MicrosoftがSkypeのユーザー間で交わされるメッセージを閲覧していることが判明

By cesarastudillo

ユーザー同士で無料音声通信ができるほか、インスタントメッセンジャーやファイル転送の機能も付いているSkypeですが、Skypeでやりとりされたインスタントメッセージ(IM)はMicrosoftの子会社によって見られているということが明らかになりました。

Be careful when Skype - Microsoft reads | H Security
http://www.heise.de/security/meldung/Vorsicht-beim-Skypen-Microsoft-liest-mit-1857620.html

これはドイツのニュースサイトハイス・セキュリティによって明かされたもの。事の発端は、1人の読者がSkypeで交わしたIMに不穏なネットワークトラフィックを発見したとハイス・セキュリティに報告したことでした。調査の結果、SkypeのIMで送信されたHTTPSで始まるURLに対してMicrosoftのIPアドレスからのアクセスがあったことが判明。

この事実を不審に感じたハイス・セキュリティはSkypeのインスタントメッセージで2つのURLを送信して、何が起こるかテストしてみることにしました。このテストで送信した2つのURLのうち、1つはログイン情報を含んだURL、もう1つはクラウド型ファイル共有サービスの個人的なアカウントを示すURLでした。

By *saxon*

Skypeでテストメッセージを送信して数時間後、ハイス・セキュリティは下記のログをサーバーにて発見しました。

65.52.100.214 - - [30/Apr/2013:19:28:32 +0200]
"HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1"


サーバーに残されたログから、テストで送信された2つのURLに、ワシントン州レドモンドにあるMicrosoftのIPアドレスからアクセスがあったことが判明。また、Microsoftが2つのサイトにアクセスした際にログイン情報およびクラウド型ファイル共有サービスの個人利用のために作成されたURLを使用していたことも発覚しました。

ハイス・セキュリティはSkypeに今回のテスト結果について意見を求めたところ、Skypeプライバシーポリシーから引用した以下のようなメッセージが返ってきました。

Skypeは、インスタントメッセージとSMS内で自動スキャナを使用して、(a)スパムと疑われるメッセージ、または(b)以前にスパム、詐欺、またはフィッシングリンクであると警告されたことがあるURLを特定することがあります。 限られた状況においては、スパム防止対策の一環として、SkypeはインスタントメッセージまたはSMSをキャプチャして、手動で内容を確認することがあります。 Skypeは、その唯一独自の裁量において、スパムの疑いのあるメッセージをブロックしたり配信を防止したりするほか、それらのメッセージから不審なリンクを除去することがあります。


上記のプライバシーポリシーによれば、Skypeはスパムやフィッシングリンクを特定するために、Skype上で交わされたIMやSMSをチェックするとのこと。通常、スパムやフィッシングリンクはHTTPSのURLではなくHTTPを含んだURLで見つかります。しかしながら、Skypeはスパムやフィッシングリンクを含んでいる可能性がより高いはずのHTTPを含むURLには全くアクセスしていなかったことも明らかになっています。

また、調査によって、Skypeは指定されたURLのリソースを取り出すGETリクエストではなく、HTTPヘッダのみを受信するHEADリクエストをサーバーに送信していることもわかりました。ハイス・セキュリティによると、Skypeが本当にスパムやフィッシングリンクを発見したいのであれば、サイトのコンテンツをチェックできるGETリクエストをサーバーに送っていなければならないはずで、Skypeの説明は全くもって事実に反するとのこと。

By @yakobusan Jakob Montrasio 孟亚柯

今年1月、市民権運動グループがSkypeを買収したMicrosoftに対して、Skype上でのコミュニケーションの安全性について公開状を送付しました。公開状を送付した背景には、Skypeは、Microsoftに買収された影響から政府機関やシークレット・サービスがSkypeにアクセスすることを許可しなければならないのではという電子フロンティア財団国境なき記者団の懸念があったようです。

ハイス・セキュリティは最後に、SkypeユーザーはMicrosoftがユーザー間で交わされるメッセージを閲覧していることをしっかりと理解し、またMicrosoftがユーザーから集めた情報で何をするかは明らかにしないことについても考えるべきだと主張しています。

・関連記事
MicrosoftがメッセンジャーをSkypeに統一、Windows Live Messenger廃止 - GIGAZINE

FBIがGmailやDropboxなどオンラインの通信傍受・データ監視を最優先課題に - GIGAZINE

Skype全ユーザーの通話時間合計が1日あたり3800年分を突破 - GIGAZINE

Skypeが16歳の少年の個人情報をIT企業に提供する - GIGAZINE

Skypeのビデオ通話を録画&編集するフリーソフト「VodBurner」を使って実際に通話を録画してみた - GIGAZINE

564

in ピックアップ,  メモ, Posted by darkhorse_log