2014年11月20日

セキュリティとプライバシーに配慮したメッセンジャー9選

アドバイス ヒント

インターネットを監視する時代、メッセージングでのプライバシーとセキュリティの確保は必須です。電子フロンティア財団(EFF)は先ごろ、数多くのモバイルメッセンジャーとインターネットメッセンジャーを対象に、セキュリティとプライバシーの機能を徹底的に分析したレポートを発表しました。

Nine-most-secure-instant-messengers

見事好成績を収めたプロバイダーもあれば、何とか及第点をとったプロバイダーもあり、散々な結果に終わったプロバイダーも少なくありませんでした。今回紹介するのは高得点を獲得したメッセンジャーです。次回は結果が思わしくなかったメッセンジャーを見ていきます。

EFFは以下に示す7つの項目について各メッセンジャーを評価しました。Kaspersky Daily(当ブログ)では、6つ以上の基準に「合格」したプロバイダーを紹介することにしました(ただし、4つか5つの基準に合格したサービスは「次点」として紹介しています)。

1. 転送中のデータは暗号化されているか?

2. データはプロバイダーでも読み取れないように暗号化されているか?

3. 連絡する相手が本人であることを確認する手段はあるか?

4. Perfect Forward Secrecy(PFS)という仕組みを採用しているか?つまり、暗号鍵に使用期限があり、鍵を盗まれても既存の通信を復号化できないようになっているか?

5. コードがオープンソース化され、公開レビューができるようになっているか?

6. 暗号化の実装手順とプロセスは文書化されているか?

7. 過去12か月以内に第三者機関によるセキュリティ監査を受けているか?

合計7つの基準によって、政府機関による諜報活動、犯罪者によるスパイ行為、企業によるデータ収集を強力に防げるメッセンジャーかどうかを評価します。ただし、EFFもKaspersky Dailyも、以下で挙げるアプリケーションを公式に推奨しているわけではありません。セキュリティのベストプラクティスに一貫して準拠しているアプリケーションとして紹介しています。

最高評価: 7つの基準に合格

EFFは、6つのアプリケーションが7つの基準をすべて満たしたと発表しています。

Chatsecure Orbot

ChatSecureは無料かつオープンソースの暗号化チャットアプリで、iPhone版とAndroid版が提供されています。Guardian Projectによって開発され、EFFの基準をすべて満たしました。ただし、すべての条件を満たすのはTorベースのプライバシープラグインであるOrbotと併用した場合に限定されます。

CryptoCat

CryptoCatはオープンソースの暗号化メッセンジャーで、Chrome、Firefox、Safari、Operaブラウザーのほか、Mac OS XとiPhoneでも利用できます。CryptoCatの開発元は、Android版の開発と暗号化ビデオチャット機能を実現するため、夏にかけて資金を調達していました。

Signal and RedphoneWhisper SystemsのSignalはiOS向けの安全なメッセージプラットフォーム、RedPhoneはAndroid向けの安全な通話プラットフォーム、Textsecureは、Android向けのテキストメッセージプラットフォームです。いずれもオープンソースの無料アプリで、エンドツーエンドの暗号化と安全なストレージを提供します。

Silent CircleSilent CircleのSilent PhoneとSilent Textは、それぞれ安全な通話アプリとメッセージアプリです。有料ですが、iOSとAndroidに対応し、さらに従来型のコンピューターでも動作します。またSilent Circleは、カスタマイズされたAndroid OSを搭載したセキュリティ重視のスマートフォンであるBlackphoneを独自に開発したほか、法人顧客向けにエンタープライズサポートを提供しています。

ほぼ完ぺき: 6つの基準に合格

jitsi  ostelJitsiは暗号化機能を備えるオープンソースのアプリケーションで、音声通話、ビデオ通話、インスタントメッセンジャー、デスクトップ共有などの機能を提供しています。多くの人気のあるメッセンジャーをサポートしていますが、暗号化通話サービスOstelと組み合わせた場合、EFFの基準を1つだけ満たしません。この1年の間に第三者機関による審査を受けていないためです。

MailvelopeMailvelopeは、暗号化標準OpenPGPによってメールを暗号化して送信するブラウザー拡張機能です。Yahoo!、Gmail、Outlook、GMXに対応するよう、あらかじめ設定されています。Perfect Forward Secrecyを採用していれば、「最高評価」のグループに入っていたはずです。

pidgin-adiumAdiumのMac向けOff-the-Record(OTR)メッセージングと、PidginのWindows版は、既存のチャットアプリにOTRメッセージング機能を追加するプラグインのようなものです(OTRはメッセンジャー用の暗号プロトコル)。この2つのメッセンジャーはEFFに高く評価されたものの、いずれも過去1年間に第三者機関の審査を受けていませんでした。

Retroshare

RetroShareは、オープンソース、クロスプラットフォーム、分散型を売りにしている通信プラットフォームです。安全なチャット、ファイル共有が可能で、ユーザー同士が互いに本人確認をすることができます。しかし、「ほぼ完ぺき」のグループに入っている他のサービスと同様に、外部機関の審査を受けていませんでした。

subrosaSubrosaもエンドツーエンドの暗号化が行われる通信プラットフォームです。Perfect Forward Secrecyを採用し、さらに暗号鍵が漏えいしても過去の通信が保護されるようにしていれば、最高の評価を受けていたはずです。

次点:

最後に、EFFの基準を4つまたは5つ満たしたメッセンジャーに、条件付きで賞を贈りたいと思います。AppleのFaceTimeとiMessageは、セキュリティのベストプラクティスへの準拠に関しては優秀な成績を収めました。iPGMail、Mac向けPGP(GPGTools)、Windows向けPGP(Gpg4win)は手堅い評価を得ています。iOSとAndroid向けの暗号化メッセンジャーSureSpotは、5つの基準に合格しました。Telegramのクラウドベースのプライベートメッセンジャーと、エンドツーエンドの暗号化メッセンジャーThreemaも同様の評価です。

次回はセキュリティが不十分なメッセンジャーを紹介します。EFFのレポート全文を読んで、お気に入りのチャットサービスの評価をご確認ください。