ここ数年で私たちが学んだことがあるとすれば、それは、私たちのデータやメタデータを盗み見たり、奪い取ったりする機会があれば、犯罪者、企業、そして政府には多くの共通点があるということです。私たちのメールや取引を閲覧したり、通話を盗聴したり、誰と連絡を取っているかを追跡したり、位置情報を追跡したりする理由はそれぞれ異なるかもしれませんが、すべて同意がないことが関わっています。
私たちは、可能な限り多くのデータを暗号化することで、プライバシーへの攻撃を阻止するために、自ら行動を起こすことができます。特に、最も脆弱な転送中のデータを暗号化することが重要です。ツールはかつてないほど強力になり、選択肢もかつてないほど豊富になりました。そして、これからさらに進化していくでしょう。
法執行機関は、Apple が iOS 8 に組み込んだセキュリティ対策に満足していない。
FBI長官ジェームズ・コミー氏は9月、iOS 8とGoogleのAndroidの最新バージョンは非常に強力な暗号化を実現しており、FBIは容易に、あるいは全く解読できないと訴えた。コミー氏は、モバイルユーザー全体のごくわずかな割合を占めるテロリスト、小児性愛者、その他の犯罪者を、人々のセキュリティを侵害する理由として持ち出すのが常套手段であるのだが、これは実によくある話だ。
これまでのところ、AppleとGoogleは態度を変えていません。おそらく、両社のユーザーが彼らの立場に満足しているためでしょう。ティム・クックは、テクノロジーユーザーが、政府を含む他者によるデータへのアクセス内容とアクセス方法を制御する必要性について、かなり強く訴えてきました。
しかし、私たちにできることは確かにまだたくさんあります。インターネットは、学術研究者によって、そして学術研究者のために設計されたため、途方もなくオープンな形で発展してきました。そして、その痕跡は今もなお多く残っています。こうした状況の一部は、かつては処理能力に関係していました。デバイス間やルーターを通過する情報をリアルタイムで暗号化・復号化することは、かつては今日よりもはるかに高価でした。iOSハードウェアに組み込まれているようなカスタムチップや回路は、計算オーバーヘッドとコストを削減します。多くのWebサーバーは、HTTPS経由のすべてのトラフィックを問題なく容易に処理できるハードウェア上でホストされています。情報提供者が安全な方法の提供を避ける言い訳は全くありません。
今すぐできること
Mac または iOS では、サービスごと、または全体的に多くのオプションがあります。
VPNを使いましょう。仮想プライベートネットワーク(VPN)接続は、ハードウェアとインターネット上の別の終端点との間のあらゆるデータを暗号化されたラッパーで包みます。企業は長年、より厳重に保護された企業ネットワーク内で終端するVPNを使用してきました。しかし、Cloak、TunnelBear、AnchorFreeなど、多くのVPNを利用すれば、誰でもVPNに接続できます。(2012年にMacworldでVPNの概要記事を書きました。)
VPNは包括的で、すべてのトラフィックをカバーしますが、同時に不完全でもあります。エンドツーエンドではないため(どこかのデータセンターで終端するため)、コーヒーショップや地元のISPなど、ローカルや近隣の脆弱なリンクを保護するのに適しています。
仮想プライベート ネットワーク暗号化を使用して、コーヒー ショップでのインターネット閲覧を保護します。
クライアントとサーバー間の暗号化を使用します。メールの送受信に暗号化を使うことが珍しく、面倒だった時代を覚えています。今ではほぼどこでも暗号化が利用可能になり、Apple Mailなどのメールクライアントはデフォルトで安全な接続を確立するように最善を尽くしています。サーバー接続では、安全なオプションを使用するように設定するか、設定を調整してください。サイトやサービスによっては、最初にアカウントを設定し、その後セキュリティ設定でHTTPSまたは暗号化接続を要求するように設定する必要がある場合があります。Webサービスを利用するソフトウェアでは、プレーンHTTPではなく、HTTPSエンドポイントを優先的に見つけるようにしてください(検索が必要になる場合もあります)。
VPNと同様に、クライアント・サーバー間の暗号化にも終端点があります。メール、ファイル、その他のサーバーが犯罪者、従業員(経営陣も含む)、あるいは政府機関の要求によって侵害された場合、情報が傍受される可能性があります。Dropbox、メール、その他どのようなサービスであっても、データはサーバーで暗号化・復号化される必要があります。ほとんどの場合、安全な転送(SSL/TLS、SSHなど)と安全なストレージは確保できますが、データの送受信には中間段階で復号化を行う必要があります。
この点に関しては、Web上でも取り組みが進められています。多くのWebサイトはSSL/TLSを利用できるはずであり、また利用すべきですが、eコマース、金融、医療といった分野以外の小規模企業にとっては、コストと技術的な複雑さが本格的な導入を阻んでいます。電子フロンティア財団は先日、「Let's Encrypt」という計画を発表しました。これは、Webサイト向けのセキュリティ証明書の作成、インストール、自動更新を統合するものであり、これにより暗号化されたWeb接続が飛躍的に拡大し、ユーザーの日常的な行動も安全に保つことができます。
エンドツーエンドまたはピアツーピアの暗号化を使用します。ゴールドスタンダードとは、両端のユーザー間で一切の妥協を許さず、流れるデータとやり取りできるのは両端の当事者のみであるクライアントソフトウェアを持つことです。これは、クライアント/サーバーアーキテクチャが異機種混在を許容するため、これまで比較的稀なケースでした。言い換えれば、標準規格に準拠するか、複数の異なるプロトコルに対応できる高性能サーバーと、多種多様なクライアントを接続できるということです。
WhatsApp は今週、エンドツーエンドの暗号化を採用しました。
異機種混在により、誰もが同じクライアントソフトウェアを使用する必要がなくなり、プラットフォームやOSのバージョンによるロックインを回避できるため、特定のサービスや製品のリーチが大幅に広がります。メールクライアントは数千種類ありますが、最も広く使用されているのはほんの一握りです。同様に、Twitterクライアントも、数年前にアクセスルールを厳格化したにもかかわらず、数百種類が残っています。
ピアツーピアクライアントでは、通信相手全員が同じソフトウェアをインストールする必要がありますが、そのソフトウェアは1つまたは少数のプラットフォームに限定されていたり、選択肢がはるかに限られていたりする場合があります。そのため実用性が制限され、人々が安全性の低いクライアント/サーバー構成に頼るようになりました。しかし、セキュリティ上の懸念もあり、この傾向は変化しつつあります。SkypeはiMessageと同様に、常にエンドツーエンドの暗号化を採用してきました。しかし、どちらも一般ユーザーによる整合性の検証と外部からの検証方法に重大な欠陥があります。
ジャーナリズムを専門とする非営利団体ProPublicaは最近、安全なメッセージングツールの詳細な評価を発表し、ソースコードが外部監査に公開されているかどうかなど、7つの評価項目それぞれに1点を加算しました。本格的なシステムでありながら比較的利用頻度の低いシステムは、わずか数点しか7点を獲得しませんでした。最も利用頻度の高いツールの得点ははるかに低く、AIMとSkypeはそれぞれ1点、iMessageとFaceTimeはそれぞれ5点を獲得しました。
このスコアカードは急速に変化していくでしょう。Facebookが買収した大人気メッセージングアプリWhatsAppは、今週、テキストメッセージによるやり取りのためにAndroidクライアントにTextSecureを統合したと発表しました。これにより、Android同士の接続はProPublicaの評価で2ポイントから7ポイントに上昇しました。WhatsAppは将来的にiOSやその他のメッセージサービスのサポートを追加する予定です。また、元海軍特殊部隊SEALs隊員と、型破りな暗号化の第一人者によって設立されたSilent Circleも、iOSおよびAndroidアプリで利用可能なテキストメッセージおよび通話サービスで7ポイントを獲得しています。
政府機関が、居住国で表面上は保証されている様々な法的手続きの有無に関わらず、国家安全保障やその他の利益が危機に瀕している場合、要求に応じてデータを盗聴、傍受、解読する権利を有するかどうかについては、様々な意見があるかもしれません。しかし、政府機関が私たちのデータにアクセスできるあらゆる方法は、窃盗犯、企業、そして他国政府にとっても利用しやすい手段となります。法執行機関は適応しなければなりませんが、彼らにはできないので、私たちは自らを守る必要があります。
