KADOKAWA Technology Review
×
WhatsApp’s Small Security Flaw Is the Price of Convenience

「WhatsAppにバックドア」の報道は、青臭い正義感の匂いがする

メッセージアプリに「裏口」はあるかもしれない。だが、10億人のユーザーが使うソフトウェアを作るには、何かを妥協しなければならない事実を見落としている。 by Jamie Condliffe2017.01.16

昨年、ワッツアップ(WhatsApp)は、全ユーザーを対象にエンド・ツー・エンド暗号(E2EE)の仕様を変更した。報道によると、この手法には欠陥があるが、ワッツアップの主張では、ユーザーに使いやすいサービスの提供と脆弱(ぜいじゃく)性は避けられないトレードオフがあるとしている。

ガーディアンの記事によれば、WhatsAppのユーザーは誰の目にもメッセージがさらされないと思っているが、理論的にWhatsAppにはメッセージを第三者に読まれる欠陥がある。セキュリティが専門のカリフォルニア大学バークレー校のトビアス・ボールター研究員はガーディアン紙に、受信者の端末がオフラインの時、ワッツアップは端末に新しい暗号鍵の生成を強制できる、と述べた。この場合、誰かがオフライン中の端末にメッセージを送信すると、送信側はメッセージを再暗号化して、再送することになる。

ボールター研究員によると、ワッツアップは再送されたメッセージを読める。そして恐らく、ワッツアップにメッセージの提出を命じる捜査機関等も読めるだろう。

ワッツアップは実際そうだと認識しているが、利便性を盾にすれば済む話であり、弁解するつもりはないだろう。SIMの交換、電話機の買い換え等でオフライン状態になり、WhatsAppの利用を再開するまでの間、システムは新しい暗号鍵を生成し、ユーザーの会話を保護しているのだ。オフライン状態のとき、ユーザーに送信されたメッセージは、送信者の端末に保存され、ユーザーがWhatsAppのサービスを再開させるまで待っている。ユーザーが戻ってきたら、ワッツアップは送信者の端末に、新しい暗号鍵でメッセージを再暗号化させ、再送信させる。メッセージをひとつもなくさないための仕組みだ。

ワッツアップは、ガーディアンの記事について声明を発表し、自社の立場を弁護した。

エンド・ツー・エンド暗号のような機能を導入する一方で、製品の使いやすさを維持しつつ、世界中で製品が毎日どのように使われているのかにも配慮しています。(略)世界中の多くの場所で、多くのユーザーが端末やSIMカードを交換している使用状況で、ユーザーのメッセージが確実に受信され、送信中に紛失しないようにしたいのです。

実際、この仕様はセキュリティ上のリスクになる。オープン・ウィスパ―・システムズ(WhatsAppが使う暗号システムの開発会社)出身のセキュリティ専門家フレドリック・ジェイコブスはギズモードに次のように説明した

私が誰かにメッセージを送信するとしましょう。電池が切れていたり、携帯電話のサービスエリア外にいたりして、送信先の電話がオフラインだったとします。メッセージは、私の電話に『バックアップ』され、送信先の電話と通信できるまで待機するのです。問題になるのは次の条件のときです。メッセージがバックアップされているとき、しかも誰かがフェイスブックと共謀して、「あるユーザーが電話を交換した」状態にあるとWhatsAppに「見せかけ」た場合、バックアップされたメッセージは再暗号化され、新規か偽の、あるいは第三者の支配下にある電話に送信されるのです。

だが、実際にはこの条件どおりにメッセージを傍受するのは難しく、ワッツアップがユーザーのメッセージを傍受するためにこの方法を使うとは考えにくい。ワッツアップ側は、司法当局を支援するためにこの裏口を設けたのではないかとの疑惑を、BBCのインタビューで完全に否定した。「その主張は間違っています。ワッツアップは政府にシステムへの『裏口』を提供しません。裏口を作るように要請する政府とは、断固戦います」という。

とはいえ、理論的にはアプリに裏口を作るれる。ワッツアップは本質的には中間者であり、親会社のフェイスブックと結託し(あるいは指示を受けて)、ユーザー間のメッセージを米国連邦捜査局(FBI)のような第三者が読み取れるよう、特別な暗号鍵を追加できる。MIT Technology Reviewのトム・サイモナイト記者は、昨年起こりそうだった事態を記事にまとめている

WhatsAppのサービス規約では、ユーザーのメッセージのメタデータをワッツアップが保存することを禁止していないことは覚えておくべきだ。したがってワッツアップは、ユーザーが送信したメッセージは読めなくても(ほとんどの場合)ユーザーが、誰と、いつ、どれほど頻繁にメッセージを送信しているかはわかっている。

ワッツアップがユーザーのメッセージを読めることが少しでも気がかりなら、アプリの通知機能を使えば、送信前のメッセージの暗号鍵を誰かが更新したとき警告が表示されるようになる。そうすれば、バックアップされたメッセージを送信しないようにできるし、理論的には、ワッツアップに読まれずに済むだろう。そうしないなら、サービスの利便性を活用して、小さなリスクは我慢するしかない。

(関連記事:The Guardian, Gizmodo, “How Cops Could Wiretap Encrypted iMessage and WhatsApp Chats,” “Apple and WhatsApp’s Encryption Is a Stimulus Package for the Phone Hacking Industry”)

人気の記事ランキング
  1. What are the ingredients of Pfizer’s covid-19 vaccine? ファイザーの新型コロナワクチンの成分は?専門家が解説
  2. Covid-19 immunity likely lasts for years 新型コロナ、免疫は長期間持続か=米新研究
  3. The first black hole ever discovered is more massive than we thought 白鳥座X-1ブラックホール、従来推定よりはるかに巨大だった
  4. There’s a tantalizing sign of a habitable-zone planet in Alpha Centauri ケンタウルス座アルファ星のハビタブルゾーンに惑星が存在か
タグ
クレジット Photograph by Justin Sullivan | Getty
ジェイミー コンドリフ [Jamie Condliffe]米国版 ニュース・解説担当副編集長
MIT Technology Reviewのニュース・解説担当副編集長。ロンドンを拠点に、日刊ニュースレター「ザ・ダウンロード」を米国版編集部がある米国ボストンが朝を迎える前に用意するのが仕事です。前職はニューサイエンティスト誌とGizmodoでした。オックスフォード大学で学んだ工学博士です。
Innovators Under 35 Japan 2020

MITテクノロジーレビューが主催するグローバル・アワード「Innovators Under 35」が2020年、日本に上陸する。特定の分野や業界だけでなく、世界全体にとって重要かつ独創的なイノベーターを発信していく取り組みを紹介しよう。

記事一覧を見る
人気の記事ランキング
  1. What are the ingredients of Pfizer’s covid-19 vaccine? ファイザーの新型コロナワクチンの成分は?専門家が解説
  2. Covid-19 immunity likely lasts for years 新型コロナ、免疫は長期間持続か=米新研究
  3. The first black hole ever discovered is more massive than we thought 白鳥座X-1ブラックホール、従来推定よりはるかに巨大だった
  4. There’s a tantalizing sign of a habitable-zone planet in Alpha Centauri ケンタウルス座アルファ星のハビタブルゾーンに惑星が存在か
MITテクノロジーレビュー[日本版] Vol.2/Winter 2020
MITテクノロジーレビュー[日本版] Vol.2/Winter 2020SDGs Issue

今、世界中の企業や機関の技術者・研究者たちが各地で抱える社会課題を解決し、持続可能な世界の実現へ向けて取り組んでいる「SDGs(持続可能な開発目標)」。
気候変動や貧困といった地球規模の課題の解決策としての先端テクノロジーに焦点を当て、解決に挑む人々の活動や、日本企業がSDGsを経営にどう取り入れ、取り組むべきか、日本が国際社会から期待される役割について、専門家の提言を紹介します。

詳細を見る
フォローしてください重要なテクノロジーとイノベーションのニュースをSNSやメールで受け取る