マリッサ・メイヤーへの公開書簡:すべてのヤフーの通信サービスに今すぐHTTPSを導入するよう要請

米ヤフー(以下、ヤフー)の新しい最高経営責任者にマリッサ・メイヤーが就任した[en]ことが話題となり、新たな経営者は緊急の課題に取り組む機会を得た。その課題とは、Yahoo!メールが大手ウェブメールサービスのなかで唯一、安全性に問題のある接続方法をとり続けていることである。グーグルは2010年の初めに、コンピュータ・ネットワーク上で安全な通信を実現するために広く使われている通信プロトコルHypertext Transfer Protocol Secure(HTTPS)をGmailサービスのデフォルトに設定した[en]。マイクロソフトも2011年7月、Hotmailサービスに同様の措置を行った[en]。

ヤフー最高経営責任者マリッサ・メイヤー。この写真はSDKにより、クリエイティブ・コモンズ表示―非営利―継承ライセンスの下に提供されている。

2012年11月13日、この課題への取り組みを促すため、安全対策の専門家や社会問題への提言を行う活動家、人権問題活動家たち26人がメイヤーに1通の公開書簡を送った。このなかで、すべてのヤフーの通信サービスにおいてHTTPSによる情報の暗号化を行うという「長年先延ばしにされた第一歩」を踏み出し、ユーザの信頼と安全を確立すべく、できる限り早急に行動するよう勧告している。公開書簡には、「ここ数年にわたり、ヤフーは安全対策の専門家からHTTPSを採用するようたびたび要請されてきましたが、何ら進展が見られません」とある。

Unfortunately, this delay puts your users at risk, which is particularly disturbing since Yahoo! Mail is widely used in many of the world's most politically repressive states.

There have been frequent reports of political activists and government critics being shown copies of their email messages as evidence during interrogation sessions, underscoring the importance of providing basic measures to protect the privacy of e-mail.

Where online communications platforms are essential channels for the the free flow of information and outlets for expression, offering HTTPS by default is a critical step that Yahoo! must take to blunt some of the effects of mass surveillance and censorship.

A 2009 open letter to Google signed by 37 prominent computer security and privacy experts, urging the use of HTTPS security on services that process personal information, emphasized that HTTPS is “industry standard” security for protecting personal information on web services; these experts added that research shows “most users have no idea of the data interception risks that they face when using public wireless networks […] few users notice the presence or absence of HTTPS encryption and [users] fail to take appropriate precautions when HTTPS is not used.”

All the e-mail and social network providers criticized in this letter have since made HTTPS available or mandatory on their sites—except Yahoo!.

残念なことに、未だにHTTPSを採用していないために、あなたがたはユーザを危険にさらしているのです。Yahoo!メールは政治的抑圧のある国々で広く利用されているので、これは特にゆゆしき問題です。

政治活動家や政府に批判的な人々のメールのコピーが取り調べの際、証拠資料として示されるという報告がこれまでよくありました。このことは、メールのプライバシーを保護するために基本的な措置を取ることの重要さを、強く認識させます。

情報を自由に流し自由な表現を発信するために、オンライン通信プラットホームが必要不可欠なのだから、HTTPSをデフォルトとして提供することは、大規模な監視や検閲の目をある程度鈍らせるためにヤフーが取るべき重要な措置です。

コンピュータ・セキュリティやプライバシーの著名な専門家37人は、2009年にグーグルに公開書簡を送り、個人情報を扱うサービスにおいてHTTPSを安全対策として採用するよう促しました。その書簡のなかで彼らは、HTTPSがウェブサービスにおいて個人情報を保護するための「業界標準」の安全対策であると強く主張しました。また、調査の結果、「ほとんどのユーザは、公衆無線ネットワークを利用しているときにデータを傍受される危険があるとは全く考えつきません。[…]HTTPSによる暗号化が行われているのかいないのかを認識しているユーザもほとんどいません。(ユーザは)HTTPSが導入されていない場合に、きちんとした予防措置を取ることができていません」と付け加えました。

2009年の書簡のなかで批判された電子メールやソーシャル・ネットワークのプロバイダーはすべてその後、HTTPSを選択可能あるいは強制的な接続方法として各々のサイトに設定しています-ヤフーを除いて。

Cyber Arabsはこの書簡をアラビア語に翻訳して[ar]サイト上に掲示し、Free Press unlimitedはオランダ語、Annalistはドイツ語に翻訳したもの[de]を掲示した。

セキュリティの専門家たちや人権団体は、「ヤフーは現在にいたっても必要不可欠なセキュリティ保護を行っていないため」Yahoo!メールを利用しないようユーザに忠告している。Tactical Technology Collectiveがサイト上にのせている動画[en]のなかで指摘しているように、この忠告はまさにHTTPSでの接続が不可能なすべての電子メールサービスに当てはまる。

Yahoo!メールの深刻な欠陥が補完されない限り、ユーザのデータはHTTP、つまり中間者攻撃をうけたり傍受[en]されたりする可能性の高い危険な接続方法で送信されることになる。これまで述べてきたように、ヤフー以外のオンラインサービスの大手プロバイダーはHTTPSによる暗号化を基本的な安全対策として実施しており、そのなかには2012年11月に常時HTTPSを使用できるサービスを開始したフェイスブック[en]も含まれている。このような世界各地からの要請の声が、速やかにこの問題を解決するようヤフーを後押ししてくれることを願っている。一日も早くその日が訪れてほしい。

校正:Rie Ihara

コメントする

Authors, please ログイン »

コメントのシェア・ガイドライン

  • Twitterやfacebookなどにログインし、アイコンを押して投稿すると、コメントをシェアできます. コメントはすべて管理者が内容の確認を行います. 同じコメントを複数回投稿すると、スパムと認識されることがあります.
  • 他の方には敬意を持って接してください。. 差別発言、猥褻用語、個人攻撃を含んだコメントは投稿できません。.