先週、大規模なスパイ活動が行われたとのニュースが報じられました。中国のハッカーが米国の通信会社8社に侵入し、テキストメッセージと通話履歴にアクセスしたのです。その後まもなく、米国連邦捜査局(FBI)は「暗号化されたメッセージを使用するよう」という勧告を発表しました。
少なくとも、この考えはウェブ上の見出しを席巻していました。しかし、AP通信などの報道機関のニュースを詳しく調べると、より微妙な情報が浮かび上がってきます。特に、標的となったのは政府関係者と政治家で、影響を受けた人数は「数十人程度」とされています。
私のように、地政学的な出来事を逐一追うのではなくNetflixを観まくる普通の人なら、FBIの提案がどれほど意味を持つのか疑問に思うかもしれません。また、メッセージアプリの切り替えは容易ではありません。ダウンロードするのは簡単ですが、友人や家族に乗り換えを説得するのは難しいのです。
結局のところ、FBI のアドバイスに従っても害はないというのが答えです。
私たちのインフラのサイバーセキュリティは現在脆弱です。この点は通信事業者へのハッキングによって既に明らかになっていますが、通信分野以外にも脆弱な部分があります。エネルギーや交通といった分野も同様に標的になりやすいのです。
暗号化通信(特に、通信プロセスの特定の部分だけでなく、最初から最後までデータを保護するエンドツーエンド暗号化)の使用に関する政府の推奨は、サイバーセキュリティ・インフラセキュリティ庁(CISA)やFBIなどの姉妹機関による、企業ネットワーク強化の必要性に関する広範な要請とガイダンスの一部です。この強化は、不正な組織による侵入を防ぐだけでなく、侵害が発生した場合の潜在的な影響を軽減するのに役立ちます。
RDNEストックプロジェクト
しかし、このようなアップグレードは、実現するとしても時間がかかります。(たとえ必要不可欠であっても、組織による資金投資によって制限される可能性があります。)また、通信事業者へのハッキングがどれほど容易になり、どれほど広範囲に及ぶようになるかは不明です。例えば、今年初めに発生したAT&Tのデータ漏洩を思い出してください。
あなたや私が国家機密を握ることは決してないかもしれませんが、私たちの生活には、より秘密にしておきたい情報が依然として存在し、それらを積極的に守る必要があります。金融情報、日々の習慣、いつもの場所など、こうした情報は悪意のあるキャンペーンや、ストーカー行為のような直接的な嫌がらせに悪用される可能性があります。たとえ機密性の高い業務上または業界内の秘密であっても、守る価値がある場合があります。
テキストメッセージや通話のための標準的な通信システムはまだ暗号化に対応していません。AppleとGoogleはどちらも暗号化されたテキストメッセージ(AppleはiMessageの青いバブル、GoogleはRCS)を提供していますが、相互互換性はありません。つまり、相手側のプラットフォームでメッセージを送信した場合、メッセージは暗号化されません。
代わりに、WhatsApp、Messenger、Signalなどのクロスプラットフォームでエンドツーエンド暗号化されたアプリに切り替えて、セキュリティを強化するのが正解です。(E2EEはデフォルトでオンになっているはずですが、アプリの設定で確認できます。)さらに、これらのサービスでは音声通話とビデオ通話もエンドツーエンド暗号化されるため、別途アプリは必要ありません。
(ただし、Apple の FaceTime は単一のエコシステムにロックされているため、安全でないクロスプラットフォーム通話は不可能であり、引き続き安全に使用できます)。
マーティン・キャサリー / ドミニク・トマシェフスキー
エンドツーエンドの暗号化には潜在的な落とし穴が 1 つあります。これは、E2EE アプリに移行するという当初の推奨と同じ情報源から来ています。FBI は、「責任を持って管理された」暗号化メッセージング アプリの使用を望んでいます。
つまり、Meta、Apple、Googleといった巨大IT企業が令状を受け取った場合にメッセージにアクセスできるようにするということです。もしこれらの企業がE2EEアプリにこのようなバックドアを作ることを余儀なくされれば、セキュリティは低下するでしょう。(ドアは、オーナーや不動産管理者以外の人によって開けられる可能性があります。)しかし今のところ、エンドツーエンド暗号化されたメッセージングアプリは、SMSよりも依然として優れた選択肢です。
SMSよりも優れている点といえば、メッセージをハイジャックしたり傍受したりするのに国家レベルのハッキンググループは必要ありません。そのため、SMSメッセージに依存する2要素認証は2FAの中で最も弱い形式と考えられており、どうしても必要な場合を除き推奨されません。主要な通信手段としてSMSを使用しない場合は、2FAの方法もアップグレードしてください。Authy、Google Authenticator、Microsoft Authenticatorなどのアプリで生成されるワンタイムパスコードは強力なセキュリティ対策であり、より安全なハードウェアキー(Yubikeyなど)の紛失を心配している場合の良い代替手段となります。
攻撃は防御にもなるため、データ侵害の規模と深刻さが増す中、積極的な対策を講じることは将来的に成果につながる可能性があります。今すぐに、緊急に対策を講じる必要があるでしょうか?ほとんどの人にとって、そうではありません。しかし、より切迫した状況で対策を講じるよりも、今すぐ対策を講じた方が良いでしょう。そして、エンドツーエンドの暗号化がデフォルトで有効になっていないアプリをダウンロードするというミスを犯す可能性も避けたいものです。
