はじめに
暗号技術は、私たちの生活を守るインフラの一部になっています。
しかし市場には「安全そうに見えるが、実際には根拠のない暗号」も存在します。
このような怪しい暗号方式や製品を、セキュリティ業界では 「Snake oil cryptography(スネークオイル暗号)」 と呼びます。
Snake oil の由来
「Snake oil(蛇の油)」とは、19世紀のアメリカで売られていた 偽の万能薬 を意味します。
「飲めば何でも治る」と宣伝されたものの、実際には効果がない詐欺商品でした。
そこから転じて、「安全そうに見せかけているが、中身が伴わない暗号」 を「スネークオイル暗号」と呼ぶようになりました。
スネークオイル暗号の典型的な特徴
- アルゴリズムを非公開にして「独自技術」と宣伝する
- 「軍用レベル」「絶対に解読できない」 といった曖昧なキャッチコピーを強調
- 学術論文や第三者レビューが存在しない
- 標準化団体(NIST, ISO など)の承認を受けていない
- 実は単純な置換・XORなど、素人でも破れる暗号にすぎない
Kerckhoffsの原則との対比
セキュリティの世界では Kerckhoffsの原則 が基本です。
これは「暗号方式は公開されていても、秘密鍵がなければ解読できないことが安全性の条件」という考え方です。
「秘密だから安全」という発想は Snake oil の典型です。
実際のスネークオイル事例
1. 独自暗号を売りにした製品
ある企業は「軍用レベルで絶対に解読不能」と宣伝したストレージ製品を販売しました。
しかし暗号方式は独自かつ非公開で、実際には単純な XOR処理 しか行っていないことが研究者により発覚。
→ 数分で解読され、信頼を完全に失いました。
🔗 Wikipedia: Snake oil (cryptography) – XOR only disk encryption
2. 「量子耐性」をうたった怪しい暗号
近年「量子コンピュータでも破れない」と宣伝する暗号がいくつも登場しました。
しかしほとんどは論文すらなく、根拠が不明。
→ 標準化の議論(NIST PQCプロジェクト)では採用されず、自然淘汰されました。
🔗 NIST Post-Quantum Cryptography Standardization Project
3. 独自ハッシュ関数
ある会社は「SHAより安全」と主張する独自ハッシュ関数を公開しました。
しかしセキュリティ研究者がすぐに 衝突攻撃 を発見し、実用に耐えないことが証明されました。
🔗 Bruce Schneier – Snake Oil FAQ & critiques of proprietary hashes
見抜くためのチェックポイント
- アルゴリズムが公開されているか
- 標準化された暗号(AES, RSA, ECC, SHA-3など)を使っているか
- 第三者(研究者・専門家)のレビューがあるか
- 「絶対に安全」という宣伝文句を使っていないか
まとめ
- Snake oil cryptography =「根拠のない怪しい暗号」
- 名前の由来は「インチキ万能薬」
- 特徴は「非公開」「根拠なし」「曖昧な宣伝文句」
- 安全な暗号を選ぶには、公開・標準化・レビュー済みのものを選ぶことが大切
暗号は「魔法」ではなく「数学」です。
派手な宣伝よりも、実績とレビューに裏付けられた暗号を使いましょう。
クイズ
What do you call a cryptographic method or product considered bogus or fraudulent?(from https://tryhackme.com/)
Snake oil