メッセージを暗号化するアプリは、検閲が強化されるイランの人々にとっての命綱になるか

ネット遮断の可能性を前提にした設計

イランではインターネットが広く普及しており、人口8,300万人のうち5,700万人以上がインターネットを利用している。ところがイラン政府は近年、国営の巨大ネットワークである「国家情報ネットワーク(SHOMA)」と呼ばれるイントラネットの開発にかなりの力を注いできた。SHOMAによって政府は、データのフィルタリングや検閲、ソーシャルネットワーク、規制を回避するツールのプロキシーサーバーやVPNといったサービスの遮断を、さらに容易に実施できるようになる。

そうした背景があったからこそ、Nahoftはコミュニケーションプラットフォームというよりも、デバイス内で機能できるアプリとなるよう意識して設計された。ユーザーはインターネットが完全に遮断されてしまった場合に備え、Nahoftを事前にダウンロードしておかなくてはならない。

ただし通常は、イラン国内でGoogle Playにアクセスできる限り、政府がNahoftのダウンロードを阻止することは難しいのだと、United for Iranの戦略アドバイザーを務めるレゼ・ガジノウリは説明する。Google Playのトラフィックは暗号化されているので、イラン側が監視してもユーザーがどのアプリをダウンロードしているのかまでは確認できないのだ。

Nahoftは、これまでに4,300回ダウンロードされている。ガジノウリによると、イラン政府がいずれ独自のアプリストアを開発して他国のアプリを締め出す可能性はある。とはいえ現段階では、その実現はずっと先のようだ。他国を例に挙げると、中国ではGoogle Playが禁止され、中国テック大手ファーウェイ(華為技術)などのアプリストアや、iOS向けのApp Storeの制限付きバージョンが優遇されている。

侵入テストで安全性を向上

ガジノウリがジャーナリストのモハメド・ヘイダリと協力してNahoftのアイデアを考案したのは2012年のことで、United for Iranが20年から開催しているテックアクセラレーターコンテスト「Irancubator」の第2回に応募した。Nahoftの技術設計は、インターネットの自由向上を目指すテキサス州の非営利開発グループOperator Foundationが担った。

その後、侵入テストを専門とするドイツのセキュリティ会社Cure53が、Nahoftについて2度のセキュリティ監査と暗号化方式のテストを実績のあるプロトコルを利用して実施した。United for Iranは、それらのセキュリティ監査で得られた知見を、Cure53が特定した問題の改善方法に関する詳細なレポートと合わせて公表している。

例えば、20年12月当時のアプリレビューを見ると、画像ファイルにメッセージを埋め込む際に使われるステガノグラフィー技術の重大な弱点など、Cure53は大きな問題を特定している。そうした脆弱性をすべて修正したうえで実施された2回目の監査では、1回目ほどの深刻さはないが、Androidのサービス運用妨害(DoS)の脆弱性や、自動削除用パスコードの迂回といった問題が指摘された。それらもアプリのローンチ前には解消されており、「Github」にあるNahoftのリポジトリーには、そうした改善点に関する記述がある。

会員限定記事会員サービス詳細