- ニュース
写真:1Password
NSA がコンピューター セキュリティ製品に意図的に脆弱性を仕込んだという昨日の衝撃的なニュースを受けて、Mac および iOS 向けの人気のパスワードおよびセキュリティ アプリである 1Password の開発元は、この種の NSA の介入に対する脆弱性について非常に示唆に富むブログ記事を投稿しました。
AgileBits は次のように言っています:
1Password は意図的に弱体化されているのでしょうか?
いいえ。
私たち AgileBits は、1Password を弱体化するように何らかの団体から依頼されたり、強制されたり、圧力をかけられたり、連絡を受けたりしたことがありますか?
いいえ。
それは簡単な部分です。誰でもそう言えるでしょう。もう少し深く考えてみましょう。
AgileBitsは、上記の理由を詳しく説明するのにかなりの時間を費やしています。同社のビジネスモデル全体が、暗号化、ひいては顧客データがNSAからさえも安全であるという事実を前提としているため、これは理にかなっています。
ブログ記事によると、AgileBitsはカナダ、米国、英国、オランダに開発者を抱えている。たとえNSAがカナダ企業であるAgileBitsに情報統制命令を発令したとしても、国外在住の米国市民以外の者を拘束することはできない。同様に、他国からの命令も、米国在住の米国市民を拘束することはない。したがって、同社の沈黙を守る唯一の方法は、4カ国全てに少なくとも4つのNSAのような独立した機関を設置することだろう。可能性はあるものの、実現は難しいだろう。
第二に、1Passwordが動作するシステムは完全に顧客の管理下にあります。「初期状態では、1Passwordはローカルデータファイル(ユーザーの「保管庫」)を作成し、同期は無効になっています。マスターパスワードはもちろん、暗号化された1Passwordデータさえも、私たちが確認する機会は一切ありません」と同社は説明しています。
1Password社は、ユーザーが1Passwordをどのように使用しているかを把握することはありません。ユーザーのプライベートな閲覧データや機密性の高い金融記録が1Passwordシステムを通過することはありません。購入後、ユーザーがソフトウェアを使用しているかどうかさえも把握していません。一部のデータ同期機能は提供されていますが、ウェブサイトによると、それもローカルで行われるとのことです。「1Password 4 for Macがまもなくリリースされると、Wi-Fi同期(現在テスト中)によりローカル同期が可能になり、データがローカルネットワークから外に出る必要がなくなります」とブログには記されています。もちろん、これはLittleSnitchなどのネットワーク分析ツールで検証できます。
最後に、同社はデータフォーマットも検証可能であると述べている。1Passwordが使用する暗号化の詳細も公開されており、相対的な強度や意図的な脆弱性を懸念する人は、自分でテストすることができる。
投稿はさらに、Lavabit社が行ったとされる前例に倣って、自社の閉鎖を余儀なくされる可能性が高いと述べている。Lavabit社は、自らの言論統制を公表し、閉鎖に追い込んだとされている。AgileBits(関連記事なし)は、「…私たちが自らの活動を妨害し、愛する事業を妨害するよりも、(公表されるであろう)閉鎖という現実的な可能性は、バックドアの導入を強要しようとする者にとって、ある程度の抑止力となるはずだ」と述べている。
最後にブログ記事では、AgileBits が知る限り、ターゲットにされているのはコミュニケーション ツールのみであり、1Password のように消費者のパスワードやデータをローカルで保護するツールはターゲットにされていないと述べています。
これらは、AgileBitsが私たちのデータの暗号化を任せられる理由として、かなり説得力のあるものです。さらに、AgileBitsが自ら名乗り出てそれを指摘する必要もありませんでした。これは陰謀の兆候かもしれませんが、繰り返しますが、可能性は低いでしょう。結局のところ、私たちはデジタルツールを使うことでセキュリティをある程度犠牲にしており、このような製品を使う場合はさらに犠牲にしている可能性があります。
我々の知る限り、同様の製品を製造している他の企業は、この趣旨の声明を出していないが、そのうちの 1 社である LastPass はすでに侵害を受けている可能性がある。
AgileBitsのブログ記事では、次のように要約しています。
上記の理由のそれぞれが説得力に欠けるとしても、それらは互いに強力に作用し合います。これらが組み合わさることで、1Password に脆弱性を突くことは、発覚したり失敗したりする大きなリスクを負うことなく、はるかに困難になります。NSA を含むあらゆる攻撃者は、より安全で容易な代替手段があれば、リスクが高くコストの高い攻撃を避けるでしょう。したがって、NSA は 1Password を突破するよりも、むしろそれを迂回するだろうと私は確信しています。
Macユーザーの皆さんはどう思いますか?
![iPad 3は2048×1536のRetinaディスプレイを搭載 [画像]](https://image.oligur.com/poclnokl/55/dc/ipad_2_ipad_3_pixels.webp){kind=tracking}
![行方不明:LionとiOS 5を使用してもiPadから印刷できない [WWDC 2011への反応]](https://image.oligur.com/poclnokl/e3/7d/AirPrint.webp)
![ゴージャスなMujjoスリーブはMacBookをカバーし、移動中も快適に保ちます[レビュー]](https://image.oligur.com/poclnokl/7e/34/68410CDB-7953-4C19-B3EB-A3ED41A6BB38.webp)