Howdy! How can we help you?
(EFF)Salt Typhoonハッキングは、「善人」だけが利用できるセキュリティの裏口など存在しないことを示している
2024年10月9日
EFFでは以前から、善良な人々だけを入れる裏口を作ることはできず、悪人だけを締め出すこともできないと指摘してきた。週末、このことを示す新たな例を目にした。ウォール・ストリート・ジャーナル紙が、Salt Typhoonと呼ばれる中国政府支援の高度なハッキンググループによる米国の通信システムへの大規模な侵入について報じたのだ。
報じられているところによると、このハッキングは、ベライゾン、AT&T、ルーメン・テクノロジー(旧センチュリーリンク)などのISPが構築したシステムを悪用し、法執行機関や情報機関がISPのユーザーデータにアクセスできるようにした。これにより、中国はこれらの大手通信企業に対する米国政府の要請に関するデータに、かつてないほどアクセスできるようになった。Salt Typhoonがどの程度の通信やインターネットトラフィックにアクセスしたのか、また、誰に関するものなのかは依然として不明である。
まさにその通りである。これらの企業が法執行機関に提供したアクセス経路が明らかに侵害され、中国の後ろ盾を持つハッカーたちによって使用されたのだ。この経路は、CALEAのような行き過ぎた法律への迅速な対応を促進するために作成された可能性が高い。この法律は、通信会社に「合法的傍受」を促進することを要件としており、つまり、法執行機関や国家安全保障機関による盗聴やその他の命令を意味する。これはユーザーのプライバシーにとって恐ろしい結果であるが、米国政府の情報機関、法執行機関nにとっては驚くことではない。
認可された政府機関だけがユーザーデータを取得するためにこれらの手段を使用するという考えは、常にリスクがあり、問題があった。私たちは以前にも同じようなケースを目にしている。2004年と2005年の悪名高い事件では、ギリシャ政府の100人以上の高官が、ギリシャの「合法的アクセス」プログラムに侵入した正体不明の人物によって、10か月間にわたって違法に監視されていた。2024年には、高度な技術を持つ国家支援のハッキング・グループが増加しているため、このような損害をもたらす侵害が発生することはほぼ避けられない。「善良な人々」のために設定された特別な法執行機関アクセスシステムは、私たちをより安全にするものではなく、危険なセキュリティ上の欠陥なのである。
インターネットの盗聴は常に間違った考え方
1994年に可決されたCALEAは、電気通信機器メーカーに対して政府による盗聴を可能にする機能を提供することを義務付けている。2004年には、政府はこの盗聴の義務を劇的に拡大し、インターネットアクセスプロバイダーも対象に加えた。EFFはこの拡大に反対し、インターネットの盗聴の危険性を説明してきた。
インターネットは電話システムとは決定的に異なるため、より脆弱である。インターネットはオープンで常に変化している。「現在、盗聴に適したコンピューターネットワークを構築するために使用されているテクノロジーの多くは、データや個人データを盗もうとする攻撃者に対してネットワーク上の人々をより脆弱にしている」と、EFFは20年近く前に記している。
透明性とセキュリティに向けて
皮肉なことに、現在、中国政府は、米国政府が誰をスパイしているかについて、米国在住の人々を含め、アメリカ人よりも多くの情報を把握している可能性がある。これらのバックドアの法的権限を使用する情報機関や法執行機関は、秘密主義で知られており、監督機能が働きにくい。
コミュニケーションツールを構築する企業や人々は、これらの欠陥を認識し、可能な限りプライバシーをデフォルトで実装すべきである。このハッキングがどれほど悪質であったとしても、EFFやその他のプライバシー擁護派が、ウェブトラフィックの90%以上がHTTPSで暗号化されていることを確認するための努力を行っていなければ、もっとひどい事態になっていた可能性がある。ウェブトラフィックの暗号化がまだ行われていないウェブの10%(またはそれ以下)をホスティングしている人々にとっては、今こそ暗号化を検討する絶好の機会である。Certbotを使用するか、またはデフォルトでHTTPSを提供するホスティングプロバイダに切り替えることで、暗号化を有効にすることができる。
次に私たちは何ができるだろうか?私たちは真のプライバシーとセキュリティを要求しなければならない。
つまり、アクセスを確保する「善良な人だけ」の方法があるかのように装い続ける声高な法執行機関やその他の声を拒否しなければならない。デジタル世界では、政府(および悪意のあるハッカー)が私たちのメッセージやファイルすべてにアクセスできるのがデフォルトであるという考えに反対するために、この例を挙げることができる。私たちは、EARN ITのような米国の法案、EUの「チャットコントロール」ファイルスキャン提案、英国のオンラインセーフティ法案など、すべてこの誤った前提に立脚しているものに対して、引き続き闘うために行動する。
米国の政策立案者たちも、今こそ行動を起こすべき時である。もし彼らが、中国やその他の外国が米国市民に対してスパイ行為を行っていることを懸念しているのなら、今こそ暗号化をデフォルトで有効にすることを支持すべきである。もし彼らが、悪意のあるアクターが自国の有権者、国内企業、あるいはセキュリティ機関を悪用することを望まないのであれば、今こそ暗号化をデフォルトで有効にすることを支持すべきである。選挙で選ばれた公職者は、そうすることが可能であり、過去にもそうしてきた。FBIがデジタル盗聴をより容易に行うための口実を与える公聴会を開くのではなく、すでに実行されているデジタル錠破りの説明責任を要求すべきである。
この教訓は、学ばれるまで繰り返されるだろう。善良な人間だけを中に入れて悪人を締め出すことのできるバックドアなど存在しないのだ。私たち全員がこのことを認識し、私たち全員のための真のセキュリティとプライバシーを確保するための措置を取るべき時が来た。
