出口リレーでのトラフィック傍受はどの程度行われているのか?
Chloeと称する独立系のセキュリティ研究者は、出口リレーをテストするうまいやり方を考案した。そして1400台の出口リレーを調査した結果、7台のサーバでトラフィック、特にパスワードが傍受されているという事実を突き止めた。
Motherboardの記事によると、ChloeはMotherboardのLorenzo Franceschi-Bicchierai氏に対して、この少ない数字について驚いてはいないと述べるとともに、「Torを運営しているのは、ほとんどが善良な人たちだ」と付け加えた。そのうえでChloeは、この結果が出口リレーを過信してはならず、HTTPSといった何らかの暗号化を使用するべきだというTorユーザーへの注意喚起になるはずだとも述べた。
匿名を貫けるのか?
Torネットワークを使用しているユーザーの身元を完全に秘匿化できるかどうかは疑わしい。NSAも、Torネットワークを介して送信されるトラフィックの発信元の特定は、難しいとはいえ可能だと認めている。
学術研究者らもここ数年、Torが提供する匿名性は完全に保証されているわけではないと述べてきている。また、米海軍研究所とジョージタウン大学の研究者らが2013年に発表した論文(PDF)によると「われわれの分析では、Torのリレーサーバを適度に監視すれば、6カ月以内に80%のユーザーの匿名性を暴ける可能性が示されている」という。
さらに、別の研究(PDF)でSambuddho Chakravarty氏は「Torのようなシステムは本質的にトラフィック分析攻撃に脆弱であるため、複数のネットワークを流れるトラフィックを監視できるだけの大規模なリソースがあれば、統計的手法でトラフィックの類似性を関連付けて、関係付けられていないネットワーク接続も関連付けられるようになる。このような攻撃は匿名接続の発信元にとって大きな脅威となり得る」という結論を導き出している。
Chakravarty氏はその論文で、「検閲に対抗することだけが目的のユーザーは、ステガノグラフィー技術を用いて匿名の通信を隠ぺいする『Obfsproxy』のようなシステムを使用したり、デコイ(おとり)ルーティングに基づいて検閲に対抗する『Cirripede』のような新たなツールを使用するべきだ」と示唆している。
セキュリティと匿名性
Torネットワークは、トラフィックをセキュアなものにしてくれるわけではない。この点に懸念を覚えるのであれば、トラフィックを暗号化する必要がある。また、匿名性という観点から見た場合、Torによって匿名性が保証されるわけではないという結論を導き出す研究も増えてきている。ただ、プラス面に目を向けた場合、NSAのプレゼンテーションにも記されているように、Torネットワークを使用している個人の身元を暴き出すのは簡単ではないとは言える。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。