EUにおけるネットワークと情報セキュリティの向上を目的とする欧州連合ネットワーク情報セキュリティ機関(ENISA)は、暗号化に関する見解をまとめた報告書を発表しました。報告書では、バックドアは一般市民への被害を拡大し、EUベースのサービスへの信頼を低下させ、EU全体のビジネス規制の合理化を目指す「デジタル単一市場」戦略の実施を阻害する可能性があるため、バックドアに反対する主張を展開しました。
バックドアは罪のない市民にとって危険である
ENISAの報告書の要点は、バックドアは罪のない市民にとって、潜在的なメリットを上回るリスクをもたらす可能性があるという点です。米国の別の報告書でも見られるように、バックドアはユーザーをサイバー犯罪の脅威にさらすだけでなく、数百万台のデバイスを武器に変え、敵対国がバックドアを施行した国に対して使用することも可能にします。つまり、バックドアは公共の安全だけでなく、国家安全保障上の問題でもあるのです。
ENISAはまた、バックドアが有効になっている場合、「罰せられるべきでない人々が罰せられる」と主張しました。これは、バックドアが仕掛けられたデバイスの所有者で、そのせいで逮捕される犯罪者が1人いるごとに、1,000人、あるいは10,000人の罪のない人々が、そのバックドアによって様々な形で影響を受ける可能性があるからです。個人情報や写真が漏洩したり、金融情報が盗まれたり、数百ユーロもするデバイスが無効化されたりする可能性もあります。
バックドアは依然として犯罪者によって回避される可能性がある
ENISAは、バックドアは一部の政府が考えているほど効果的な解決策ではないかもしれないと述べた。なぜなら、他の全員が危険なバックドア付きのデバイスを使用している一方で、犯罪者はバックドアのないソリューションを使用するように適応できるからだ。
しかし、今日ではエンドツーエンド暗号化を備えた無料およびオープンソースのソリューションが数多く存在するため、たとえ商用ソリューションの一部にバックドアが仕込まれたとしても、犯罪者は簡単にオープンソースのソリューションに切り替えることができます。また、これらのソリューションのいずれかに何らかの形でバックドアが仕込まれた場合、犯罪者はバックドアのないフォークに切り替え、バックドアを義務付けている政府の管轄外にある国でそれを維持することも可能です。
司法の監督だけでは不十分
ENISAは、法律の解釈が国によって異なるため、バックドアに対する司法の監視が不十分となり、バックドアの使用が制御不能になる可能性があると主張した。
米国で見られたように、Lavabitは、会社のオーナーがユーザーの全メールを盗み出す鍵を提供しなかったため、閉鎖に追い込まれました。FBIが狙っていたのはたった1人のユーザーだけだったとしても、判事はLavabitに対し、全ユーザーのメールを盗み出す鍵をFBIに提供するよう命じました。そのため、バックドアは一部の国では個人を標的とするためにのみ使用される可能性がありますが、他の国ではすべてのユーザーのデータを閲覧するために使用され、このソリューションが深刻な悪用にさらされる可能性があります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
暗号化の制限は経済に悪影響を及ぼす可能性がある
特定のサービスの安全性が保証できない場合、バックドアを義務付けている国に本社を置くことは考えられません。例えば、ある国が自国の諜報機関によって既に解読可能な鍵サイズを要求した場合、それは電子商取引や金融ウェブサイトにとって重大なリスクとなります。
ある時点で、世界最大かつ最も資金力のある諜報機関以外誰もその暗号を解読できなかったとしても、コンピューティング能力の急速な進歩により、他の人が同じ暗号を解読できるようになるまでには、通常数年かかります。
こうした脆弱な暗号化規格が進化しなければ、状況はさらに悪化します。近年の事例からもわかるように、ウェブサイトのセキュリティは、1990年代に制定された暗号技術の輸出規制によって、現在もなお脆弱な状態にあります。たとえ、それらの暗号プロトコルが現在では使われていないとしてもです。なぜなら、それらのプロトコルは暗号ライブラリに残されたままであり、攻撃者はウェブサイトのプロトコルをそれらのプロトコルにダウングレードすることで、通信を解読できるからです。
バックドアは法執行機関の暗号化問題の解決策ではない
ENISAは、法執行機関が暗号化の普及に正当な懸念を抱いていることを認識しているものの、最終的にはバックドアの設置や暗号化の弱体化は現実的な解決策ではないと結論付けました。バックドアは、サイバー犯罪者やテロリストが義務化されるバックドアそのものを悪用することを可能にするなど、社会にさらに重大な危害をもたらす可能性のある、他の多くの意図しない結果をもたらす可能性があります。
「個人間、そして個人と公的機関・民間組織間の通信を保護する正当な必要性がある」と、ENISAは暗号化とバックドアに関する最近の報告書で述べている。「暗号化は、手紙の封筒、印鑑、ゴム印、署名に相当する電子的な手段を提供する。テロ攻撃や組織犯罪を鑑み、法執行機関や情報機関は、これらの保護手段を回避する手段の開発を求めている。その目的は正当だが、暗号化ツールの使用を制限することは、テロリストや犯罪者に悪用される脆弱性を生み出し、電子サービスへの信頼を低下させ、最終的にはEUの産業と市民社会に損害を与えることになる」と、ENISAは警告している。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
