霧の向こうに見えるクラウドの姿

2014年9月11日

この数日間は、オンラインプライバシーに一家言持つ人々にとって、まさにお祭り騒ぎでした。iCloudで情報漏洩が発生し、ジェニファー・ローレンス(Jennifer Lawrence)さんやケイト・アプトン(Kate Upton)さんなど、多数の大物セレブの名誉を傷つけるような写真が流出したからです。

Foggy-Perceptions-of-the-Cloud

世の中のニュースと無縁の生活を送る人はそうそういないでしょうから、この漏洩事件の詳細は省略します。しばらくネットから遠ざかっていた、という人は、こちらを読めば要点がわかるでしょう。

今回の件の根本にある問題は、iCloud(やAppleの他のサービス)が侵入を受けたのかどうか、「iPhoneを探す」のぜい弱性が悪用されたのか、この卑劣な行為にどんなツールが利用されたのか、といったことではありません。

無料ではないものについても、だいたいのところ問題は同じです。製品やサービスが有料であることの理由は、セキュリティやプライバシーとは関係がないからです

真の問題は、どこのクラウド上にどんなデータが保存されているかを、ほとんどの人が知らないことです。知っていたとしても、データの実際の保存場所、データにアクセスできる人、データの実際のセキュリティレベルについて説明できる人はほとんどいません。ジェニファー・ローレンスさんやケイト・アプトンさんがサイバープライバシーをどの程度意識しているかについて、私はかなり自信がありますが、ネット上のプライバシーを誰より意識している人であっても、今回の件に関してはローレンスさんやアプトンさんと大きな差はないと思います。

考えてみてください。IT大手各社(Google、Facebook、Appleなど)の提供するサービスは、常に変わり続けています。また、各社のプライバシーポリシーやプライバシー設定も、頻繁に変更されています。一方で、なぜ「ぜい弱性が見つかってはセキュリティ更新をリリースする」という堂々巡りからいっこうに抜け出せないのか、説明責任は果たされていません。セキュリティ更新が適用されるかどうかは利用者次第であることが多く、その利用者は十分な情報を得ておらず、更新の適用にもあまり前向きではありませんが、それはまた別の話です。重要なのは、利用者がついて行けていないということです。

数年前、私の同僚がまさにこうした状況の被害者となりました。AppleがiCloudをすべてのiOSデバイスで有効にし始めたころの話です。同僚は友人とiMessageで次のようなやりとりをしました。

友人「今夜はどこに飲みに行こうか?」
同僚「どこでも。近場で、かわいいバーテンダーが1人でもいるところならね。」

とくに問題なさそうな会話ですが、そうでもありません。というのも、まさにこの日、iCloudによってすべてのiMessageデータが彼の所有するすべてのiOSデバイスで同期されたからです。その先は、だいたい見えると思いますが…。同僚のテキストメッセージは彼の息子のiPadに行き着いて、息子は母親にiPadを手渡しました。どうなったかは、ご想像にお任せします。

誤解のないようにお伝えしておくと、Appleはその後、この小さな問題に(ある意味で)対処しています。また、ITに強い親たちは、この「サービス詰め合わせ」が持つ短所に気づき、子供たちとアカウントを分けるようになりました。

先ほどの疑問にまだ答えは出ていません。データはどこにあるのでしょうか?誰がアクセスできるのでしょう?どうやってデータを保護しているのでしょうか?

クラウドサービス(特に個人向けのクラウドサービス)のセキュリティに関しては、認証の手段が甘く、単純なソーシャルエンジニアリングや、手に入れるのが簡単でITの知識がなくても使えるハッキングツールによって、認証を破られる恐れがあります。2段階認証という手段もありますが、正直に言うと、これも(主にその不便さのせいで)いまひとつです。

しかも、利用者は何が自分のもので何がそうでないかを知りません。1つの要因は、誰も、本当に誰も、使用許諾契約書を読まないことです。それに、利用者のもの(そうあるべきもの)を制御または管理することはほぼ不可能であり、控えめに言っても困難です。

「それが、無料であることの代償だ」と言う人もいるでしょう。そういう考えの人は大勢います。

それはもっともな意見かもしれませんが、この世の中、無料のものを避けて通るのは難しいものです。無料ではないものについても、だいたいのところ問題は同じです。製品やサービスが有料であることの理由は、セキュリティやプライバシーとは関係がないからです。

あの魅力的なiPhoneも、Macも、iPadも、ひそかにユーザーのデータを「クラウド」に送っています。そのクラウドは、実際にはカリフォルニア州クパチーノ(もう少し資産価値の低い場所かもしれませんが)に置かれた何台かのサーバーでしかありませんし、サーバーは決して無料ではありません。

オンラインの生産性向上ツールの世界について少し考えてみましょう。小規模オフィスの経営者やそこで働いている人たちが、こうしたツールを使用していなかったとしたら、必要以上に時間をかけて仕事をしていることになります。生産性向上ツールがなければ、競争で不利になってしまいます。

インターネットとコンピューターに関係するものは何でもそうですが、生産性向上ツールもデータを作成、送信、保存、またはやりとりします。でも、そのデータはどこにあるのでしょうか?たとえば、そうですね、ヨーロッパで事業を営んでいる場合は、データの在処が大きな問題です。データはインデックス化されているのでしょうか?データにアクセスできる人は?そのインデックスは、たとえばどこかの政府がクロス集計していないでしょうか?または、競合他社に集計されていないでしょうか?だからこそ、「隠すものがなければ恐れるものもない」という考えは非常にばかげているのです。「隠すものがない人」など存在しません。「隠す」は「犯罪」の同義語ではないのです。

こうしたことは大きな問題であり、悪化の一途を辿っています。先ほどの小規模オフィスの話は、皆さん個人の生活にも当てはまるかもしれません。無料のヘルスケアアプリのデータはどこに保存されているのでしょうか?そのデータを見ることになるのは誰でしょう?医療機関に支払う金額に影響が出始めるのはいつでしょうか?消費者も企業も、こうした問題にもっと詳しくなっていくでしょう。Facebookでマーケティングを実施している人は、すでに気づいているはずです。Facebook Messengerのダウンロード数はどうなっているでしょうか?

とはいえ、怒ったふりをしても何も解決しません。Appleなどの企業は、このような欠点に堂々と目をつぶって巨額の利益を得ています。確かに、Appleが声明で示唆したように、メディアの注目を集めるローレンスさんやアプトンさんに対して、APT(Advance Persistent Threat)クラスの高度な攻撃があったのかもしれません。しかし、今ある「進んだ(Advanced)」技術も、あなたがこの記事を読み終えるころには、ありふれた技術になっていることでしょう。我々は深刻な問題を抱えており、そのことを認めなければなりません。

Kaspersky Labは、こうした問題を真剣に捉えています。当社は、主力製品であるエンドポイントセキュリティ製品によってリスクをある程度軽減できると理解する一方で、それだけではすべてを解決できないことも承知しています。我々にはやるべきことがあります。力を貸してください。