コンテンツにスキップ

スティーブ・マクラッケンによるイラスト

カジノサイト ブラインド操作

ミーガン・ゲイツ著
2016 年 3 月 1 日

印刷問題:2016 年 3 月

1990 年代後半、政府は、キー エスクロー システムまたはクリッパー チップとして知られる、暗号化された情報の復号キーのコピーを第三者に保持するよう要求し始めました。法執行機関が適切な許可を得て暗号化された情報へのアクセスを要求した場合、第三者はキー エスクロー システムを使用して法執行機関のためにデータを復号化します。

論文「玄関マットの下の鍵: すべてのデータと通信への政府アクセスを要求することによる安全性の確保」によれば、MIT の暗号学者とセキュリティ専門家のグループが 1997 年にこのアイデアを検討し、必要な規模で「鍵エスクロー システムを構築するには技術水準を超えている」ことが判明したという。 

「政府は鍵のエスクローを要求し続けたが、インターネット企業は莫大な費用、ガバナンス上の問題、リスクを理由に抵抗することに成功した」と2015年夏に出版された論文は説明している。 「クリッパー チップは最終的に放棄されました。」

しかし、暗号化された通信を復号化することを企業に義務付け、その方法を第三者に提供する取り組みは行われていません。 11月にパリで襲撃事件が発生し、その3週間後にカリフォルニア州サンバーナーディーノで銃乱射事件が発生して以来、この問題はさらに勢いを増しているようだ。

その容疑を主導しているのはFBI長官ジェームズ・コミーで、彼は昨年末の議会公聴会で、エンドツーエンド暗号化の使用は技術的な問題ではないと述べた。 「これはビジネスモデルの問題だ」と彼は言った。 「我々が問わなければならないのは、彼らはビジネスモデルを変更すべきなのかということだ。」 

暗号化とは、メッセージ、情報、またはデータを、意図した受信者以外には判読できない形式に変換するプロセスであり、主に政府や金融機関によって使用されてきましたが、ここ数年でさらに広く使用されるようになりました。多くの人は、これが 2013 年のエドワード・スノーデンの漏洩のおかげであると考えています。この漏洩により、米国諜報機関がインターネットのトラフィックや通信を傍受する能力が明らかになり、多くの人が政府の詮索好きな目からデータを守る方法として暗号化を採用するようになりました。

シリコン バレーは暗号化の使用を擁護しており、Apple は 2014 年にデフォルトでフルディスク暗号化を使用するスマートフォンおよびタブレット用の新しいオペレーティング システム iOS8 を発表して、その主要な支持者の 1 つになりました。これにより、パスコードがなければ、Apple 自身であっても、デバイス上のデータにアクセスできなくなります。 

2015 年 10 月 19 日の時点で、Apple デバイスの 91% が iOS8 または iOS9 を使用していました。スマートフォンの暗号化と公共の安全に関するマンハッタン地方検察庁の報告書によると、「したがって、以前のオペレーティングシステムを実行するデバイスの場合のように、Apple がデータを抽出することはもはや不可能です」とのこと。 

Apple に続いて、Google も Android デバイス用の新しいオペレーティング システムでフルディスク暗号化の使用を開始すると発表しました。 Facebook、Twitter、YouTube、Netflix、クラウド サービス プロバイダーなど、他の企業もこれに追随しています。 

「2016 年には、北米の固定アクセス ネットワーク上のトラフィックのほぼ 3 分の 2 が暗号化される予定であり、電子フロンティア財団の『Let's Encrypt』 プログラムなどのプログラムを介して追加のアプリケーションが HTTPS に切り替えるため、実際には 3 分の 2 以上になる可能性が高い」と、インテリジェント ブロードバンド ネットワーク会社 Sandvine の報告書は述べています。

この傾向は世界的に続き、サンドバイン氏は、2016 年末までにほとんどの市場でトラフィックの 65 ~ 70 パーセントが暗号化されるだろうと予測しています。

暗号化の急速な普及は、通信の解読をより困難にする、またはほぼ不可能にするなど、多くの利点をもたらしました。これは、テキスト メッセージや電子メールの暗号化などの個人的な通信においてユーザーにとって有益であり、企業秘密情報や顧客のクレジット カード データを含むファイルの暗号化など、企業ユーザーにとっては有益です。

しかし、暗号化によって企業はネットワーク内で行われている悪意のある活動に気づかなくなる可能性があるため、暗号化にはマイナス面もあります。これは、ファイアウォール、侵入検知システム、その他のネットワーク監視システムがネットワーク上にインラインでインストールされていないことが多いためです。つまり、これらのシステムはネットワークを受動的に監視しており、ネットワークを通過する Secure Socket Layer (SSL) 暗号化トラフィックを復号化していないことを意味します。 

「これらのソリューションはすべて、[ネットワーク内のインターネット トラフィック] 個々のパケットを調べ、詳細なパケット検査を実行できる必要がありますが、暗号化ではそれを行うことができません」と、A10 Networks セキュリティ エバンジェリストの Kasey Cross 氏は説明します。 「彼らにとって、その影響は、自分たちのネットワークで何が起こっているかが見えなくなることです。」

これは、マルウェアが侵入してデータを抜き出す可能性があること、あるいは内部関係者が誤って、または意図的に機密データを外部に送信する可能性があることを意味しますが、企業はそれを知りません。 

「その情報を復号化して検査し、マルウェアやその他の脅威ベクトルによるデータ損失を検出できなければ、基本的にそれらの攻撃には気付かないことになります。」とクロス氏は言います。 

一部のファイアウォールや侵入防止システムは、暗号化されたトラフィックを復号化するためにネットワーク上にインラインでインストールできますが、それによってシステム自体のパフォーマンスが低下する可能性があるとクロス氏は説明します。 

「約 2 年前、NSS Labs からのレポートでは、ファイアウォールが SSL トラフィックを復号化している場合、ファイアウォールのパフォーマンスが 81 パーセント低下することが示されました」と Cross 氏は言います。 「それが人々がファイアウォールでの復号を望まない理由です。」

当局が捜査のために暗号化されたデータにアクセスできなくなることが増えているため、暗号化は法執行機関にも問題を引き起こしている。コミー氏は12月の議会公聴会で具体的な例を挙げてこれを証明した。

「5月、テキサス州ガーランドで2人のテロリストが大量の人々を殺害しようとして、地元の強力な法執行機関の行動によって阻止されたとき…その朝、テロリストの1人が大量殺人を犯そうと出発する前に、彼は海外のテロリストと109通のメッセージを交換した」とコミー長官は語った。 「それらのメッセージは暗号化されていたため、彼が何を言ったか分かりません。」

問題を解決するために、コミー氏らはアップルのようなテクノロジー企業に対し、ビジネスモデルを変更し、デフォルトでの暗号化の使用を中止するよう求めた。 

「今日、顧客に安全なサービスを提供しながら裁判所の命令を遵守している企業はたくさんあります。」と彼は説明しました。 「裁判所命令に応じてロックを解除できる優れた携帯電話を製造している企業はたくさんあります。実際、現在ではロックを解除できない携帯電話のメーカーも、1 年前にはロックを解除できました。」

コミー氏はまた、企業が法執行機関にデータを復号化する機能を提供することを義務付けるバックドアの法制化など、あまり一般的ではない解決策も提案した。そして公聴会中に、ダイアン・ファインスタイン上院議員(民主党、カリフォルニア州)は、14人が死亡したサンバーナーディーノでの銃乱射事件を受けて、そのための法案の導入を検討していると述べた。

しかし、MIT 論文の著者らは、そのようなメカニズムを通じて暗号化されたデータへの法執行機関の「例外的なアクセス」を提供するのは間違いであると発見しました。

「何百万ものアプリやグローバルに接続されたサービスが存在する今日のインターネット環境の複雑さは、新たな法執行要件により、予期せぬ、検出が困難なセキュリティ上の欠陥が導入される可能性が高いことを意味します」と著者らは書いています。 「これらの技術的脆弱性を超えて、例外的なアクセス システムを世界的に展開するという見通しは、そのような環境をどのように管理するか、またそのようなシステムが人権と法の支配をどのように尊重するかという難しい問題を引き起こします。」

電子フロンティア財団の市民的自由チームのスタッフ弁護士であるアンドリュー・クロッカー氏もこれに同意する。彼は、法執行機関やより弱い暗号化の支持者が使用している曖昧な表現を懸念していると述べています。

「彼らは企業に『このデータにアクセスする必要がある』と伝えることを想定しているが、それをどのように実装するかについては伝えていない」とクロッカー氏は説明する。 「最高の技術者でさえ不可能と言っていることに、彼らが手を振っているのは少し心配です。」

暗号化はセキュリティに関して独自の課題を引き起こす可能性がありますが、日常のテクノロジーの使用には不可欠であり、すべてのインターネット ユーザーが依存しているものです。

「この種の攻撃や恐怖を煽る行為は、暗号化が私たちの日常的なテクノロジー利用の基本的な部分であるということの全体像を捉えているわけではありません」とクロッカー氏は言う。 「私たちはデータを安全に保つためにこれを使用しています。これは今後、私たちがテクノロジーを使って行うほとんどすべてのことにとって本当に不可欠です。」 

arrow_upward