Dec 3, 2012

米CIA長官が不倫で辞任した件、ITのポイント

IT面で参考になる箇所を抜粋・意訳してみます。 

Trying to Keep Your E-Mails Secret When the C.I.A. Chief Couldn’t

http://www.nytimes.com/2012/11/17/technology/trying-to-keep-your-e-mails-secret-when-the-cia-chief-couldnt.html?pagewanted=all  (NYTimes 2012.12.16)

■汝の敵を知れ
 不倫関係を家族に知られるのでは、と誤認していた。
”脅威を(正確に)理解するのはセキュリティ技術において、最も難しいこと”
”(FBI等の)政府機関がサービスプロバイダからログイン記録等を取得する脅威を想定していたら、渦中の二人は、もっと違う行動をとっていたかもしれない”
マシュー・ブレイズ ペンシルベニア大学、計算機・情報科学准教授。セキュリティと暗号化の専門家。


 二人は配偶者から不倫を隠すため、GmailのIDを共有し、メール送信ではなく、ドラフト保存によって追跡を逃れていた。
しかしながら IPアドレスを隠すということはしていなかった。
不倫相手のミズ・ブロードウェルは (新しい愛人と思い込んで)フロリダのミズ・ケリーに嫌がらせをした。その時、いつもの同じPCを使っていた。ミズ・ケリーはその嫌がらせメールをFBIの友人に相談した。そうした捜査過程で不倫メールアカウントも捜査線上に上った。


■居場所を隠せ
 Webブラウジングで匿名性を得るために、ポピュラーなプライバシーツールであるTorを使うべきだった。
さらに(盗聴可能な)ホテルの公共Wi-Fi環境では、VPNを使うべきだった。


 GoogleやYahooは アクセス元のIPアドレスを捜査に備えて18ヶ月 保管している。
1986電子情報プライバシー法では 六ヶ月以上古いメールなら令状は要らない。
六ヶ月未満でも 捜査令状が必要なのは、未開封メールに対してのみである。

Googleの報告によると今年の1月から6月までに法執行機関は16,281アカウントについてデータを要求し、Googleは90%に応じた。

■記録を残すな
 Googleのインスタントメツセージングクライアントの Goole Talkでは 最低でも「記録しない」を設定しよう。
そうすればタイプしたものは保存されないし、Gmailでの検索も不可能になる。


■メッセージを暗号化せよ
 GPGのような暗号化サービスを使えば盗聴対策になる。

 メッセージがたとえ人目に触れても、暗号鍵なしでは、まったく意味不明だ。
送信者は あらかじめ受信者から鍵をもらって暗号化して送信する。


 問題はこれが面倒くさく、また読解不能でも頻度を隠せなければ怪しまれる点だ。

 モバイルapp Wickrはスマートフォン用の同様のサービスである。
ビデオや写真やテキストを暗号化し、削除したファイルを永久に消去する。
一般的には、法科学専門家や能力の高いハッカーは それらのデータを復元可能だが、Wickrはでたらめなデータを上書きすることで、解読不能にする。


■自己破壊タイマーを設定せよ
 10 Minute Mail
http://10minutemail.com/10MinuteMail/index.html
のようなサービスは、10分間で自動抹消されるようなメールアドレスを、ユーザが開設できる。
Wickrはまたモバイル通信のために自己破壊タイマーを設定できる。
ただ受信者がスクリーンショットを撮ったら、その効果は無くなるけどね。


■ドラフト保存について
 「共有ドラフトフォルダー」に保存するのは、メール送信するよりも危険だ。
そうしたドラフト保存は長らく9/11を主導したテロリスト達が利用してきた。
しかしながら今日ではドラフトフォルダに保存したメールは、クラウドに残っている。
そしてサービスプロバイダは、そのメールが削除された後も、捜査のために写しを提供できる。


■特定のデバイスのみを使え
 機密情報を扱うときは特定のデバイスのみを使おう。

■アリバイを作れ
 ペイジャーを使ったり、急に暗号化に詳しくなったりすると、説明しなくてはならなくなる。
”コソコソするほど、奇妙に映る”

■しくじるな 以上の一つでも やり遂げるのは大変だから、ましてや全てを常時完遂するのは困難である。
一つのミスでも犯そうものなら、、、Torを使うのを忘れるとか、暗号鍵を誰でも見つけられるところに残してしまうとか、空港のWi-Fiに接続するとか、、、もう駄目になる。
プライバシーと匿名性のための堅牢なツールはあるものの、簡単に使えるように統合されては居ない。

 ”我々はうっかり’全員に返信’といった間違いを犯すものだ。EmailアドレスやアカウントやIPを隠そうとしても幾多の間違いを犯しかねない”
もしFBIが貴方のメールを追跡すれば、それは解読されてしまうだろう。
その場合は、どんなにあがいても、間違った気休めを得られるだけだろう。

"もし秘密を守りたいなら、それを口にしないことだ"

以上

No comments: