締切済み

暗号化された情報は安全ですか？

2014/08/10 11:12

booterの回答

booter
ベストアンサー率34% (269/769)

2014/08/11 11:32 回答No.6

こんにちは。私はＩＴのスペシャリストではありませんし、暗号・通信の専門でもないのですが、ご参考になればと思い、回答します。まず、私の中にある結論としてですが、「完全に」秘密を遮断することは将来的に不可能であるが、現在は実用に耐えている（ように見える）というスタンスです。誰かが何か秘密にしたい情報を持っていたとしますよね？　それをＩＴネットワークか何かでインターネット上のどこかにあるサーバに保管しておくとします。さて、この状態で漏洩の防止に関して問題があります。具体的に何が問題なのでしょうか？１．まず個人が通信ネットワークをアップする際に盗聴が発生します。２．続いてサーバにアップした時点でそれをクラッキングして遠隔で情報を抜き出す人がいます。３．そしてサーバの中身を見られる権限のある人がそれを抜き出して他に売ったりします。一つ一つ見て行きましょう。 ---- １．の盗聴ですが、これは意図的側面と技術的不備側面に分かれます。意図的側面とは、意図して盗聴を行う人がいるから盗聴が発生するのだ、ということです。つまり攻撃する人がいるから発生するんだ、というスタンスですね。先日話題になった、LINEの通信傍受は韓国国家情報院（旧KCIA）が行っていたということでした。 http://facta.co.jp/article/201407039.html ＜5月下旬、官邸内に衝撃が広がった。韓国の国家情報院（旧KCIA）が、無料通話・メールアプリ「LINE」を傍受し、収拾したデータを欧州に保管、分析していることが明らかになったからだ。韓国政府のサイバーセキュリティ関係者が、日本の内閣情報セキュリティセンター（NISC）との協議の場であっさり認めた。システムに直接侵入するのではなく、通信回線とサーバーの間でワイヤタッピング（傍受）するから、「通信の秘密」を守る法律がない韓国側は悪びれない。だが、LINEの登録ユーザー4億人余のうち日本人は5千万人。その通話データなどが韓国にすべて送られ、丸裸にされているのだ。＞また、そのデータの保管は欧州でやっているから問題ないというスタンスでもあったのですが、それを意図する人間が韓国籍の場合、その意図は法律によって裁かれないのか？　という問題があります。即ち、その通信に対する悪意を裁くのはサーバが該当国にある場合はその該当国の法律で裁くことになるので、被害者が日本であっても、日本以外の国にサーバがあれば日本の法律で裁くことができないということです。これは技術進歩に対する国際間の法律整備が追いついていない状況でありますので、早急の対応が求められる部分であります。また、LINEはその暗号方式の詳細に言及しておらず、どこがどう突破されたのかという件については分かっていません。 http://security.slashdot.jp/story/14/06/20/0834245/ 続いて技術的不備側面の件です。これは防衛に問題がある、ということです。通信に暗号化はかけられます。これをsslと言います。が、先日、このsslの内、広く使われているOpenSSLという種類に脆弱性が見つかりました（Heartbleed問題／2014年4月7日）。みんなOpenSSLだったら安心だな、と安心しきって使っていたんですよ。無論、将来的には脆弱性は見つかるかもしれないが・・・と警戒はしながら使っていたんだと思うのですが、しかしそれでもOpenSSLは安定稼働していたので、他のリリースよりはまあ安心だと思っていた矢先、上記問題が挙がりました。 http://jp.wsj.com/news/articles/SB10001424052702303433504579501022362187200 ＜説明がつかない株式市場の下落　株式市場がハイ・フリークエンシー・トレーディング（超高速取引、HFT）業者によって操作されているということに誰もが動揺したのは先々週のことである。最近発見され、先週メディアで大きく取り上げられたのは、幅広く使用されている暗号化ソフト「オープンSSL」で見つかった「ハートブリード」と呼ばれるバグ（欠陥）だった。このバグによってウェブサイトはパスワードや口座番号などの盗難に遭いやすくなる。どうやら無法者のハッカーたちは不屈の強気筋の証券取引口座にも侵入したようだ。　連中は巧妙な手口で買い注文を売り注文に切り替えたに違いない。そしてその痕跡を隠すために、証券会社のコンピューターが勝手に国債を買うようにプログラムしたのだろう。そうでなければ、最近の市場動向は説明がつかない。何しろ、2014年が明ける直前まで、株式に関しては昨年の猛烈な強気相場が今年も継続し、国債の利回りについては下落余地がないので上昇あるのみだろうというのが完全に一致した見解だったのだから。　そうした卑劣な行為が暴かれると、ハートブリードを利用する連中はついさっきまで明るく健全な緑色をしていたコンピュータースクリーンを血生臭い死を連想させる赤に変えてしまった。その色合いの変化が最もはっきりしていたのは、絶え間ないパフォーマンス競争を強いられているヘッジファンドが選好するモメンタム株だった。先週金曜日、モメンタム株で下げ幅が最大だったのは、住宅ローン金利が低下しているにもかかわらず、不動産情報サイトのジロー（Z）と不動産検索サイトのトゥルリア（TRLA）で、それぞれ7％と6％の下落を記録した。＞そしてこの穴が塞がったあと、もう無いだろうと安心していた矢先、更にバグがあることが分かりました。 http://www.atmarkit.co.jp/ait/articles/1406/06/news037.html ＜OpenSSLに再び脆弱性、MITM攻撃につながる恐れオープンソースのSSL/TLS実装「OpenSSL」に、新たに複数の脆弱（ぜいじゃく）性が発見された。中にはMITM攻撃につながるおそれのある問題も含まれており、修正版0.9.8za／1.0.0m／1.0.1hへのアップグレードが呼び掛けられている。＞＜　このうちMITM攻撃につながる脆弱性（CVE-2014-0224）は、「ChangeCipherSpec （CCS） Injection Vulnerability」と呼ばれており、日本のネットワーク／セキュリティ技術・研究開発企業、レピダムの菊池正史氏が発見した。公開されたブログによると、この脆弱性はOpenSSLの最初のリリースから存在しており、16年もの間発見されてこなかった。原因は「TLS/SSLを実装したことのある経験者が十分にレビューできてなかったこと」にあるという。　脆弱性はOpenSSL 0.9.8y以前の全てと1.0.0～1.0.0l、1.0.1～1.0.1gに存在する。OpenSSLのハンドシェーク中に、不適切な状態でChangeCipherSpecを受理してしまうことが原因となって、第三者が知ることのできる「弱い鍵」を使用させるよう仕向けることができる。この結果、本来ならば適切に暗号化されるはずの通信内容や認証情報など重要な情報を、攻撃者によって詐取／改ざんされる恐れがある。プロトコルや暗号アルゴリズムには依存せず、影響を受ける恐れがあるという。＞この技術的欠陥ですが、それではいつか将来は完全に防げるようになるの？　という疑問があると思います。私の一意見であることに注意して頂きたいのですが、これは完全に防げるようにはならないと思います。哲学の領域になりますが、「完全」とは一体なんだろう、と言うことを考えてみましょう。私は考えるのですが、「完全」とは「理論の実装」のことではないかな、と思っています。しかし、現実には「理論の実装」が現実に適用できないことが種種ありますので、現実的な係数をかけていかなければならない状況です。即ち、暗号化通信においても然りであって、完全に近付くことはあっても完全にはならないのではないか、というのが私が暗号化通信に対する将来に対しての見立てとなります。ただ、ドラクエで「冒険中に死ぬ可能性がある」と言っても、装備が全く無い状況と装備がそれなりにある状況では冒険のやりやすさが全く異なるので、装備はあった方がいい、すなわち、インターネットを利用するのであれば、暗号化は破れるかもしれないが、ないよりはマシという判断になります。 ---- ２．続いてクラッカーのシステム侵入ですが、私は攻撃手法に詳しくありません。しかしこれは現実的にありうると思います。 DDOS/ポートスキャン/ブルートフォース・・・いろいろあります。 ---- ３．最後にサーバの中身を見られる権限のある人がそれを抜き出して他に売ったりする件です。これはベネッセの情報流出事件が該当し、契約上の情報漏洩部分で防いだり、組織の職制コントロールで防ぐしかありません。システムの管理者は絶対的にいるわけなので。 ---- これまでの経緯を見る通り、私としてはイタチごっこのような気がしてなりません。暗号化通信が先行して数年間は安定を保つのですが、脆弱性が見つかったり、クラッキングされたりで安全性が突破され、それに対する防衛的仕様が追加される・・・というのをコンピュータ通信が登場してから何度も繰り返しているように思われます。