スノーデン氏にまつわるニュースが2月20日に届いた。ジャーナリストのグレン・グリーンウォルド氏によると、「今までの中で最も注目すべきスノーデン暴露情報」のひとつだという。
アメリカ国家安全保障局(NSA)とイギリス政府通信本部(GCHQ)のハッカーたちが、世界最大のSIMカードメーカーの内部コンピューターネットワークに侵入し、世界中の携帯電話通信のプライバシーを保護するために使われる暗号鍵を盗んだ。この情報は、エドワード・スノーデン氏によって暴露された極秘資料から得られたものだ。
それでは、アメリカとイギリスの情報機関がしたことは、正確にはどういうことなのか? ジャーナリストのジェレミー・スケイヒル氏(グリーンウォルド氏とともにニュースサイトThe Interceptの編集者をしている)によると次のようなことだ。
The NSA & GCHQ covertly stole millions of encryption keys used to protect your mobile phone communications: http://t.co/dVjLuxl4k3
? jeremy scahill (@jeremyscahill) February 19, 2015
NSAとGCHQは、携帯電話通信を保護するために使われる何百万もの暗号鍵を密かに盗んだ。
暗号鍵は、通信を暗号化して政府などの第三者に秘密にするために使われる。携帯電話の場合は、暗号鍵はSIMカードに格納され[リンク先はPDF]、携帯キャリアはその暗号鍵の複製を保持している。
携帯電話の通信で暗号化されるのは、キャリアと携帯電話との間のみである。つまり携帯キャリアは、複製した暗号鍵を使って携帯ユーザーの電話通信データにアクセスできる。携帯キャリアは通常、法執行機関から要請があった場合にのみ暗号鍵を渡すものだ。したがって、世界最大のSIMカードメーカーであるジェムアルトのコンピューターネットワークへのハッキングによって、NSAとGCHQは法の網をくぐり抜けて、数十億の携帯電話ユーザー分のSIMカード暗号鍵を手に入れたのかもしれない。そして、携帯電話の通話内容、SMSメッセージ、その他の通信回線上で送受信されるデータを解読できるようになった可能性がある。
ツイッター上では、これ以前にもあらゆる暴露情報が明らかになっていたことから、The Interceptの記事を読んだ人々の多くに、この最新ニュースに驚いた様子はなかった。
@AnonyOpsはこのハッキングの有効性を問題にして、問いを投げかけた。
It must be asked again, now that we know GCHQ/NSA have basically pwned everything: Why do we still have crime? How is ISIS even a thing?
? Anonymous (@AnonyOps) February 20, 2015
GCHQとNSAは、言ってしまえばすべてを手にしたってことだ。それがわかった今、もう一度問いたい。いまだに罪を犯すやつがいるのはどういうことだ? どうしてISISなんかに手こずるんだ?
プライバシー保護を促進する団体であるPrivacy Internationalのエリック・キングは次のようなジョークを言った。
Who thinks it's a good idea to give Cameron a “golden key”, now we've learned spies have been able to steal millions of them in the past.
? Eric King (@e3i5) February 20, 2015
情報機関が過去に数百万の鍵を盗んだことがわかったんだ。今さらキャメロン(訳注:イギリス首相)にどんな扉も開けられる「黄金の鍵」を与えることがいいアイディアだって思うやつはいないだろう。
この記事によって別の重要な疑問が提起された。このハッキングによって「誰」が影響を受けるかということだ。The Interceptの記事で指摘されているように、ジェムアルトの顧客には、AT&T、T-Mobile、Verizon、Sprintなどのアメリカの携帯キャリアだけでなく、世界中の450の無線ネットワークプロバイダーも含まれている。
ジェムアルトが公表した情報によると、「ジェムアルトは85の国でビジネスをしており、40以上の製造工場を保有している」。更にその情報では、Vodafone(ヨーロッパ)、Orange(フランス)、EE(ヨーロッパ)、Royal KPN(オランダ)、China Unicom(中国)、NTT(日本)、Chungwa Telecom(台湾)だけでなく、「アフリカと中東の多数の無線ネットワークプロバイダー」も顧客として名前があがっている。同社のホームページを見てみると、China Mobileと南アフリカのMTNがビジネスパートナーであることがわかる。またウィキペディアの同社のページによると、トルコとイタリアの通信会社も顧客だ。
終わりの見えないアメリカとイギリスのスパイ活動に対して、怒りをあらわにする読者もいる。
イタリア人のマルウェア専門家であるクラウディオ・グァルニエリ氏は、次のようにツイートした。
United Kingdom is a European Union member state. It's time the Commission sanctions the British for #GCHQ hacking of other member states.
? Claudio (@botherder) February 20, 2015
イギリスはEUの一員だ。他のEU加盟国をGCHQがハッキングしていることを理由に、欧州委員会は今こそイギリスに制裁を科すべきだ。
かつてアメリカによってシリアに送還され、拘留中に拷問を受けたと伝えられているシリア系カナダ人のマー・アラーは、以下のようにツイッターに書いた。
Obama isn't at war w/ Islam but the target of the NSA malware in the US & UK were all Islamic activists & scholars: http://t.co/eSypJtGYKe
? Maher Arar (@ArarMaher) February 19, 2015
オバマはイスラム教徒と戦争をしていないが、アメリカとイギリスの情報機関は、あらゆるイスラムの活動家と学者をマルウェアの標的にしていた。
この記事の中心になっている企業のジェムアルトはいまだに公に回答をしていない(訳注:原文記事が公開された後の2月24日に正式な発表があった)が、同社の動画で善意(訳注:動画ではモバイル端末を安全に使うための同社のサービスを紹介している)を示している。
※知っておいて欲しいのは、NSAもGHCQも、彼らがハッキングで手に入れた暗号鍵では、ジェムアルト社製以外の付加的な手段(RedPhoneやChatSecureなどのアプリ)によって暗号化されている通話内容、SMSメッセージ、その他の通信データにはアクセスできないことだ。モバイル端末のセキュリティについてより多くの情報を知りたい人は、Surveillance Self-DefenseやSecurity in a Boxにアクセスするといいだろう。