ACLU(アメリカ自由人権協会)は、ソフトウェア開発者に対し、米国政府が自社のユーザーに悪意のあるソフトウェアアップデートを送信するのを手助けした場合、多くの人がソフトウェアアップデートへの信頼を完全に失う可能性があると警告しました。これは決して前代未聞の事態ではありません。米国政府は以前、標的のユーザーに悪意のあるアップデートを送信することを企業に義務付けることを検討していました。
悪意のある自動更新
ACLU(アメリカ自由人権協会)は投稿の中で、GoogleやAppleなどの企業は米国政府からのデータ要求のほんの一部しか公表していないと指摘した。Microsoftが司法省を相手取って起こした訴訟(現在は取り下げられている)から、政府が大企業へのデータ要求のほぼ半分を「秘密命令」として送っていたことが分かっている。
ACLUは、これらの要求の中には、データを盗んだり、ユーザーの暗号化を回避したり、ユーザーの位置を追跡したり、カメラやマイクを有効にしたりする悪質なアップデートをユーザーに強制的に送信することを開発者に求めるものも含まれる可能性があると懸念している。
ソフトウェアの自動更新は一般的に良いアイデアであり、ソフトウェアエコシステムの攻撃に対する耐性を大幅に向上させます。自動更新がなければ、アプリケーションのアップデートがあることに気づいていない、あるいはアップデートを望まないユーザーは、既知の脆弱性を悪用した攻撃に対してより脆弱になります。
通常、ユーザーはアプリケーションをインストールするベンダーを信頼します。そうでなければ、そもそもインストールしないかもしれません。この信頼は、開発者が将来ユーザーに提供するアップデートにも適用されます。しかし、開発者がユーザーデータを盗む悪意のあるアップデートを送信した場合、この信頼は崩れ去るでしょう。
同様に、米国政府が複数のソフトウェアベンダーに特定のターゲットに悪意のあるアップデートを送信するよう強制していることを人々が知れば、アップデートがユーザーに危害を与える意図がないことが確実になるまで、自動アップデートをオフにしたり、手動アップデートを遅らせたりする人も増えるだろう。
ACLUの開発者への勧告
米国政府がユーザーに悪意のあるソフトウェアのアップデートを送るよう秘密命令を持って開発者のもとを訪れた場合に備えて、開発者が「事前に計画」できるよう、ACLU と NYU テクノロジー法・政策クリニックの法学生がガイドを作成した。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ACLUは開発者に対し、たとえ政府がユーザーに悪意のあるアップデートを送信するよう強制しようとしたとしても、ユーザーのアプリケーションや通信を侵害できないようなソフトウェア設計を推奨した。Appleは既に訴訟で勝訴しており、FBIがiPhoneユーザーのストレージ暗号化を回避するための他の手段を開発するよう同社に過度の負担を課していると主張している。
そのような戦術の一つとして、ソフトウェアアップデートの「ミラーリング可能な配信」を実装することが挙げられます。これにより、ユーザーは開発者から直接アップデートを受け取るのではなく、相互にアップデートを受け取ることができます。これにより、法執行機関はターゲットにどのバージョンのアップデートが配信されるかを正確に把握することがより困難になります。
「バイナリ透明性」と呼ばれる新たなタイプのアップデートメカニズムは、すべてのアップデートがグローバルかつ取消不能で監査可能なログに検証可能な形で記録されていることを保証するために使用できます。そのため、政府が悪意のあるアップデートを送信しようとした場合、その攻撃はこのログに記録されます。バイナリ透明性システムは、証明書発行におけるGoogleのオープンな証明書透明性システムに似ており、MozillaはFirefoxへの実装をリードしています。
ACLUと法学生からの他の提案には、ソフトウェアをオープンソース化して他の人がコード全体を閲覧・監査できるようにすることや、「再現可能なビルド」を実装することなどが含まれていました。再現可能なビルドとは、ソフトウェアの「決定論的コンパイル」を指し、あるバージョンのプログラムが、異なるユーザーに対して全く同じ方法でコンパイルされることを意味します。
ACLUは、これらの技術的対策に加えて、開発者に対し、政府からユーザーに悪意のあるアップデートを送るよう求められた場合の対応策を計画し、弁護士を雇うことを推奨した。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
