米政府は主要なインターネット企業各社に対し、保管しているユーザーのパスワードの開示を要求したという。これらの開示命令の事情に詳しい2人の業界情報筋が明かした。これは、今まで明かされてこなかった、さらに深刻な監視手法である。
もし米政府がユーザーのパスワード(通常は暗号化された状態で保管されている)を特定できるのであれば、その認証情報を使ってアカウントにログインし、秘密の通信内容を詳細に調べたり、さらには、そのユーザーになりすましたりすることさえ可能だ。パスワードを入手すると、暗号化されたデバイスのロック解除にパスワードが必要な場合にも、それを利用することができる。
インターネット業界情報筋の1人は匿名を条件に「米政府がパスワードの開示を要請する事例を私は確認したことがある」と述べた。「われわれは抵抗している」(同情報筋)
シリコンバレーの大企業に勤務するもう1人の業界情報筋は、保管されたパスワードの開示を求める連邦政府の法的要請を自社が受けたことを認めた。企業はこれらの要求を「徹底的に調べる」、とその情報筋は述べた。「『絶対にそんなことはさせない』という声が何度も上がる」(同情報筋)
そうした開示要請の事情に詳しいある人物によると、いくつかの政府命令は、ユーザーのパスワードだけでなく、暗号化アルゴリズムといわゆるソルトも要求するという。ソルトとは、暗号化プロセスを逆にたどって元々のパスワードを特定する手法の実行をより困難にするために使用されるランダムな文字列や数字列のことだ。ユーザーアカウントと関連付けられることの多い秘密の質問のコードを要求する政府命令もある。
Microsoftの広報担当者は、Microsoftが政府からそうした要請を受けたことがあるかどうかを明かさなかった。しかし、そうした要請があった場合、Microsoftはパスワードやソルト、アルゴリズムを開示するのかという質問を受けたとき、同広報担当者は「答えはノーだ。われわれがそれらのデータを開示しなければならないような状況を想像できない」と答えた。
Googleもその種のデータの開示要請を受けたことがあるかどうかを明かさなかった。しかし、同社広報担当者によると、Googleが暗号化されたユーザーのパスワードを第三者に提出したことは「これまでに一度もない」という。また、同社は法務担当チームを擁しており、そのチームは情報の探り入れやそれ以外の問題のある要請に対して、頻繁に抵抗しているという。同広報担当者は、「われわれは弊社ユーザーのプライバシーとセキュリティを極めて真剣に受け止めている」と述べた。
ユーザーのパスワードの開示要請を受けたことがあるかどうか、そして、要請があった場合はどのように対応するかという質問を、Apple、米Yahoo、Facebook、AOL、Verizon、AT&Tに対しても行ったが、回答はなかった。
米連邦捜査局(FBI)はコメントを拒否した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したもので す。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス