fastapple's blog

時系列関係なく、情報を追記・分割・統合などします。ブログに記載の内容のうち、引用ではなく、私自身が記載している文章・コードなどについては、自由にご利用ください。

【映画】【レビュー】『スノーデン』と『シチズンフォー』をみた


タイトルのとおり、映画『スノーデン』と『シチズンフォー』を立て続けにみた。さらにそのあと、書籍『スノーデン 日本への警告』も読んだ。

これらの映画だが、陰謀論ものなどの映画が好きな人にはたまらないと思うので、是非オススメしたい。しかも、実際にあった事実をもとにしているわけだから、リアリティも申し分ない。

ただ、見る順番には注意が必要だ。先に『スノーデン』をみてから(これは通常の映画の体裁を保っている)、その後でさらに実際の内容に興味があれば『シチズンフォー』をみる(シチズンフォーはドキュメンタリーなので、前提知識なしに見ても正直退屈かもしれない。)という順番をオススメしたい。この順番なら飽きずにみることができる。もっとも、『スノーデン』をみて、詳細な「事実」にまで興味が及ばなければ、『シチズンフォー』はみなくてもいいかもしれない。

さて、以下は自分の妄想も入っているが、一連の映画、書籍を見て、読んで、思ったことについて書きたい。

NSAで働いていたスノーデンが明かした内容というのは、日本においてはどこか対岸の火事というか、あまり興味を持たれなかった印象がある。
NSAは莫大なデータを収集し、Xkeyscore(エックス キー スコア)という、プライベートな事も、なんでもわかるGoogle検索のようなものを内部に作り出してしまった。(wikipedia:XKeyscore
ただ、映画ではその全容について、つぶさに語られることはなかった。ただし、googleやyahoo、facebookといった名だたる企業のネットワークに入り込んでいたという事から考えると、それらの情報を組み合わせて分かる情報量が膨大であることは想像に難くない。

アメリカのような大きな国家が、本当に国民ひとりひとりをつぶさに監視しようとするならば、どこまでのことができるだろうか。また、システムを利用した攻撃というのは、どこまで可能なのだろうか。
以下は想像も織り交ぜて書くが、あくまでも現在広がっている技術,モノ,サービスなどのキーワードをいくつかピックアップして、それをベースに考えてみたい。


スマートフォン
スマートフォンは、個人を監視するデバイスとしては、とてつもなく優秀である。例えば日本の場合でも、警察が令状なしにGPS情報を捜査に利用していたことが明らかになっており、その是非が最高裁によって違法と結論付けられている。
www.jiji.com
実際、スマートフォンから緊急通報を行えば、特に位置について教える必要もなく、すぐに緊急車両は現場に向かうことができる。これは緊急通報位置通知というサービスによってなされている。
www.nttdocomo.co.jp

また、ほとんどのスマートフォンには、カメラやマイクが取り付けられているので、遠隔でそれらの情報を取得することが可能だ。

スマートフォン一つで非常に詳細なところまで個人情報を収集することができることが分かる。

スマートメーター
最近はインフラの「スマート化」が進んでいるが、その最たる例が電力のスマートメーターである。電力系のインフラに侵入できることの威力は絶大で、最近だとウクライナの大規模停電はロシアのマルウェアの仕業ではないかという見解がでたことがあった。
www.gizmodo.jp
こういったインフラを狙うために設計されたマルウェアというのが日の目を見始めたのは、アメリカが作成したとされるStuxnet(wikipedia:スタックスネット)に端を発する。これはNSAイスラエルが、イランの核燃料施設を制御不能にするために作成したとされており、その高度な内容に、明らかに国家が作成したものということが結論付けられた。これが発見されたのは2010年のことだ。
ラルフ・ラングナー:21世紀のサイバー兵器、Stuxnetを解読。 - YouTube


話をスマートメーターに戻すと、現在日本でもスマートメーターの普及が進められている。スマートメーターのすごいところは、電力の使用状況をBルートから、電力会社以外も取得可能にしたことで便利なIoT機器の出てくる余地を作ったところだが、スマートメーターの本丸といえる機能は、Aルートという電力会社が使用するルートから、送電の停止、再開を制御することができる。

総務省のページに掲載されているPDF
http://www.soumu.go.jp/main_content/000374413.pdf
http://www.soumu.go.jp/main_content/000383800.pdf


ここで、Aルートの通信手段としては、PLC(電力線通信)や無線マルチホップ(いわゆるメッシュ型ネットワーク),1:N無線のうち、適材適所で選択可能であることが記されている。Aルートをハッキングされた場合、電力系統に大きなダメージをあたえることができそうだ。おそらくセキュリティ的にはかなり洗練されているだろうが、それでもそのような心配を考える必要がある。この辺の技術は無線LANに関する暗号化技術などを学習すると良い気がする(EAPRADIUSなど)

そして、Stuxnetが明るみにでたのが2010年ごろだが、2009年から2011年の期間、スノーデンは日本の横田基地で働いており、『スノーデン』の監督であるオリバー・ストーンに、実際にこの頃に日本の電力網にマルウェアを仕込んだと述べた。
www.dailyshincho.jp


SSL/TLS
現在のWebブラウズの暗号化技術の中核をなすのが、HTTPSの技術であり、PFSが利用されない限りは、SSL/TLS秘密鍵が危殆化するとこれらの通信内容は過去に遡って解読されてしまう。HTTPSの最大の弱点はサーバ側に秘密鍵があるというところで、サーバ側に侵入し、サーバの秘密鍵ひとつ取ってしまえば、そのサーバへの通信内容がわかってしまうことである。NSAの場合は、企業に秘密鍵を出すように圧力をかければいい。さて、これを防ぐには、クライアント側で秘密鍵を持つようなプロトコルを普及させるほうがいい気がするが、それは非常に気の長い話だろう。現代の技術では、DHのような、PFSが保証されるような暗号スイートを選択できればよいというような気もする。(実際にそれで十分なのかどうかは、少し疑問が残るところだが)
実際、『シチズンフォー』では、あまり詳細に語られていないため、映画だけ見た人はなんのことだか多分わからないが、ある企業が顧客のプライバシーのために、スノーデン事件のあと、会社をたたむ決断をするシーンが出てくる。調べていて分かったが、これこそが、Lavibatという企業がNSAから秘密鍵を出せと迫られて、サービスを終了する場面だろうと思う。
negi.hatenablog.com

Googleの中国撤退
Googleなどの米国を中心とする企業は、PRISMというNSAの監視プログラムに参画させられている。(wikipedia:PRISM (監視プログラム))PRISMの存在が暴露されたのは、2013年のことだが、この運営は2007年から始まっていた。Googleが中国を撤退したのは、2010年のことで、これは中国からの一連の執拗なAPT攻撃(wikipedia:APT攻撃)に嫌気が指したことを発端とするものだが、しかし少し穿った見方をすれば、2007年ごろからPRISM,Googleを通したアメリカと中国のサイバー戦争が露骨に展開されていた中で、中国に現地法人を持てなくなるような重大な事件が実はあったのではないか?という考えも出てくる。

・スティングレイ
スティングレイ(Stingray)というのは日本語ではエイの一種を指すようだが、これはNSA基地局になりすまして携帯電話の通信を傍受するために使用していた機器のことである。
携帯電話基地局になりすましてスマホの個体識別情報や位置情報を集める捜査手法「スティングレー」の実態 - GIGAZINE
なるほど。無線の通信というのは、こうやって引き込めばいいんだなー。と参考になる手法だ。有線の通信であれば、頑張ればBGPで引き込むことができると思うが。まさに適材適所といったところで、こういう通信の引き込みの手法は、ありとあらゆる方法を(考えられる方法は)実施しているに違いない。だからBGP引き込みだって、多分やっているだろうと思ってしまうのは勘ぐり過ぎなんだろうか。
wired.jp


・CT(証明書の透過性)
Google推し進めている仕組みで、あまりよくわかっていないので、ググってほしいのだが。ここまで陰謀論を唱えるのであれば、これはすごく怪しいものだといえるでしょう。現在のところ、CTログサーバを運営するメリットというのは大きい。

疲れたので、この辺にします。

興味がある人は映画を見てみよう。レンタルできる。一応、貼っておく。