Google ハングアウト、Facebook チャット、Yahoo! メッセンジャー、Snapchat など、世界で最も広く使用されているメッセージング アプリの一部が、擁護団体である電子フロンティア財団 (EFF) によるベスト プラクティスのセキュリティ テストに不合格となった。
同組織は、デジタル通信のプライバシーとセキュリティを確保するためにツールが満たすべきと考える 7 つの基準に基づいて、39 のメッセージング製品を評価しました。
調査対象となった製品には、モバイルテキストメッセージアプリ、インスタントメッセージングクライアント、音声・ビデオ通話ソフトウェア、メールサービスなどが含まれていました。結果は火曜日に「セキュアメッセージングスコアカード」として公開されました。
EFFは、評価対象製品の暗号化実装について、脆弱性評価や詳細な技術分析は行いませんでした。評価は、政府による広範なインターネット監視(通信中のデータ収集やオンラインサービスプロバイダーによるデータ収集を含む)から通信を保護するために必要と思われる原則と機能に基づいて行われました。
EFF は製品をレビューする際に、次の質問をしました。
- アプリケーションは転送中のデータを暗号化しますか?
- 通信はプロバイダーがアクセスできないキーで暗号化されていますか? この場合、エンドツーエンド暗号化とも呼ばれる、ユーザークライアント間で直接ネゴシエートされた暗号化キーを使用する必要があります。
- サービスプロバイダーが侵害された場合でも、ユーザーは会話中の連絡先の身元を独自に確認できますか?
- ユーザーの長期秘密鍵が漏洩した場合でも、以前の通信は安全に保たれますか?この特性は「前方秘匿性」と呼ばれ、セッションごとに一時的な暗号化鍵を使用する暗号化実装が必要です。
- 製品の通信および暗号化コードは独立したレビューを受けられますか?
- 製品の暗号化設計は適切に文書化されていますか?そのためには、製品の暗号化および認証アルゴリズムを列挙し、キーの生成、保存、交換のメカニズムを文書化し、キーの失効と変更のプロセスを説明し、ソフトウェアが提供する保護機能と、安全でない可能性があるシナリオを明記する必要があります。
- 製品の設計と実装は、過去 12 か月間に独立したセキュリティ監査を受けましたか? 同じ組織内の製品開発チームから独立したセキュリティ チームによる監査で十分です。
EFF のすべての要件を満たしたアプリケーションは 6 つあり、そのほとんどがオープンソースです。Web ベースのインスタント メッセージング アプリケーションの CryptoCat、iPhone および Android 用の暗号化チャット クライアントの ChatSecure、Android 用のテキスト メッセージング アプリの TextSecure、Android 用の暗号化通話アプリの RedPhone とその iOS 版の Signal、そしてセキュア通信プロバイダーの Silent Circle が提供する暗号化テキスト メッセージングおよび通話アプリの Silent Text と Silent Phone です。
数少ない満点獲得者の一人。
他にも、年次コード監査または前方秘匿性要件という1つの基準のみを満たし、ほぼ合格したアプリがありました。これらの製品は、Mailvelope、RetroShare、Subrosa、Jitsi、Adium、Pidginです。
量販製品の中では、AppleのiMessageとFaceTimeが最も高い評価を得ました。これらの製品は、独立したレビューのためのコードの提供と、帯域外の連絡先ID認証という2つの要件のみを満たしていません。これは、これらの製品が現時点では、高度な標的型監視に対する完全な保護を提供していないことを意味するとEFFは述べています。
広く普及している他のコミュニケーションツールのスコアははるかに低く、7つの要件のうち1つか2つしか満たしていませんでした。Googleハングアウト、Facebookチャット、Yahoo!メッセンジャー、Snapchat、WhatsApp、Viber、AIM、BlackBerryメッセンジャーなどがその例です。これらの製品はいずれもエンドツーエンドの暗号化を提供していないため、これらのツールを介した通信はプロバイダー側による監視の標的となる可能性があります。
南アフリカのモバイル ソーシャル ネットワーク Mxit と、広く使用されている中国のインスタント メッセージング サービス QQ は暗号化をまったく提供しておらず、テストされた 39 の製品の中で最も安全性が低い製品となっています。
