(EFF) 暗号化について「Think Different」なアップルの計画は、私生活へのバックドアを開くことになる

Categories
< Back
You are here:
Print

(EFF) 暗号化について「Think Different」なアップルの計画は、私生活へのバックドアを開くことになる

以下は、電子フロンティア財団のウエッブの記事の翻訳です。

暗号化について「Think Different」なアップルの計画は、私生活へのバックドアを開くことになる
by india mckinney and erica portnoy August 5, 2021

アップルは、iCloudとiMessageに新たな「子供のための保護」機能を含む、差し迫ったOSの変更を発表した。Crypto Warsを少しでも追いかけている人なら、これが何を意味するかわかるだろう。Appleは、データストレージシステムとメッセージングシステムにバックドアを構築することを計画しているのです。

児童搾取は深刻な問題であり、アップルはそれに対抗するためにプライバシー保護の姿勢を曲げた最初のハイテク企業ではありません。しかし、その選択は、ユーザーのプライバシー全体にとっては高い代償となるでしょう。Apple社は、提案されているバックドアにおいて、その技術的な実装がいかにプライバシーとセキュリティを保護するかを長々と説明することができますが、結局のところ、徹底的に文書化され、慎重に検討され、狭い範囲のバックドアであっても、バックドアであることに変わりはありません。

今回のアップル社の計画には失望したと言っても過言ではありません。アップル社はこれまで、EFFが何度も繰り返し述べてきたのと同じ理由で、エンドツーエンドの暗号化を支持してきた歴史的チャンピオンでした。エンド・ツー・エンドの暗号化に関するアップル社の妥協は、米国内外の政府機関を満足させるかもしれませんが、プライバシーとセキュリティにおけるアップル社のリーダーシップを信頼してきたユーザーにとっては、衝撃的な方向転換となります。

同社がすべてのAppleデバイスに搭載しようとしている機能は、大きく分けて2つあります。ひとつは、iCloud Photosにアップロードされるすべての写真をスキャンして、National Center for Missing & Exploited Children(NCMEC)が管理する既知の児童性的虐待資料(CSAM)のデータベースに登録されている写真と一致するかどうかを確認する機能です。もうひとつの機能は、子どものアカウント(未成年者が所有すると指定されたアカウント)で送受信されるすべてのiMessageの画像をスキャンして、性的な内容の画像が含まれていないかどうかを調べ、子どもが十分に小さい場合は、これらの画像が送受信されると親に通知するというものです。この機能は、保護者がオン/オフを切り替えることができます。

アップル社がこれらの「クライアントサイド・スキャン」機能をリリースすると、iCloud Photosのユーザー、iMessageの子どものユーザー、およびiMessageで未成年者と会話する人は、この変更を踏まえてプライバシーとセキュリティの優先順位を慎重に検討しなければならず、このような事態になるまでは卓越した暗号化メッセンジャーの一つであるiMessageを安全に使用できなくなる可能性があります。

Appleは、より広範な悪用への扉を開いている

以前にも述べたことをもう一度言いたい。子どもが送受信する性的に露骨な画像にのみ使用できるクライアントサイドのスキャンシステムを構築することは不可能です。結果として、そのようなシステムを構築しようとする善意の努力であっても、メッセンジャーの暗号化自体の重要な約束事を破り、より広範な悪用への道を開いてしまうことになります。

Appleが構築している狭いバックドアを広げるために必要なのは、機械学習のパラメータを拡張して別の種類のコンテンツを探したり、設定フラグを微調整して子どもだけでなく誰のアカウントでもスキャンできるようにしたりすることです。例えばインドでは、最近可決された規則に、プラットフォームがメッセージの出所を特定し、コンテンツを事前に審査するという危険な要件が含まれています。エチオピアでは、24時間以内に「誤報」のコンテンツを削除することを義務付ける新しい法律が、メッセージングサービスに適用される可能性があります。また、他の多くの国(多くの場合、権威主義的な政府を持つ国)でも、同様法律制定されています。今回のAppleの変更により、エンド・ツー・エンドのメッセージングサービスにおいて、このようなスクリーニング、テイクダウン、報告が可能になります。同性愛を禁止している政府は、明らかにLGBTQ+のコンテンツを制限するように分類器を訓練することを要求するかもしれないし、権威主義的な政権は、人気のある風刺画像や抗議のチラシを見分けることができるように分類器を要求するかもしれません。

このようなミッションクリープは、すでに実際に起きています。もともとは児童の性的虐待画像をスキャンしてハッシュ化するために開発された技術のひとつが、「テロリスト」コンテンツのデータベースを作成するために再利用されています。このデータベースには企業も参加でき、そのようなコンテンツを禁止する目的でアクセスすることができます。このデータベースは、GIFCT(Global Internet Forum to Counter Terrorism)によって管理されていますが、市民社会からの要請にもかかわらず、外部からの監視が行われていないのが問題です。そのため、このデータベースが過剰に機能しているかどうかを知ることはできませんが、暴力や抑圧の記録、反論、芸術、風刺など、批判的なコンテンツに対してプラットフォームが定期的に「テロリズム」のフラグを立てていることは確かです。

iCloud Photosでの画像スキャン。プライバシーの低下

iCloud Photosにアップロードされた写真をスキャンするAppleの計画は、MicrosoftのPhotoDNAと似ている部分があります。その主な違いは、Appleのスキャンがデバイス上で行われることです。処理されたCSAM画像の(監査不可能な)データベースはオペレーティングシステム(OS)内に配置され、処理された画像は、ユーザーが何の画像なのかを知ることができず、その変換された画像に対して、デバイスが一致したかどうかを知りえないプライベートセットの共通集合を使ってマッチングを行います。つまり、この機能が導入されると、すべてのiPhoneにNCMEC CSAMデータベースがアップロードされることになります。マッチングの結果はアップル社に送られますが、アップル社は、あらかじめ設定された閾値に十分な数の写真が一致したときにのみ、マッチしたことを通知します。

一定数の写真が検出されると、その写真はアップル社内の人間の審査員に送られ、人間の審査員がその写真がCSAMデータベースに含まれているかどうかを判断します。人間の審査員が確認した場合、その写真はNCMECに送られ、ユーザーのアカウントは停止されます。繰り返しになりますが、ここでの結論は、プライバシーやセキュリティ面で技術的な詳細がどうであれ、iCloudにアップロードされたすべての写真がスキャンされるということです。

間違ってはいけないのは、これはすべてのiCloud Photosユーザーのプライバシーの低下であって、改善ではないということです。

現在、AppleはiCloud Photosに保存された写真を閲覧するための鍵を持っていますが、これらの画像をスキャンすることはありません。市民的自由の団体は、その機能を削除するように同社に求めています。しかし、Appleは逆のアプローチを選択し、ユーザーのコンテンツについてより多くの知識を得ようとしています。

iMessageにおける機械学習とペアレンタル通知。強力な暗号化からのシフト

アップルの2番目の主要な新機能は、iMessageで送受信される写真のスキャンに基づく2種類の通知です。これらの通知を実現するために、アップルは「性的に露骨な画像」を検出するように設計された機械学習分類器をデバイス上で展開する予定です。アップルによると、これらの機能は(開始時には)、ファミリーアカウントに登録された18歳未満の米国ユーザーに限定されます。これらの新しいプロセスでは、13歳未満の子どもが持つアカウントが、デバイス上の機械学習分類器が性的に露骨な画像であると判断した画像を送信しようとした場合、13歳未満の子どもに、このコンテンツについて親に通知する旨のポップアップ表示されます。それでも13歳未満の子どもがコンテンツの送信を選択した場合は、「親」に通知されることを承諾しなければならず、画像は携帯電話のペアレンタル・コントロール・セクションに削除不可の形で保存され、後で親が閲覧できるようになります。13歳から17歳までのユーザーの場合、親への通知はないものの、同様の警告通知がポップアップ表示されます。

同様に、13歳未満の子どもがiMessageで「性的に露骨」と判断された画像を受信した場合、その写真の閲覧が許可される前に、13歳未満の子どもに「性的に露骨な画像を受信していることが親に通知される」という通知がポップアップ表示されます。この場合も、13歳未満のユーザーが画像を受け入れると、親に通知され、画像が携帯電話に保存されます。13歳以上17歳未満のユーザーも同様に警告の通知を受けますが、この行為に関する通知は親の端末には送られません。

つまり、例えば、これらの機能がオンになっていないiPhoneを使っている未成年者が、これらの機能がオンになっている他の未成年者に写真を送信しても、iMessageがその画像を「露骨」と見なしたという通知や、受信者の親に通知するという通知は受け取られません。受信者の親には、送信者が関与に同意しなくても内容が通知されます。さらに、一度送信または受信した「性的に露骨な画像」は、13歳未満のユーザーのデバイスから削除することはできません。

このようなコンテンツを送受信する場合、13歳未満のユーザーは親に通知されずに拒否することができます。しかし、これらの通知は、アップルがユーザーを見守っているかのような印象を与えます。13歳未満のユーザーの場合、それは本質的にアップルが親に与えた機能です。

また、アップル社は、何が性的な画像であるかを判断するために、監査が困難であることで知られる機械学習の分類法を採用していることも重要です。機械学習技術は、人間の監視なしに使用されると、「性的に露骨な」とされるコンテンツを含め、コンテンツを誤って分類する癖があることが、長年の文書や調査でわかっています。ブログプラットフォームのTumblrが2018年に性的コンテンツのフィルターを制定した際、ポメラニアンの子犬の写真や、完全に服を着ている人の自撮り写真など、他のあらゆる種類の画像がネットに引っかかったのは有名な話です。ヌードを取り締まろうとするFacebookの試みは、コペンハーゲンの人魚姫などの有名な像の写真を削除する結果となった。このようなフィルターは、表現を萎縮させてきた歴史があり、アップル社のフィルターも同様の結果になると考える理由は十分にあります。

性的に露骨な画像」の検出には、デバイス上の機械学習を利用してメッセージの内容をスキャンすることになるため、Appleが誠実であろうとするなら、iMessageは「エンドツーエンドで暗号化されている」とは主張できなくなります。Appleとその支持者たちは、メッセージが暗号化または復号化される前または後にスキャンすることで、「エンド・ツー・エンド」の約束が維持されると主張するかもしれませんが、それは強力な暗号化に対する会社の姿勢の地殻変動を隠すための意味的な操作でしょう。

Appleがどのように呼ぼうとも、それはもはや安全なメッセージングではありません。

念のために説明すると、セキュアメッセージングシステムとは、ユーザーと受信者以外の誰もがメッセージを読んだり、メッセージの内容を分析して何について話しているのかを推測したりすることができないシステムのことです。メッセージがサーバーを通過するにもかかわらず、エンドツーエンドで暗号化されたメッセージは、サーバーにメッセージの内容を知られることはありません。同じサーバーが、メッセージのかなりの部分の内容に関する情報を明らかにするチャンネルを持っている場合、それはエンド・ツー・エンドの暗号化ではありません。今回のケースでは、Appleはユーザーが送受信した画像を見ることはありませんが、親への通知を行う画像をスキャンする分類器を作成していることになります。そのため、アップル社は今後、ユーザーの端末に送られる分類器に新たな学習データを追加したり、より多くの人に通知を送ったりすることが可能となり、容易に検閲を行い、言論を萎縮させられるようになります。

しかし、そのような推論をしなくても、このシステムは、子どもの利益を一番に考えていない親に、子どもを監視・管理する手段を一つ増やすことになり、本来ならば生活が制限されるような人々の世界を広げるインターネットの可能性を制限することになります。また、家族共有プランは、虐待を受けているパートナーによって構成されている可能性があるため、この機能をストーカーウェアの一種として使用することも想像に難くありません。

人々は、未成年者であっても、バックドアや検閲なしにプライベートなコミュニケーションをとる権利があります。Apple社は、ユーザーの端末にこのようなバックドアを搭載しないという正しい判断を下すべきです。

出典:https://www.eff.org/deeplinks/2021/08/apples-plan-think-different-about-encryption-opens-backdoor-your-private-life

付記:下訳にhttps://www.deepl.com/translatorを用いました。

Table of Contents