有力な米国上院議員ロン・ワイデン(オレゴン州民主党)は、政府の職員が安全でない .zip ファイルやその他のアーカイブ形式を使用して情報を電子的に転送していることを快く思っていない。
オレゴン・デモクラット紙は本日、米国国立標準技術研究所(NIST)のウォルター・コパン所長に書簡[PDF]を送り、同標準化団体が、.zipアーカイブツールの代替手段に関する政府職員向けのガイダンス文書を作成するよう要請した。
「個人や組織がインターネット上で機密文書を安全に共有する方法を解説したガイダンスをNISTが作成・公開するよう要請します」とシリコン・ロン氏は強く訴えた。「政府機関は、職員に安全に情報を共有するためのツールや研修が提供されていないため、.zipファイルをメールで送信するなど、安全でない方法で機密データを日常的に共有・受信しています。」
ワイデン氏が指摘するように、データセキュリティの専門家は長年、Microsoft Windowsの一部エディションやApple macOSに組み込まれているものを含む、標準の.zipアーカイブツールで使用されている暗号化アルゴリズムはほぼ役に立たないと考えてきました。これらのアルゴリズムは通常、あまりにも弱く、簡単に解読されてしまうからです。そのため、政府機関やその他の機密文書をインターネット経由で送信するためにパスワード保護された.zipファイルを作成することは、送信者がより強力な暗号化を採用したソフトウェアをわざわざ使用しない限り、使用されている基礎アルゴリズムがおそらく不十分であるため、賢明ではないと考えられています。
米国政府職員は仕事のネットワークで個人機器を使用し、ビジネス文書を日常的に扱っている ― 調査
続きを読む
例えば、2005年には、Windows XPで作成されたパスワード保護された暗号化された.zipアーカイブを解読する簡単な方法が考案されました。ここで使用された弱い暗号や、その後解読された他の暗号化手法は、今日でも多くの.zipアーカイブツールで使用されています。
これは、アーカイブがパスワードで保護されていることを前提としています。
政府職員がこれらの安全でないツールを使用して .zip アーカイブを作成すると、機密情報が解読されて盗難される危険にさらされる可能性があり、メッセージが傍受されたり、暗号化された圧縮アーカイブが盗まれたりした場合は、国家安全保障上の危険が生じる可能性があるとワイデン氏は主張している。
上院議員だけではありません。セキュリティ専門家は、政府機関の職員が政府文書の移動に.zipアーカイブツールを使用すべきではないことに同意しています。
「私たち暗号学者はPGPの鍵サイズをめぐって議論しています」と、ボルチモアにあるジョンズ・ホプキンス大学の暗号専門家、マシュー・グリーン准教授は指摘する。「一方、政府職員は1990年代に容易に解読された暗号で暗号化された文書をメールでやり取りしています。これは(従来のSMSと同様に)どういうわけか、最小公分母に陥ってしまった分野の一つです。」
「この分野の賢い人々にとって、何かもっと良いものを生み出せる大きなチャンスがある。」
ワイデン氏はNISTにまさにそうすることを望んでいるようだ。
「政府は、連邦政府職員が機密データを安全に共有するために必要なツールと研修を利用できるようにしなければならない」と彼は述べた。「この問題に対処するため、NISTに対し、個人や組織がインターネット上で機密データを安全に共有するための最良の方法を解説した、分かりやすいガイドを作成し、公開するよう要請する。」®
