以下の文章は、電子フロンティア財団の「Browsers Take a Stand Against Kazakhstan’s Invasive Internet Surveillance」という記事を翻訳したものである。
昨日、GoogleのChrome、MozillaのFirefox、そしてAppleのSafariブラウザが、ユーザのセキュリティを侵害する無差別監視を目的としたカザフスタンISPによるセキュリティ証明書のブロッキングを開始した。我々は他のブラウザにも同様のセキュリティ対策を求めたい。この修正はChromiumのソースコードに追加されるため、Brave、Opera、Microsoft EdgeなどのChromiumベースブラウザにもまもなく導入されるだろう。
何が起こったのか、なぜ問題なのか
去る7月、カザフスタンの国営電気通信事業者「Kazakhtelecom」は、暗号化ウェブ(HTTPS)接続の定期的な傍受を開始した。一般に、暗号化されたHTTPS接続への攻撃は検出可能であり、ブラウザによる警告の表示や、接続を中断するセーフガードが働いている。こうしたセキュリティ対策が機能するのは、使用される証明書がユーザのデバイスやブラウザから信頼できないと判定されるためである。
だがカザフスタンのISPは、デバイスに組み込まれているセキュリティチェックをバイパスすべく、ユーザにデバイスやブラウザに証明書を手動で信頼させ、自らのセキュリティを毀損するよう指示している。
カザフスタンのISPが信頼できない証明書を配布し、ユーザがその証明書を手動で信頼するという2段階を経ることで、気密性の高いユーザデータやメッセージ、メール、ウェブで送信されるパスワードに至るまで、ユーザのオンライン通信を読み取り、さらには変更を加えることまでできてしまう。Censored Planetの調査によると、Googleサービス、Facebookサービス、Twitter、VK(ロシアのソーシャルメディア)など、40のドメインが定期的に傍受されていたという。
カザフスタン政府は、過去にもこのような無差別監視を実施する方針を表明していたが、強い反発を受けて実施には至ってはいなかった。現在、カザフスタン当局は――たとえ個々のインターネットユーザにデバイスに内蔵されたプライバシー保護を手動で剥ぎ取らせることを意味していたとしても――国内全域の通信プライバシーの侵害に本気で乗り出したようだ。
これからどうなるのか
今月始め、カザフスタン国家安全保障委員会は、カザフスタンが同計画を中止したことを発表した。この発表と大統領のツイートによると、計画はパイロットプログラムとして成功を収めており、政府のこの措置がカザフスタン国民のセキュリティを大きく損ねるものであったとしても、外部からの安全保障上の脅威を検知し、それに対抗するために導入されたものだと説明されている。発表では、このプログラムが将来的に再び導入される可能性があることにも触れられた。Censored Planetのライブモニターでは、8月第1週以降、同システムが停止していることが確認されている。
Google、Mozillla、Appleが、カザフスタンISPによるトラフィック傍受を目的とした特定の証明書をブロックするという措置に乗り出した意義は、カザフスタン政府によるこの侵入的プログラムの再開を防ぐのみならず、将来的にブラウザがこのネットワーク攻撃に同様の措置をとりうるという前例を作り出したことにある。こうした強い反発がなければ、カザフスタンのみならず他の国家もこうした「パイロットプログラム」を繰り返す可能性が高い。ブラウザベンダー、デバイスメーカー、オペレーティングシステムには、攻撃に対する警告を改良し、手動で新たな証明書を信頼させる手口への対策を求めたい。
カザフスタンの措置は、エンドユーザデバイスとエンドツーエンドのオンライン・コミュニケーションのセキュリティが緩やかながら改善していることに対する極端な反応ではあったが、カザフスタンを始めとする国々がさらに侵襲的な措置を講じることも懸念される。一部のセキュアなブラウザの対抗措置に直面したことで、次はこうしたセーフガードを実装していないブラウザの使用を国民に強制する可能性もある。他のブラウザも同様の措置を講じ、カザフスタン政府による国民全体のインターネットセキュリティを侵害するという決定に連帯して対抗することを求めたい。さらに、ユーザソフトウェアの設計者は、将来の脅威モデルにおいて、このような侵害的な国家的措置を予測しなくてはならない。