烏山 雄大,新井 一人,坂 恵理子

 BlackHat Briefings USA(http://www.blackhat.com/)は今年で6回目を迎えるセキュリティ・カンファレンスである。毎年,真夏のラスベガスで開催される。今年も7月31~8月1日にCaesars Palaceホテルで開かれた。

 またBriefingsに先行して,ネットワーク・セキュリティに関して講義を行うBlackHat Trainingも行われている。こちらのイベントも毎回,早々に予約が締め切られるほど人気を博している。

 BlackHat Briefingsというカンファレンス自体は,全国各地で1年に3回ほど開かれている。今年も10月3~4日に,シンガポールでBlackHat Briefings Asiaが開催された。その次はオランダの予定である(2003年5月14~15日に開催予定)。最近では,Windowsのセキュリティに特化したWindows Security Training&Briefingsも開かれている(次回は2003年4月24~27日に米国シアトルで開催予定)。

 BlackHat Briefingsでは,ネットワークに関する話題を取り扱う。同時期に開催されるDefcon(http://www.defcon.org/)と同様,主催者はJeff Moss氏である。「もっと深いセキュリティに関する講演や討論の場がほしい」というDefcon参加者の要望を受けて企画された。

 BlackHatでは毎年,普遍的な問題(プログラムのバグの問題,ぜい弱性のないプログラムの作り方など)や旬の話題(無線LAN関係,Webのクロスサイト・スクリプティングなど)を取り上げて講演が組まれる。

 今年の場合は会場が4カ所あり,会場ごとにテーマが決められていた。今年行われた講演に関しては,http://www.blackhat.com/html/bh-usa-02/bh-usa-02-schedule.htmlhttp://www.blackhat.com/html/bh-usa-02/bh-usa-02-speakers.htmlで参照できる。

 本稿では,BlackHat Briefings USA2002の講演の中から,興味深い講演をいくつかを抜粋して紹介する。

 BlackHatでは,本稿で説明した以外にも,たくさんの有益な講演が開かれている。参加費用は1095ドルと高いが,この記事を読んで興味を持った方は来年のBlakHatに参加してみてはいかがだろうか。

“毒”にも“薬”にもなる匿名メールの最先端技術

 今回のセッションの一つに,Mixmasterの現在のプロジェクト・マネジャであるLen Sassaman氏による「Forensic Dead-Ends:Tracing Users Through Anonymous Remailers」があった。これは,匿名メール・システム「Mixmaster」に関する講演である。

 まず,Sassaman氏がどのような人物なのかを簡単に紹介しておく。Sassaman氏は,インターネット・プライバシと匿名技術を専門としたセキュリティ・コンサルタントで,人権保護組織や被害者擁護団体,公民権擁護組織などで活動している。そして,現在のMixmasterの開発マネジャでもある。

 Mixmaster自体は新しいものではない。すでに知っている読者もいると思う。以下では講演内容に沿って,リメーラとは何か,またMixmasterはどのような動作によって匿名性を確保しているのかについて紹介していく。

インターネットの匿名サービス

 インターネット上には,いくつかの匿名サービスがある。代表的なサービスは,(1)無料のWebメール・アカウント,(2)SSL匿名プロキシ,(3)匿名インターネット・サービス・プロバイダ(ISP),(4)匿名メール・リレーなどだろう。これらの匿名サービスは,主に(1)ユーザの個人情報の保護,(2)各種情報が特定されてしまうことを隠す,(3)個人の行動(活動)をわかりにくくする,などの目的で利用される。

 ただ,いくら匿名でも,これらのサービスを利用(実行)していることが隠されているわけではない。言い換えれば,匿名性とプライバシの保護は同等ではない。行動が記録され,かつその開示が容易であれば,プライバシが保護されるかは,その管理者に依存してしまう。

 このような匿名サービスの中で,これから説明するMixmasterはリメーラ・システムに該当する。リメーラ・システムとは,簡単に説明すると匿名でメールを相手先に送信するサーバープログラムである。具体的には,メール・ヘッダに記載される送信者に関する情報や送信してきたサーバー経路などの情報を,この匿名メール・サーバー経由することで削除できる。つまり,送信者の名前を完全に伏せた状態で,受信者にメッセージを伝えることができるようになる。

 このような匿名技術は,基本的に内部告発者,人権保護活動者,強圧的政権下の反体制者などを生活もしくは生命の危険から保護し,また個人の権利を保護しながら,議論の共有を安全に行うために利用される。企業においては,競合の調査,情報リーク,企業のスパイ活動,従業員からのフィードバックなどに利用できる。

 一方,商業的取引での利用は困難である。売り手から見ると,金銭の授受ができないうえ,サービス・コストに対する回収のめどが不確定で,法に抵触する場合の対処などの問題がある。買い手側に立った場合も同様に,売り手との金銭の授受に困る。さらには,どの程度の匿名性が保たれるのかにも不安が残るだろう。

リメーラの歴史

 リメーラは,インターネットの普及とともに成長してきた。初期の有名なリメーラ・サイトにanon.penet.fiがある。anon.penet.fiは正確にはPseud-remailer(疑似リメーラ)と言われ,管理者にアカウント作成を依頼し,利用するものだった。一時は50万人もの利用者がいたとされるが,1996年に閉鎖された。本筋から外れてしまうため閉鎖理由の詳細には触れないが,フィンランド警察の捜査による影響が大きいと言われている。興味があれば,http://www.penet.fi/press-english.htmlを参照してほしい。

 現在,匿名リメーラとしてはType1と言われるCypherpunk remailers,Type2のMixmaster remailersがある。Type2のMixmaster remailersは,David L. Chaum氏の論文「Digital Mixes」の考え方を踏襲したリメーラである。このタイプのリメーラは,マルチレイヤ暗号チェーン,すなわち暗号化しているうえに複数のリメーラを経由することで個人の特定を防ぐ。また,メッセージ・パケットを見分けがつきにくいように工夫し,ハードウエア・リソースの消費を最小限に抑え,信頼性の高いネットワーク接続を確保できるようにする。

Mixmasterの処理の流れ

 では,Mixmasterの処理の流れについて詳しく見ていこう。

 Mixmasterでは,データの暗号化に3DESと1024ビットのRSAの二つを利用する。RSAは3DESキーを受け渡すための公開鍵暗号方式として利用する。すなわち,パケットは3DESキーで暗号化し,RSAを使って暗号化した3DESキーをやり取りする。3DESキーが,いわゆるセッション・キーとなる。

図1 Mixmasterで匿名メールを送る場合は複数のリメーラ・サイトを経由する
図2 Mixmasterがやり取りするパケットの構造。Len Sassaman氏の講演資料を基に作成した
表1 それぞれのパケット・ヘッダの詳細。RSA暗号された3DESキーは128バイト(表中の「RSA-enxrypted session key」)
 例えば,ユーザXがMixmasterを利用してユーザYに匿名メールを送る場合,図1[拡大表示]のように複数のリメーラ・サイトを経由する。この場合,Mixmasterがやり取りするパケットの構造は図2[拡大表示]のようになる。この図はLen Sassaman氏のBlackHat Briefingsの講演資料を基に作成した。図2のように,リメーラA向けのヘッダ,リメーラB向けのヘッダ…と,パケットのヘッダ部分を複数のパートで構成する。

 ユーザXから匿名メールを受け取ったリメーラAは,以下のような処理を施す。まず,RSAで暗号化された3DESキーを復号する。暗号化された3DESキーはヘッダの先頭パートに記載されている(表1[拡大表示])。この後,この3DESキーを使ってパケットを復号する。すると,ヘッダの次のパートが平文になる。ここに記載されているパケットID番号を確認し,既知のIDの場合はメッセージを破棄する。そうでない場合は,ヘッダの先頭パートをヘッダ・リストの最後尾に回し,後ろのヘッダを一つずつ前にシフトする。

 これにより,次のリメーラBにパケットを送信できる。リメーラBもリメーラAと同じ作業をし,次に渡すリメーラ用のヘッダを先頭に持ってくる。こうすることで,メッセージ全体のヘッダ・サイズを常に一定に保ち,経由したリメーラが特定されることを防ぐ。

 Mixmasterでは,ボディ部分(メールの中身)のサイズも一定にする。このため,メッセージの大きさによって1回の送信で済むものもあれば,複数回に渡る送信を必要とするもの(マルチパート・メッセージ)もある。

 パケット一つで完全なメッセージになっている場合(すなわちマルチパート・メッセージでない場合),ユーザYにメールを渡すリメーラnが平文になったメールをリオーダリングと呼ぶプールに入れ,送信待ち状態とする。

 パケットがマルチパート・メッセージの一部の場合は,すべてのパーツが揃った段階でメッセージを組み立て,プール内に格納する。最終パケットには,最終ホップを示すフラグとマルチパートであることを示すフラグが記載されている。各パケットは,割り振られたメッセージIDで関連付ける。すべてのパーツが一定時間内に到着しない場合,メッセージは破棄される。

 Mixmasterのパケットはすべて同じ長さで,各ヘッダやボディはホップする回数に合わせて複数回3DESで暗号化する。このため,メッセージの出所などの情報は,盗聴されたとしても読み取ることができない。経由リメーラは,経由する前と次の場所を知るだけである。また,リメーラをいくつホップするのかもわかない。最後のリメーラを除いては,各リメーラがその後でいくつホップするかもわからない。

表2 Mixmasterパケット・ヘッダにある「Enctypted header part」の構造
表3 表2に示した「Packet type identifier」に入る値
表4 表2に示した「Packet information」に入る値
 なお,表1に示したパケット・ヘッダの中で,328バイトの「Enctypted header part」も詳しく説明しておく。構造は表2[拡大表示]の通りである。このうち,「Packet type identifier」には表3[拡大表示]の値が入る。「Packet information」は,表3に示した「Packet type identifier」によって表4[拡大表示]のように変わる。

 Mixmasterはこのような仕組みにより,どこから送信されているのかをわからなくし,かつメッセージの内容が途中で漏えいすることを防いでいる。整理すると,常に誰かが見ていることを前提とし,トラフィックを一定に保ちながら匿名性を確保するために,
(1)リメーラ・チェーンの利用
(2)内容の暗号化
(3)常にパケットを同サイズにする(空白を埋めるもしくは分割する) などの工夫を施している。

リメーラの悪用/誤用

 リメーラのような匿名ツールやサービスは,さまざまな利点をもたらすと同時に,有害あるいは違法な利用も可能にしてしまう。匿名性を悪用することで,個人ないし企業に対する誹謗中傷や嫌がらせなどが可能になるのだ。

 リメーラの悪用した行為としては,以下のようなものが挙げられる。残念ながら,これらへの対処は困難な場合も多い。

スパム

 リメーラは,スパム・メールに利用するのは不適切といえる。送信遅延が起こるため,スパム・メールが到着するまでに時間がかかる。また,潜伏時間が長く,検知が容易である。ただ,オープン・リレーに優れているUsenet(ニュース)に関しては,いまだに問題点がある。

著作権侵害

 多くのリメーラは,バイナリでの送信をブロックする。現状では,匿名による巨大なマルチパケット・メッセージの送信は減少している。そもそも電子メールが,ファイル転送にあまり適していないこともある。

 アプリケーションを無料で違法にコピーする行為に関しては,使い捨てのShell/ftpアカウントやIRC,ピア・ツー・ピアのシステムが有名で,リメーラを使うことは考えにくい。

嫌がらせ

 悪意を持ったメッセージが匿名で届く。また,複数のリメーラによって大量に届く可能性もある。上記のスパムと同様,Usenet内に匿名で書かれてしまう可能性もある。

リメーラとテロリズム

 リメーラの数が増加して,匿名による政治的意見が乱発し,テロリズムにつながる可能性がある。本来,リメーラはテロに立ち向かうツールである。

 このような行為をできる限り避けるためにはどうすればよいのだろうか。自衛策として,リメーラ・ブロック・リストの利用がある。例えば,悪質なメールを送ってくるリメーラを「リメーラ悪用ブロックリスト」(http://www.paracrypt.com/remailerabuse/)に登録するなどだ。また,インターネットという自由度の高い環境と実社会が並存する現在の社会では,実社会において攻撃のターゲットにされるような行為を行わないことも必要だ。

 逆に,匿名サービスを利用する立場から考えてみる。この場合,危惧するのはリメーラ・サービス提供者が情報を明かしてしまう可能性である。現在,基本的にremops(リメーラ・オペレータ)はログを保存していない場合が多いようだ。日々大量の匿名メールを処理するため,ログを保存していると,ディスク・スペースとリソースが枯渇してしまうからだ。また,ユーザのプライバシも考慮していると思われる。この結果,悪用した人間の捜査に使うことは難しくなる。

 匿名メール・システムはほとんど場合,善意の第三者によって構築されている。ただ,その一方で悪用するケースが絶えないのも事実である。この技術を生かすも殺すも,使い手次第であることは言うまでもない。

烏山 雄大,新井 一人,坂 恵理子
筆者は三井物産のセキュリティ・チームGTI PROJECT CENTERに勤務。セキュリティ・コンサルタントとして企業のシステム構築を支援している。ここ数年,毎年BlackHat Briefings USAに参加している。

次回(中)へ続く

出典:日経ネットワークセキュリティ2003 158ページ
記事は執筆時の情報に基づいており、現在では異なる場合があります。