先週、 WhatsApp これは大きなニュースになっていますが、良い理由ではありません。個人的には、チャットがエンドツーエンドで暗号化されているとは信じていません。「もしそうだとしたら、彼らはどうやって収益を得ているのだろう?」と疑問に思います。どうやら、Metaの従業員なら誰でも私たちのチャットにアクセスできるということのようです。今週この件が報道されましたが、私は今後もMetaのチャット暗号化技術を活用するよう強く訴えていきます。 RCSがAndroidとiOSで利用可能になりました.
同時に同社は、 チャット外の誰も、メタでさえもコンテンツを読むことはできない メッセージの公式バージョンと外部からの非難の間の緊張により、WhatsAppの暗号化は情報セキュリティ分野における最もデリケートな問題の一つとなっている。 データ保護とデジタル信頼 ヨーロッパの何百万人ものユーザーのために。
WhatsApp が約束するエンドツーエンドの暗号化とは何ですか?
WhatsAppは、 エンドツーエンド暗号化 (E2EE) プラットフォーム自体によると、このシステムはDNAの不可欠な部分として保護します。 メッセージ、写真、動画、音声メモ、ドキュメント、通話、リアルタイムの位置情報、ステータスの更新送信者と受信者のみがコンテンツにアクセスできるようにします。
アプリでは、各メッセージは 「ロック」と1つの鍵 これらのキーはMetaのサーバーではなく、デバイス上で生成されます。キーは常に変更され、自動的に管理されるため、ユーザーはチャットのセキュリティを確保するために特別なオプションを有効にする必要はありません。
信頼を強化するために、WhatsAppはユーザーに、その暗号化システムが 信号プロトコルこのプロトコルはサイバーセキュリティの世界で広く認識されています。しかし、オープンソースではないアプリ内で適用されているため、 外部の専門家は限定的な方法でしか監査できない その暗号化が実際にどのように実装されているか。
チャットが暗号化されているかどうかをユーザーはどうやって確認できますか?
WhatsApp自体もヘルプセンターで、暗号化された会話にはそれぞれ 特定のセキュリティコードこの識別子は、 通話とメッセージは効果的に保護されます これら 2 つの特定のデバイス間では E2EE が使用されます。
このコードは、次の形式で表示できます。 QRコードまたは60桁の文字列 連絡先情報の「暗号化」セクション。チャット参加者間でこのデータを比較することで、両者が同じキーを使用していること、そしてコンテンツが第三者に転送されていないことが確認できます。
実際には、認証にはチャットを開き、連絡先またはグループ情報画面に移動して、 「暗号化」数秒後、アプリケーションは暗号化を確認する自動メッセージを表示し、QR コードをスキャンするか、60 桁をチェックして両方のデバイス間で一致しているかどうかを確認するオプションを提供します。
WhatsAppの暗号化に異議を唱える集団訴訟
この公式の言説にもかかわらず、 サンフランシスコ地方裁判所に集団訴訟が提起された これにより、暗号化の実際の仕組みに関する疑念が再燃した。裁判所の文書は次のように主張している。 メタは通信を保存、分析し、アクセスすることができます WhatsApp は完全にプライベートなサービスとして宣伝されているにもかかわらず、ユーザーが WhatsApp 経由で送信するメッセージは、プライバシーが侵害される可能性があります。
原告団には、 オーストラリア、ブラジル、インド、メキシコ、南アフリカ彼らは、エンドツーエンドの暗号化システムとアプリのその他のセキュリティツールはどちらも安全であると主張している。 「宣伝されているほどの効果はないだろう。」 同社は、利用可能な保護のレベルを伝えることで国民を誤解させたと主張した。
文書によると、この告発は、 内部告発者 この文書には、Meta の従業員が社内システムからのリクエストに応じて特定のチャットの内容にアクセスできるプロセスが記載されていた。
MetaとWhatsAppの反応:「本当の」暗号化と「不条理な」非難
同社の反応は明確だ。アンディ・ストーン WhatsAppとMetaの広報担当者ストーン氏はこの訴訟を「軽薄」と呼び、訴訟を起こした弁護士らに制裁を求めると主張した。ブルームバーグなどのメディアへの声明で、ストーン氏は次のように主張している。 「WhatsApp メッセージが暗号化されていないという主張は完全に誤りであり、馬鹿げています。」.
メタは次のように主張する。 WhatsAppの従業員も親会社の従業員も ユーザーの暗号化された通信を読み取る手段があり、Signalプロトコルに基づくE2EEシステムはほぼ10年間運用されている。また、 コンテンツへのアクセスを要求する政府 彼らは、他の第三者と同じ技術的障壁に遭遇します。つまり、暗号化設計により、公式の要請があったとしてもメッセージの配信が妨げられるのです。
MetaのCEOであるマーク・ザッカーバーグは、このモデルを公に擁護し、 「Metaのサーバーがコンテンツを見る時間はない」 WhatsAppで2人がチャットする際のメッセージの暗号化。同社にとって、暗号化は見せかけだという非難は技術的根拠が全くない。
情報漏洩と元請負業者が疑念を煽る
法的圧力に加えて、 WhatsAppのコンテンツモデレーションに関与した元請負業者米国の法執行機関による捜査の対象となっている。ブルームバーグが入手した報道によると、これらの労働者はメタの従業員の一部が ユーザーメッセージへの広範なアクセス アプリケーションの。
証言はWhatsAppで働いていた人々からのものである。 外部コンサルティング会社彼らは商務省の調査官に対し、職場にチャットルームへの「無制限のアクセス」が可能な職種があると報告していた。この情報は「 「ソースから暗号化された操作」7月付けで、継続中の調査の一環として記載されている。
しかし、まさに 産業安全局 米国商務省はその後、これらの主張を否定し、 WhatsAppやMetaについては調査していない 輸出法違反の疑いがあり、代理人の1人が作成した報告書は同社の権限外であった。
一方、メタは次のように回答した。 「これらの人々が主張していることは不可能だ」 同社もその請負業者も暗号化された通信の内容にアクセスできないためです。同社は、集団訴訟を主導する法律事務所による告発を含め、引き続き告発を否定する姿勢を示しています。
競合他社からの批判:Telegramなどの声
WhatsAppの暗号化に関する議論は、 宅配便市場における直接的な競合相手として ワイヤーテレグラムのCEOであるパベル・デュロフ氏は、メタのアプリのセキュリティについて公然と疑問を呈し、その保護システムへの盲目的な信頼は、 「受け入れられない」.
デュロフ氏はテレグラムが WhatsAppの暗号化システムを分析した そしてその過程で彼らは 潜在的な脆弱性同氏の説明によれば、WhatsApp は、Meta が数十億人のユーザーに公式に伝えているほど安全だったことはないという。
テレグラム創設者の批判は、 米国の集団訴訟 暗号化されたメッセージにアクセスしたとしてMetaを提訴した。WhatsAppはSignalプロトコルを使用していること、そして セキュリティキーはデバイス内に保存されていますサーバー上には保存されないため、会社が望んだとしてもチャットの内容を読むことはできません。
暗号化の専門家の視点
こうした非難の応酬の中、暗号専門家の中には緊張を和らげようと試みる者もいる。教授 ジョンズ・ホプキンス大学の暗号学者、マシュー・グリーン氏彼はブログで、WhatsAppの暗号化はSignalプロトコルに基づいており、Metaアプリはオープンソースではないものの、 コンテンツが実際に暗号化されているかどうかを検出する技術的な方法.
グリーン氏は、WhatsAppがメッセージを体系的に読んでいたら、 セキュリティ研究コミュニティは最終的に証拠を見つけるだろう アプリケーションの動作やトラフィック分析において、すべてのコードを確認できないため、同社の主張どおりに暗号化が適用されていることを独自に検証することは極めて困難であると強調しています。
同時に、次のような取り組みを推進するさまざまなプライバシー擁護団体が、 「もう暗号化しておきましょう」彼らは大手企業に対し、エンドツーエンドの暗号化をより多くのサービスに拡張し、デフォルトで使用するよう圧力をかけている。特にWhatsAppに関しては、これらの団体は以下を要求している。 暗号化されたE2EEバックアップはデフォルトで有効になっています ユーザーが手動で設定する必要はありません。
バックアップはどうなっているのか:システムの弱点
最も関連性が高く、おそらくあまり知られていないニュアンスの一つは、 送信中のメッセージ そして、 クラウドバックアップWhatsApp のチャットと通話は暗号化され、バックアップは Google ドライブまたは iCloud に保存されます。 E2EEで常に保護されているわけではない デフォルト。
WhatsApp はこれまでしばらくアクティベートするオプションを提供してきました。 エンドツーエンドの暗号化バックアップアプリ自体もクラウドプロバイダーもコンテンツにアクセスできないようにする。ただし、この機能を使用するにはユーザーが パスワードまたは64桁のキー 忘れたり紛失したりした場合、保存したデータを回復する方法はありません。
だからこそ、一部の人や企業は バックアップでE2EE暗号化を有効にしないこれにより、クラウド プロバイダーのセキュリティのみに依存するという代償を払うことになるが、電話機を変更するときにチャットを復元したり、クロスプラットフォーム移行ツールを使用したり、特定のアーカイブおよび監査義務に準拠したりすることが容易になる、と彼らは主張している。
一部のユーザーがバックアップの暗号化を無効にするのはなぜですか?
バックアップでE2EE暗号化を使わないという決定は、多くの場合、実用的な理由に基づいています。誰かがそのシステムを有効にして、 パスワードを忘れた、または64桁のキーを紛失したバックアップは復元できなくなります。WhatsApp はこれらのキーを保存しないため、復元することはできません。
ビジネスの世界では、バックアップの暗号化を無効にすることは、 チャット履歴への安全なアクセス 法規制遵守のため、特に厳格な文書化要件が課される分野では、データの確実な復旧が最優先事項となります。たとえそれが不可能な場合でも、 機密保持の面でより大きなリスク.
苦労した後、 エラーまたは障害 エンドツーエンドで暗号化されたバックアップを復元する場合、多くのユーザーは標準的なクラウドバックアップシステムに戻ることを選択します。WhatsAppデータをプラットフォーム間で移行または抽出できるサードパーティ製ツールは、通常、暗号化されていないバックアップでしか機能しないため、多くのユーザーが 追加のセキュリティレベルを一時的に無効にする.
ヨーロッパとスペインにおけるリスクと法的背景
バックアップにおけるエンドツーエンドの暗号化を無効にすると、実際には、情報は次のような企業の対策によってのみ保護されることになります。 GoogleまたはApple誰かがクラウドアカウントにアクセスした場合(例えば、 フィッシングまたは認証情報の盗難— 暗号化されていない場合、WhatsApp のバックアップ ファイルを取得し、その内容を分析する可能性があります。
法的観点から見ると、欧州の枠組みは、 一般データ保護規則(RGPD) 参考までに、個人データを保護するために、暗号化を含む強力なセキュリティ対策の使用を推奨しています。スペインまたはその他のEU加盟国で業務目的でWhatsAppを使用する企業の場合、 追加の暗号化なしでチャット履歴を保存する 機密性の高い顧客データを扱う場合、コンプライアンスに関する懸念が生じる可能性があります。
さらに、暗号化は、 治安部隊と治安機関バックアップがエンドツーエンドで暗号化され、ユーザーのみが鍵を持っている場合、クラウドプロバイダーもWhatsAppも裁判所命令が出されてもコンテンツを引き渡すことはできません。そうでない場合、テクノロジー企業は強制的に バックアップへのアクセスを容易にする 裁判所の命令があった場合。
プライバシー、公共の安全、法的義務の間のバランスは、ヨーロッパでは特に微妙であり、 暗号化を制限または回避する 特定の状況下では。こうした状況下において、スペインの何百万人ものユーザーの日常的なコミュニケーションにおいてWhatsAppが極めて重要な役割を果たしていることから、WhatsAppの事例は綿密に精査されています。
アプリで暗号化を確認および管理する方法
日常的に、ユーザーはいくつかの簡単なチェックを行って 何がどのように保護されているかをよりよく理解する各個人またはグループの会話では、セクションをクリックしてチャット情報にアクセスできます。 「暗号化」 QRコードまたは60桁の文字列を使用してセキュリティコードを検証します。これにより、2つのデバイス間の通信がエンドツーエンドで暗号化されていることが確認されます。
バックアップに関しては、Android と iPhone の両方で、アプリの設定からバックアップ セクションにアクセスできます。 「チャットのバックアップ」 そして、オプションが 「エンドツーエンド暗号化バックアップ」 有効になっています。有効になっている場合、無効化または変更するにはパスワードまたは64桁のキーが必要です。有効になっていない場合は、WhatsAppが提供するウィザードに従ってユーザーがこの保護を設定できます。
これらすべての特徴にもかかわらず、現在の議論は暗号化が純粋に技術的な問題ではなく、 企業が自らの約束をどのように実行し、守るかに対する信頼米国での訴訟、元請負業者からの漏洩、競合他社からの批判、そして欧州の規制当局の監視の中で、WhatsAppの暗号化の将来と、真にプライベートなツールとしての地位は、スペインおよび欧州全域のユーザー、セキュリティ専門家、当局にとって重要な問題であり続けるだろう。
