急速に普及した"メッセンジャー"、安全性はイマイチ? - カスペルスキー

カスペルスキーは12月10日、メッセンジャー上の個人情報の安全性について、同社のブログ「Kaspersky Daily」で解説した。

ブログの冒頭で「セキュリティが不十分な手段を日々使っている人は大勢います」と、セキュリティを意識せずにメッセンジャーを利用する人が多いことを指摘している。電子フロンティア財団(EFF)が行った調査では、各メッセンジャーソフトの安全性をポイントで評価したが、SkypeとAIM、Blackberry Messengerは1ポイント、Viber、Google Hangouts、Facebook Messenger、Snapchat、WhatsAppは2ポイントと低評価だった。高評価だったのは、5ポイントを獲得したApple iMessageと、4ポイントを獲得したTelegramだった。

WhatsAppの場合は今後、Open Whisper Systemsのプロトコルに対応すれば、暗号化の信頼性という点で、近いうちにもっと高いポイントを獲得する可能性はあると評価している。

評価の低いメッセンジャーソフトは、通信を暗号化しているものの、暗号鍵の変更や相手の本人確認を行っておらず、開発企業が利用者個人の通信内容を読むことができてしまう。また、コードの所有権という事情から、脆弱性を見つけてパッチを適用できる人物は各企業のスタッフに限られる。

大手のメッセンジャーソフトはセキュリティが不十分であるが、あまり知られていないソフトでセキュリティが高いものもある。実際に、Chatsecure、CryptoCat、Signal、Silent Textは、EFFの評価で最高得点を獲得した。また、AdiumとPidginのOTRメッセージ、Retroshare、Subrosaは6ポイントであった。

VoIPサービスでは、7ポイントを獲得したRedPhoneとSilent Phone、それから6ポイントを獲得したJitsiの安全性が高い。

安全なメッセンジャーは、暗号鍵が傍受されて通信内容が流出しないように、動的な暗号鍵を使用しているほか、利用者のコミュニティでバグや脆弱性を見つけて問題を解決しているという。また、メッセンジャーの開発企業が個人のメッセージにアクセスできない。メッセンジャーソフトを選ぶ時、圧倒的多数の人がセキュリティやプライバシーが保証されるのかを気にせず、単に使い慣れた便利な手段を使い続けようとする傾向がある。

ブログでは、その点について「そのような行動は、いわば道路を横断するのに決められた横断歩道を使わず、好き勝手な場所で渡るようなもの」と注意を促している。