Which Third-Party Messenger App Is Best for Secure Business?
2022/04/07 SecurityIntelligence — 2021年10月のこと、世界中で Facebook/Instagram/WhatsApp/Messenger が最大で6時間にわたり停止し、数十億人がメッセージ・サービスを受けられなくなった。Facebook のエンジニアたちが問題解決に奔走する間、ユーザーは他のアプリに移行してつながりを維持した。Telegram の創設者である Pavel Durov によると、この停止の後に、7000万人のユーザーが増加したという。
Facebook の障害は定期的なメンテナンスにおけるミスによるものだったが、この出来事により、多くの人々がメッセージング・アプリの安定性などの問題について疑問を抱くようになった。WhatsApp から Telegram に乗り換えた人々は、本当により安全なアプリを手に入れたのだろうか? Messenger がより安全である理由は何なのだろうか。また、インスタント・メッセージをビジネスに利用することの、リスクはどうなのだろうか?
日常生活でメッセージング・アプリを使用する機会が増えているため、こうした疑問は深刻なものとなる。特に、国際的なチームでは、迅速で安価なコミュニケーションにより、素早い作業を展開が達せされているのだ。
メッセージング・アプリのセキュリティ比較
統一した見解は存在しないが、メッセージング・アプリのセキュリティ比較は存在する。しかし、注意してほしいのは、ある情報源が安全だと示しても、別の情報源は逆を示すかもしれない。たとえば、Google の Project Zero Team の Cybersecurity Researcher である Natalie Silvanovich は、Signal アプリに深刻な不具合を発見している。
彼女は、改変したクライアントを使って、Signal を実行しているデバイスに P2P 接続メッセージを送信した。それにより、通話相手がデバイスに触れていないにもかかわらず、音声通話に応答することが可能になったという。そして Silvanovich は、Facebook Messenger/Google Duo/JioChat/Mocha においても、同様の不具合を発見している。彼女からの報告の後に、それらの脆弱性は、すべて修正された。
脅威アクターたちのプライバシー:何を使っているのか?
脅威アクターたちは、どうなのだろう? 彼らは、どんなアプリでチャットしているのだろうか? それは、安全なのだろうか? 最近の調査では、Telegram 上でサイバー犯罪者のネットワークが急成長しており、データ漏えいの頻度も高まっているようだ。
Telegram の不正なチャンネルには、数万人の登録者がいて、そのコンテンツはダークウェブで見られるようなものだ。しかし、脅威を引き起こすのは、アプリのセキュリ ティではなく、むしろプラットフォームに限界があるからかもしれない。
Telegram はセキュリティの面で、広く受け入れられている TLS (Transport Layer Security) プロトコルではなく、独自の MTProto 暗号化プロトコルを使用している。暗号学者の中には、MTProto 暗号には弱点であると考える人もいる。どんな暗号化であっても、無いよりはましだが、MTProto のセキュリティ要件の構成要素 (ハッシュ関数/ブロック暗号/公開鍵暗号など) は未検証でである。
Telegram の暗号化について
しかし、Telegram の暗号に、セキュリティの不安はない。最近のことだが、Telegram の暗号を解読するコンテストが開催された。そこでは $30,000 の懸賞金が提供されたが、このプラットフォームのシークレット・チャット・コードは、誰も解読できなかった。Telegram のシークレット・チャット・モードは、デフォルトでは OFF であり、また、グループ・チャットでも機能しないことに注意してほしい。標準的なチャットやグループ・チャットでは、Telegram の End-to-End の暗号化は無効のままとなる。
年間で最大 7,400 億通の SMS メッセージが流出
SMS メッセージは、どうなのだろう? もっと安全なのだろうか? Verizon/T-Mobile/AT&T といった通信事業者のために、年間で数千億のテキスト・メッセージをルーティングしている、Syniverse という企業がある。2021年5月に同社は、政府の規制当局に対して、攻撃者により同社のデータベースが、5年前からを侵害されたいたことを明らかにした。Syniverse は、世界の 300社以上の携帯電話事業者向けに、年間で 7400億通以上のメッセージを処理している。どのような情報を、攻撃者は暴露したのだろうか? 同社は明らかにしていないがが、SMS のテキスト・メッセージの内容が標的にされた可能性がある。
大手メッセンジャー・アプリのセキュリティ
Google Messages/Apple iMessage/Facebook Messenger/WhatsApp なども、アプリケーションのセキュリティは厳しくチェックされている。Google と Apple は、WhatsApp と同様にデフォルトで暗号化を ON にしている、Facebook Messenger は OFF である。
Google と Facebook を取り巻く。セキュリティに関する批判としては、ユーザー情報の収集が挙げられる。ユーザー・データを収集する以上、そのセキュリティも確保しなければならない。しかし、それによりリスクは増大していく。また、Apple は、クローズド・ソースのアプリと、バックエンド・サーバー・コードを使用している。それは、暗号化の強度や脆弱性の有無などについて、コードの品質に疑問を投げかけるものとなる。
Signal を得るには?
数あるメッセージング・アプリの中でも、より安全なアプリとして Signal は認識されている。たしかに、前述のように盗聴攻撃のリスクがあることが判明したが、その弱点は修正されたと伝えられている。Signal には、安全なメッセージング・アプリに求められる、以下のような多くの特徴がある。
- 補助金や寄付金で支えられている、オープンソース・プロジェクトである。つまり、広告やアフィリエイトなどの、隠れたトラッキングは存在しないはずだ。
- End-to−End の暗号化が、デフォルトで ON になっていることで、会話の当事者だけがメッセージを見ることができる仕様になっている。アプリの所有者であっても、他の誰のチャット内容を見ることができない。
- 自己破壊とメッセージ消滅機能があり、一定の期間の後に、メッセージを永遠に削除される。
- ユーザー・データの収集が最小限である。他のビジネス目的のために情報を収集する、Google や Facebook のアプリとは異なり、メッセージ/写真/ファイルは携帯電話のローカルに保存される。
メッセンジャー・アプリの衛生管理
メッセンジャーのプラットフォームが持つ、本来の安全性だけではなく、チームがアプリを利用する方式によっても、セキュリティは大きく影響される。たとえば、フィッシング・キャンペーンやソーシャル・エンジニアリングによる攻撃は、何年も前からサードパーティのメッセンジャー・アプリに影響を与えている。攻撃者は、ターゲットに魅力的なメッセージを送り、リンクをクリックさせ、感染したファイルをダウンロードさせる。
スマートフォンのアプリから、エンタープライズ・ネットワークに侵入することは難しいかもしれない。しかし、多くのユーザーは、メッセージング・アプリのデスクトップ版もインストールしている。このデスクトップ版アプリから、悪意のリンクやダウンロードにアクセスすると、マルウェアに感染する可能性が生じる。
完璧なメッセンジャー・アプリは存在しない
特に、国際的なチームを抱える企業では、今後も人気のメッセージング・アプリを使い続けることになりそうだ。100% の安全性が保証されるアプリは存在しないが、よりも優れたセキュリティ対策が施されているものもある。End-to−End のデフォルト暗号化は、優れたセキュリティ対策の一例である。また、オンライン・フィッシング詐欺が、アプリを介してあなたを狙う危険性があることを、チームに思い出させることも重要である。
ついつい、FB Messenger で送りますとか、Line で送ってくださいとか、私たちはメッセンジャーの利便性だけに目を向けてしまいますが、ビジネスにおける安全性も考えるべきですね。すべてのメッセンジャーにおいて、まだまだ進化の余地があり、完璧なものは存在しないと考えるべきなのでしょう。ただし、広告という収入源を排除したサービスには、仕組みとしての優位性があるというのは頷けます。なお、文中にある SMS ベンダーの Syniverse については、2021年10月に「通信事業サービス Syniverse に対するスパイ活動:5年前からデータを侵害」という記事をポストしています。よろければ、ご参照ください。
IoT OT Security News 