【連載】ネットセキュリティ(4)メールおよびメッセンジャーソフトのセキュリティについて

Pocket

サイバーセキュリティを考える市民の会

 電子メールやLINE(ライン)などのメッセンジャーソフトが日常的に使われる一方で、それらのセキュリティについて意識している人は多くはないようだ。電子メールのセキュリティは、基本的にハガキと同等であるといってよい。メールのプロトコル(通信手続き)自体に暗号化が含まれていないため、途中の経路で宛先と内容が誰にでも閲覧されうる。ゆえに、原則的にはハガキに書かない・書けないような内容はメールで送るべきではないだろう。
 メッセンジャーソフトでは、端末とサーバの間の通信は暗号化されていることが多い。よってサーバの管理者が信用できるかどうかがポイントとなる。現実には、連載第1回でも触れたように、日本においてはメールやメッセンジャーソフトによるやりとりは「通信ではない」とされ、警察による傍受は盗聴法の規定にすら縛られることなく野放しに行われているのが現状だ。
 こうした状況下で、基本的人権である通信の秘密を守るために重要なのが暗号化である。ネットを使う際、実は私たちは暗号化を知らず知らずのうちに利用している。試しにブラウザのアドレスバーを見てみてほしい。URLがhttpsからはじまっているなら(大半のブラウザではアドレスバーに鍵マークが表示される)、サーバと自分の間の通信はSSL/TLSというプロトコルを用いて暗号化されており、外部からはその内容を見ることができない。逆にいうと、暗号化されていない通信は途中の経路上で誰かに覗き見されたり、改ざんされる可能性があるということだ。
 httpsによる暗号化が行われていても、サーバの管理者は復号化した情報を見ることができる。2016年10月、米Yahoo!が米国政府当局の要請に応じて全利用者のメール内容の検索・監視を行っていたことが報道された。GmailやYahoo!メールなどのウェブメールサービスを使っている人は、運営企業が政府当局にメールの内容を開示する可能性を頭に入れておいたほうがよい。事実、元米国家安全保障局(NSA)職員のエドワード・スノーデンの2013年の暴露により、グーグル、ヤフー、マイクロソフト、フェイスブックといった企業が政府の要求に応じて監視に協力していたことが明らかとなっている。

エンドツーエンドの暗号化を!

 そこで有効なのが、送信者と受信者の間の全経路で暗号化を行うエンドツーエンド暗号化である。電子メールでエンドツーエンド暗号化を使うためのツールがPGP(Pretty Good Privacy、反核活動家でもあったフィル・ジマーマンが開発者)だ。
 あらかじめ自分の公開鍵を公開サーバ上に登録しておき、相手からはメールの本文を自分の公開鍵を使って暗号化して送信してもらう。これを復号化できるのは自分の秘密鍵だけなので、だれも途中で内容を見ることができない。自分からメールを送る場合は相手の公開鍵を取得し、本文を暗号化して送信する。大半のメールクライアントソフト(自由ソフトウェアであるThunderbird〔サンダーバード〕がおすすめ)には、PGPを扱うためのアドオンが用意されている。別途鍵管理のためのツールであるGnuPGやGPGtoolsをインストールする必要もあり、若干のハードルはあるがぜひ試してみてほしい。
 注意点としては、秘密鍵が漏洩すると暗号が破られるので、秘密鍵に設定するパスフレーズを十分強力なものにすることと、なりすましの可能性を防ぐため、相手の公開鍵が正当なものであるかどうかを別途フィンガープリント(鍵情報の要約文字列)で確認することである。
 メッセンジャーソフトのセキュリティについても、スノーデンの暴露後に世界的に関心が高まっている。日本でよく使われているものとしてはLINEとFacebookメッセンジャーがあるが、どちらも最近エンドツーエンド暗号化のサポートが開始された。LINEではトーク・通話の設定で「Letter Sealing」にチェックを入れる(送受信する双方が行っている必要がある)、Facebookメッセンジャーではメッセージの開始時に鍵アイコンをクリックしてから開始するとエンドツーエンド暗号化による通信が行える。また海外で普及率が高いWhatsApp(親会社はFacebook)ではデフォルトで全通信が暗号化されている。
 こうした大手メッセンジャーソフトの問題点として、ソースコードが非公開であり、安全性を外部から検証できないことがある。政府機関の要求によりバックドアが仕掛けられ、盗聴が可能になる恐れも決してないとはいえない。これに対し、Signal(音声通話も可能)とTelegram(secret chatでエンドツーエンド暗号化が可能)は反監視の立場を明確にしている非営利団体が運営し、オープンソースで開発が行われている(Signalを運営している米Open Whisper Systemsが提唱したSignalプロトコルは、実はFacebookメッセンジャーやWhatsAppでも採用されている)。日本での普及はまだまだだが、友人やグループ内でぜひ一度試してみてほしい。

Pocket

%d人のブロガーが「いいね」をつけました。