ウィキリークスは、CIAのハッキング能力を示すとされる文書を公開しました。CIAがスマートテレビに侵入し、所有者をスパイしていたという主張に加え、文書には、CIAがスマートフォンを標的にして、SignalやWhatsAppといったエンドツーエンド暗号化(E2EE)メッセージサービスの保護を回避している様子が説明されていました。しかし、慌てる必要はありません。CIAはこれらのツールのセキュリティ対策を直接的に弱体化させたわけではありません。
E2EEは、デバイスから送信される前に情報を暗号化することで情報を保護します。これにより、デバイスとアプリサーバー間の通信を傍受する中間者攻撃からメッセージを保護すると同時に、企業による情報読み取りも防止します。これは、紐でつながれたブリキ缶に話しかけるようなもので、メッセージは意図した受信者にのみ届きます。それ以外の人には何も届きません。
この仕組みは、2013年にエドワード・スノーデンが国家安全保障局(NSA)の監視プログラムを暴露したことで注目を集めました。それ以来、Facebook、Googleなどの企業は、自社の通信ツールのセキュリティ確保に急いで取り組んできました(GoogleはGmailのE2EEプロジェクトを一般公開していましたが)。これらのアプリの多くは、ユーザーのメッセージを覗き見から守るために、同名のサービスでも使用されているSignalプロトコルを使用しています。
ウィキリークスの新たな文書は、CIAがこれらの保護を回避すべく個々のスマートフォンを標的にしていることを示しています。先ほどの比喩を続けると、これはまるでブリキ缶の中にマイクを仕込んで、誰かの発言をすべて聞き取れるようにするようなものです。紐は依然として通信内容を他人に聞かれないようにする役割を果たしますが、缶が侵害されたため、システムは以前と同じレベルのセキュリティを提供できなくなっています。
Signal プロトコルとサービスを支える非営利団体 Open Whisper Systems は、一連のツイートで、これは実は良い兆候かもしれないと述べた。
CIA/Wikileaksが今日報じた話は、スマートフォンにマルウェアを侵入させることに関するもので、Signalの脆弱性を利用したり、Signalプロトコルの暗号化を破ったりするものではありません。[...] この話はSignalやWhatsAppに関するものではありませんが、もしそうであれば、私たちの取り組みが効果的であることを示す証拠だと捉えています。[...] ユビキタスなe2e暗号化は、諜報機関を検知不能な大規模監視から、費用がかかりリスクの高い標的型攻撃へと押し進めています。
ある意味、CIAがE2EEを回避するために携帯電話をハッキングするというのは、誰かがデバイスを手に取って、そこに保存されているすべてのメッセージを読むようなものです。(あるいは、先ほどの比喩を続けると、缶詰の1つを耳に当てているようなものです。)そのような盗聴を防ぐのは、Open Whisper Systemsのような団体の役割ではありません。人々はデバイスの使い方に注意する必要があり、メーカーはそれらのデバイスを可能な限りハッキングされにくいものにする必要があります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
スノーデン氏が4年前に暴露した徹底的な監視に巻き込まれるよりは、暗号化されたメッセージングサービスを使い、諜報機関に標的監視技術を使用させる方が良い。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
