見直しを迫られるか？e-mailセキュリティ(2)攻撃に対して脆弱な e-mail

●非難されるべきはTorではなくシステム管理者？

今回の発表で、Torはイメージダウンとなったが、イーガースタッドは、適切に使えばよいだけだとして、Torを擁護している。そして、e-mailを傍受できたのは、システム管理者が暗号化をしていなかったためだと、非難している。前述のとおり、Torが経由するサーバでのトラフィックはデフォルトで暗号化されているものの、システムを出る際の出口ノードは暗号化されていない。Tor側もすでに説明している問題点に対しての対策が行われていなかった。

すなわち、利用者がその身元を隠した上で、メールの通信内容も知られたくないという場合、自分たちで余分に暗号化を行うように勧めている。しかし、この勧告を守っていない組織が多いのが実情だ。

イーガースタッドがこれらの情報を入手したのは、研究の一環で、“たまたま”だったようだ。約2カ月前にTorノードとするサーバを5件、自分でサインアップし、使用しているうちにe-mailが暗号化されずに送信されているのを目撃した。内容は明らかにしていないが、極秘情報であったようだ。驚いてさらに詳しく調べたという。

そして、トラフィックの99％以上というから、ほぼ全てが暗号化されていないことを発見した。Torはe-mailのみではなく、ウェブサイトを閲覧する際のリクエストやインスタントメッセージにも匿名化のために利用されるが、これらも同様に完全には暗号化されていなかった。

イーガースタッドは、問題はシステム管理者が、Torでのトラフィックがエンドツーエンドで暗号化されていると“期待している”ことだとコメントしている。期待であって、実際とは異なる…

【執筆：バンクーバー新報　西川桂子】
-----
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec