ファイブアイズ諸国は今週、カナダのオタワで会合を開き、テロリストや監視対象となり得る者が使用する暗号を阻止する方法について協議する予定です。「ファイブアイズ」同盟には、米国、英国、カナダ、オーストラリア、ニュージーランドの5つの主要英語圏諸国が含まれます。暗号の弱体化に関する議論は、来月のG20サミットまで延長される予定です。
暗号戦争 #1
最初の暗号戦争は、NSAがすべてのコンピューターに鍵保管用のチップを搭載しようとしたことから始まりました。このチップはNSAと他の政府機関だけがアクセスできるはずでした。このチップは「クリッパーチップ」と呼ばれていました。しかし、セキュリティ専門家、EFFやEPICなどの人権団体、そして一部の上院議員の反対により、この提案は失敗に終わりました。
プライバシーとセキュリティの活動家たちは、クリッパーチップを真に安全に保護する方法がないため、このようなチップは誰もがハッキングの危険にさらされると主張しました。歴史は活動家の正しさを証明しました。その後数年にわたり、研究者たちは提案された鍵保管メカニズムに複数の脆弱性を発見しました。
PGPプロトコルを発明したフィル・ジマーマン氏などのセキュリティ専門家の中には、クリッパーチップを使わずに安全に通信する方法も提案し始めた。これにより、政府の主張は意味をなさなくなり、チップ自体も(諜報機関の目的にとって)役に立たなくなるだろう。
EFF や他の組織も当時、たとえ米国で暗号化が徹底的に禁止されたとしても、米国外でそれを止める方法はないだろうと主張していた。
暗号戦争 #2
ここ数年、特にスノーデン氏の暴露以降、複数の政府が、より厳格な監視法の制定を試みてきました。スノーデン氏が漏洩した文書で明らかになった諜報機関の違法行為を合法化したいという思惑もあったでしょうし、また、多くの人がそれらの活動に対処できる機会を得る前に、そうした法律を成立させたいと考えたことも一因でしょう。
米国では、元FBI長官ジェームズ・コミー氏がテロ事件を利用して、米国企業にエンドツーエンドで暗号化された通信やiPhoneなどのデバイス上の暗号化されたローカルストレージを解読することを義務付ける前例を作ろうとした。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
しかし、これはFBIにとってあまりうまくいかなかったようだ。iPhoneユーザーの多くがFBIのiPhone解読への取り組みに憤慨していただけでなく、裁判所も逆の判例を作り始めていた。つまり、企業が解読キーを持っていない限り、政府は企業にデバイスや通信の解読を強制することはできない、という判例だ。
そのため、FBIは態度を軟化させ、デバイスのロックを解除する別の方法を見つけたと発表したが、デバイスに何が入っていたのか、また公の場で争う価値があったのかどうかについては明らかにしなかった。
ほぼ同時期に、ダイアン・ファインスタイン上院議員とリチャード・バー上院議員も暗号解読反対法案を準備していました。一方、フランスはデバイスの暗号解読を義務付ける独自の法律を検討していました。英国もスヌーパーズ憲章の成立を目指していました。この監視法案は、暗号問題に関して曖昧な解釈をしており、「技術的に実行可能な場合」は政府が通信の暗号解読を義務付けることができるという解釈を許していました。
この戦い(あるいは戦争)は、セキュリティ専門家や人権擁護機関が、バックドアの作成や暗号化の禁止はサイバーセキュリティに壊滅的な結果をもたらすだけでなく、経済にも悪影響を及ぼすことを政府に速やかに注意喚起したため、概ね勝利した。
さらに、テロリストや諜報機関のその他の標的は、特定の国で暗号化された通信が侵害されていることを知れば、オープンソース ソリューションまたは独自の暗号化ソリューションに切り替えることができるため、目的を達成できない可能性もあります。
暗号戦争 #3 - 暗号に対するより組織的な攻撃
各国政府はしばらく後退したように見えましたが、今や協力し合い、暗号化に対する新たな、より組織的な攻撃を開始しているようです。少なくともバックドアや鍵保管システムを導入する企業には、抵抗する余地はほとんどないと考えているのでしょう。GoogleやMicrosoftのような企業にとって、ある国の法律が気に入らない場合は撤退を表明するのは容易ですが、最も裕福な20カ国がそう表明するとなると、はるかに困難になります。
まず、Googleはこの問題に関して既に先手を打って屈服し、「プライバシー権を尊重する限り」当局の要求に応じると約束しているようだ。しかし、Googleがデータへのアクセスを許可する前に政府に具体的な行動や法律を求めているのか、それとも政府が「行動する」という約束だけを求めているのかは不明だ。もちろん、監視機関による不正行為の歴史を考えると、その約束はあまり意味をなさないだろう。Googleは最近、エンドツーエンド暗号化通信ソリューションの開発を中止する意向も示した。
米国と英国は依然として暗号の弱体化に最も関心を持つ2カ国ですが、オーストラリアも最近、同様の関心を持つ国として浮上しました。2年前、オーストラリアは大規模監視・ハッキングに関する法律を可決し、諜報機関が国内のネットワーク全体をハッキングすることを認めました。暗号へのバックドア設置は、この計画の次のステップとなるようです。
オーストラリアのジョージ・ブランディス司法長官は最近の声明で、次回のファイブアイズ会合において、オーストラリアは「テロリストによるメッセージの暗号化を阻止するための産業界の関与」に関する議論を主導すると述べた。オーストラリアのマルコム・ターンブル首相も、今年後半にドイツで開催されるG20サミットで暗号化問題を提起する予定である。
ドイツは最近、捜査の一環として警察がデバイスにマルウェアをインストールすることを許可する法律を可決しました。このような法律は以前、ドイツの裁判所によって無効とされているため、この法律が今後も有効かどうかは未知数です。ドイツは欧州でも最もプライバシーを重視した憲法を有しており、欧州連合(EU)もプライバシーと人権に焦点を当てたドイツ基本権憲章をはじめとする、より具体的なプライバシー保護法を遵守しています。しかしながら、アンゲラ・メルケル政権の一部政治家は、ここ数年、こうしたプライバシー保護を弱めようと試みてきました。
フランスはまた、デバイスの暗号化を義務付けるという考えを以前は拒否していたが、今年後半には暗号化の禁止または緩和に関する議論を再開したいと考えている。
カナダは最近、要求に応じてデバイスと通信を復号する能力を獲得したいという独自の希望を表明したが、その後、パブリックコメントページはすぐに削除された。
バックドアはサイバーセキュリティに悪影響を及ぼす
セキュリティ専門家が30年近く主張し、繰り返し証明されているように、バックドアは悪質なアイデアであり、強固なサイバーセキュリティと真っ向から対立します。もし政府がバックドアが必要と判断し、それで終わりにしてしまうなら、世界中のセキュリティを意図的に損なう決断を下し、インターネットの安全性を今日よりもさらに低下させることになります。
最近の例としては、WannaCryランサムウェアが挙げられます。マイクロソフトは、NSAが蓄積・作成した脆弱性とツールによって発生したと説明しています。NSAは傍受ツールを作成したとされ、それが「悪意のある人物」に発見され、最終的には世界中のネットワークが世界的なランサムウェア攻撃によって危険にさらされました。
諜報機関がスマートフォンやコンピューターの暗号化に対処するために、ハードウェアレベルのバックドアを再び導入しようと決断した場合、悪意のある攻撃者がそれを使い始めると、誰もが危険にさらされることになります。しかも、簡単に修正できる可能性は低いでしょう。マイクロソフトは依然として、WannaCryを可能にした脆弱性に対するパッチ適用をユーザーに求めており、大多数のシステムにパッチが適用されるまでには数年かかる可能性があります。
あるいは、政府はオンラインサービス企業に対し、ユーザーに独自の鍵でデータを暗号化するオプションを提供しないよう提案するかもしれません。これには、iPhoneやAndroidの暗号化機能、Windows Bitlocker、SignalやWhatsAppで使用されている暗号化が含まれます。
しかし、これさえも個人のサイバーセキュリティとオンラインサーバーのセキュリティに長期的な悪影響を及ぼすでしょう。事実上、企業が暗号化を導入することを阻み、攻撃者がデータ侵害で機密情報を盗むことをはるかに困難にしてしまうでしょう。
強力なサイバーセキュリティにはエンドツーエンドの暗号化が必要
欧州議会の委員会が最近、すべてのオンライン通信サービスに将来的にエンドツーエンド暗号化を導入するよう提案したのには理由があります。エンドツーエンド暗号化は、「ワンストップショップ」ハッキング(攻撃者が何百万ものアカウントの記録に一斉にアクセスできる)に対して、はるかに効果的です。そうでなければ、諜報機関がそのような暗号化を禁止したり、バックドアを仕掛けたりしようとこれほど熱心に取り組んだりするはずがありません。彼らはエンドツーエンド暗号化された情報を盗むのがいかに困難かを身をもって経験しており、世界有数のハッカーを雇用しているのです。
エンドツーエンドの暗号化は現時点では広範囲に導入されていない可能性があり、Google など大手テクノロジー企業の一部はすでにその導入を撤回していますが、将来的には、エンドツーエンドの暗号化は、おそらくまだ発明されていないサービスの提供に不可欠になる可能性があります。
たとえば、エンドツーエンドの暗号化がなければ、ユーザーは企業が自分の医療情報にアクセスしたり、DNAデータを分析したりすることを許可しないかもしれません。なぜなら、企業がそのデータを直接見ることができるとは信じられないからです。
90年代には、暗号化が必要になるかどうかは分かりませんでした。例えば、将来ほとんどすべてのものをオンラインストアで購入するようになるとは想像もしていませんでした。しかし、暗号化がなければ、多くの人がクレジットカード情報をインターネット経由で送信することに抵抗感を抱くため、オンライン商取引は阻害されていた可能性があります。同様に、将来どのようなサービスにエンドツーエンドの暗号化が必要になるかは分かりません。
エンドツーエンド暗号化を禁止したり、弱体化させたりすることは、今日の経済だけでなく、将来の経済の潜在的成長にも悪影響を及ぼす可能性があります。これは、ユーザーのプライバシー権の侵害や、グローバルインターネット上にサイバーセキュリティ上の危険をもたらす可能性とともに、政府が考慮すべき点の一つです。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
