Skype(スカイプ)の通話を記録する実証コードが公開され、波紋を広げている。
Skypeは、ルクセンブルグのスカイプ・テクノロジーズ社(現在は米ネットオークションの最大手イーベイの子会社だが売却予定)が開発した、インターネットを使って音声通話やビデオ通話、インスタントメッセージなどを行うサービス。各国の固定電話や携帯電話とも格安で通話できる機能もあり、人気を博している。
スイスのプログラマーが先月26日に公開した実証コードは、Windows版のSkypeソフトウェアに割り込み、通話内容を記録する。Skypeの通信自体は暗号化されているため、ネット上て盗聴するのは困難だが、この方法は電話機に直接ピックアップを取り付けて録音するようなもの。途中がどんなにセキュアでも、末端のユーザーが扱うパソコンやソフトウェアに潜り込めば、簡単に盗聴できてしまうことを実証している。
これは、Webの暗号化通信(SSL:Secure Sockets Layer)も同じことがいえる。パソコン側にキーボード入力を読み取るプログラムを仕掛けたり、ブラウザなどに入り込んで、暗号化前や復号化後のデータを読み取るようにすれば、いくら通信がセキュアでも情報を盗み取ることができてしまう。このような手法でパスワードなどを盗み取ろうとするウイルスが大量に出回っている。
サーバー側に同様のウイルスを仕掛けて盗み取る例もある。先頃、米国で起訴された1億3000万件のクレジットカード情報流出事件や、昨年発覚した国内の通販サイトの顧客情報流出事件などでは、サイト側に不正なプログラムが仕掛けられていた。中にはSSLで受け取ったはずの情報を、暗号化もアクセス制御もないままサーバに置いていたなどというお粗末な例もあり、ここまで来るともはや論外だろう。
通信内容の漏えいにいくら気をつけていても、末端に入り込まれてしまっては元も子もないわけである。そしてその恐れは、文字情報やパソコンに保存してあるファイルのみならず、リアルタイムの通話内容にまで及ぶ可能性が出てきたということだ。
今回公開された実証コードは、各社が「Trojan.Peskyspy」などの名で検出するSkypeのソフトウェアに潜り込むための実行プログラムのほか、それを応用するプログラムなどのソースコード一式が含まれており、悪用されるとSkypeを盗聴する本物のトロイの木馬が出てくる可能性がある。
(2009/09/03 ネットセキュリティニュース)
■Trojan.Peskyspy--Listening in on your Conversations[英文](Symantec)
http://www.symantec.com/connect/blogs/trojanpeskyspy-listening-your-conversations
■Skype Trojan lends an unsympathetic ear[英文](Sophos)
http://www.sophos.com/blogs/sophoslabs/?p=6257