最強メッセンジャーアプリ「Signal」の暗号が破られたとの報道をSignalが真っ向否定

日本の電機メーカー・サン電子の子会社であるイスラエル企業のCellebriteが、「安全性に定評のあるメッセンジャーアプリのSignalの暗号通信を解読した」と一時的に発表していたと報じられました。これを受けて、Signalは「報道は誤りです。CellebriteはSignalの暗号を破れないし、破れたとも主張していません」と、報道を完全に否定する声明を発表しました。

Signal >> Blog >> No, Cellebrite cannot 'break Signal encryption.'
https://signal.org/blog/cellebrite-and-clickbait/

Signal Dismisses Cellebrite Encryption Claim | Silicon UK Tech News
https://www.silicon.co.uk/e-regulation/signal-founder-dismisses-cellebrite-encryption-crack-claim-349692

Signalは、電子フロンティア財団が定める「最もセキュアなメッセンジャーリスト」で最高評価を獲得したメッセンジャーアプリで、その安全性からアメリカ上院議員間の連絡ツールとして公式に採用されています。

最も安全なメッセンジャーアプリ「Signal」がアメリカ上院議員間の連絡ツールとして公式に認可される - GIGAZINE

Signalは2020年12月23日に公式ブログを更新し、「昨日BBCが『イスラエルのデータ分析企業・Cellebriteが、Signalの暗号を破ることに成功した』と報じましたが、これは誤りです」と発表しました。

IT業界向けニュースサイトであるSilicon UKによると、Cellebriteは公式サイトで「Signalの暗号を解読した」と発表していたとのこと。確かに、インターネット・アーカイブが提供しているWayback Machineで同社の12月10日付けのブログ記事にアクセスすると、「Signalが匿名性を悪用した違法な取引に利用されている」との指摘や、データ解析用ツール「Physical Analyzer」を使用してSignalのデータを解析している模様などを見ることが出来ます。

しかし、このページは公開後に大幅に内容が削除されており、記事作成時点では「Signalの人気が拡大していること」や、「Physical AnalyzerでSignalのデータへの合法的なアクセスが可能になったこと」などが書かれているだけで、具体的な解析方法などは一切掲載されていません。

Helping Law Enforcement Lawfully Access The Signal App - Cellebrite
https://www.cellebrite.com/en/blog/cellebrites-new-solution-for-decrypting-the-signal-app/

Cellebriteの記事について、SignalのMoxie Marlinspike氏は「Cellebriteは先週、彼らの『高度な技術』を駆使してSignalアプリを解析した(彼らにとっては)技術的な記事をブログに投稿しました。しかし、それはロックされていない手元のAndroidデバイスのアプリでメッセージを見るという簡単なものだったので、彼らの能力は尊敬の念を抱かせるようなものではありません」とコメント。実際に暗号化された通信が解読されたわけではないため、依然としてSignalは安全であるとの見方を示しました。

Signalはまた、この件を取り上げた報道機関に対しても、「このような恥ずかしい出来事はCellebriteにとって災難以外の何物でもないはずですが、BBCなどの報道機関はすでにオンラインで確かな情報を入手できるにもかかわらず、Cellebriteの『成功』を殊更に取り沙汰しました」と述べて、既に取り下げられた記事を大々的に報じた点について批判しています。

その上でSignalは「誤解を招くような不正確なストーリーがすぐに広まってしまうのは残念なことです。多くの人が間違った見出しを読み、訂正記事を読むのはごく一握りしかいません。もし、この手の無責任な話で混乱している人を見かけたら、正しい記事を共有して助けてあげてください」と述べました。