パスワードを忘れた? アカウント作成
31122 story
プライバシ

Skypeにバックドア機能がある可能性 59

ストーリー by mhatta
企業では怖くて使えないなあ 部門より

poundcake 曰く、

オーストリアの内務省高官が、ISPとの会合でSkypeを盗聴できることをほのめかす発言をしたそうです。そこでSkypeに確認したところ、否定されなかったというので騒ぎになっています。また、現にオーストリアの警察はSkypeを盗聴している、とする報道もあったそうです(ニュース記事: ZDNetITmedia ITmediaの「閣僚」は誤訳。元ネタはこちら)。つまり最初からSkypeにはリモート盗聴機能があるという疑いですが、前からウワサはあって、特別な顧客には盗聴ツールを売っているとかいないとか。 素人的によくわからないのは、Skypeの対応です。はっきり否定しないと、利用者が減ってしまうと思うんですけど。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2008年07月27日 10時03分 (#1391421)
    Skype、中国でのIM検閲を認める eWEEK @ITmedia
    http://www.itmedia.co.jp/news/articles/0604/20/news080.html

    ここで認めたのはメッセンジャーのテキストについてですが、中国で音声の検閲を許していないと考える方がおめでたすぎます。

    中国では検閲できないサービスは認められていないと考えるのが常識。というか、政府の姿勢をみてれば、検閲なしのコミュニケーション道具は何であれ、許可されるサービスとしてはありえない。

    「わが社の通信は政府によって検閲されていない」という主張をし顧客を獲得しようとした例もありますが、いつの間にか撤回してるか、会社が消滅しています。

    skypeのバックドアは中国での公式サービス開始時には存在し、そして今も存在するとみなすべきです(断言!)。

    中国発・受信の通話だけが特殊な音声圧縮+暗号化ではなく、skypeの音声圧縮+暗号化は世界共通なわけですから、skypeがツール、もしくはプロトコル・アルゴリズム様式を提供すれば誰でも中国政府と同じことができるのは当たり前。

    そして、あの悪名高き中国政府に提供するくらいなんだから、民主国家の警察に提供する心理的障壁は限りなく低い、というかほとんど躊躇はないんじゃないの。

    企業ベースでは、特に大企業では使ってられないでしょうね。

    skypeは便利でよく使いますが、個人的には中国発受信で会話するときは、中国語で現行政策に会わない話題を避けるのは当然、日本語でも微妙な単語を使用しないなど、すごく気をつかいます。私は追放とか入国不可とかでもいいんだけど、相手がどうなるかわかんないもんね。

    あんまり詳しくは書けませんが、中国の秘密警察(日本の公安部門)って、日本人では考えられないくらい身近に迫って存在・活動してるんですよ(笑…えない)。めったなことで関わりに気づかされることもないですけど、中国在住の方はとりあえず気をつけた方がいいですよ。

    誤解されるといけないので書いときますけど、私は単なる仕事で中国と関わりがあるだけです。
    • Skypeの中国語バージョンはskype.tom.comで配られてるんですが、たぶんこれは盗聴機能は テキスト、音声とも入っているはずです。そうじゃないと中国の法律で違法になりますから。 他の音声、チャットソフトも中国で配布しているものは同じ仕組みがあると思います。
      親コメント
    • そもそも、バックドアなどの方法で盗聴でるようにした物を用意しない通信インフラの外国企業が中国のような情報統制が行われている国に参入できる訳がないですからね。

      普通、中国国内からSkypeのサイトにつながる時点で、Skypeと言う企業自体がホワイトリストとして扱われてるのは分かりそうな物なのに…地下流通で流れるソフトならまだしも、Skypeのような公然とした企業として中国本土やロシアなどの検閲が前提の国々に参入してる時点でバレバレでしょうがって(--;

      相手は、通話本体を暗号化するための鍵交換プロトコルも通話の為の発呼や受呼のプロトコルも全く開示されてないブツですよ?
      バックドアがソフトにないとしても、発呼の時に最寄りのSkype交換機サーバに繋いで、そこからP2Pを確立するだけではなくて受呼出来るかどうかのステータスとか色んな情報を送っているんだから、
      発着呼のタイミングで通話している人たちの間を繋ぐラインから枝分かれにしていないと言う保証は全くない。と言うか、必要とあらば交換機が通話を記録できるようにプロトコル段階から何か仕込まれてるでしょうって。

      # 最初以外、別のコメントへのレスになってるよorz
      親コメント
      • >Skypeのような公然とした企業として中国本土やロシアなどの検閲が前提の国々に参入してる時点でバレバレでしょうがって(--;

        ですね。IMの検閲は周知の事実だし、同様の手順で流れてる音声データだけデコードできないなんてことはないですから。
        ターゲットを絞って音声を傍受したいっていうのは国家の要求として常にありますし、裁判所の許認可云々とはいっても、犯罪捜査の手がかりや在野の団体の牽制には昔からやりたい放題ですから。
        オープンソースでないことは、やっぱり不利ですね。身の潔白を証明する際の妨げになりますから。
        中継ノードが動的に分散してるから、余計に経路のタッピングも見付けにくいし。
        疑いの余地が大きいなら、秘匿性が重要な内容に使うのを避けるのが賢明だと思います。

        自前で管理、検証できるVPNを経由してVoIPするのがベターではないでしょうか。
        親コメント
    • by Anonymous Coward on 2008年07月27日 13時10分 (#1391479)
      中国向けはIMのメッセージが信じられないディレイで届く(1分遅れになったり...)こともあると聞くので
      この手のバックドアがあっても全く驚きは無いですね。

      万里の長城を築いて頑張ってらっしゃるんですね。ご苦労様なことです。
      親コメント
    • by Anonymous Coward
      みなすことはできないよ. 推定できる程度の状況しかない.

      skypeが中国政府に積極的に協力している点に, 異論はない.
      でも, 中国が実際に検閲を行っているからって, 直ちにskypeにバックドアがあり, それを利用して検閲していることの証拠にはできないのでは?
      skypeが中国政府に秘密鍵を与えていれば, 通信を復号することでも検閲は可能となるよね.

      中国では検閲が合法なんでしょ? 違法なのに政府が検閲をしているなら問題だけど. 周知されているなら問題ないじゃん.
  • スカイプ対既存の電話会社みたいな構図で世間が騒いでいた頃、NTT系の会社の幹部が「スカイプはスーパーノードを選ぶ仕組みに意図的な脆弱性があるので、NTTが採用することはないし、自分も使わない」といっていたのを思い出した。

    NTTはずいぶん深いところまで研究しているんだなぁと感心したし、だからアメリカから研究開発費削れと圧力受けているんだなぁと合点がいった。

    自分では裏が取れないので、ここにたれ込んだり、記事にはしなかったけど、情報通信関係の深いところでは既知の話じゃないかと思いましたよ。

    --

    /K
  • by Lafiell (6631) on 2008年07月27日 7時59分 (#1391395)
    ZDNetの方が詳しく書いてありますが、

     
    評価の高いHeise Onlineに掲載されたレポートでは、この問題は2008年6月に規制当局と複数の
    ISPとの会合で議論されたもので、この場でオーストリア内務省の高官は
    「当局としてはSkypeの会話が盗聴できることに問題はない」と発言したという。


    オーストリーの法制度がどうか存じませんが、技術的に可能である=盗聴し放題ヤッター、という事では無いと思うのですが。
    有線電話だって警察には盗聴出来ますよね?それで「仕事には怖くて使えない」と言う人はいませんよね?

    やけに扇情的なタレコミだなあ、モデ出来ればフレームの元にするのに、と思って編集者を見たら、
    。。。。もう何も申しますまい(-.-)。
    • by poundcake (11852) on 2008年07月27日 8時54分 (#1391404) 日記
      編集じゃなくてタレコミ者ですが、扇情的に見えたならどうもすいません。まぁご指摘のとおり、仕事に使えないと書いたのは編集さんですけど。
      本家のタレコミと、内容的には変わらないつもりです。あちらでは、Skypeがオープンソースじゃないことを叩く人と、盗聴は当たり前という発言が多いようで、どちらも頷ける意見です。
      http://tech.slashdot.org/article.pl?sid=08/07/26/152239&from=rss [slashdot.org]

      私的には、なぜSkype側がはっきり否定しないのかが問題です。テロ対策なら、ここでウソついてもいいと思うし、むしろウソつかないと、盗聴の効果が薄れそうな。もちろんテロ対策じゃなく私企業に盗聴させているとか思われたら、いくつもある代替サービスに客を取られるでしょう?
      親コメント
      • Re: (スコア:0, フレームのもと)

        いや、書いた後でよくよく読み返してみたら、タレコミ文自体は極真っ当な事を書かれているんですよね。
        失礼致しました。

        mhatta氏は、Skype関連のたった2件のスレッドで
        「企業では怖くて使えないなあ部門より」だの
        「Skype URLはそもそもクリックしないようにしているな部門より」だの、
        とにかくSkypeが嫌いで嫌いで仕方がない模様ですね。
      • by Anonymous Coward
        | せんじょう-てき —じやう— 0 【扇情的】
        | (形動)
        | 欲望や情欲をあおり立てるさま。
        | 「—なポスター」

        オフトピな揚げ足取りですが、どうしても気になったのでそれだけ。
    • >「当局としてはSkypeの会話が盗聴できることに問題はない」と発言したという。
      私も、Skypeは好きでは無いです。
      家のマシンが落とされたんですが、全く知らない人からアクセスが来た。
      ただのspamといえばそうですが、入られていたずらされた頃と時期的に合う。
      tcp/udp の両方使いますよね〜。udp は、認証無いし。

      # タダの大ボケで有ることを祈る小市民。
      --
      hoihoi-p  得意淡然、失意泰然。
      親コメント
      • >tcp/udp の両方使いますよね〜。udp は、認証無いし。

        別にトランスポート層のプロトコルと認証の有無は関係ないのでは?

        まぁ確かに想定外の使い方をしようとすればできるかもしれないけど.
        この間 Dynamic DNS の不具合で実家の IP アドレス見失った時,
        Skype で通話中してパケットキャプチャしてサルベージしたという経験があります.
        --
        屍体メモ [windy.cx]
        親コメント
        • >Skype で通話中してパケットキャプチャしてサルベージしたという経験があります.
          そんなことせんでも
          http://www.ugtop.com/spill.shtml [ugtop.com]
          http://taruo.net/e/ [taruo.net]
          あたりをアクセスさせてそのコピペをメールさせればよくね?
          親コメント
          • >http://www.ugtop.com/spill.shtml
            >http://taruo.net/e/
            >あたりをアクセスさせてそのコピペをメールさせればよくね?

            オフクロは「コピペ」の操作とかもよくわかってないと思われるので.
            確かに画面をケータイで撮影して送ってとかも可能かもしれないが.
            Skypeはなんだかほぼつけっぱなしの様子.
            切り方が分からないだけなのかもしれない.
            --
            屍体メモ [windy.cx]
            親コメント
        • >別にトランスポート層のプロトコルと認証の有無は関係ないのでは?
          確かにそうですね〜。

          それを言えば、FTPも同じ。
          --------------------------------------------
          ftp-data 20/tcp File Transfer [Default Data]
          ftp-data 20/udp File Transfer [Default Data]
          ftp-data 20/sctp FTP

          ftp 21/tcp File Transfer [Control]
          ftp 21/udp File Transfer [Control]
          ftp 21/sctp FTP
          --------------------------------------------
          と言うことになってはいますが、21番はコントロールのみで、20番は使わないで実際のデータ転送は上位ポートですよね〜。たしか。
          疑えば全部信じられない。
          --
          hoihoi-p  得意淡然、失意泰然。
          親コメント
    • by Anonymous Coward on 2008年07月27日 9時00分 (#1391406)
      Skypeと電話の重要な違いは、Skypeは他人のPCを通って通信する可能性があるという点。
      もちろん、通常の状態では最終的に相手の耳に入るまで通信は暗号化されてる。

      Skypeのセキュリティには2つあって、
      - (WinnyやShareのように)プロトコルを秘匿することによるセキュリティ
      - 公開鍵暗号による通信相手の認証

      前者は重要でないので置いておくとして、後者にバックドアが有るとかなり不味い。
      もちろん、Skypeは普段からそんなもんは無いと主張 [skype.com]してるけど、
      今に至るまで信頼のできる検証は存在しないのも事実。
      親コメント
    • by Anonymous Coward on 2008年07月27日 9時13分 (#1391410)
      有線電話とSkypeに対する盗聴との差異の中で, 特にその敷居の高低で考えるに, 有線電話は高く, Skypeのバックドア利用は低いのではないでしょうか.

      盗聴の対象となる端末となる特定の電話機付近に, 盗聴器を物理的に設置し, これを行う有線電話に比べ, 物理的接近を必要としないSkypeのバックドア利用盗聴は容易なものであると思います. 心理的にも容易であると思います.

      ところで, Skypeバックドアを利用して盗聴を可能とするソフトウェアの開発容易性, 現存可能性については, 留保します.
      親コメント
      • Re: (スコア:0, オフトピック)

        by Anonymous Coward
        >盗聴の対象となる端末となる特定の電話機付近に, 盗聴器を物理的に設置し, これを行う有線電話

        え?
        警察が合法的に盗聴を行う場合もそんなことしてると思ってますか?
        • by Anonymous Coward
          思ってないですよ.

          合法的に傍受しようとするとき, 何らかの形で裁判所の許可が必要になります.
          公権力が違法に傍受するならば, この限りではありませんが, この場合違法傍受が可能となるのは, 特定の一部の人に限定されます.

          どっちにしろ, Skypeによる盗聴の方が敷居が低いと思います.
    • 技術的に可能で、それを積極的に使うと言ったら利用者は減るでしょうが、誰でもできるわけでもないし、全く問題にならないでしょ。
  • Lawful interception? (スコア:3, 参考になる)

    by nemunemu (19747) on 2008年07月27日 12時19分 (#1391455) 日記
    Lawful interceptionの為のインターフェイスを持っているってだけでは?

    参考になりそうなところ。
    http://www.cisco.com/en/US/tech/tk583/tk799/tsd_technology_support_pro... [cisco.com]
    http://en.wikipedia.org/wiki/Lawful_interception [wikipedia.org]
    http://www.soi.wide.ad.jp/class/20050020/slides/12/1.html [wide.ad.jp]
    • by capybara (27779) on 2008年07月28日 0時11分 (#1391639)
      その通りで、いまさらどうこう言うことではないかと思います。

      ほとんどの国では(日本、米国含めて)、所定の手続があれば捜査機関や諜報機関などの政府機関が、一般の電話や通信を盗聴することを認めており、また、通信機器メーカーに対しては当局の要請に応じて暗号化された通信を盗聴できるようなインターフェースを用意することを求めています。Lowful Interceptionというのはこのことですよね。

      昔IP Secの技術解説書で「暗号化システム開発の最も困難な点の一つは、国によって異なる政府機関のためのバックドアの仕様にうまく対応しつつ、それ以外のセキュリティホールを防ぐことだ。」という話を呼んで、暗号化技術というのは恐ろしい世界だな、と感心したことがあります。
      親コメント
  • by Anonymous Coward on 2008年07月27日 9時51分 (#1391418)
    バックドアの不存在を断定的に声高らかに宣言することはできないでしょう。バグのない開発を行っていると云っているに等しく、逆に疑わしい。日々危険対策に力を入れていて、問題が発生しても迅速に対応しますと言われた方が信用できる。

    否定されなかったと云うことは、バックドアが存在しているか、Skype自信が存否が分からないかのどちらかですな。バックドアが意図的に造作された物なのか、潜在的に存在している可能性を否定しきれないのか。

    疑わしい相手方に聞いてないで、証拠を探し出せと。レポートの妥当性は分かりませんが、「オーストリア警察はSkypeを盗聴することができるという放送局のレポートも引用されている。」ってことで、それなりに進展はあるようだし。否定できないような、もっと決定的な証拠を探し出せば良い。

    みんなでやっきになって探しても、見つけられないなら、それなりの信頼性を得られる。でも、見つけられないからと云って、バックドアの存在を完全に否定することはできない。結局のところ、そんなもん。気持ち悪ければ使わなければ良い。別にSkypeの利用を強制されているんじゃないんだし。

    ↓とか、わたしゃ絶対信用しませんよ。使ってるけど。

    セキュリティを重視してデザインされたXXXなら、ウイルスや悪質な攻撃に悩まされる心配はありません。果てしなく続くセキュリティダイアログにうんざりすることもありません。仕事や趣味が中断されることもなく、いつも安心して使えます。(以下略)
    • by Anonymous Coward on 2008年07月27日 10時24分 (#1391427)
      フツーはバックドアってのは意図的に作られた物しか指さないと思ってたんだが。
      親コメント
    • by Anonymous Coward on 2008年07月27日 12時51分 (#1391468)
      バックドアとバグは別物です。
      バックドアは作者が意図的に作ったものか、
      クラッカーがバグを利用して秘密のうちに
      作ってしまうものか、しかないと思われますが。
      バックドアにつながる脆弱性は否定できなくても、
      バックドアの存在ははっきりと否定してもらわないと
      信用できませんよね。
      親コメント
      • by Anonymous Coward
        でもコンパイラに仕込まれてたら意図せずに入ってしまうかも知れないしね。
        • by Anonymous Coward
          でも、仕込まれるのはコンパイラ作者の意図でしょ?

          仮に skype にバックドアが存在したとしても、
          企業意図ではなく開発者個人の意図かもしれないしね。
      • by Anonymous Coward
        (#1391418)

        仰る通り、はっきり否定すれば信用できると判断されます。一方で信用できないとも判断されます。これは人それぞれで、私は後者です。前者が多数ならば、skypeはそう発表すべきだったのでしょう。

        いや、前者が多数だと思いますよ、ええ。少数派を見なかったことにするってのも、有りです。

        =====
        バックドアの態様として、「意図されない開発段階のバックドア」ってのもあるのですが、これはどうやら広義のようで、掛かる用法として不当だったかもしれません。私が問題としたかったのは、
         「疑惑を掛けられた状態で当該ソフトウェアの信用を得るには」
         「或いは利用者が信用するには」
         「はっきりとした否定は信用に値するのか」
        といった辺りなので目をつぶってください。だめ?
  • そもそも (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2008年07月27日 10時01分 (#1391420)
    基本がIP回線網なわけで何でも有り得るってことを忘れちゃいけない

    逆に、ひかり電話は大丈夫?
    さあ、どーでしょうね
    • by skapontan (35455) on 2008年07月27日 12時33分 (#1391463) 日記
      そもそもをいうなら、IPじゃない電話はもっと盗聴可能でしょ。
      法律が特定犯罪の捜査以外で許可してないだけで、それを無視するならなんでもできる。
      親コメント
      • Re:そもそも (スコア:1, 興味深い)

        by Anonymous Coward on 2008年07月27日 15時24分 (#1391529)
        > IPじゃない電話はもっと盗聴可能

        盗聴とかいう目的ではないと思いますが。

        3DKとかの部屋をルームシェアしてるからではないかと思いますが、NTT-MEのおっちゃんがひかり
        電話の工事に来てMDF見て青くなってました。 「配線がかみこんでる」とか言いいながら。
        家賃払えなくなって電話の引越もしないままトンズラこいたりすると前の人の配線がそのまま残ってた
        りすることあるらしいですが、こうなってると、おそらく漏話する場合が? とか、こういうマンション
        では、ちょうどいいからひかり電話に切り替えてしまうのがいいなと思いますよ。

        うちはそもそも電話でしゃべる声がでかいので、そこら中、聞こえまくり。 漏話というより近所迷惑?
        親コメント
    • by tagosaku0726 (35119) on 2008年07月27日 17時56分 (#1391555)
      ひかり電話って地域IP網の外側(インターネット側)には流れてないんじゃないですかね?

      地域IP網のセキュリティが高いか低いかは知らないけど…
      親コメント
  • もう (スコア:1, 興味深い)

    by Anonymous Coward on 2008年07月27日 11時55分 (#1391450)
    この程度のソフトなら自作して使えば?
  • by Anonymous Coward on 2008年07月27日 12時13分 (#1391454)
    仕事に限らず、漏れたら微妙に困るようなときに、こういうものは使わないのが一般的じゃないの?
    プライベードでどうでもいい与太話するにはいいツール。それでいいじゃん。
  • こんな感じか。 (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2008年07月27日 14時52分 (#1391516)
     ̄ ̄ ̄ ̄|
    バックドア /⌒ヽ
             /   ´_ゝ`) すいません、ちょっと通りますよ・・・
            |        /
             | /|  |
            //  | |
    __U_.U
  • >素人的によくわからないのは、Skypeの対応です。はっきり否定しないと、利用者が減ってしまうと思うんですけど。

    本当の事を言わないのはOKだけど。
    嘘を言うのはダメって事なんじゃないの?
  • by Akami (4183) on 2008年07月28日 0時43分 (#1391650)
    「誰に聴かれたら困るのか」という話はあるよね。

    同人仲間とのSkypeトークがCIAとか日本のカウンターパートに聴かれてもたいていは大丈夫だけど、政府転覆の相談をしているSkypeトークを政府に盗聴されちゃたまったもんじゃない。:同人文化は(通常は)CIAや日本の諜報組織のターゲット対象外でしょうwww
    ビジネス電話を商売ライバルに聴かれてもまずいけど、CIAに聴かれてもさほど重大な話ではない:彼らは「ビジネス話を直接的に使ってどっかの企業を痛めつける」とは思われていないから。
  • by Anonymous Coward on 2008年07月27日 19時01分 (#1391572)
    日ごろ自分や周囲が使っている用途からして、誰かに聞かれていても別に困るようなことは話していない。
    何時間話してもタダというのを生かした、だらだらとしたおしゃべりだからなぁ。
    だから、盗聴可能だよといわれても、格安電話が使えるというメリットのほうが大きいので
    使いつつけるだろう。

    しかし、世の中には盗聴されていると困るというユーザーもいるだろうから、
    やっているならやっているという表明はしておくべきじゃないかと思う。

    バックドアがあるということを公にしても、それならやめるというユーザーはそんなに
    多くないと思うけどねぇ。そういうもんだと理解して、使いわけすればいいのだから。

    Skypeの上にさらにかぶせる暗号化ツールでも作ればいいんじゃない?
    そこまでするなら他のサービスを使ったほうが安全か。
    しかしそこにはバックドアが無いという保証は・・・
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...