Apple、Google、Microsoft、WhatsApp(Facebook)を含む47社からなるグループは、英国の諜報機関GCHQによる暗号化メッセージの盗聴提案を批判した。グループは、GCHQの提案はメッセージングプラットフォームへの信頼、ユーザーのセキュリティ、そしてプライバシーと表現の自由の権利を損なうものだと主張した。
GCHAの「ゴースト」提案がテクノロジー企業を驚かせる
昨年秋、GCHQの代表者2人が「ゴースト」提案を発表しました。これは、世界中の諜報機関がユーザーのプライベートな会話に参加する「ゴースト」として機能することを許可するというものです。また、通常は会話に新しい参加者が参加したことをユーザーに警告するクライアント側の通知を抑制しなければなりません。
テクノロジー企業と市民自由団体、そして他のセキュリティ専門家らの連合により発表された公開書簡では、このアイデアは大半の暗号化通信プラットフォームの弱点を突くものだと批判されている。
GCHQの提案が実現する唯一の方法は、メッセージングプラットフォームベンダーが自社のプライベートコミュニケーションプラットフォームの認証プロセスを変更することです。連合は、これはユーザーのセキュリティとプラットフォームへの信頼の両方を損なうと主張しています。認証プロセスは、ユーザーが正しい相手と話していることを信頼できるようにするためのものです。
ゴースト提案の作成者は暗号化プロトコルには手を加えないと主張したが、セキュリティ研究者のスーザン・ランドーは以前、変更によって、セキュリティ問題が起こりやすい、はるかに複雑なシステムが作成されるだろうと書いていた。このシステムでは、暗号化キーのネゴシエーションは、沈黙を守るリスナー(この場合は諜報機関の工作員)に配慮する必要があるだろう。
ゴースト提案に対して理論上脆弱な暗号化システム
現在、暗号化を使用するほとんどの通信プラットフォームは、会話を送信者と受信者の間だけに保つ適切なエンドツーエンドの暗号化を使用していないため、GCHQ のゴースト提案に対して脆弱である可能性があります。
例えば、HTTPSプロトコルのみで暗号化された通信は、通常、企業のサーバーが会話内容を読み取ることができます。これにより、GoogleはGmailでの会話に基づいて広告をターゲティングすることができます。Googleがこれらのメッセージを平文でアクセスできなければ、読み取ることはできません。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Gmailのメールは、Google自身のサーバー間だけでなく、Googleのサーバーと、同じ暗号化規格を採用している他のほとんどのメールプロバイダー間でも暗号化されています。ただし、Googleや他のメールプロバイダーは、メールを平文で見ることもできます。ただし、メールサーバーをハッキングしない限り、他の誰もそれを実行できません。
一方、オープンソースのSignalメッセンジャー、ProtonMailなどのエンドツーエンド暗号化メールサービス、あるいはPGPのみを使用するなど、適切にエンドツーエンド暗号化された通信ソリューションでは、送信者と受信者のみがメッセージにアクセスできます。AppleのiMessageやFacebookのWhatsAppなど、エンドツーエンド暗号化を提供すると謳っているサービスもありますが、いくつかの注意点があります。
例えば、Appleは顧客のiMessageを直接読むことはできないかもしれませんが、ユーザー間の会話における暗号化キーを管理しており、自身、あるいは他の誰かを、表示側または非表示側としてその会話に参加させることができます。また、Appleは顧客のiMessageのほとんどを、iCloud同期を通じてデフォルトで自社サーバーに保存しています。
Facebookは過去2年間、WhatsAppの脆弱性を放置しており、修正する意思は全くないようです。このセキュリティ上の脆弱性により、Facebookはユーザーのメッセージを独自の鍵で「再暗号化」することが可能になります。これは、ユーザーが機種変更中やインターネット接続がない場合に受信メッセージを保護するためだと言われています。これをバックドアと呼ぶ人もいますが、その主張は誇張だと考える人もいます。
あらゆる暗号化バックドアは誰にとってもバックドア
ゴースト提案への返答として、セキュリティ専門家のブルース・シュナイアー氏はGCHQの執筆者に対し、通信プラットフォームのあらゆるバックドアや、あらゆる種類の遠隔操作による「合法的傍受」ソリューションは、最終的には国家の敵対勢力とサイバー犯罪グループの両方によって利用されることになるだろうと指摘した。
例えば、GCHQのゴーストライターたちは、自分たちの解決策を、数十年前に監視目的で義務付けられた電話交換機を介して2人の通話に法執行官を加えるという方法に例えました。しかしシュナイアー氏は、この方法がうまくいったのは、過去には通話が全く暗号化されていなかったか、電話会社が使用している暗号化プロトコルが第三者によって容易に悪用される可能性があるためだと指摘しました。
例えば、2004年、ボーダフォン・ギリシャは、米国の電話傍受法CALEAで義務付けられた電話スイッチを備えた電話システムを使用していました。スイッチはデフォルトでオフになっていましたが、それでもNSAはスイッチをオンにし、ギリシャ首相をはじめとする100人以上の高官をスパイすることができました。
2010年には、中国が米国法執行機関向けにGoogleが設置したバックドア機構をハッキングしました。2015年には、正体不明のグループがジュニパーネットワークスのネットワーク機器で使用されている乱数生成器に埋め込まれたNSAのバックドアをハッキングし、ジュニパーネットワークスの企業顧客の情報を盗聴することに成功しました。
シュナイアー氏はまた、現代のシステムは、諜報機関の監視ニーズを満たすためだけに攻撃を受けやすいように設計されるのではなく、ハッカーや犯罪者、外国政府からすべての人をよりよく保護できるように、可能な限り安全であるように設計されるべきだと主張した。
ドイツ、オーストラリア、ファイブアイズ諜報機関同盟の他の国々も、バックドア暗号化に対して同様の要望を表明している。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
