以下の文章は、電子フロンティア財団の「Salt Typhoon Hack Shows There’s No Security Backdoor That’s Only For The “Good Guys”」という記事を翻訳したものである。
EFFは長年にわたり、善良な人々だけを通し、悪い人々を締め出すバックドアは構築できないと指摘してきた。先週末、この主張を裏づける新たな事例が明らかになった。The Wall Street Journalは、”ソルト・タイフーン”と呼ばれる中国政府が支援する高度なハッカー集団によるものとされる、米国の通信システムへの大規模な侵入について報じた。
報道によると、このハッキングはVerizon、AT&T、Lumen Technologies(旧CenturyLink)などのISPが構築したシステムを標的としたという。これらのシステムは、法執行機関や情報機関にISPのユーザデータへのアクセスを提供するために作られたものだ。これにより、中国はこれら主要通信企業への米国政府の要請に関するデータに前例のないアクセスを得ることができた。ソルト・タイフーンが誰の、どれほどの通信やインターネットトラフィックにアクセスしたのかは、いまだに不明である。
そう、これらの企業が法執行機関のアクセスのために設けた経路が、中国政府が支援するハッカーによって悪用され、侵入に使われたのだ。この経路は、おそらくCALEAのような間違った法律を円滑に遵守するために作られたものだろう。CALEAは、通信会社に「合法的な傍受」(すなわち、法執行機関や国家安全保障機関による盗聴やその他の命令)を容易にすることを求めている。これはユーザのプライバシーと米国政府の諜報・法執行機関にとって悲惨な結果だが、驚くべきことではない。
権限を与えられた政府機関だけが、これらのユーザデータの取得経路を使えるというアイデアは、常に危険で欠陥のあるものだった。過去にも同様の事例がある。2004年から2005年にかけての悪名高い事件では、ギリシャの「合法的アクセス」プログラムに何者かが侵入し、ギリシャ政府の高官100人以上が10ヶ月にわたり違法に監視された。2024年、洗練された国家支援のハッカー集団が増加する中、このような深刻な侵害が発生するのはほぼ避けられない。「善良な人々」のために設けられた特別な法執行機関アクセスのシステムは、我々を安全にはしてくれない。むしろ、我々を危険にさらすセキュリティ上の欠陥でしかない。
インターネットの盗聴がそもそもの間違いだ
1994年に成立したCALEAは、通信機器メーカーに政府の盗聴を可能にする機能を提供することを義務づけている。2004年、政府はこの盗聴権限をインターネットアクセスプロバイダにまで劇的に拡大した。EFFはこの拡大に反対し、インターネット盗聴がいかに危険であるかを警告した。
インターネットは電話システムとは根本的に異なり、はるかに脆弱だ。インターネットはオープンで、絶え間なく変化している。約20年前、我々はこう警告した。「「盗聴しやすいコンピュータネットワークを作るために現在使われている技術の多くは、そのネットワークを使う人々を、データや個人情報を盗もうとする攻撃者により脆弱にしている」。
透明性とセキュリティ向上に向けて
皮肉なことに、今や中国政府こそが、米国政府が(米国在住者を含む)誰を監視しているかについて、米国国民よりも多くの情報を持っているのかもしれない。これらバックドアに類する法的権限をふるう諜報機関や法執行機関は悪名高いほど秘密主義であり、監督を困難にしている。
通信ツールを構築する企業や個人は、これらの欠陥を認識し、可能な限りプライバシー・バイ・デフォルトを実装すべきである。このハッキングは深刻だったが、EFFや他のプライバシー擁護団体の取り組みにより、ウェブトラフィックの90%以上がHTTPSで暗号化されていたおかげで、被害のさらなる深刻化を免れた。ウェブの残り10%(程度)を暗号化していないホスティング提供者は、Certbotを使用するか、デフォルトでHTTPSを提供するホスティングプロバイダに切り替えることで、暗号化を検討すべきだろう。
では、我々に何ができるだろうか? 我々にできることは、真のプライバシーとセキュリティを要求し続けることしかない。
つまり、「善良な人々だけ」にアクセスを保証する方法があるという幻想を振りまく法執行機関らの声に反対の声をあげなければならない。デジタル世界のデフォルトは、政府(そして悪意のあるハッカー)に我々のメッセージやファイルを丸裸しておくことだという考えに反論するため、我々は事件を含む多くの事例を突きつけ続けなければならない。米国のEARN IT法案、EUの「チャットコントロール」ファイルスキャン提案、英国のオンライン安全法など、この欠陥だらけの前提に基づく法案・法律との闘いを、我々は続けていく。
米国の政策立案者も、今こそ行動を起こすべきだ。中国や敵対国による米国市民へのスパイ行為を本当に懸念しているなら、デフォルトでの暗号化を支持するべきだ。悪意ある者が再び有権者、国内企業、あるいはセキュリティ機関を食い物にすることを望まないのなら、デフォルトでの暗号化を支持すべきだ。選挙で選ばれた公職者の中には、過去にそうした行動を取った人もいる。FBIによるデジタル盗聴を容易にするための公聴会を開くのではなく、すでに行っているデジタルロック解除について説明責任を果たすよう要求すべきだ。
この教訓を学ばなければ、今回のような事件は何度でも繰り返される。善人だけが通れて悪人には通れないバックドアなど存在しない。我々全員がこの現実を受け入れ、本当の意味でのセキュリティとプライバシーを全ての人に保証するための行動を起こさなければならない。
Salt Typhoon Hack Shows There’s No Security Backdoor That’s Only For The “Good Guys” | Electronic Frontier Foundation
Author: Joe Mullin and Cindy Cohn / EFF (CC BY 3.0 US)
Publication Date: October 9, 2024
Translation: heatwave_p2p
Material of Header image: Peter Schüler (CC BY-NC-SA 2.0)