オランダのSSL(Secure Sockets Layer)認証局「DigiNotar」が2011年8月末、不正アクセスを受け、その結果として偽SSL証明書を発行していた事件が発覚した。しかも本件に関連して、「*.google.com」「*.twitter.com」「www.facebook.com」などの著名なサイトをはじめ、政府機関や一般のサイトまで、分かっている限りで500以上の偽証明書が発行されたもようだ。
普段あまり気にすることのないSSLだが、ネットショッピングをはじめとする様々な場面(HTTPS)で使われ、私たちの生活に欠かせないものとなっている。昨今では広く普及しているWebメールなどでもHTTPSを使うことは多く、世界中の多くの利用者が、メールやtweet(つぶやき)などの通信を第三者に傍受された可能性がある。
DigiNotarに対するオランダ政府の監査は、執筆時点ではまだ終了しておいない。被害は今後どこまで拡大するか見通しが立たない状況にある。さらに、今後、認証局に対する攻撃が増加する危険性も否定できない。
証明書の内容を確認するのは利用者側の義務ではある。とはいえ、公的に認められた認証局が発行することで形成されている信用構造の一角が崩れ、Webという情報流通プラットフォームの信頼性が部分的に失われたことのインパクトは大きい。
Webは急速にグローバル化が進み、今ではGoogleやFacebookを、世界中の人々が日常的に利用している。一方で、その信頼を支えるはずの認証のメカニズムは各国の規制当局や市場に委ねられており、またそれが世界的に流通もしている。
インターネットはこうしたチグハグ感を内包したまま成長を重ねてきた。信用構造の問題を抜本的に解決するには、ネットワークの仕組みや構造を見直さなければならない。ただ、仮にそれが実現されたとすれば、それはもはやインターネットとは別物だろう。
通信が通信である限り解決策はない
企業ユーザーの一部からは、レイヤー2以下での制御や信頼性確保など、今とは異なる信用構造の確立を求める声も出ている。とはいえ、恐らく明確な解決策はない。これは「私はいかにして存在するか」という、いわば哲学的な命題に近い。
少し前、「カレログ」というスマートフォン向けサービスが話題になった。パートナーがどこで何をしているのか(明示的には浮気などをしていないか)を、位置情報や通信記録から追跡するツールだ。ただ、このサービス本来の目的を考えると、「相手に悟られずにツールをインストールすること」が前提となる。アプリをインストールする利用者と実際のアプリの利用者は異なるわけだ。アプリやサービスは、その利用者が本当に誰なのかはよく分からないということの象徴的な例だろう。
通信が通信である限り、相手が本当に誰なのか、最終的には相手の言うことを信じるしかない。同じ事は、あらゆる通信手段に関して言える。こうした盲点を突いた犯罪が、いわゆる「オレオレ詐欺」でもある。
結局は、多少のリスクを引き受けながら、通信の運用実績を重ね、こうした課題を経験的に回避していくのが最も合理的な道、ということになるだろう。最後は、利用者のリテラシーの問題にしか還元できないのである。
だとすれば、利用者のリテラシーを高めたり、補助したりすることこそ重要になるはずだ。特に、スマートフォンという「ややこしいデバイス」の台頭で、利用者のリテラシー向上のニーズは拡大している。
インターネットは成熟期を過ぎて、様々なレイヤーでほころびが見えてきている。一方で、通信の利便性に目覚めたユーザーは後退を望まない。このギャップは事業者にとって、重荷ではなく、むしろビジネスチャンスとして見直されるべきものだろう。
