今月初め、Socket, Inc.というスタートアップ企業が、ファイルを暗号化し、URLに埋め込まれた暗号化キーを受け取った人が、転送を処理するクラウドベースの仲介者にファイルを公開することなく、そのファイルを利用できるようにするウェブアプリ「Wormhole」をリリースした。
これは、Mozillaが2017年にリリースされ、1年半後に終了したFirefox Sendで試みたことに少し似ているように聞こえるかもしれません。そして、それは意図的なものです。
「WormholeはFirefox Sendのリブート版ですが、多くの改良が加えられています」と、著名なオープンソース開発者でありSocketの共同創設者でもあるFeross Aboukhadijeh氏はThe Registerへのメールで説明した。「私たちはFirefox Sendを愛していましたが、サービス終了に非常に失望したため、さらなる機能強化を加えて再構築することにしました。」
Wormholeも同様の無料サービスを提供しています。ブラウザでアプリを起動し、最大10GBのローカルファイルを選択します。ファイルはローカルで暗号化され、Socketのサーバーにアップロードされます。すると、次のようなURLが表示されます。
https://wormhole.app/V0o7p#iyT9HT_3MXby3Y0VuurdLA
その後、リンクをテキスト メッセージや電子メールなどで送信すると、受信者はリンクの有効期限が切れるまでの 24 時間、保護されたファイルを暗号化されていない形式でダウンロードできるようになります。
DropboxがDocSendを吸収し、分析機能やドキュメント共有の安全なリンクを追加
続きを読む
しかし、Wormhole には Firefox Send に比べていくつかの改良点があり、特にインスタント ストリーミングのサポートにより、ファイルが完全にアップロードされる前でもファイル リンクを共有できるようになります。
「ワームホールは可能な場合は超高速のP2P転送を使用します。これは、両方のデバイスが同じネットワーク上にある場合に特に便利です(ローカルネットワーク経由で転送されるデータは、インターネットに出入りするよりもはるかに高速であるため)」とアブカディジェ氏は説明した。
Wormholeは、アップロードされたファイルがエンドツーエンドで暗号化されていないクラウドサービスプロバイダーに代わる、より安全な代替手段を提供することを目的としています。しかし、アブカディジェ氏と共同創業者で開発者のジョン・ヒージー氏は、セキュリティにはスピードが不可欠だと考えていると述べています。
「悲しいことに、ほとんどの人にとって、セキュリティやプライバシーが優れているだけでは、安全でない代替アプリから乗り換えるには十分ではありません」と彼は述べた。「そこで私たちは、他の面でもWormholeを根本的に改善したいと考えました。だからこそ、Dropbox、Google Drive、WeTransferといった主流の代替アプリよりもWormholeを高速化することに注力したのです。これらのアプリはいずれもエンドツーエンドの暗号化をサポートしておらず、Wormholeよりも速度が遅いのです。」
その点、Wormhole は見事に成功しています。読み込みが速く、Google の Page Speed Insights テストで高得点を獲得しています。これは、アプリのドキュメントに記載されているように、広告や「不気味な追跡」スクリプトがないことで部分的に説明できます。
このアプリは、Firefox Send と同じ暗号化方式 (128 ビット AES-GCM 暗号化) を使用して、ブラウザーから送信される前にファイルを暗号化します。
レイヤー8の問題の管理
MozillaがFirefox Sendの停止理由として挙げたのは、悪用だ。当時Mozillaは、Sendがマルウェアの拡散やスピアフィッシング攻撃に利用されていたと説明していた。アブカディジェ氏は、この問題は対処可能だと考えていると述べた。
「SignalやWhatsAppといったエンドツーエンドの暗号化を提供する他の製品が、不正利用やマルウェア、その他の脅威に対処できていることは、心強いことです」と彼は述べた。「Wormholeでも同様のアプローチを採用する予定です。」
「そうなれば、ファイルをサーバーに送信せずに、ダウンロードユーザーをマルウェアから保護するために、クライアント側でウイルススキャンを導入する必要があるかもしれません。これが問題になった場合、検討できる有望なアプローチは数多くあります。」
ワームホールのセキュリティに関する主張が信頼できることを潜在的なユーザーに示すため、アブカディジェ氏は、ソケット社は近日中にアプリの暗号化コードをオープンソース化し、セキュリティコミュニティによる分析に供するとともに、最大1,000ドルの報奨金制度を導入する予定だと述べた。長期的には、セキュリティ監査人を雇用して正式なレポートを作成する計画だという。
これらすべてにはリソースが必要であり、おそらく意外ではないが、現在は無料のサービスから収益を得ることが期待できる。
「ファイルサイズの上限を引き上げ、リンクの有効期限をカスタマイズし、その他の機能も提供するプロプランを導入する予定です」と彼は述べた。「将来的には、プライバシーを重視した他の製品も導入し、有料化する可能性もあります。」
業界特有のセキュリティ要件に対応するWormholeのエンタープライズ版も検討されています。Aboukhadijeh氏は、法律事務所、会計士、医療専門家は主流のクラウドストレージサービスでは十分なサービスを受けられず、現在の安全なファイル転送アプリは期待に応えられていないと指摘しました。
Wormhole がウェブ アプリとして構築された理由を尋ねられると、Aboukhadijeh 氏はウェブに対する熱意を表明しました。
「ブレンダン・アイクは『常にJavaScriptに賭けろ』とよく言っています」と彼は言った。「私はそれに『常にWebに賭けろ』と付け加えたいと思います。Webに勝るアプリランタイムはないと思います。Webは安全で、アクセスしやすく、使いやすいです。Webアプリは広く普及しており、参入障壁も低いのです。」
彼は過去にWebTorrentのようなブラウザの限界に挑戦する革新的なプロジェクトに携わってきたと語り、Wormholeも同様の考えを持っていると述べた。「私たちは、現代の高速ウェブアプリが何を実現できるかを示す好例になりたいのです」と彼は語った。®
