あなたのメッセージングアプリは本当に安全ですか?

メッセージングアプリケーションは、私たちが毎日使用する最も重要なアプリの1つです。(the )世界中の 家族や友人と(family and friends)連絡を取り合ったり、同僚に連絡したり、事業を運営したりする場合でも、 WhatsApp、iMessage、Skype、FacebookMes(Skype and Facebook Messenger) ​​sengerなどのメッセージングアプリは私たちの日常のコミュニケーションにおいて重要な役割を果たします。

個人の写真、ビジネスの秘密、メッセージングアプリの法的文書など、間違った人に公開したくない情報を共有することがよくあります。しかし、すべての機密メッセージと機密情報を保護するために、メッセージングアプリをどこまで信頼できるでしょうか。

以下は、お気に入りのメッセージングアプリ(messaging app)が提供するセキュリティのレベルを評価するのに役立ついくつかのガイドラインです。

暗号化に関するいくつかの言葉

もちろん、すべてのメッセージングプラットフォームは、データを暗号化することを公言しています。暗号化では、数式を使用して移行中のデータをスクランブルし、盗聴者がメッセージを読み取れないようにします。

適切な暗号化により、メッセージの送信者と受信者だけがその内容を認識できるようになります。ただし、すべての種類の暗号化が同じになるわけではありません。

最も安全なメッセージングアプリ(messaging apps)は、エンドツーエンド暗号化(E2EE)を提供するアプリです。E2EE アプリは、ユーザーのデバイスにのみ復号化キーを保存します。(store decryption)E2EEは、盗聴者から通信を保護するだけでなく、アプリケーションをホストする会社がメッセージを読み取れないようにします。これはまた、3文字の機関によるデータ侵害や侵入的な保証からメッセージが保護されることを意味します。

ますます多くのメッセージングアプリケーションがエンドツーエンドの暗号化を提供しています。Signalは、 (Signal)E2EEをサポートする最初のプラットフォームの1つでした。近年、他のアプリケーションがSignal暗号化プロトコル(encryption protocol)を採用 したり、独自のE2EEテクノロジー(E2EE technology)を開発したりしています。例として(Examples)は、WhatsApp、Wickr、iMessageなどがあります。

Facebook MessengerとTelegramも(Facebook Messenger and Telegram)E2EEメッセージング(E2EE messaging)をサポートしていますが、デフォルトでは有効になっていないため、安全性が低くなります。Skypeは最近、「プライベートカンバセーション」オプションも追加しました。これにより、選択した1つのカンバセーションでエンドツーエンドの暗号化が可能になります。

Googleのハングアウト(Hangouts)はエンドツーエンドの暗号化をサポートしていませんが、同社はエンドツーエンドで暗号化されたAlloとDuo(Allo and Duo)テキストメッセージング、ビデオ(text messaging and video)会議のアプリを提供しています。

メッセージの削除

セキュリティには、メッセージを暗号化するだけではありません。あなたのデバイスまたはチャット相手のデバイスがハッキングされたり、悪意のある人の手に渡った場合はどうなりますか?その場合、悪意のある攻撃者は暗号化されていない形式のメッセージを見ることができるため、暗号化はほとんど役に立ちません。

メッセージを保護する最善の方法は、メッセージが不要になったときにメッセージを削除することです。これにより、デバイスが危険にさらされた場合でも、悪意のある攻撃者が機密メッセージや機密メッセージにアクセスすることはありません。

すべてのメッセージングアプリは何らかの形式のメッセージ削除(message deletion)を提供しますが、繰り返しになりますが、すべてのメッセージ削除(message removal)機能が同等に安全であるとは限りません。

たとえば、ハングアウトとiMessageを使用する(Hangouts and iMessage enable)と、チャットの履歴をクリアできます。ただし、メッセージはデバイスから削除されますが、チャットしている相手のデバイスには残ります。

したがって、デバイスが危険にさらされた場合でも、機密データを保持できなくなります。その名誉のために、ハングアウト(Hangouts)にはチャット履歴を無効にするオプションがあります。これにより、各セッションの後にすべてのデバイスからメッセージが自動的に削除されます。

TelegramSignalWickr、Skype(Wickr and Skype)では、会話のすべての関係者のメッセージを削除できます。これにより、会話に関与するどのデバイスにも機密性の高い通信が残らないようにすることができます。

WhatsAppは2017年に「全員削除」オプションも追加しましたが、これを使用して、過去13時間以内に送信したメッセージのみを削除できます。Facebook Messengerもごく最近「未送信」機能を追加しましたが、メッセージを送信してから10分間しか機能しません。

SignalTelegram、Wickr(Telegram and Wickr)は、自己破壊型の メッセージ機能(message feature)も提供します。この機能は、設定された期間が経過すると、すべてのデバイスからメッセージを即座に削除します。この機能は、機密性の高い会話に特に適しており、手動でメッセージを消去する手間を省きます。

メタデータ

すべてのメッセージには、送信者IDと受信者ID(sender and receiver IDs)、メッセージの送信、受信、読み取りの時刻、IPアドレス、電話番号、デバイスID(IDs)など、メタデータとも呼ばれる大量の補助情報が付属しています。

メッセージングサーバーは、この種の情報を保存および処理して、メッセージが適切な受信者に時間どおりに配信されるようにし、ユーザーがチャットログを参照および整理できるようにします。

メタデータにはメッセージテキストは含まれてい(t contain message text)ませんが、悪意のある人にとっては非常に有害であり、地理的な場所、アプリの使用時間、通信相手など、ユーザーの通信パターンについて多くのことを明らかにする可能性があります。

メッセージングサービスが(messaging service)データ侵害(data breach)の犠牲になった場合、この種の情報はフィッシングやその他のソーシャルエンジニアリングスキームなどのサイバー攻撃への道を開く可能性があります。

ほとんどのメッセージングサービスは豊富なメタデータを収集しますが、残念ながら、どのタイプの情報メッセージング(information messaging) サービスが保存されているかを知る確実な方法はありません。しかし、私たちが知っていることから、Signalは最高の実績を(track record)持っています。同社によれば、サーバーは、アカウントを作成した電話番号(phone number)と、アカウントに最後にログインした日付のみを登録します。

透明性

すべての開発者は、メッセージングアプリが安全であると言うでしょうが、どうすれば確信できますか?アプリが政府が埋め込んだバックドアを隠していないことをどうやって知っていますか?開発者がアプリケーションのテストで優れた仕事をしたことをどのように知っていますか?

アプリケーションは、アプリケーションのソースコード(source code)(「オープンソース」とも呼ばれます)をより信頼性の高いものにします。これは、独立したセキュリティの専門家が、アプリケーションが安全かどうかを調べて確認できるためです。

SignalWickr、Telegram(Wickr and Telegram)はオープンソースのメッセージングアプリです(messaging apps)。つまり、独立した専門家によってピアレビューされています。特にSignal(Signal)は、BruceSchneierやEdwardSnowdenなどのセキュリティ専門家のサポートを受けています。

WhatsAppとFacebookMes​​senger(WhatsApp and Facebook Messenger)はクローズドソースですが、メッセージを暗号化するためにオープンソースのSignalProtocolを使用しています。これは、少なくとも、両方のアプリを所有するFacebook(Facebook)がメッセージのコンテンツを調べないので安心できることを意味します。

AppleのiMessageなどの完全にクローズドソースのアプリケーションの場合、重大なセキュリティミスを回避するために、開発者を完全に信頼する必要があります。

明確にするために、オープンソースは絶対的なセキュリティを意味するものではありません。しかし、少なくとも、アプリ(app isn)が内部に厄介なものを隠していないことを確認できます。



About the author

私は 10 年以上の経験を持つコンピューターの専門家です。余暇には、オフィスのデスクを手伝ったり、子供たちにインターネットの使い方を教えたりしています。私のスキルには多くのことが含まれますが、最も重要なことは、人々が問題を解決するのを助ける方法を知っていることです. 何か緊急のことを手伝ってくれる人が必要な場合や、基本的なヒントが必要な場合は、私に連絡してください!



Related posts