大手IT企業の技術的正攻法で情報傍受できる件

AWS(アマゾン社のクラウドサーバー提供サービス)の提供するSSL認証(Route53を利用したSSL認証)
このサービス。
アクセスするスマホやパソコンから、AWS上のELB(ロードバランサー)までの外部通信は暗号化されるのですが、ELBからEC2間の通信はSSLが解かれた通信になる。

あたかも自然にネットワーク機器までSSLやるのは自然なこと(もしくはサーバー1台1台にSSL証明書いれるとコスト高くなりますからこっちのほうがオススメですよ)と見せといているが、それは物理的に安全で施錠できるラック環境にあり、そのネットワーク機器と、サーバー間のスイッチに物理的にも手を加える(間にバカハブ挟んで通信傍受するなど)ことができないことが保証されていることが前提。AWSはそこブラックボックスにしているが、AWS社が判断すればその間の通信を傍受することはできる。

また、RDS(AWS上でのデータベース提供サービス)はOSレイヤーの操作をさせてもらえない。コンソールログインできない。my.conf(データベースの設定ファイル)の編集すらブラウザ上で行う作りにしている。
ここも技術的にはAWS側が判断すれば、全てのAWSで提供されるシステムのデータベースの情報を取得することが可能。(個人的にはRDSはコンソールログインさせてほしい・・・)

これは憶測ですがAdobeのFlash技術もFlash内の通信をGoogleが盗聴できないからスマホ非対応という方針を打ち出し排除する方向に進めたのでは?

スマホというスティーブ・ジョブズの作った革新的なデバイス。iPhoneにより、Web(Google)を経由せずに直接スマホからアプリを経由して各社のサービスにつながるようになったため、Googleが通信傍受ができなくなっていく動きが起こった。実際、Googleの検索利用率は減った。ユーザーはレストランを探すならレストラン専用アプリ。レシピを探すならレシピ専用アプリから検索していった。
その対策のために、アプリを提供するコンテンツプロバイダ側に便利なツールということで
Firebase(Googleの提供するスマホアプリ開発に便利なクラウドサーバーmbaasシステム)を提供し、傍受できなくなっていたアプリ間のユーザーのやりとりを分析できるようにしたのではと考えることもできる。これもGoogleが判断したら傍受することは可能。

Facebookメッセンジャーのメッセージデータだって、Facebookが判断すれば傍受することは可能。

昔、IBMが提供するNotes(メールサーバー)を利用する企業のメールデータをIBMにも送っていたという話もありましたよね。

マイクロソフトが、通信傍受のためにチャットの暗号化を遅らせたとか FacebookもGoogleも通信傍受に協力していたっていうスノーデンの話があって・・・。

最近のAIスピーカーも音声は全てサーバーで保存されていてそれをその企業が傍受することは可能。いわば盗聴器を置いたまま話をしていることと同じ状態。

 

もちろん、全て嫌なら使わなければ良いじゃんってことになる。ひえー!ごめんなさい!AWSもFirebaseもGoogleもFacebookも全部大好きで楽しく利用させてもらってますm(__)m

 

上記のような大企業の思惑から抜け出したいという思いからオープンソースが流行したが、結局技術領域は革新しつづけていて、全てをオープンソース化することが難しいことがわかってきた。
20年ほど前にマイクロソフトを倒すためにオープンソースという旗印でLinuxOSが流行したが、結局LinuxOSを使ったから安全ということにはならなかった。付随する周辺技術のどこかでブラックボックス技術を使わざるを得ない部分が出てきたためだ。
そしてその部分への批判からその部位のオープンソースが登場するがまたその周辺技術でブラックボックス技術が生まれつづける。
(一つのブラックボックスがあれば情報をそこから傍受することはできる。)

 

戦争時代とは違う現在。情報戦=生死を決める時代ではない。そのため傍受されたところで死ぬわけでは無い。IT企業として勝ち抜くため。そしてIT企業として勝ち抜くために傍受することはユーザーにとってメリットにつながる。そのサービスの品質向上をしていくために使うという大義名分がある。

 

情報は圧倒的な価値がある。つまりこのレベルで傍受できる企業と戦うって無理ゲーな話。

 

逆の戦略を取った企業がある。それはLINE社。

2015年にLINEはメッセージを相手のスマホに届くまでの全てを暗号化した。
https://engineering.linecorp.com/ja/blog/detail/65
メッセージが保存されるデータベース内も暗号化を施したため、LINE社が判断し情報を傍受しようとしても開くことができない。当然、警察や政府から事件や調査のため、データを開示しろと要求しても開示されないというかできない。
検閲されない現代、郵便局が郵便物の中身を見せろ!と警察や政府に言われても見せることができないのと同じですね。

※ちなみに企業ポリシーによって、警察や政府からの要求で情報を開示するしないはそれぞれ違う。

LINE社が本当にこのメッセージ情報を内部傍受できないシステムにしているとしたら、本当に大手IT企業に情報戦で勝っていけるのか、それともこの判断がユーザーへの信頼を勝ち取り「情報」より「信頼」が勝つのか。

 

IT企業で勝ち抜くのってすっごく賢い人ばかりで大変。でも見てる側はそれもネタとして楽しい話かもしれませんね。

 

IT進化論TAIMEI技術力