BlackBerry の新しい分析により、エンドツーエンドの暗号化をめぐるセキュリティ上のギャップが明らかになりました。一般的なメッセージング プラットフォームを使用している人々は、暗号化によって何が保護されているかを実際に理解していません。

WhatsApp、Signal、Microsoft Teams の無料版など、公開されているメッセージング プラットフォームはユーザーに利便性を提供し、エンドツーエンド暗号化 (E2EE) による一定レベルのセキュリティを約束します。ただし、この暗号化はメッセージの内容のみを保護します。多くの場合、メッセージには、送信者、受信者、IP アドレスなどに関する情報を含むメタデータが付属しており、組織内の行動や関係のパターンを明らかにすることができます。そのメタデータは E2EE によって保護されません。

米国とヨーロッパの最近の諜報勧告は、BlackBerry によると、「国家の支援を受けた攻撃者がフィッシング、なりすまし、アカウント乗っ取りを通じて消費者メッセージング プラットフォーム上のアカウントを積極的に標的にし、暗号化を破ることなく機密の会話にアクセスしている」と警告しました。.

セキュリティ リーダーの 4 人に 3 人は、従業員が承認済みのコミュニケーション ツールを「頻繁に」回避し、代わりに消費者向けメッセージング プラットフォームを使用し、暗号化されたデータやメタデータを収集するためのよりアクセスしやすい機会を敵に提供していると報告しました。

調査で質問したセキュリティ リーダー 700 人のうち、83 パーセントは、WhatsApp が重要で機密性の高い会話に最も一般的に使用されていると考えており、次いで個人メール (54 パーセント)、チーム (50 パーセント)、SMS テキスト メッセージ (46 パーセント)、電報 (39 パーセント) でした。

分析の結果、ほとんどの人 (88%) は、たとえ機密性の高い作業にメッセージ アプリを使用している場合でも、信頼していることがわかりました。 But 90 percent of those surveyed don’t fully comprehend what encryption actually protects, creating a gap between the amount of trust placed in a messaging platform and the actual level of risk exposure to the data tied to a message.

エンドツーエンド暗号化について理解

E2EE を約束するメッセージング プラットフォームを使用する場合は、メッセージのコンテンツが暗号化されていることを知ってください。 E2EE がメッセージの内容を非公開にできることを知るとある程度の安心感はありますが、メッセージに関連する情報は依然として脆弱なものが多くあります。

E2EE は、誰がメッセージを送信または受信しているかを確認しません。 Even beyond that annoying spam text, remember that phone numbers can be spoofed, with attackers pretending to be from a legitimate or trusted source.

「アカウントが侵害される可能性があります。ソーシャル エンジニアリングにより、許可されていない参加者がグループ通信に追加される可能性があります。暗号化されたチャネルは、転送中のコンテンツを保護しますが、両端の人々が本人であることを保証するものではありません。」と報告書は述べています。問題は、ユーザーがこれらの制限を忘れることが多く、メッセージングに関連するすべての側面が安全であると本質的に信じていることです。

メタデータの金鉱

E2EE はメタデータも非表示にしません。メッセージのメタデータには、誰が通信しているか、いつメッセージが送信されたか、どのくらいの頻度で通信が行われているか、人々がお互いに会話またはメッセージを送っている時間、メッセージの送受信に使用されたデバイスの種類、IP アドレス、および場所が含まれます。

「メタデータの問題は、実際にはそれが外国の敵の宝の山だということです」と BlackBerry Communication の最高セキュリティ アドバイザー、Christine Gadsby 氏は語ります。セキュリティ管理。ギャズビー氏もこのレポートの著者の一人です。 「それは、あなたの名前、所在地、毎週火曜日の午後 4 時に誰と話しているかにかかわらず、そのメタデータを取得する能力です…関係書類を作成し、その情報から攻撃対象領域を作成する能力です。」

その一例はソルト・タイフーンの攻撃2024 年。中国政府とつながりのあるハッカーが複数の米国通信会社のネットワークを侵害し、暗号化されていないメタデータを収集することができました。ギャズビーにとって、この攻撃は、脅威アクターがすでにこの脆弱性を狙っていたにもかかわらず、政府や組織のコミュニケーション戦略における消費者向けメッセージング アプリの位置づけに対する理解のギャップを示す危険信号でした。

国民国家は、暗号化されていないメタデータを使用して、行動パターン、スケジュール、人間関係を識別できます。これにより、メタデータがコンテンツ自体と同じくらい価値のあるものになります。

「コミュニケーション パターンは、組織構造を明らかにし、主要な担当者を特定し、エンティティ間の関係を明らかにし、業務上の変更を通知します。位置メタデータは物理的な動きを追跡します。タイミング パターンは、労働時間、移動スケジュール、およびイベントへの対応を示します。」と報告書は述べています。 「…機密性の高い環境では、誰が会議に出席したかが、何が議論されたかと同じくらい重要になる可能性があります。」

ギャズビー氏は、すべてのメタデータが公開されていることを覚えておくことが重要だと言います。 WhatsApp のような消費者向けメッセージング アプリを使用すると、自分の電話番号が自分のアカウントに関連付けられ、他の人がプロフィールの作成を開始できるようになります。

「メタデータ要素を備えた消費者向けメッセージング アプリケーションは、使いやすさを重視して設計されています。世界中の誰でも、世界中の誰とでも会話できるように設計されています。そのように設計されているのは素晴らしいことです。残念ながら、誰がそのすべてにアクセスできるかを制限するものではありません。」とギャズビー氏は言います。

メタデータの公開を制限したい組織は、職員が使用するデバイスの管理制御を検討する必要があります。

ギャズビー氏の見方では、管理制御により、組織はメッセージング アプリケーションの使用の制御を含め、スタッフが使用するデバイスを制御できるようになります。管理されたデバイス上のメッセージング プラットフォーム内であっても、人々が誰とどのように通信できるかについては厳格なルールが必要です。

「メタデータを制御できず、検証済みの ID を制御できなければ、何も制御できません。…[管理制御は] 会話に続くメタデータが確実に保存され、独自の管理制御によって主権を持って保存できることを確認する実際の唯一の方法です。」とギャズビー氏は付け加えます。

迫りくる量子コンピューティングの脅威

消費者向けメッセージング プラットフォームは、友人や家族間の重要でない、または機密性の低いコミュニケーションには便利かもしれませんが、重要なインフラや国家安全保障に関するコミュニケーションにはおそらく最良の選択ではありません。営業秘密、知的財産、財務情報にアクセスできる企業幹部や高官にも同様のことが当てはまります。

はい、これらのメッセージで議論されている内容は暗号化されています。今のところ。

攻撃者は依然として暗号化されたメッセージを収集しており、場合によってはそのデータをただ保管しているだけです。現在の復号化の取り組みでは、メッセージの復号化に数か月から数年かかる可能性がありますが、量子コンピューティングはこの脅威を根本的に変えることが期待されています。攻撃者は、量子コンピュータが成熟すればメッセージの復号化が可能になることに賭けていると報告書は述べています。

「今収穫し、後で復号化するというのは仮説ではありません。これが高度な諜報活動の仕組みです。行動の窓口は閉まり始めています」とギャズビー氏は言う。 「…彼らは、ある時点で量子コンピューティングがその暗号化アルゴリズムを破ることができ、その後、そのファイルの内容を解除できることを知っています。」

調査対象のセキュリティ リーダーのうち、61% が量子コンピューティングが 5 年以内に現在の暗号化を脅かすと信じています。ただし、78% はポスト量子暗号 (PQC) への移行など、この脅威に対する防御策の実装を開始していません。

この移行は単なる 1 つのステップではありません。それには何年もかかり、証明書、プロトコル、ハードウェア、ソフトウェア、ベンダー、予算、調達サイクルが関係します。

「暗号の俊敏性を目指して構築し、ゼロから再構築せずにアルゴリズムを代替するインフラストラクチャを構築する組織は、この移行と将来の暗号標準の変更に対して有利な立場に立つことができる」と報告書は述べています。

ギャズビー氏は、組織が PQC への移行を躊躇しているのは、その範囲が不確実であるためではないかと考えています。 「一般に、心配する必要があるものの在庫を正確に計算していない業界がたくさんあります。」と彼女は言います。

彼女は、企業が脅威評価の開始と同様の方法で開始することを推奨しています。つまり、どの在庫や資産に保護が必要かを判断します。この場合、保護は PQC によってサポートされている暗号化です。

これには、知的財産、事業開発の要素、従業員や役員に関する個人情報、財務データなどが含まれる場合があります。

「攻撃者にとって価値があるのであれば、暗号化レベルが何なのか、そしてどのように量子耐性を持たせるのかを理解する必要があります。」とギャズビー氏は言います。

これらは業界や組織によって異なりますが、サードパーティ ベンダーやサプライ チェーン内のベンダーも関与する必要があります。ギャズビー氏は、これらのベンダーに責任を負わせる必要性を強調し、ベンダーのリスクがどのようなものなのか、量子対応の計画は何かを尋ねることから始めることを推奨しています。

 

最も人気のある記事

1. エージェント AI とは何ですか?

2. 人員配置により幼稚園から高等学校までの入場のセキュリティは引き続き複雑

3. リスクと報酬: Agentic AI を使用する際にセキュリティ リーダーが知っておくべきこと