Chromeブラウザーから送信される全データを暗号化する拡張機能

Googleは、Chromeブラウザーで送信されるデータをすべて暗号化するツールを公開しました。技術に詳しくないユーザーでも、簡単に暗号化ツールを利用できるようにすることが狙いです。

chrome-compressor

Googleは先日、同社発信の「透明性レポート」に、「配信中のメールの暗号化」という項目を追加しました。このレポートによれば、メール送信者と受信者の間を通るGmailトラフィック(世界規模)の30%ほどが暗号化されていないことがわかりました。この事態を修正すべく開発されたのが、Chromeブラウザーから送信されるデータをすべて暗号化する、End-to-Endという拡張機能です。

Gmailのデータは常に、安全に暗号化されたHTTPS接続によって送信されます。ということは、送信されるデータは100%暗号化されているのではないでしょうか?実は、HTTPSでデータが暗号化されるのは、コンピューターからブラウザーを通って、Googleのサーバーに到達するまでの間だけなのです。

ご記憶の人もあるかと思いますが、Googleは数か月前まで自社データセンター内のサーバー間を暗号化していませんでした。このぜい弱性を、米国家安全保障局(NSA)が情報収集活動に利用したと言われています。これが大きな反発を招き、Googleは自社サーバー間の接続を暗号化するという対応を取りました。

今では、Gmailで送ったメールは、コンピューターからブラウザーを通ってGoogleのサーバーに到達するまでの間、さらに同社のサーバー間、さらにそこから外に出て行くまでの間、暗号化されるようになっています。データがGoogleの管理下を離れた後に暗号化されるかどうかは、データを処理するプロバイダー次第です。GmailからGmailに送る場合は、ずっと暗号化されていることになります。レポートでは、通信中のデータが暗号化されているかどうかを示してありますが、残念ながら、すべての企業がGoogleほどプライバシーやセキュリティを気にかけているわけではありません

透明性レポートによれば、世界規模で見ると、Gmailから送信されるメールの約70%は暗号化済みで、Gmailに入ってくるメールの約50%が暗号化されています(2014年6月9日時点のデータ)。しかし、送信中の暗号化をサポートしている日本のドメインを見てみると、ほぼ0%という状態です。

新ツール「End-to-End」の目的は、暗号化ツールを誰でも簡単に利用できるようにすることです。確かに、さまざまな暗号化ツールが市場にあふれていますが、複雑なものが多く、そう簡単に使えません。

Googleのセキュリティおよびプライバシー製品担当マネージャー、ステファン・ソモギ(Stephan Somogyi)氏は次のように述べています。「PGPやGnuPGといったエンドツーエンドの暗号化ツールは以前からありますが、使用するためには相当な技術的ノウハウが必要ですし、大量の作業を手作業で行わなければなりません。この手の暗号化をもう少し簡単に利用できるように、新しいChrome拡張機能向けのコードをリリースします。このコードでは、多くの既存の暗号化ツールに対応するOpenPGPを採用しています。」

「TLSで暗号化すれば、送信中のメッセージが覗き見られるのを防ぐことができます」

「Transport Layer Security(TLS)で暗号化すれば、送信中のメッセージが覗き見られるのを防ぐことができます。TLSは、受信するメールと送信するメールの両方を暗号化して、安全に届けるプロトコルです。メッセージがメールサーバー間で傍受されるのを防ぎ、メールプロバイダー間を移動しているときもプライバシーを守ります。」(Google)

ただし、同社は続けて、通信の内容が暗号化されるのは、メールを送る側と受け取る側の両方が、TLSをサポートするメールプロバイダーを利用している場合に限られると説明しています。そして、すべてのプロバイダーがTLSに対応しているわけではありません。

「TLSは、安全なメールの標準として採用が進んでいます。完ぺきなソリューションではありませんが、すべてのサービスで利用されるようになれば、メールを覗き見ることが今よりも難しく、今よりも高く付くようになるでしょう。」

あらゆるメールサービスプロバイダーが、メールを送るときと受け取るとき、そしてその間もずっと、通信内容を暗号化するのが理想です。これこそ、業界用語で言う「エンドツーエンド」(端から端まで)の姿なのです。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?