Howdy! How can we help you?
(darkreading)エンド・ツー・エンド暗号化を超えて進化するセキュアな通信
Signal、Wickr、WhatsApp、Capeは、それぞれセキュリティとプライバシーに対する異なるアプローチを採用しているが、ほとんどのサービスは、セキュアな通信をよりプライベートなものにする方法を見つけ出している。
2025年4月4日
5分で読める
出典:greenbutterfly via Shutterstock
最近のニュースでは、セキュアな通信にスポットライトが当てられている。
昨年末、中国に関連する脅威アクターであるSalt TyphoonとLiminal Pandaが、電気通信およびインターネットサービスプロバイダーを侵害し、米国の主要なセキュリティ機関が、米国人は暗号化されたメッセージングアプリを使用するよう勧告するに至った。別の事件では、米陸軍兵士が、15の携帯電話および電気通信事業者が収集したデータを盗み、そのキャッシュをダークウェブフォーラムに投稿したとされる。そして、中国やロシア、イランやイスラエル、英国や米国など、世界中の政府が監視やスパイ活動を強化し、活動家やジャーナリスト、企業を不安にさせている。
問題のひとつは、従来の通信プロバイダーやメッセージングサービスのセキュリティ対策は、エンドユーザーのセキュリティやプライバシーの向上よりも、通話詐欺や請求詐欺の防止に重点が置かれてきたことだ。一方で、政府が通信のバックドアを要件としているため、他の対策はすり抜けられてしまうと、3月にOpen Betaプログラムを開始したプライバシー保護を重視するモバイル通信プロバイダー、CapeのCEO兼共同創設者であるJohn Doyle氏は指摘する。
「この業界ではサイバーセキュリティ対策が極めて不十分です。通信事業者にとって『サイバーセキュリティ』とは、常に『どうすれば人々がネットワーク上で無料で通話を行わないようにできるか』を意味してきました。」と彼は言う。「今、新たなパラダイムが生まれています。それは、国家レベルの脅威アクターが富裕層や政府職員、その他あらゆる人々の情報を収集しないようにするにはどうすればよいか、というものです。」
関連:トレンドマイクロ、AIツール「Cybertron」をオープンソース化
それゆえ、セキュアな通信テクノロジーが改めて注目されているのは当然のことである。15年前に開始されたメッセージングサービスSignalは7,000万人のユーザーを獲得し、オンラインチャットアプリTelegramは9億人以上のユーザーを擁し、セキュアなメッセージングアプリWickrはAmazonに買収され、企業および政府市場に再び焦点を当てる前に、数百万人のユーザーを獲得していた。
先月のセキュリティ上の不手際では、トランプ政権のトップ高官がうっかりジャーナリストをチャットに招待し、空爆について話し合った。この事件は、セキュリティがテクノロジーだけでなく、使いやすさにも関係していることを浮き彫りにした。また、この事件は、政府高官がSignalのような安全なテクノロジーを求め、政府通信の保存規則を回避するのに役立つと信頼していたことも明らかにした。
しかし、各テクノロジーはセキュリティとプライバシーに対して異なるアプローチを提供しているため、ユーザーは違いを知っておく必要がある。
エンド・ツー・エンド暗号化 — ハードルが低い
セキュアな通信のベースラインは、エンド・ツー・エンド暗号化(E2EE)である。さまざまなサービスがE2EEを実装している。例えば、AppleのiPhoneユーザーで「メッセージ」を使用している場合は、E2EEのメリットを得ることができるが、おそらく英国ではそうではない。また、Googleでは現在、GmailでE2EEを提供しているが、企業ユーザーが送信したメールのみである。
ほとんどの場合、暗号化メッセージングが今や標準となっている。Facebookの親会社であるMetaが所有するWhatsAppは、E2EEを誇る安全なメッセージングアプリであり、現在、25億人近くの人々が使用している。このアプリケーションは暗号化通信のためのSignalのテクノロジーを実装しているが、回避策も存在する。例えば、2021年にProPublicaの調査ジャーナリストたちは、メッセージの受信者がコンテンツにフラグを立てると、自動的に親会社に送信され、プライバシー保全テクノロジーが回避されることを発見した。
このような回避策はプライバシーを脅かすと、電子フロンティア財団の上級スタッフテクノロジストであるCooper Quintin氏は言う。キャリア、サービスプロバイダー、政府機関は、しばしば通信にアクセスする能力を持っていると、同氏は指摘する。
「私たちは皆、通信のプライバシーを確保する権利があり、また、他の人々が傍受していないと分かっている会話を行う権利がある」とクインティン氏は言う。「電話やSMSメッセージを使用している際に暗号化通信を使用していない場合でも、その情報にアクセスできる当グループが多数存在する…彼らは、後で必要になるかもしれない場合に備えて、このデータをすべて収集しているのだ」
クインティンは特定のアプリを推奨しているわけではないが、Signalがメタデータの収集量を減らし、プライバシー保護テクノロジーを可能な限り使いやすくしていることを高く評価している。
「彼らは本当に素晴らしい仕事をしている。米国政府のメンバーが戦争計画を議論するのに十分信頼しているという事実を、クライアントがどれほど安全だと考えているかの指標として、私たちも受け止めることができると思う」と彼は言う。
データ保護、セキュリティだけではない
Amazonは2021年に、セキュアな通信プラットフォームであるWickrを買収した。これは、企業が新型コロナウイルス感染症のパンデミックによりリモートワークを余儀なくされたためである。Amazonは、この製品を消費者向けのメッセージングアプリケーションからエンタープライズプラットフォームへと素早く移行させた。そして現在、Amazonの目標は、カスタマーが管理するセキュアな通信手段を企業に提供することである。Amazon Web ServicesのWickr製品責任者であるArvind Muthukrishnanは、焦点はE2EEの提供だけでなく、企業が企業データを保護し、クラウドに依存しない能力を与えることにあると語る。
これは、テクノロジーの分野において、コンシューマーレベルの製品がエンタープライズ製品を多くの点で凌駕している領域の1つである。
「私たちはあなたのデータを持っていますが、あなたのデータにはアクセスできません。私たちは、あなた自身の暗号化キーやその他諸々を自由に持ち込むことを許可します。しかし、私たちはサービスプロバイダーとして、あなたのデータさえも保持していません」。
メタデータの削減に重点を置くことが、現在の課題である。Cape社は、セルラーネットワークのセキュリティを確保し、よりプライベートなものにすることを重視しているが、同社の目標は、ユーザーに関する自社の知識を最小限に抑えることであると、Cape社のDoyleは述べている。
同社は独自のネットワーク構築を避け、代わりにモバイル・バーチャル・ネットワーク・オペレーター(MVNO)としてマルチキャリアUSセルラーのインフラを利用している。これにより、モバイルコアからデバイス上のSIM、運用管理レイヤーにまで拡張するセキュアなソフトウェアスタックの構築に専念することが可能となる。その結果、シグナリングシステム7(SS7)攻撃や、電話ユーザーの位置を特定することを目的とした攻撃など、一般的な攻撃を防ぐだけでなく、加入者情報の収集も行わないネットワークが実現した。コールログの保存期間を60日間に設定することで、政府機関や国家による攻撃者が収集できる情報も制限していると、Doyleは言う。
このアプローチは、電子監視の危険性を認識するユーザーが増えるにつれ、同社の競争力強化につながるだろうと同氏は述べている。
「トラウマとなるような出来事の発生前後におけるプライバシー保全テクノロジーの検索活動を見ると、人々の関心が急上昇していることが分かる。これはある程度予想されていたことだが、興味深いのは、関心が以前のレベルに戻ることがないということだ」とドイルは言う。「人々の関心は、その都度、以前よりも少し高い水準に戻っている。つまり、人々は常に、プライバシーを尊重するテクノロジーをますます求めるようになっているのだ。」
著者について
Robert Lemos、寄稿ライター
20年以上のベテランテクノロジージャーナリスト。元研究エンジニア。CNET News.com、Dark Reading、MITのTechnology Review、Popular Science、Wired Newsなど24以上の出版物に寄稿。ブラスターワームに関する報道で2003年にベスト・デッドライン・ジャーナリズム(オンライン)賞を受賞するなど、ジャーナリズムで5つの賞を受賞。PythonとRを使用して、さまざまなトレンドの数値を分析。最近のレポートには、サイバーセキュリティの労働者不足と年ごとの脆弱性の傾向の分析が含まれる。
