Howdy! How can we help you?
(EFF)プラットフォームと政府が手を組むとき、何がプライベートで何がそうではないか覚えておこう
2025年2月12日
ここ数年、テクノロジー企業と政府の間の親密な関係について懸念が持たれてきた。企業が政府からのデータ提供要請に無条件に応じるか、令状を要求するか、あるいは過度に広範な令状に対して異議を唱えるかは、企業があなたの親友や家族よりもあなたについて多くを知っているかもしれないこの時代において、デジタル世界の「炭鉱のカナリア」のような存在となってきた。例えば2022年、法執行機関はFacebookに対し、17歳の少女のメッセージに関する令状を執行した。そのメッセージは後に、少女が中絶手術を受けたとする刑事裁判の証拠として用いられた。2023年、その計画発表から4年の時を経て、Facebookはメッセージングシステムを暗号化し、同社が通信内容にアクセスできなくなるようにした。
メッセージのプライバシーや、企業と政府の関係は、現実世界において重大な影響を及ぼす。だからこそ、大手テック企業と米国政府の新たな共生関係は、双方にとって、また企業がデータ提供の要請に慎重に判断することを期待する私たちにとって、さらにはテクノロジー規制や消費者プライバシー法の成立の可能性にとっても、不吉な兆しとなっているのだ。しかし、この親密な関係は、ユーザーにとって警戒心を高めるべき事態でもある。CEO同士の親交、官僚的な利害関係、そして思想的な親和性を通じて企業と政府がより深く結びつくにつれ、私たちは皆、どのオンラインデータがプライベートであり、どのデータが企業のサーバー上に保存され、経営陣がいつでもすぐにアクセスできる状態にあるのか、自問すべきだ。
長年にわたり、EFFはユーザーに対し、データの暗号化の価値を理解しているプラットフォームへの移行を働きかけてきた。また、オンライン通信や保存された機密データに対するエンド・ツー・エンド暗号化を標準とするよう、各プラットフォームにも働きかけてきた。この種の暗号化は、あなたと受信者間の会話がプライベートなものとなり、それを運営するプラットフォームやその他の第三者がアクセスできないようにすることを保証する。当団体や、他の数十の関心を持つ団体、テクノロジーユーザー、公的職員の共同の取り組みのおかげで、以前の世代よりもプライバシーを真剣に扱うアプリケーションやプラットフォームの選択肢が私たちに今や豊富にある。しかし、最近の政治情勢を踏まえると、今こそ再確認すべき時だ。どのプラットフォームやアプリケーションがDMを暗号化しており、どれがあなたの機密性の高い個人通信にアクセスできるのか。
プラットフォームが「エンド・ツー・エンド暗号化」と呼ぶものだけでは、万全とは言えない。実装が不十分だったり、セキュリティ研究者の注目を集めるほどの普及度がなく、セキュリティ監査を行う資金が不足していたり、あるいは世間の監視が及ばない、あまり確立されていない暗号化プロトコルが使われている可能性がある。また、誰かがデバイスにアクセスしたり、会話をスクリーンショットで保存したりするような、他の種類の脅威からは守れない。特定のアプリを使用していることが発覚すること自体が、場合によっては危険になり得る。また、事後の情報収集とは異なり、標的型アクティブ攻撃に対抗するには、基本的な実装以上の対策が必要だ。それでも、これは私たちがデジタル上の会話を可能な限りプライベートに保つための最善の方法である。何よりも重要なのは、あなたや人々が実際に利用するものでなければならないという点であり、したがって搭載機能は重要な検討事項となる。
全ての人に最適なセキュリティ機能の組み合わせを提供するプラットフォームは存在しないが、選択肢を理解することで、適切な選択を見極める手がかりとなる。人気のあるソーシャルメディアプラットフォームに目を向けると、Facebook Messengerはプライベートチャットにおいてデフォルトでエンド・ツー・エンド暗号化を採用している(この機能はMessengerのグループチャットではオプションであり、Instagramなど同社の他のサービスでも同様だ)。Xのような他の企業は、オプションとしてエンド・ツー・エンド暗号化を提供しているが、注意すべき点があり、例えば認証のために料金を支払ったユーザーのみが利用可能といった制限がある。また、Snapchatのようなプラットフォームは、過去にエンド・ツー・エンド暗号化について講演を行ったことがあるものの、現在の実装に関する詳細な情報は提供していない。Bluesky、Mastodon、TikTokなどのプラットフォームは、ダイレクトメッセージでエンド・ツー・エンド暗号化を提供していない。つまり、それらの会話内容は、プラットフォームを運営する企業がアクセスできる可能性があり、また法執行機関からの要請に応じて開示される可能性がある。
チャットに特化したアプリについては、さらに多くの例がある。Signalは、ユーザー側での追加設定なしで、デフォルトでテキストメッセージと音声通話のエンド・ツー・エンド暗号化を提供しており、他の選択肢よりも収集するメタデータが少ない。メタデータからは、誰といつ会話したか、あるいは位置情報といった情報が判明する可能性があり、場合によっては、法執行機関が必要とする情報はそれだけであることもある。WhatsAppもエンド・ツー・エンド暗号化に対応している。Appleの「メッセージ」アプリもエンド・ツー・エンド暗号化されているが、チャット参加者が全員iPhone(青い吹き出し)を使用している場合に限られる。Googleメッセージも同様で、全員が適切に設定している場合(自動設定されることもある)に限りエンド・ツー・エンド暗号化される。
もちろん、私たちにはZoom、Slack、Discord、Telegramなど、他にも多くのコミュニケーションツールが利用可能だ。しかし、状況はさらに複雑になる。ZoomやTelegramのようにエンド・ツー・エンド暗号化がオプション機能である場合や、Discordのようにビデオ通話や音声通話には対応しているがテキストチャットには対応していない場合、あるいはSlackのように全く利用できない場合もある。他にも機能セットの異なる多くの選択肢が存在するため、新しいツールを見つけた際は、必ず調査を行うことが重要だ。これは、これらのツールを完全に避けるべきだという意味ではないが、自分のチャット内容がプラットフォーム側や法執行機関、あるいは管理者に閲覧される可能性があることを認識しておくことは、何をいつ話すかを決める上で重要な考慮事項である。
そして、ハイリスクなユーザーにとっては、事態はさらに複雑になる。暗号化されたプラットフォームであっても、全員が互いの鍵を検証しない限り、ユーザーは標的型の中間者攻撃(マン・イン・ザ・ミドル攻撃とも呼ばれる)の被害に遭う可能性がある。ほとんどの暗号化アプリでは手動で鍵の検証を行えるが、自動鍵検証を実装し始めたものもあり、これはセキュリティ上の進歩だ。また、メッセージのバックアップが暗号化されずに企業のサーバーにアップロードされてしまっては暗号化の意味がないため、メッセージをバックアップしないか、あるいはプラットフォーム上でそれが許可されている場合に限り、慎重に暗号化されたバックアップを設定することが重要だ。これらはすべて、アプリが削除されたメッセージや消えるメッセージをどのように扱うかという複雑な問題や、そもそも暗号化アプリを使用していることが発覚するリスクがあるかどうかという問題に踏み込む前段階の話である。
CEOは企業の文化や懸念のすべてを決定づける存在ではないが、私たちのコミットメントや示された優先順位を真剣に受け止めるべきだ。一部の企業が、監視や排除の権限を持つ政府機関にすり寄ろうとしている今、データや機密性の高い通信を別のプラットフォームに移すことは、重要な選択となるかもしれない。結局のところ、たとえ政府の標的となる具体的なリスクがないとしても、プラットフォームから身を引くという行動は、あなたが企業に何を求めているかについて、明確な政治的メッセージを送ることになるのだ。
