米ヤフーがデータ暗号化強化。メール、検索、Web閲覧も

米ヤフーがデータ暗号化強化。メール、検索、Web閲覧も 1

政府でも簡単にはのぞけないよと。

米ヤフーが、Yahoo! Mailや同社ののWebサイトでのユーザーデータの暗号化を発表しました。これにはどんな意味があるんでしょうか? 電子フロンティア財団のセス・ショーン氏が解説してくれました。


米ヤフーがユーザーの保護に向けて動きました。彼らのWebサイトやサービスの中で、いくつかの部分で定常的な暗号化を開始したのです。

ヤフーの発表によると、彼らのデータセンター間のトラフィックは全て暗号化され、一部のWebサイトではHTTPS(暗号化通信用プロトコル)がデフォルトになり、検索ワードもヤフー内のほとんどで暗号化されます。さらにYahoo! Mailと他の暗号化手法(SMTPTLS)をサポートするメールサービス(たとえばGmail)の間のトラフィックも暗号化されます。

電子フロンティア財団では、インターネット企業がこうした手段を講じるよう長い間働きかけてきました。最近ではEncrypt the Webというスコアカードを作り、ヤフーだけでなくグーグルやTwitter、Facebookといったサービスでの暗号化の採用状況をチェック・公開してきました。今回の対応によって、ヤフーのスコアカードには「Forward Secrecy」と「STARTTLS」の2点にチェックが付き、電子フロンティア財団が求める5項目全てが埋まりました。

今、米国政府があらゆる人のインターネット上のプライベートな通信をのぞき見てきたことが明らかになっています。ユーザーのプライバシーとセキュリティを守るには、データを定常的に暗号化することが重要だとわかってきました。データが暗号化されていなければ、どんなネットワーク運営者でも(小さなWi-Fiノードでも、巨大なインターネットバックボーン企業でも)、または運営者に対して何らかの強制力を持つ政府や、そこに侵入する技術を持つハッカーなら、誰でも簡単に他人のプライベートな会話をのぞけます

でも、ヤフーでの暗号化強化によってそんなのぞき見は難しくなります。さらに同社がForward Secrecyと暗号化通信を導入したことで、古い暗号化されたコンテンツに関しては、ヤフー自身が万一秘密鍵を管理できなくなったとしても秘密が保持されます。

ただしこれらの方法で守られるのは、あくまでユーザーとヤフーのサーバー間の通信だけ、またはヤフーのインフラの特定部分においてだけということです。つまり、政府からデータ開示要請があった場合にはヤフーからデータを引き渡す可能性がある、それ自体は何も変わっていません。が、政府がネットワークインフラに自在に入り込んでユーザーのコミュニケーションを傍受するのは難しくなります。

ヤフーの今回の対応は評価されるべきことです。今後、暗号化が業界標準になっていくことを願います。

Image via Fotopedia

Seth Schoen - EFF(原文/miho)