月刊FACTA7月号で、LINEが韓国の国家情報院に通信傍受されているとする記事が掲載された。これに対してLINEの森川亮社長が「国際基準を満たした最高レベルの暗号技術を使って通信されていますので、記事に書かれている傍受は実行上不可能です」と反論、さらにFACTAの阿部編集長が「それが破られているというのが本誌の認識」と再反論している。その後LINEはITMediaの取材に対し「暗号化後データは独自形式、解読は不可能」と回答した。
LINEの開発者向けブログによるとLINEはサーバーとの通信に通常TLS/SPDYを使っているが、3G通信などで遅延が大きい場合には利用者の操作性を優先して暗号化せずに通信を行う場合があると書かれている。データセンターは日本にあるとのことなので、FACTAの記事にある韓国政府のサイバーセキュリティ関係者の発言が仮に事実であったとして、少なくとも韓国国内での遅延の大きな3G回線等を経由したLINEの平文通信は適法かつ容易に傍受できたと考えられる。
We allow for non-encrypted connections. SPDY is usually used with TLS, but this slows down connection times and transfers-especially over mobile connections. Thus we decided to allow for non-encrypted connections over a mobile network.
LINE互換クライアント開発者のまとめた解析結果によると、LINEクライアントはgd2.line.naver.jp:443に接続し、メッセージはApache Thrift TCompactProtocolで直列化されているようだ。接続先を確認したところサーバー証明書は2014年4月17日に発行されたGeoTrustの2048bit RSA形式のもので、SSL Heartbleed問題を受けて再発行されたことを確認できる。
CipherにはDHE-RSA-AES128-SHAを使っている。これはGoogleが2011年にOpenSSLコミュニティーに寄付した前方秘匿性をサポートした鍵交換プロトコルで、Lavabit事件のように当局からSSL秘密鍵の提出を要求されたり、HeartbleedでSSL秘密鍵が漏洩したとしても、過去に遡って通信が復号されないよう対策されている。一般のISPが提供する電子メール等と比べても強力なセキュリティー対策が施されているといえる。
公表されている情報を総合して日本国内のLINE利用者による通信を適法に韓国当局が傍受することは難しい。とはいえ我々はスノーデン事件の教訓から、情報機関が各国の法律を無視して国内外の情報収集を行う場合があることを知っている。国家機関による違法な情報収集活動に対して民間事業者のできる対策には限界があり、傍受されていないことを立証するのは悪魔の証明だ。傍受は不可能と強弁するよりは、検証可能な事実を積み上げて、技術的な取り組みを説明した方がリスクは小さいだろう。