歴史と理論
有史以来、情報セキュリティとは人類にとって極めて重要な事柄であった。暗号、封印、署名、印章などの多くの技術が数千年も前から使われてきた。秘匿、本人確認、意思表示、否認可能性(Plausible deniability)など、情報セキュリティの多くの機能は太古の昔から変わっていない。人間こそが情報セキュリティの最も重要で脆弱な部分であることも、ずっと変わらないことのひとつだ。
国家権力は常に情報を統制しようとし、犯罪組織や反政府組織も情報を秘匿しながら交換しようとしてきた。一般市民にとっても情報セキュリティは、自由と人権にとって重要であるし、経済的にもプライバシー的にも重要である。北朝鮮のような超警察国家では、人々の通信を全て監視したり、禁止したりすることによって高度独裁を実現している。米国には有名な電子フロンティア財団があり、情報セキュリティと国家権力の対立関係について、米国政府を厳しく監視、批判している。
秘匿通信の理論と実際
現代の暗号技術を使えば、理論的には通信内容を秘匿すること自体は容易である。1918年に発明され、ドイツ軍が採用した機械式暗号エニグマですら、解読はかなり困難であったが、現代の電子式暗号は解読不可能と言っても過言ではない。End to End Encryptionを使えば、通信経路やサーバーが敵に乗っ取られていたとしても、通信内容は理論的には秘匿可能である。
では、国家権力はどのようにしてTelegramのような暗号化通信ソフトと対抗するのであろうか。基本的には買収とハッキングと成り済ましである。仮にTelegram社が顧客の情報を守ろうとしていたとしても、その従業員やプログラマは各国政府に買収されるかもしれない。もちろん会社自体が秘密裏に買収されている可能性もある。ハッキングでは、Telegram自体をハッキングする方法と、スマホOSをハッキングする方法が考えられる。ペガサスというスパイウェアは、多くのスマホをハックすることが可能と言われ、各国政府に対して販売されている。買収でもハッキングでもTelegramやスマホ自体に裏口を作ることができれば、全ての情報を盗みとることができる。成り済ましは技術的には簡単である。グループチャットのなかに、構成員を装って紛れ込めばよい。このような手法をソーシャルエンジニアリングと呼ぶ。
国家権力や国家レベルのハッカーは、こうした手法を駆使して、ほぼあらゆる対象から情報を盗みとることができる。国家が全力を発揮すれば、ほぼ全ての情報が取れるとおもった方がいいだろう。その一方で、民主主義国家であれば、通信傍受やハッキングやスパイ活動の対象は憲法や法律で制限されているので、まずは目をつけられないことが肝要である。
ソフトウェアの信頼性とオープンソース
オープンソースは情報セキュリティと情報プライバシーのために欠かせない要素である。前述のTelegramもソースコードを可能な限り公開すると宣言している。
なぜ秘密を守るためにソースコードを公開することが必要なのだろうか? 普通に考えると逆のようにおもわれるかもしれない。Telegram社やその従業員が利用者を裏切ってソフトウェアに裏口を作って情報を盗みとることを防ぐには、そのソースコードを公開し、利用者による監査を受けることがいちばんなのである。国家レベルの敵を相手にする組織であれば、オープンソースソフトウェアを採用し、それを自分でビルドすることで、より裏口の可能性を減らすことが望ましいだろう。
一般の遵法的な人や組織にとってもオープンソースを使うことはセキュリティ的に望ましい。なぜならソフトウェア開発者は故意がなかったとしても、手抜きをするためにパスワードを123456とするようなことをして、裏口を作ってしまうかもしれないからだ。仮にソフトウェア開発者が最善を尽くしていたとしても、オープンソースとして、開発者や監査者が増えれば、より品質や信頼性は高まることになる。このため現在では、セキュリティのためにはソースコードやアルゴリズムを秘密とすることは愚策と考えられており、オープンソースや公開アルゴリズムを使うことが常識である。
日本国内でも、犯罪組織やそれに近いグレーな商売をする組織は、組織内にプログラマを雇い、オープンソースをベースとした通信や業務のアプリケーションを開発している場合もある。誰でも簡単にビルドして利用できる通信ソフトウェアをオープンソースとして公開することは、通信の自由や、反国家闘争に資する行為であると言うことができよう。
反国家闘争というと、とんでもなく悪い話だと日本の読者はおもわれるかもしれない。しかし世界にある国家は日本のような民主国家だけではない。日本政府も中華人民共和国による情報の検閲を逃れるためのソフトウェアやネットワークに資金を投じている。タイのように日本人観光客に人気のある国家であっても、ペガサスによる監視を行って反政府活動家を投獄したり暗殺したりしていると言われている。政府が国民を弾圧するというのは、決して遠い世界の話ではないのである。
大規模通信傍受と検閲
過去のインターネットにおいては、言論の自由や、流通するデータは、ほぼ制限されず、無政府状態といってもよい時代があった。ネットニュースは大学や大企業のサーバを経由して流れていたが、そのなかには爆弾製造法や児童ポルノなども平然と流れていた。現在のインターネットはSNS企業などの統制下にあり、ちょっと過激なことを書くだけでも利用禁止処分を受けるような時代である。書籍や雑誌などと比べても検閲の程度は非常に強い。児童ポルノにいたってはSNS企業やインターネット企業は、人工知能で検閲し、見つけ次第に利用禁止して、警察に通報するような運用を行っている企業も多い。自分の子供の裸の写真を誤ってクラウドにのせてしまっただけで、永久利用禁止になるなどの悲惨な例もよくある。
私企業による検閲の是非や、児童ポルノの是非に関しては本稿の範囲を越えているが、実際に検閲が行われており、知らなければ悲惨な結末を迎え得ることは知っておくべきだろう。児童ポルノを禁止したりテロリズムを防止するという名目は、各国政府、とくに米国政府にとって大規模な検閲を導入するための免罪符を与えた。いまや単なるファイル交換ソフトですら厳しく規制されており、下手にファイル交換サイトや掲示板を運用すれば児童ポルノの幇助などになりかねない時代である。これは市民の自由な情報交換を著しく阻害している。
私企業や個人にとってみれば、検閲なしの投稿型ウェブサイトを運用するという自由は、事実上すでに奪われているのである。児童ポルノへの魔女狩り的な対応の裏には、各国政府の別の思惑が働いている可能性も考えるべきであろう。アメリカ合州国と中華人民共和国は大規模な通信傍受機能を有しており、テロリズムや国家安全などに関わる情報を広範囲に収集していると言われている。
個人といえども、検閲を逃れるためには、情報技術や暗号技術について理解していく必要があるのがいまの時代である。暗号技術や情報秘匿のアプリケーションの実例については筆者の専門外であるが、理論的な側面については、また機会があれば改めて寄稿させてもらいたいとおもう。
参考資料
- 世界的スパイウェア企業「NSO」、米制裁で企業存亡の危機 https://www.technologyreview.jp/s/262066/nso-was-about-to-sell-hacking-tools-to-france-now-its-in-crisis/
(ひよこ政経新聞)