スマートフォンやタブレット、PCなどで使用できるメッセージアプリやビデオ通話アプリなど39種類のセキュリティ面を比較した表が「Secure Messaging Scorecard」です。iPhoneの「メッセージ」から使えるiMessage、他にもSkypeやFacebook chat、Googleハングアウトなど多くのユーザーが使用しているであろうメッセージアプリが多数調査されており、普段何気なく友達や家族との連絡に使っているこれらのアプリがどれくらい安全なのかを一発で確認できるようになっています。

Secure Messaging Scorecard | Electronic Frontier Foundation

https://www.eff.org/secure-messaging-scorecard

「Secure Messaging Scorecard」はこんな感じのスコアカードです。ピンク色部分にアプリの名称があり、その上に青文字で書かれているのがセキュリティ面のチェック項目。チェック項目の下にチェックマークがついていれば項目をクリア、赤色のマークならば要件はクリアできていない、ということになります。



チェック項目では以下のようなポイントを調査しています。

◆「Encrypted in transit?(トランジットで暗号化がされているか?)」

ユーザーの通信経路は全て暗号化されている必要がある、とのこと。ただし、ユーザーネームやアドレス情報のようなメタデータの暗号化までは考慮していないそうです。

◆「Encrypted so the provider can't read it?(プロバイダーに分からないように暗号化が施されているか?)」

この基準は、ユーザーの通信がエンドツーエンドで暗号化されているべき、という理念から設けられた項目。通信経路でメッセージの内容が傍受されないように、メッセージを暗号化するわけですが、これを届けた後は暗号化されたメッセージを解読する必要があります。その解読のための鍵が生成されたり保存されたりするのは、通信経路にあるサーバーやメッセージを送信したユーザーの元ではなく、メッセージを受け取る側のところであるべき、とのこと。

◆「Can you verify contacts' identities?(連絡先を確認可能か)」

例えばサービスプロバイダーやその他の第三者が危険にさらされた場合に、ユーザーや通信相手の身元を確認する方法が存在するかどうかをチェックする項目がコレ。なお、以下のスコアカードではメカニズムが実行されることを要求しているだけで、その有用性やセキュリティ面は評価の対象となっていません。

◆「Are past communications secure if your keys are stolen?(鍵が盗まれた場合でも、過去の通信が安全かどうか)」

全ての通信が暗号化され暫時の鍵で解読されるわけですが、鍵は期間を過ぎると削除されてしまいます。これらの鍵が復元不可能であることは、暗号化にとって絶対に必要な要素である、とのこと。

◆「Is the code open to independent review?(コードが開かれているか?)」

これは、互換性を持つインプリメントを独立してコンパイルできるくらいに、ソースコードがしっかりと公開されているかどうか、というもの。

全てがオープンソースである必要はありませんが、バグやバックドア、構造的欠陥がないかを確認できるだけのコードの開示は必要、ということのようです。

◆「Is security design properly documented?(セキュリティ・デザインは正しく文章化されているか?)」

アプリケーションで使用されている暗号化の方法が明確に説明されているかどうか。

◆「Has the code been audited?(コードがしっかりと監査されているか?)」

これは、独立したセキュリティ調査が12カ月以内に行われたかどうか、という項目。

Facebook上の友達とチャットができる「Facebook chat」のスコアカードがコレ。通信経路での暗号化とコードの監査はクリアしていますが、その他は全てアウトとなっています。



iOS端末やMacなどで使用できるビデオ通話サービス「FaceTime」はこう。かなりの好成績ですが、ユーザーの身元確認は不可能で、コードも開示されていないので、2つの赤マークがついています。



ほぼ全てのAndroid端末にプリインストールされているGoogleのコミュニケーションアプリGoogleハングアウト」のスコアシート。想像以上にザルセキュリティです。



iPhoneやiPadでは「メッセージ」から使用でき、Macからも使用可能なインスタントメッセージサービス「iMessage」は、同じApple製サービスのFaceTimeと同じスコア。



完全匿名のSNSアプリSecret」はこう。



ビデオ通話やチャットが楽しめる「Skype」のスコアカード。



10秒以内に消滅する写真を送れるアプリSnapchat



楽天が買収した無料通話&メッセージアプリViber



欧米で特に人気の高いメッセージアプリWhatsApp



2014年3月にサービスが終了してしまった「Yahoo!メッセンジャー



なお、調査対象となった39のアプリのうち全ての項目を満たしているのは6つのみで、反対にひとつも項目を満たせていないアプリも2つ存在しました。



2013年、エドワード・スノーデン氏の告発により政府による通信傍受の実体が明らかになりました。これを受けて、「本当の意味で信頼できるメッセージアプリは一体どれなのか?」という疑問を明らかにすべく、電子フロンティア財団ProPublicaのJulia Angwin氏やプリンストン大学のCenter for Information Technology Policyで働くJoseph Bonneau氏が協力し、調査した結果を示したスコアカードが「Secure Messaging Scorecard」として公開されているわけです。