米国時間9月10日、WhatsAppはその20億人のユーザーに対し、チャットのクラウド上のバックアップを暗号化するオプションを提供することを明らかにした。アプリ上の個人間のプライベートな通信が侵害される危険性があるという厄介な問題を解決するために、大きな一歩を踏み出すことになる。
Facebookが所有するこのサービスはすでに10年ほど、ユーザー間のチャットをエンド・ツー・エンドで暗号化している。しかし、ユーザーが自分のチャットのバックアップをiPhoneではiCloud、AndroidではGoogleドライブといった自らのクラウドに保存するためには、それらを暗号化しないオプションしかなかった。
関連記事:WhatsApp、全てのプラットフォームのエンドツーエンド暗号化を完了
GoogleやAppleのサーバーに保存されている暗号化されていないWhatsAppチャットのバックアップを利用することは、世界中の法執行機関が長年にわたって容疑者のWhatsAppチャットにアクセスするための方法として広く知られている。
しかし、ついにWhatsAppは、このシステムの弱点を修正しているという。
FacebookのCEOであるMark Zuckerberg(マーク・ザッカーバーグ)氏は新機能を発表する投稿で次のように述べている。「WhatsAppは、そのサイズでは初めてのエンド・ツー・エンドで暗号化されたメッセージとバックアップを提供するグローバルなメッセージングサービスとなった。その実現は、すべてのオペレーティングシステムで暗号鍵の保存とクラウドストレージの完全に新しいフレームワークを必要とする、本当に困難な技術的チャレンジでした」。
自分の暗号鍵を保存する
同社によると、WhatsAppはAndroidとiOSのユーザーが自分のチャットのバックアップを暗号鍵でロックできるためのシステムを考案した。ユーザーには、自分のクラウドバックアップを暗号化する2つの方法を提供されるが、その機能そのものはオプションとなる。
今後「数週間」のうちに、WhatsAppユーザーには、チャットのバックアップをクラウドにロックするための64桁の暗号化キーを生成するオプションが表示される。ユーザーは暗号化キーをオフラインまたは任意のパスワードマネージャーに保存するか、パスワードを作成してWhatsAppが開発したクラウドベースの「backup key vault」に暗号化キーをバックアップすることができる。またクラウドに保存された暗号化キーは、WhatsAppが把握していないユーザーのパスワードでなければならない。
「64桁の暗号鍵を好む人と、簡単に覚えられるものを求める人がいるので、両方のオプションを提供します。ユーザーが自分のバックアップパスワードを設定しても、それを私たちが知ることできません。もし忘れてしまったら、元でデバイスでリセットすることができます」とWhatsAppはいう。
「64桁の鍵は、エンド・ツー・エンドの暗号化されたバックアップにサインアップしたとき、ユーザーがそれを失った場合、私たちはそれを復旧できないため、手元にメモしておくよう複数回通知します。セットアップが完了する前には、ユーザーに自分のパスワードや64桁の暗号鍵を保存されたことを確認します」。
WhatsAppの広報担当者によると、暗号化されたバックアップが作成されたら、以前のバックアップのコピーは削除される。「削除は自動的に行われるので、ユーザーは何もしなくてよい」とのことだ。
規制介入の可能性
これはプライバシー保護のためのかなり思いきった対応であり、影響が広範囲に及ぶかもしれない。
エンド・ツー・エンドの暗号化は政府が依然としてバックドアを要求しているだけに、厄介な問題であり続ける。FBIの苦情により、iCloudバックアップを暗号化しないようAppleに圧力がかけられているといわれている。またGoogleは、ユーザーにGoogleドライブに保存されているデータを暗号化する機能を提供しているが、そのことを事前に政府に報告しなかったといわれている。
関連記事:上院の暗号バックドア法案は「米国人にとって危険」だと下院議員が警告
今回のチャットバックアップの暗号化については、WhatsAppもその親会社のFacebookも、事前に政府機関に相談したり、政府からの支持をもらったりということは、開発過程で一切なかったという。
同社はこの件に関して、TechCrunchに対して「ユーザーのメッセージは極めて個人的なものであり、生活のオンライン化が進むにつれて企業は、ユーザーに提供するセキュリティを強化すべきです。今回の機能で私たちは、バックアップのセキュリティを強化する新たなセキュリティレイヤーを任意のオプションとして提供し、ユーザーの個人的メッセージの安全性を強化できたことをうれしく思っています」という。
WhatsAppはまた、アプリが利用できるすべての市場でこのオプションを有効にすることを明確にした。しかし、企業が法律や規制を理由にプライバシー機能を抑止することはよくあることだ。たとえばAppleが近く提供する暗号化閲覧機能も、中国、ベラルーシ、エジプト、カザフスタン、サウジアラビア、トルクメニスタン、ウガンダ、フィリピンといった一部の権威主義的な体制では利用できない。
関連記事
・アップルがiCloudをアップデート、プライバシー機能を追加した「iCloud+」発表
・アップルの新しい暗号化ブラウジング機能は中国、サウジアラビアなどでは利用できない
いずれにしても、9月10日の発表の数日前にはProPublicaが、2人のユーザー間のエンド・ツー・エンドで暗号化された会話は、ユーザーがそのメッセージを報告したときには第三者が読むことができると報じられている。
WhatsAppのプライバシーを担当するプロダクトリーダーのUzma Barlaskar(ウズマ・バラスカー)氏はTechCrunchに「バックアップを完全に暗号化するのは極めて困難なことで、特にそれをユーザーにとって十分に信頼性がありシンプルにするのは特に難しいものです。これだけ巨大なメッセージサービスが、多くのユーザーのメッセージに対してこのようなレベルのセキュリティを提供したことは過去に例がありません」と語っている。
「この問題には何年も取り組んできました。完成には、世界最大のオペレーティングシステムで使用できる、暗号鍵の保存とクラウドストレージのためのまったく新しいフレームワークを開発しなければならなかったため、時間もかかりました」。
画像クレジット:Kirill Kudryavtsev/AFP/Getty Images
[原文へ]
(文:Manish Singh、Zack Whittaker、翻訳:Hiroshi Iwatani)