザーによる「アプリがサーバ証明書を確認せずに情報送信しているから、SSLインスペクション(暗号化通信の復号)で送受信データが読めてしまう」というもの。しかし、このツイートに対し「ピンニングをしていないだけでは」との指摘が相次いだ。
ピンニングとは、特定の証明書のみに限定して通信するもので、一時期はセキュリティに対して効果があるとされていたが、近年では別のリスク面からピンニングしないケースも多いようだ。同アプリはピンニングせずに通信しているが、アプリの送信データ自体は暗号化されている。投稿者が送信内容を確認できたのは、自分自身の端末に対し、復号に必要な「ルート証明書」がインストールされているためだ。SNSでは、「ピンニングしていないほうが通信内容が検証できて透明性が高い」といった声も見られた。
同庁は「ユーザーが自身の端末に対して、明確な意図を持ってルート証明書をインストールした上で、自分のアプリで自身の通信内容を見ているからできること。他人の通信でできるわけではない」とした他、ピンニングに対しても「Google Chromeなどもピンニングしておらず、セキュリティ要件として重要ではない」と説明している。
https://www.itmedia.co.jp/news/articles/2112/21/news085.html
