Wikileaksが3月7日に公開したCIAのハッキング手法に関するリーク文書。CIAがiPhoneやAndroid、スマートTVなどのゼロデイ脆弱性を利用してデバイスに侵入し、データを収集するために使用していた手法が明らかになった――と世界中のメディアが伝えているが、そうした報道のなかには、もう何をやっても諜報機関には筒抜けだ、と思わせてしまうような記述も見られる。いやいや、そんなことはない。

Wikileaksは、CIAがiOSやAndroidの脆弱性を使用して携帯電話をハックし、そこで行われるすべての活動を監視できるとする文書を公表している。こうした脆弱性を購入したり、発見するためには多額の費用がかかる。CIAはこれら脆弱性をできるだけ長く秘匿しておくために、特定のターゲットに絞って使用しているようだ。

ニューヨーク・タイムズインディペンデントテレグラフをはじめとする新聞社のジャーナリストたちは、この話題を伝えるにあたり、CIAがSignalやWhatsAppなどのメッセンジャーアプリの暗号化を回避できる、と述べている。これはまったく正確ではない。アプリ自体はセキュアである。おそらくWikileaksのツイートを鵜呑みにしているのだろう。

CIA(あるいはNSA、MI5、GCHQ)が携帯電話をハックし、どんなメッセンジャーアプリのメッセージでも読むことができたとしたら、アプリ自体が暗号化してしようがいまいが関係はない。

携帯のオペレーティング・システムがハックされることと、メッセージの暗号化が破壊されることの間には大きな隔たりがある。もし、メッセンジャーアプリの暗号化が破られたのだとしたら、そのアプリを使用するすべてのユーザに影響する。SignalやWhatsAppの暗号化が破られたわけではない。

CIAがあなた個人に関心を持ち、あなたの携帯電話をハックしたとする。その場合には、確かに極めて脆弱な状況に置かれていると言える。とはいえ、大半の人は安全保障関連のジャーナリストでもなければ、国家機密レベルの情報を握っているわけでもなく、CIAのターゲットになることはほとんどありえない。その意味では、私たちは、暗号化されたメッセンジャーを使用して、メッセージをプライベートかつ安全に保つことができるし、そうするべきだ。プライベートなメッセージを狙っているのはCIAだけではないのだから。

SignalWhatsAppは依然として、携帯電話のコミュニケーションツールとして非常に優れた手段であることに変わりはない。最もまずいのは、何をやっても意味がないとデジタルセキュリティを放棄してしまうことだ。

銀行の金庫室までトンネルを掘られてしまえば、金庫室のドアに堅牢なロックを掛けていようと何の助けにもならない。しかし、厳重なロックがいらないかと言われれば、そんなことはない。依然として金庫破りには有効な手段だ。

問題は、CIAを始めとする諜報機関が、デバイスの脆弱性をその製造元に報告せずに溜め込み、使用していることにある。デバイスの脆弱性が放置されれば、その間、私たちは犯罪者や他国の諜報機関からの攻撃に無防備な状態であり続ける。

個人のセキュリティの観点から、すべてを正しく理解しておくことが重要である。大半の人は、CIAによる脆弱性をついたハッキングよりも、電子メールのフィッシング・リンクから侵入されるリスクのほうが遥かに高いのだから。

Open Rights Group – Yes, the CIA can hack phones but Signal and WhatsApp are still safe for nearly everyone

Author: Ed Johnson-Williams / Open Rights Group / CC BY-NC 3.0
Publication Date: March 7, 2017
Header Image: Gabriel Wasylko
Translation: heatwave_p2p

いくら通信部分を暗号化したとしても、背後から覗かれてしまえば意味がない。少なくともWhatsAppやSignal、Confide、Telegramのようなメッセンジャーのエンド・ツー・エンド暗号化が破られたわけではなく、通信の部分でインターセプトされたわけではないので、その部分を不安がる必要はない。そうしたツールを使うにあたっては、汚染されていない端末を使用することが大前提なのだが、その大前提の部分が揺らいだ、というところだろうか。まぁ、それはそれで大問題なのだが。

いずれにしても、ORGが指摘するように、大半の市民にとってCIAの監視活動自体は直接的な影響はないといっていい。ただ間接的には、ゼロデイ脆弱性が諜報活動のために放置されれば、大きなリスクに晒され続けることにもなる。いかに諜報活動のためとはいえ、それは許容されうることなのだろうか。