SecureDrop

SecureDrop（セキュアドロップ）は、ジャーナリストと情報提供者の間で安全な通信を行うための自由ソフトウェアプラットフォーム^[2]。当初は「DeadDrop」の名称でアーロン・スワーツとケビン・ポールセンによって設計・開発された^[3][4]。ジェームズ・ドーランもSecureDropの開発に携わった^[5]。

SecureDrop

SecureDrop SourceのUIのスクリーンショット
作者	ジェームズ・ドーラン ケビン・ポールセン アーロン・スワーツ
開発元	報道の自由財団
初版	2013年10月15日 (11年前) (2013-10-15)
最新版	2.11.1 / 2024年12月20日 (9か月前) (2024-12-20)[1]
リポジトリ	github.com/freedomofpress/securedrop
プログラミング 言語	Python
対応OS	Linux
対応言語	英語
種別	セキュア通信
ライセンス	GNU Affero General Public License、バージョン3
公式サイト	securedrop.org

歴史

アーロン・スワーツの死後、2013年5月15日に最初のSecureDropのインスタンスが「Strongbox」の名称でザ・ニューヨーカーの従業員によって設置された^[6]。報道の自由財団は「SecureDrop」の名称でDeadDropの開発を引き継ぎ、プロパブリカ、ガーディアン、ジ・インターセプト、ワシントン・ポストを含む複数の報道機関でSecureDropの導入を支援した^[7][8][9]。

セキュリティ

SecureDropは匿名化ネットワークであるTorを使って内部告発者やジャーナリストと報道機関との間に通信を確立する。このため、SecureDropのサイトはTorネットワークのOnion Serviceとしてのみアクセス可能である。利用者がSecureDropのサイトを訪問すると、ランダムに生成されたコードネームが与えられる^[6]。このコードネームは情報を特定の編集者にアップロードして送るのに使う。調査報道を行うジャーナリストは、SecureDropのメッセージング機能を使って内部告発者と連絡することができる。したがって、内部告発者は自分のランダムなコードネームをメモしておく必要がある^[3]。

SecureDropは、報道機関が所有する専用の隔離されたサーバを利用する。ジャーナリストは2本のUSBメモリと2台のパーソナルコンピュータを使ってSecureDropのデータにアクセスする^[3][6]。1台目のコンピュータはTorネットワーク経由でSecureDropにアクセスするのに使い、ジャーナリストは1本目のUSBメモリにSecureDropサーバから暗号化されたデータをダウンロードする。2台目のコンピュータはインターネットに接続せず、再起動のたびに初期化される^[3][6]。2本目のUSBメモリには復号用のコードが入っている。1本目と2本目のUSBメモリを2台目のコンピュータに接続すると、ジャーナリストが情報を閲覧できるようになる。コンピュータは使用後に毎回シャットダウンする^[3]。

報道の自由財団は、SecureDropのソースコードとセキュリティ環境を各メジャーバージョンのリリース時に独立した第三者機関に依頼して監査し、結果を公表するとしている^[10]。1回目の監査はワシントン大学のセキュリティ研究者とブルース・シュナイアーによって実施された^[11]。2回目の監査はドイツのセキュリティ企業であるCure53（英語版）によって実施された^[10]。

SecureDropは匿名性を維持するため、情報提供者にJavaScriptを無効化するよう呼びかけている^[12]。

賞

• 2016年: フリーソフトウェア財団、Free Software Award、Award for Projects of Social Benefit^[13]