セキュリティ問題が繰り返し指摘されてきたホワイトハウス公式アプリが、よりにもよって米国土安全保障省(DHS)の職員端末へ自動配布されます。Politicoが入手した職員宛メールをもとに、Android Authorityなどが報じました。一般ユーザーが同アプリを使うと、タイムゾーン・IPアドレス・端末モデル等のデータが第三者サービスへ共有される構造で、読者にとっても無関係な話ではありません。
ロシア製コード混入アプリ、DHSの全公用端末へ自動配布
Android Authorityによると、Politicoが入手したDHS職員宛メールに、ホワイトハウス公式アプリをすべての公用端末へ自動インストールする旨が記載されており、この情報はGizmodo経由でも伝えられています。メール文面では同アプリについて「お知らせ、大統領令、演説、ライブ配信、動画、その他のアップデートを含む、ホワイトハウスからの公式コミュニケーションに便利にアクセスできる手段」と説明されていたといいます。
もっとも、同アプリの実体は「ホワイトハウス公式サイトの単純なラッパー」に近く、表示される情報の大半は他の経路からも入手可能だと指摘されています。リリース時点から、わざわざインストールする理由はほとんど見当たらないという見方が示されています。
一般ユーザーのIP・端末モデルが第三者へ——読者にも直結するリスク
問題視されているのはアプリ自体のセキュリティ実装です。コードがサードパーティのリポジトリから読み込まれている点が以前から指摘されており、ロシア発祥のソフトウェアキット企業であるElfsightのコードが利用されているとも報じられています。
ホワイトハウス側は「ElfsightはホワイトハウスITによるフルセキュリティレビューを通過し、利用が承認された」と説明していますが、米国政府の公式アプリの構成要素としては意外な選択だと評価されています。
さらに重大なのは、Elfsightを介してホワイトハウススタッフの個人情報が公開状態になっていたとの報道がある点です。 これに対してホワイトハウスは「Elfsight側の脆弱性」と説明したとされています。
また、認証済みのクラウドサービスを経由しない構成であることに加え、一般ユーザーが利用する場合にはユーザーのタイムゾーン・IPアドレス・端末モデルなどのデータがサードパーティサービスへ共有されると報じられており、読者個人にとってもプライバシー上のリスクが残ります。
FAAに続く拡大、皮肉な構図
Trump政権は連邦政府機関の端末への同アプリ導入を進めており、直近では連邦航空局(FAA)が支給するiPhone・iPadへ自動インストールが開始されたと報じられていました。今回のDHSへの展開は、その流れに続く動きです。
セキュリティ上の問題が文書化されているアプリが、よりにもよって国土安全保障を担う省庁の端末へ自動配布されるという構図には、皮肉な印象が拭えないと評価されています。利用者の自衛策が限られる公用端末への配布である点で、論点は今後さらに広がる可能性があります。
Elfsightの企業実態とCDN経由のコード差し替えリスク
NOTUSの分析記事では、Elfsightという企業の実態と技術的構成に踏み込んだ指摘が示されています。
- 同社はロシア・トゥーラで創業した後、アンドラへ法人を移転しており、過去にはアルメニアでの事業登録履歴も確認されています
- アプリ内で利用される
platform.jsスクリプトは、ElfsightのCDNから実行時に読み込まれる構成で、App Storeの審査やアプリ更新を経ずにコードを差し替えられる余地があるとされています - Elfsightと、プッシュ通知に使われているOneSignalはいずれもFedRAMP(連邦政府のクラウドサービス認証制度)の認証を受けていません
連邦政府機関が利用するアプリの構成要素としてFedRAMP未認証のサービスが組み込まれている点は、調達基準との整合性の観点から疑問視されています。実行時に外部CDNからコードを取得する設計は、サプライチェーン上の改ざんリスクを残す構造として懸念が示されています。
DHS監察総監報告が示すモバイル端末管理の地力
FedScoopが伝えたDHS監察総監(IG)の最新報告書は、今回のアプリ自動配布を受け入れる側の管理体制そのものに不備があることを示しています。
| 指標 | 監察総監報告の指摘内容 |
|---|---|
| 対象アプリ数 | 情報機関オフィスの端末上で650本 |
| リスクありアプリ比率 | 4分の3超が「セキュリティリスクあり/明示的禁止/禁止行為を許容」のいずれかに該当 |
| 主な指摘 | 脆弱性ありアプリのインストール、適切なセキュリティ設定の省略、ハイリスクアプリ制限の無視、端末インフラの不足 |
DHS全体としてもCIOおよび情報機関オフィスの領域でモバイル端末の管理・展開・セキュリティ確保が既存の標準を満たしていないと結論づけられています。Engadgetによれば職員宛メールは6月16日付で送られており、こうした管理体制の弱点が温存されたまま新たなアプリが上乗せされる構図となっています。
Q&A
Q. 一般ユーザーはこのアプリを使うべきですか? 公開情報の範囲では、同アプリは公式サイトのラッパーに近く、独自に得られる情報は乏しいと指摘されています。一方で利用時にタイムゾーン・IPアドレス・端末モデル等が第三者サービスへ共有されると報じられており、得られるメリットに対してプライバシー上のコストが見合わないという見方が示されています。
Q. インストール済みの場合、削除できますか? 公用端末については職員側で自動配布を拒否できるかどうか、現時点では明らかにされていません。一般ユーザーの端末では通常のアプリと同様の手順で削除できます。
Q. 自動インストールの対象はDHSだけですか? 直近ではFAA支給のiPhone・iPadでも自動インストールが始まったと報じられており、連邦政府機関全体に対象が広がりつつあるとの見方が示されています。
