2016年、WhatsAppはついにチャットとビデオ通話の両方で完全なエンドツーエンド暗号化を実現し、意図した受信者以外が通信内容を解読できないようにしました。しかし残念なことに、カリフォルニア大学バークレー校の暗号学およびセキュリティ研究者であるトビアス・ボルター氏によって発見された重大な脆弱性がWhatsAppのシステムに存在していることが明らかになりました。
英国紙ガーディアンとのインタビューで、ボルター氏は、バックドアによってフェイスブックはエンドツーエンドで暗号化されたコンテンツを読むことができると述べ、同ソーシャルネットワークは裁判所命令に従って、法執行機関や他の政府機関に解読されたメッセージを提供する可能性があると示唆した。
更新:疑惑のバックドアに関して WhatsApp から回答を受け取りました。
WhatsAppの広報担当者はiDownloadBlogに対し、セキュリティ侵害の可能性があるというガーディアン紙の主張が誤りである理由について、以下の声明を発表した。
ガーディアン紙は今朝、WhatsApp の意図的な設計決定が、何百万件ものメッセージの紛失を防ぐためのものだが、これは政府が WhatsApp にメッセージ ストリームの暗号化解除を強制できるようにする「バックドア」であると主張する記事を掲載しました。** この主張は誤りです。**
WhatsAppは政府にシステムへの「バックドア」を提供しておらず、政府によるバックドア設置要請には応じません。ガーディアン紙の記事で言及されている設計上の決定により、何百万ものメッセージが失われるのを防ぎ、潜在的なセキュリティリスクを警告するセキュリティ通知を提供しています。
WhatsAppは暗号化設計に関する技術ホワイトペーパーを公開し、政府からの要請について透明性を保ち、Facebookの政府要請レポートでそれらの要請に関するデータを公開している。(https://govtrequests.facebook.com/)
WhatsApp で使用される暗号化は、Open Whisper Systems の Signal プロトコルに基づいています。
ここで疑わしいのは、Signalアプリには同じ脆弱性が存在しないことです。Boelter氏は、この脆弱性によりWhatsAppがオフラインユーザーの暗号化キーを変更できるようになることを確認しました。その結果、未送信メッセージや今後送信されるメッセージは、受信者が気付かないうちに新しい暗号化キーで送信されることになります。
WhatsAppの設定で暗号化の警告を有効にしている送信者には、メッセージが再送信された後にのみ通知が届きます。この再暗号化と再ブロードキャストにより、WhatsAppはユーザーのメッセージを傍受して読むことが可能になります。
これに対し、前述のSignalシステムは、セキュリティキーの変更を送信者に通知しますが、メッセージを自動的に再送信することはありません。実際、暗号化キーが変更された場合、Signalアプリ経由ではメッセージが配信されません。
ボルター氏は2016年4月にこの問題をFacebookに報告したが、これは「予想通りの動作」であると言われただけだった。そのため、これは技術的な見落としや何らかのバグではなく、意図的に作成されたバックドアである可能性があるという疑いが浮上した。
さらに心配なことに、ガーディアン紙はバックドアが現在もまだ存在していることを確認した。
プライバシー保護活動家たちは、この動きを「言論の自由に対する重大な脅威」と批判し、政府機関に悪用される可能性があると指摘している。WhatsAppの暗号化にバックドアが存在することは、「セキュリティ機関にとっての金鉱」であり、「ユーザーの信頼を大きく裏切るものだ」と、情報・監視・プライバシー研究センターの共同ディレクター兼創設者であるクリスティ・ボール氏は述べた。
いずれにせよ、FacebookはWhatsAppのエンドツーエンド暗号化が侵害されたかどうかを明確に明らかにすべきだ。もし侵害されたとすれば、避けられない疑問が浮かび上がる。Facebookは第三者からWhatsAppにバックドアを作るよう強制されたのだろうか?
Facebook はコメントを拒否したが、コメントがあった場合は記事を更新します。
出典:ガーディアン
