WhatsApp、安全なエンドツーエンド暗号化に切り替える

2016年4月20日

WhatsAppは世界中で人気のメッセンジャーサービスで、利用者は10億人以上に上ります(英語記事)。

人気の一番の理由は、その便利さでしょう。WhatsAppでは、テキスト、動画、写真を無料でいくらでも送信できます。また、無料で国際電話をかけることもできます(データ料金は別)。一部の利用者にとって唯一の懸念は、プライバシーでした。WhatsAppにセキュリティ上の深刻な問題があったからです。

whatsapp-encryption-featured

WhatsAppは4月5日、全プラットフォームでエンドツーエンドの暗号化をようやく実装したと発表しました(英語記事)。この実装は同メッセンジャーの人気を後押しし、(治安当局含む)あらゆる種類のスパイは大いにてこずることになるでしょう。いまや、利用者10億人以上のプライバシーが強力に保護されています。

では、WhatsAppの何が変わったのか、それによって利用者にどのような影響があるのか、解説していきましょう。

暗号化いろいろ

Android向けWhatsAppは、かなり前にある種の暗号化を実装しました。メールなどで一般的に使われる、SSLおよびTLSプロトコルです。

もっとも、暗号化機能はあっても、問題はその実装方法です。古いバージョンは実装がいまひとつで、第三者が利用者の通信を盗んで復号できるという欠陥がありました(英語記事)。そしてそもそも、一部のデータはまったく暗号化されていなかったのです。

電子フロンティア財団(EFF)が安全なメッセンジャーと安全でないメッセンジャーのリストを発表したところ、WhatsAppは最大7つ星のところ、2つ星の評価でした。この結果を受けて、Kaspersky LabはWhatsAppをセキュリティが不十分なメッセンジャーの「ブラックリスト」に載せるしかありませんでしたが、いずれ下位集団から抜け出すだろうと一言添えておきました。その頃すでにWhatsAppは、Open Whisper SystemsのSignal Protocol暗号化技術を採用してメッセンジャーの安全性を向上すると発表していました(英語記事)。

Open Whisper Systemsは、Signalを開発した非営利組織です。前述のEFFによると、最も保護されたメッセンジャーの1つに挙げられています。Open Whisper Systemsは、VoIP通信向けの安全なソフトウェア、RedPhoneも開発しています。この2つのソリューションは、EFFから最高評価の7つ星を獲得しています。しかし、優れた信頼性を誇りながらも、利用者はごくわずかです。SignalとRedPhoneの両方をもってしても、WhatsAppの人気には遠く及びません。

WhatsAppがSignal Protocolを採用したことで、上記のソリューションと同レベルの安全性にほぼ達したと言えます。WhatsAppが暗号化を発表した後、EFFはこのメッセンジャーの評価を7つ星満点で6つ星に変更しています(英語記事)。前回の2つ星に比べると、大躍進です。では、何が変わったのでしょうか。

WhatsAppの新しい暗号化が注目される理由は?

2014年11月、(不十分な形で)メッセージを暗号化していたWhatsAppは、第三者組織の監査を受けました。1年ほど前のことですが、評価は2つ星でした。そして4月5日、WhatsAppが暗号化の実装を発表したのと同じ日に評価がアップし、星が4つ追加されました。

追加された1つめの星は、WhatsAppの社員ですら利用者のメッセージを復号して読むことができない点に対してです。AppleとFBIの戦いも、ほぼ似たような理由から勃発しました。治安当局の要請であっても自社のスマートフォンをハッキングすることはできない、とAppleは主張しました。

もう1つの星は、適切なID認証方法を導入したことに対して与えられました。チャットが始まると、利用者はしかるべき相手と会話していることを確認でき、チャネルの整合性をチェックできます。

そして、暗号鍵が常に変更される点で、さらに星の追加となりました。暗号鍵が盗まれたとしても、会話の一部しか復号されない上、過去の会話を見られることもありません。

最後に、6つめとなる星の理由は、WhatsAppでのSignal Protocolの実装がきちんと文書化されていることです。このため、暗号研究の専門家を含む外部の人間は暗号化の設計を検証し、暗号鍵が安全に生成、格納、送信されているか確かめることができます。

7つめの星が与えられなかったのは、ソースコードが公開されていないためです。コードが公開されれば、インターネットの利用者は一丸となって新たな脆弱性を発見し、WhatsAppの安全性を強化しようと尽力してくれるでしょう。どうやらWhatsAppの所有企業であるFacebookは、自社でコードの検証に取り組もうとしています。

とはいえ、6つ星は大半の人気メッセンジャーの中では最高得点です。たとえばSkypeとYahoo!メッセンジャーはいまだに1つ星です。WhatsApp最大のライバルであるViberは2つ星です。人気メッセンジャーの中で、安全面でWhatsAppと張り合えるのはTelegramのシークレットチャットだけです。このメッセンジャーは最高評価の7つ星を獲得しています。

まとめ

WhatsAppの最新バージョンでは、すべてのデータが暗号化されます。チャットや通話の利用者がどれだけ多かろうと、テキスト、写真、動画、ボイスメッセージなど、何もかもです。Nokia S40からSymbian、iOS、Android、Blackberry 10、Windows Phoneまで、あらゆるプラットフォームで暗号化に対応します。

WhatsApp創始者のヤン・クーム(Jan Koum)氏とブライアン・アクトン(Brian Acton)氏は、今回の変更が多くの人から高く評価されると確信しているでしょう。今後は10億人以上の利用者が、どんな話題であろうと意見や考えを非公開で共有できるようになります。これは、インターネットのプライバシー確保に向けた大きな一歩です。Kaspersky Labが世界中で観測しているトレンドとは真逆かもしれません。