Facebookの写真共有サービスInstagramのモバイルアプリでは、送受信される一部のトラフィックが暗号化されていません。同社はいずれ全面的に暗号化する計画だとしていますが、その移行を完了する時期については、まだ明らかにしていません。
これはつまり、モバイルデバイスでInstagramのアプリを使っているときに、自分が見ている写真を、同じネットワーク内にいる攻撃者にも見られてしまう恐れがあるということです。さらに、セッションCookieを盗み見られる可能性や、ユーザー名やIDを特定される可能性もあります。
Defensive-Secの情報セキュリティ専門家マーゼン・アハメド(Mazen Ahmed)氏は先日、自身の個人ブログで、Instagramの不完全な暗号化に関する記事を公開しました。アハメド氏はInstagramのAndroidアプリを、WireSharkというパケット傍受ツールを使ってテストしました。
WireSharkは、ネットワークにアクセスしてパケットトラフィックを監視するツールです。自分で自宅のネットワークに接続して使う場合もあれば、どこかの公共ネットワークに流れるデータを監視するために使われることもあります。データが暗号化されていれば、パケットを読み取ることはできません。しかし、暗号化されていないデータなら、WireSharkを使えば、判読可能な平文のテキストとして見ることができます。
アハメド氏は、Instagramのモバイルアプリがトラフィックの一部しか暗号化していないことに気づきました。
同氏はKaspersky Daily(当ブログ)とのメールインタビューで、テストにはInstagramのAndroidアプリを使ったと語っていますが、この攻撃はiOSアプリに対しても有効であるとの考えを示しました。その理由として、どちらのアプリも同じサーバーを使用しており、そのサーバーがSSLを全体に適用していない可能性があることを同氏は挙げています。
アハメド氏のブログによると、同氏がFacebookに問い合わせたところ、Instagramのモバイルアプリの暗号化が不完全であることを認めたそうです。同氏は次のように書いています。
「Facebookはこの問題を長期にわたって議論しており、Instagramのサイト全体をHTTPSに移行する計画です。しかし、その変更をいつ行うかは決まっていません。Facebookは当面、Instagramが部分的に、HTTPSではなくHTTPで通信するというリスクを冒すことになります。我々はこれを既知の問題と捉えて、解決を目指して取り組んでいます。」
Kaspersky Dailyは確認のためFacebookにコメントを求めましたが、ただちに回答を得ることはできませんでした。
アハメド氏は、Instagramのトラフィックをスパイされるのが心配なら、Facebookが暗号化に本腰を入れるまではInstagramのモバイルアプリの利用を控えるのが一番確実だ、と述べています。同氏はまた、全面的にHTTPS対応済みのWebバージョンのInstagramを使用するように推奨しています。
FacebookはInstagramのモバイルアプリの一部を暗号化していない。#セキュリティ上および #プライバシー上のリスクあり
Tweet