【ITニュース解説】RC4: From Ubiquity to Collapse — and What It Taught Us About Trust

かつてインターネットの世界で広く利用され、通信の安全を支えていたRC4という暗号技術がある。ウェブブラウザが利用するTLS通信、VPN、そしてWi-Fiのセキュリティ規格であったWEPなど、あらゆる場所でRC4は中心的な役割を担っていた。しかし、現在ではその使用は固く禁じられ、過去の失敗例として語られる存在となっている。なぜ絶対的な信頼を置かれていた技術が、危険なものとして扱われるようになったのか。その背景には、セキュリティにおける重要な教訓が隠されている。

RC4は1980年代後半に設計された「ストリーム暗号」と呼ばれる種類の暗号化方式だ。これは、データをまとまったブロック単位で処理するブロック暗号とは異なり、データを1バイトずつ連続的に処理する。その仕組みは非常にシンプルで、秘密鍵をもとに「キーストリーム」と呼ばれるランダムに見えるバイト列を生成し、暗号化したい平文と1バイトずつXOR（排他的論理和）演算を行うことで暗号文を作成する。復号も、暗号文に対して全く同じ操作を行うだけで元の平文に戻せる。この単純な構造により、RC4は非常に高速に動作し、プログラムも簡潔に記述できた。この手軽さとパフォーマンスの高さが、RC4が爆発的に普及した大きな理由であった。

しかし、そのシンプルさには重大な代償が伴った。長年の研究により、RC4の暗号理論上の欠陥が次々と明らかになったのである。第一に、生成されるキーストリームに完全なランダム性がなく、特定のバイト値が出やすいという「出力の偏り」が発見された。これは、大量の暗号化データを集めて統計的に分析すると、この偏りから元の平文の一部が推測できてしまうことを意味する。第二に、暗号化の準備段階である鍵の設定プロセスに欠陥があり、使用する秘密鍵に関する情報が漏洩する可能性があった。特に、古いWi-Fi規格であるWEPではこの脆弱性が致命的となり、通信を傍受するだけでWi-Fiのパスワードを解読する攻撃を可能にした。第三に、RC4の仕様には、同じキーストリームを二度使わないようにするための厳密なルールが定義されていなかった。もし同じ鍵で同じキーストリームが再利用されると、二つの暗号文を比較することで元の平文に関する情報が容易に漏洩してしまう危険性があった。最後に、RC4は通信内容を秘密にする「機密性」は提供するが、データが途中で改ざんされていないかを保証する「完全性」の仕組みを持っていなかった。これにより、攻撃者が暗号文の一部を操作すると、受信者が気づかないうちに復号後の平文も意図的に変更させることが可能だった。

これらの脆弱性は理論上の脅威に留まらなかった。2005年から2007年にかけて発生した米国の小売大手TJX社の情報漏洩事件は、RC4の弱点が現実世界でいかに深刻な結果を招くかを示した典型例である。攻撃者は店舗の駐車場から、WEPで保護されたWi-Fiの電波を傍受した。WEPはRC4の鍵スケジューリングの弱さを抱えており、攻撃者は収集した大量の通信データからWi-Fiのパスワードを割り出すことに成功した。ネットワークに侵入した攻撃者は、販売時点情報管理（POS）システムに不正なプログラムを仕掛け、数千万件ものクレジットカード情報を盗み出した。この事件は、RC4の既知の脆弱性が、設計のまずいプロトコルと組み合わさることで、壊滅的な被害につながることを証明した。

RC4の崩壊は、現代のシステム開発者に多くの教訓を残している。第一に、「多くの人が使っているから安全」という考えは通用しないということだ。利便性や普及度と、技術的な安全性は全く別の問題である。第二に、セキュリティの強度は、専門家による長年の公開された検証によって証明されるべきだということ。第三に、脆弱性が発見された際に、速やかに代替技術へ移行できるシステムの設計、すなわち「アジリティ（俊敏性）」が不可欠であることだ。最後に、現代の暗号化では、機密性だけでなく、改ざんを検知する完全性も同時に保証する「認証付き暗号（AEAD）」が標準となっている。これはRC4が持たなかった弱点を克服するために生まれた考え方であり、AES-GCMやChaCha20-Poly1305といった現代の暗号方式に組み込まれている。

RC4の物語は、セキュリティにおける「信頼」が、一度確立されたら永遠に続くものではないことを教えてくれる。それは、公開された設計、絶え間ない分析、そして過去の過ちから学んで適応し続ける能力によって、常に獲得し続けなければならないものである。この教訓は、システムエンジニアを目指すすべての人が心に留めておくべき重要な原則と言えるだろう。