おそらく、テキストメッセージ、Facebook Messenger、WhatsApp、あるいはInstagramを使って他の人とチャットしているでしょう。これらのメッセージングアプリは確かに便利ですが、Signalのようにセキュリティとプライバシーを重視する代替アプリを探している人もいます。
Signalはエンドツーエンド暗号化(E2EE)アプリです。つまり、すべてのメッセージはデバイスから送信される前に暗号化され、受信者のデバイスに到着して復号化された後にのみ読み取ることができます。メッセージがデバイス間でやり取りされる間、たとえ傍受されたとしても、暗号化されているため読み取ることはできません。
問題は、MessengerやWhatsAppといった他のアプリもエンドツーエンド暗号化を採用しているということです。では、Signalの何がそんなに特別なのでしょうか?そして、なぜ今週、米国政界でちょっとした騒動を引き起こしたのでしょうか?実は、問題はアプリそのものではなく、その使い方なのです。
E2EEアプリとして、Signalの信頼性はMessengerやWhatsAppを凌駕しています。まず、Signalを開発するSignal Messenger LLCは、これら3つのメッセージングアプリすべてで使用されている暗号化プロトコルを開発しました(そして、誰もが驚くことではないのですが、そのプロトコルはSignalプロトコルと呼ばれています)。また、Signalはオープンソースであるため、コミュニティはソースコードに不審な動作や不正行為がないか自由にチェックできます。
セキュアなメッセージングアプリでは、送信者と受信者以外はメッセージを見ることができません。デバイス上(「保存中」)でも、インターネットのパイプラインを高速で通過する間(「転送中」)でも、メッセージは最後まで暗号化されています。永続的な暗号化キーと一時的な暗号化キーの両方を使用することで、たとえキーが漏洩したとしても、復号されるまでプライバシーは保護されます。一方、通常のSMS(テキスト)メッセージやメールは全く暗号化されていません。つまり、メッセージはあなたと他の人の間でやり取りされるどの段階でも簡単に読み取られてしまうのです。
問題は、E2EE が導入されていても、暗号化だけではメッセージ内の情報が漏洩しないことを保証できないことです。
レオニダス・サンタナ / Shutterstock.com
デバイスのセキュリティは、あなた自身のセキュリティで保護されます。脆弱なPINを使用したり、スマートフォンをロックしなかったりすると、メッセージを他人に読まれる可能性があります。また、検証されていないアプリをダウンロードしたり、サイドロードしたりした場合も同様です。これらのアプリには、復号されたメッセージを盗み見るマルウェアが含まれている可能性があります。さらに、サードパーティ製のキーボードなどのサービスや連携機能も、ハッカーに乗っ取られたり悪用されたりする可能性のある脆弱性です。
携帯電話をしっかり守っていても、メッセージを受け取った人がスクリーンショットを撮って後で共有してしまう可能性があります。Signalのニュース騒動の火付け役となったAtlanticの記事は、まさにその好例です。(「トランプ政権が戦争計画を誤ってテキストメッセージで送信」)
これらの理由から、機密性の高い政府機関とのやり取りは、サードパーティ製のメッセージングアプリでは行われないことになっています。極秘の通信は、セキュリティ保護されたデバイスだけでなく、多くの場合、セキュリティ保護された場所で、厳しい制限の下で行われることが想定されています。高いセキュリティクリアランスを持つ人物は、施設内では承認されたデバイスのみを使用でき、施設内の特定のエリアに留まらなければならない場合もあります。個人所有のデバイスも、特定のエリアへの持ち込みが禁止される場合があります。このようにして、携帯電話(またはPC)が侵害されるリスクを軽減しています。
つまり、Signal の主な懸念は、政府のシステムと同じようにセキュリティを確保したり、制御したりすることができないということです。
もう一つの厄介な点は、政府の規制で通信記録が義務付けられていることです。Signalをはじめとする安全なメッセージングアプリには、一定期間経過後にメッセージを自動的に削除する機能があります。この設定を使用すると、政府の手続きに関連する会話が失われ、法律違反となる可能性があります。
アトランティック
総じて、暗号化されたメッセージアプリは、私たち一般人にとっても、他者とチャットする理想的な方法です。テキストメッセージで個人情報(銀行情報、旅行先、健康状態など)を共有する際は、そのすべてをプライベートに保ち、スパイ行為から保護したいものです。昨年12月には、中国のハッカーが米国の通信会社に侵入したというニュースが報じられました。つまり、当時ユーザーが送信した暗号化されていないテキストメッセージの多くをハッカーが傍受した可能性があるということです。事態の深刻さから、FBIは暗号化されたメッセージアプリへの切り替えを勧告しました。
Signalは、数ある人気のE2EEアプリの一つに過ぎませんが、プライバシーに関する懸念は最も少ないと言えるでしょう。WhatsAppとMessengerはMetaが所有しており、Telegramはセキュリティの脆弱性を指摘され、度々批判されています。(さらに、Telegramはハッカーによる盗用データの販売など、違法行為の温床として知られています。)
E2EEアプリについてご興味がおありでしたら、Signalとその暗号化の仕組みについて、またWhatsAppなどの代替アプリについても触れているこちらの記事をご覧ください。結局のところ、暗号化されたメッセージングアプリに切り替えないのであれば、少なくとも何を共有するのか、そしてその情報が自分の意志に反してどのように共有される可能性があるのか、慎重に考えるべきです。
著者: Alaina Yee、PCWorld 上級編集者
テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター(#slickdeals)としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。
