イランでは政府によるインターネットのアクセス制限や監視、検閲が強化され続けている。こうしたなかイラン人の自由な発言を可能にするために、Android用のアプリが新たに開発された。
アプリの名は「Nahoft」。ペルシャ語で「秘密」と命名された暗号化ツールで、最大1,000文字のペルシャ語のテキストをランダムな言葉の連なりに変換できる仕組みだ。
メレンゲのようにかき混ぜられた言葉の塊は、TelegramやWhatsApp、Google Chatをはじめとするコミュニケーションプラットフォームを使って友人などに送れる。受け取った人がそのランダムなテキストを自分のデヴァイスにダウンロードしてあるNahoftにかければ、内容が解読できる仕組みだ。
関連記事 :自動で“消える”メッセージはどう送る? 6つのアプリの便利な使い方
Nahoftは2021年9月8日に「Google Play」でリリースされた。開発したのは米国のサンフランシスコに拠点を置く人権擁護団体「United for Iran」である。
Nahoftはイランで実施されているインターネット規制を巡る複数の側面に対応できるよう設計されており、暗号化メッセージの生成に加え、情報を暗号化して気づかれないよう画像ファイルに埋め込むこともできる。いわゆるステガノグラフィーと呼ばれる情報隠蔽技術だ。受け取った人は自分のNahoftにその画像をかけて、隠されたメッセージを抽出できる。
ネットが遮断されても利用可能
イランでは、WhatsAppのようなエンドツーエンドの暗号化アプリを使えば安全に意思疎通できる。しかし、オープンソースであるNahoftは、安全なコミュニケーション手段が使えない場合を想定し、極めて重要な機能を隠しもつ。
イラン政府は特定の地域やイラン全体で、ほぼ全面的なインターネット遮断を繰り返し強制実施している。19年11月には、丸1週間もインターネットが遮断された。しかし、仮にインターネットに接続できなくても、Nahoftをデヴァイスに前もってダウンロードしておけば、ローカルで使用できるようになっている。
暗号化したいメッセージを入力すると、Nahoftはそれをペルシャ語の暗号化メッセージに変換する。一見するとランダムな言葉の連続にしか思えないそのメッセージを、手紙に書き写したり、別のNahoftユーザーに電話をかけて読み上げたりする。あとは、相手が自分のアプリにその内容を手動で入力し、本来のメッセージを読み解けばいい。
「インターネットが遮断されると、イランの人々は国内外の家族と連絡をとれなくなります。活動家も、やっていることすべてをいきなり中断せざるを得なくなるのです」と、United for Iranの事務局長のフィルーゼ・マムーディは語る。マムーディは1979年のイラン革命を生き抜き、12歳で他国に逃れた人物である。
「それにイラン政府は、ますます多層構造のフィルタリングによって各種デジタルプラットフォームの利用を禁止し、ソーシャルメディアなどの国際的に普及しているサーヴィスの代替策を開発する方向へと向かっています。わたしたちが危惧している傾向を強めており、非常にまずい状況です。そこで役に立つのがNahoftなのです」
ネット遮断の可能性を前提にした設計
イランではインターネットが広く普及しており、人口8,300万人のうち5,700万人以上がインターネットを利用している。ところがイラン政府は近年、国営の巨大ネットワークである「国家情報ネットワーク(SHOMA)」と呼ばれるイントラネットの開発にかなりの力を注いできた。SHOMAによって政府は、データのフィルタリングや検閲、ソーシャルネットワーク、規制を回避するツールのプロキシーサーヴァーやVPNといったサーヴィスの遮断を、さらに容易に実施できるようになる。
そうした背景があったからこそ、Nahoftはコミュニケーションプラットフォームというよりも、デヴァイス内で機能できるアプリとなるよう意識して設計された。ユーザーはインターネットが完全に遮断されてしまった場合に備え、Nahoftを事前にダウンロードしておかなくてはならない。
ただし通常は、イラン国内でGoogle Playにアクセスできる限り、政府がNahoftのダウンロードを阻止することは難しいのだと、United for Iranの戦略アドヴァイザーを務めるレゼ・ガジノウリは説明する。Google Playのトラフィックは暗号化されているので、イラン側が監視してもユーザーがどのアプリをダウンロードしているのかまでは確認できないのだ。
Nahoftは、これまでに4,300回ダウンロードされている。ガジノウリによると、イラン政府がいずれ独自のアプリストアを開発して他国のアプリを締め出す可能性はある。とはいえ現段階では、その実現はずっと先のようだ。他国を例に挙げると、中国ではGoogle Playが禁止され、中国テック大手ファーウェイ(華為技術)などのアプリストアや、iOS向けのApp Storeの制限付きヴァージョンが優遇されている。
侵入テストで安全性を向上
ガジノウリがジャーナリストのモハメド・ヘイダリと協力してNahoftのアイデアを考案したのは2012年のことで、United for Iranが20年から開催しているテックアクセラレーターコンテスト「Irancubator」の第2回に応募した。Nahoftの技術設計は、インターネットの自由向上を目指すテキサス州の非営利開発グループOperator Foundationが担った。
その後、侵入テストを専門とするドイツのセキュリティ会社Cure53が、Nahoftについて2度のセキュリティ監査と暗号化方式のテストを実績のあるプロトコルを利用して実施した。United for Iranは、それらのセキュリティ監査で得られた知見を、Cure53が特定した問題の改善方法に関する詳細なレポートと合わせて公表している。
例えば、20年12月当時のアプリレヴューを見ると、画像ファイルにメッセージを埋め込む際に使われるステガノグラフィー技術の重大な弱点など、Cure53は大きな問題を特定している。そうした脆弱性をすべて修正したうえで実施された2回目の監査では、1回目ほどの深刻さはないが、Androidのサーヴィス運用妨害(DoS)の脆弱性や、自動削除用パスコードの迂回といった問題が指摘された。それらもアプリのローンチ前には解消されており、「Github」にあるNahoftのリポジトリーには、そうした改善点に関する記述がある。
スキャンされづらい設計
イランの人たちが政府の監視や規制をかいくぐる際に頼みの綱とするアプリとあって、リスクは非常に高い。暗号化の実行に弱点や不備があれば、人々が密かに交わすコミュニケーションが危険に晒され、場合によっては人々の安全が脅かされかねない。
ガジノウリによると、Nahoftではあらゆる予防措置が講じられているようだ。例えば、アプリが生成するランダムな言葉の連なりは、地味で無害な内容に読めるよう特別に設計されている。また、実在の言葉を使うことで、Nahoftで暗号化されたメッセージがコンテンツスキャナーにフラグを立てられにくいようにした。
United for Iranの研究者はOperator Foundationと共同で、言葉をコード化する際に使われる暗号化アルゴリズムが現在入手可能な市販のスキャンツールに検知されないことを確認した。これにより、暗号化されたメッセージをセンサーが検知し、フィルターを作成して遮断することは難しくなる。
Nahoftではさらに、アプリを開くためのパスコードはもちろんのこと、ログイン時に入力すると全データが消去される「破壊用コード」も設定できる。
「助けを必要としているコミュニティと、こうした人々を助けるためと言ってツールを開発する人の間には、常に隔たりが生じています」と、ガジノウリは言う。「わたしたちはその隔たりを縮めるべく努力しています。このアプリはオープンソースですから、専門家が独自にコード監査を実施することも可能です。暗号化は無条件に信じてもらえるような分野ではありませんし、わたしたちもむやみに信用してもらえるとは思っていません」
イランの人々にとっての命綱になるか
ブラウン大学の暗号研究者のセニー・カマラも、20年8月の国際暗号学会のカンファレンスでの基調講演「人々のための暗号」のなかで、暗号化に関する調査や暗号化ツールの開発を主導する人々やその動機について、概して社会の主流から取り残されたコミュニティが抱える具体的なニーズをないがしろにしたり切り捨てたりしていると主張した。
カマラ自身はNahoftのコードや暗号設計について監査をしていない。だが、このプロジェクトが目指すところは、暗号化ツールは人民のために人民によって開発されるべきという彼自身の持論にマッチしているようだ。
「その目的という観点から見て、このアプリはテック界や学者が及び腰となっている重要なセキュリティとプライヴァシーを巡る問題を象徴していると思います」と、カマラは語る。
イランではインターネットの自由が急速に失われつつあり、Nahoftはイラン国内および国外とのオープンなコミュニケーションを保持する上で、命綱になるかもしれない。
TEXT BY LILY HAY NEWMAN
TRANSLATION BY YASUKO ENDO