政府の言う「あなたのデータは安全」は真実か?

Teten Govt security cartoon

【暗号オタクの妄想】
やつのノートPCは暗号化されている。100万ドルのクラスタコンピューターを作って解読しよう。
ダメだ4096ビットRSAだ
!クソッ、計画が台無しだ。

【実際に起きること】
やつのノートPCは暗号化されている。引っつかまえて、パスワードを教えるまでこの5ドルのレンチで殴ろう。了解。

編集部注:David Tetenは、ff Venture Capitalのパートナーで、Harvard Business School Alumni Angels of Greater New Yorkのファウンダー・会長。Twitterアカウントは@dteten

近代の暗号化システムは、理論的に、極めて安全性が高い。例えばAdvanced Encryption Standard(AES)は、あまりに高度なため現在知られているあらゆる攻撃方法は計算上実現不可能である。NSA(国家安全保障局)が最高機密データを256ビットAESで安全に保管できると考えるのも不思議ではない。

しかし、少々意外なことに、こうした暗号化システムの恩恵に預かるのは政府機関だけではない。たぶんあなたも。AESはAppleをはじめ多くの商業製品に採用されており、どうやら警察当局はこの動きを芳しく思っていないようだ。最近ワシントンDCで行われたDFRWSコンピューター科学捜査カンファレンスで、Ovie Carroll(司法省コンピューター犯罪・知的財産権部門サイバー犯罪研究所長)は次のように嘆いていた。「実は司法省の立場から言わせてもらうと、ドライブが暗号化されていると・・・犯罪操査はお手上げだ。ディスク全体が暗号化されたドライブの電源を抜かれればそこからデータを復旧するチャンスはない。

これで自分のデータは安全確実だと結論を下したくなるところだが、日々の新しい攻撃方法がそうでないことを証明している。要するに、こうした強力な暗号化システムにも関わらず、あらゆる攻撃が最終的に必要としているのは、IDとパスワードだけ、ソーシャルエンジニアリングやユーザーの不注意によって、プライベートな個人から入手可能な情報だ。数人のティーンエージャーが、誰かのAppleとGoogleとTwitterとAmazonのアカウントをものの数時間のうちにインターネット接続とスマートフォンだけで盗むことができるのに、あらゆる権力と資源を欲しいままにできる司法省が、それほどお手上げだということはとても信じられない。

地味ながら間違いなく手ごわいそのハッキングツールを使って、司法省は再三、被告にパスワードと暗号化されたファイルの開示を説得することにある程度成功していると言っている。しかも、ハッキング技術の高度化によって、ソフトウェアの脆弱性だけでなく、今やハードウェアさえも悪意ある侵入の危機に曝されている。データは保護されているものと犯罪者たちが思い込んでいるなら、万事うまくいくかもしれないが、われわれはそこまで無邪気ではいられない。まず自分のデータの脆弱性を認識しないことには、データを守るための適切な手順を踏み、それをアクセスしようとする政府機関の権限に疑問を投げかけることはできない(彼らは国民が、自分たちのデータに政府は手が届かないと信じ込んで欲しいと考えている)。

ある友人が私にこう言った。「オンラインビデオゲーム業界にいた頃を思いだす。当時お山の大将だったSony Online Entertainment(中でも社長のJohn Smedley)は、同社のMMO、EverQuestの発表数週間前にインタビューやイベントを行い、まるで計算したかのように、それが最悪のビジネスであり技術的にほぼ不可能なことだったと世界に発信していた。

「その意味はこうだ。あれはひどいビジネスではなかった。儲ったし、技術的に不可能でも何でもなかった。実際は、〈ずっと〉簡単に安くなるばかりだ。Smedleyはあらゆる手段を尽して他人が市場に参入するのを阻止しようとした」

司法省はドライブを暗号化すれば安全だと主張している。彼らは、暗号化されたドライブを電源が切られた後にアクセスすることは不可能だと言っている。これは全く真実ではない(本物の犯罪者を捕えるためにこの戦術を使うことには何ら反対しないが)。

理由は単純だ。政府は暗号を破ったり解読する必要がない。彼らは政府である。彼らは様々な方法を使ってアクセスコードを提出するよう説得するか、ソーシャルエンジニアリングで聞きだすことができるのだから。

このことは、一部の人々が地元政府機関の監視から逃がれるために、業務全体を海外に移すきっかけになった。しかし、 Distil.it(サーバーのグローバルネットワークを運営するベンチャーキャピタル会社)のCTO、Engin Akyolはこう考える。「このアプローチの問題は、米国の世界的影響力が大きいため、犯罪企業を受け入れて米国当局やインターポールから保護することによる政治的リスクを負うような先進国は事実上存在しないことだ」

データを暗号化することは、自爆式金庫を持つのと似ている。最も重要な文書は政府や他の人々の手に渡る前に破壊されるかもしれないが、他の生身の人間との関係を消去したり破壊することの方が難しい。20世紀後半にFBIがマフィアを捕えたのは、有罪の証拠資料が入った金庫をこじ開けたからではない。長時間の捜査や監視と法整備によるものだ。

同じ戦術はサイバースペースでも同じく有効であることが証明されつつある。

情報を提供してくれたRami Essaid(Distil.it、CEOと、調査に協力してくれたMatt Joyce (ダートマス大学コンピューター科学科学生)に感謝する

[コミック出典:xkcd

[原文へ]

(翻訳:Nob Takahashi)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。