【3分ITキーワード】バックドア(backdoor)

f:id:PentaSecurity:20180129154051p:plain

 

バックドア(backdoor)は、プログラマーが意図的に作ったシステム内の脆弱性、或いはハッカーがシステムにより侵入しやすくするため作ったシステム内の脆弱性のことです。

 

バックドア(backdoor)」とはどのような製品やコンピュータシステム、暗号システムあるいはアルゴリズムで正常な認証手続きを迂回する方法のことです。バックドアは日本語では「裏口」などを意味する英語でありますが、許可なしにシステムに接続する権利を得るため、ほとんど隠密に作動するという特徴をみると「裏口」という単語が使われるのも理解できますね。バックドアはある固定された形があるわけではなく、プログラムの中に隠されていたり、独自のプログラムやハードウェアの形を持っている場合もあります。

 

バックドアという概念が作られたのは1967年、米国情報処理協会カンファレンスの時でした。当時の「情報プライバシーがシステムに及ぼす影響(System Implications of Information Privacy)」という論文を見ると、「トラップドア(trapdoor)」という用語が登場します。トラップドアは、セキュリティ機能を迂回してデータに直接アクセスする攻撃方法ですが、事実上今説明しているバックドアと同じものです。以降、トラップドアは公開鍵暗号化関連用語に使われて、代わりにバックドアという用語がもっと広く使用されるようになったのです。もし公開鍵についてより詳しい情報が知りたい方々はを読んでください。

 

本論に立ち戻って、バックドアには二つの意味があります。

 

一つは、あるシステムを作り上げたプログラマーが意図的に当システム内に残しておいた脆弱性のことです。この脆弱性を狙ってハッキングをした事例を紹介します。これは、ラスベガスのあるカジノのスロットマシンがハッキングされた事件です。カジノはスロットマシンの乱数発生器があまりにも完璧な乱数を発生させると損害が発生する可能性があるため、損害が発生しないように適切な乱数発生器を作って使用していたのです。そこで生じたバックドアをあるプログラマーたちが乱数発生器を分析して発見した後、カジノから多くのお金を得たのが事件の真相だったです。

 

二つは、ハッカーが目標を攻撃して接続した後、再び接続するために作り出したシステムの脆弱性のことでもあります。これはまるで盗人が家に正門から侵入してから、裏門を開いておくことで後でより簡単に侵入するためのツールだとも言えます。この裏門の存在を認識できなかったり、管理しなかった場合は盗人は勿論、第3者も侵入できるようになってしまいます。このようにバックドアはシステムの脆弱性だと言っても間違いはないでしょう。

 

2016年、バックドアは、アップルとFBIの葛藤でもう一度注目を受けたことがあります。FBIが爆破事件の容疑者のアイフォンデータを調査する中、アイフォンのセキュリティがあまりにも強力過ぎて調査が進めないため、アップルにバックドアを作ってほしいと要求したのです。1993年にも米政府は暗号化チップ「クリッパー(Clipper)」を発表して、これを強制的に使用するようにする法案を提出したことがあったのです。この法案を提出した目的は、犯罪捜査などの必要な時に暗号を解読して内容を見るという論理でした。

 

当時、この法案を提出したところは米国のNSAでした。2013年、エドワード・スノーデン(Edward Joseph Snowden)の暴露で、広範に監視を行ったことが明らかになったその機関です。NSAは、既にその時から合法的なバックドアを望んてきたのです。ですが、クリッパー・チップ計画は激しい世論の反発を受けて失敗しました。それから20余年後、今回はFBI「アイフォーンバックドア」を要求したのです。アップルは最後までFBIからの要求を拒否して、結局FBIは第3者に携帯電話ハッキングを要求する方向で、この事件で生じた葛藤は一旦解決されました。

 

f:id:PentaSecurity:20171023110654p:plain

 

出典

 

  • アップルのバックドア提供拒否事件についての幾つかの事実

  http://www.huffingtonpost.kr/2016/02/18/story_n_9260694.html