(CDT)何が間違っているのか?エンド・ツー・エンドの暗号化を廃止しようとするAppleの誤った計画

Categories
< Back
You are here:
Print

(CDT)何が間違っているのか?エンド・ツー・エンドの暗号化を廃止しようとするAppleの誤った計画

(注意:以下は機械翻訳のままで校正前のものです)

何が間違っているのか?エンド・ツー・エンドの暗号化を廃止しようとするAppleの誤った計画
2021年8月11日 / Emma Llansó

先週、アップル社は、暗号化されたメッセージやiCloudファイルストレージサービスにバックドアを導入する計画を発表し、爆弾発言をしました。CDTは、他の多くの人権擁護団体やセキュリティ専門家とともに、これらの変更を中止し、世界中のiOSデバイスへの監視・検閲インフラの展開を停止するようAppleに求めています。

これらの変更は、児童性的虐待資料(CSAM)の配布に対処し、メッセージを介して起こりうる「グルーミング」やその他の種類の児童搾取を阻止するための方法として提案されています。これらの目標は立派なものですが、アップル社はこの目標を達成するために間違ったアプローチをとっています。Apple社は、新機能の適用範囲を制限するために設計されたいくつかの政策的選択に依存していますが、政策的選択は、新しい技術的能力を拡大し、再利用するための政府の義務に転嫁することができます。Appleの変更は、エンドツーエンドの暗号化に依存してオンラインでの安全な通信を行っている子どもや10代の若者、その他の弱い立場の人々に新たなリスクをもたらし、Apple製品のすべてのユーザのプライバシーとセキュリティを脅かすことになります。

ここでは、Appleがユーザーにもたらす6つの大きなリスクをご紹介します。

1. 各国政府はAppleに対し、画像スキャンツールを他の種類のコンテンツにも拡大するよう要求するでしょう。アップルは、ユーザーが画像をiCloudにアップロードする前に、クライアント側で画像をスキャンしてCSAMの可能性を検出できるようにする予定です。そのためには、National Center for Missing and Exploited Children(NCMEC)や未確認の “その他の子どもの安全に関する組織 “に過去に報告されたコンテンツのファイルのデジタル指紋であるハッシュを使用する予定です。今回のアップデートにより、ユーザーがiCloudにアップロードしようとするすべての写真がスキャンされ、まずCSAMにマッチする可能性があるかどうか評価されることになります。

アップル社は、これまでの「ユーザーのプライバシーを損なう政府の強制的な変更」を「断固として拒否」してきたとしていますが、今回のiOSのアップデートでは、大幅な追加検閲を可能にする技術的アーキテクチャを自主的に導入することになります。世界中の政府はハイテク企業に対し、テロリストのプロパガンダ疑惑から著作権侵害まで、あらゆるものに対抗するためのより積極的な対策を講じるよう圧力をかけており、そのためにフィルタリングやハッシュデータベースを利用しています。ハッシュデータベースは、問題のあるコンテンツを識別するための切れ味のよくないいツールです。ハッシュは、一致する可能性が高いことを示すだけで、画像の広範な文脈やユーザーがその画像を所有する理由については何も明らかにしません。ほとんどの国で犯罪となるCSAMの所持を文脈的に正当化することはできませんが、その他の種類の画像については、創造、研究、教育、アーカイブ、ジャーナリズムなどの正当な目的で保存されていることを、より微妙に理解した上で考慮する必要があります。

2. 各国政府は、iCloud上のコンテンツをスキャンするだけでなく、ハッシュデータベースの利用を拡大するようAppleに働きかけるでしょう。アップルが直面するであろう実質的なスコープ・クリープの要求に加えて、他のアプリやサービスでクライアント側のハッシュ・マッチングを使用するよう政府からの圧力にも直面することになるでしょう。アップルは、iOSに搭載されているハッシュデータベースを使って、メッセージで送信された画像を検出したりブロックしたりすることは今のところ考えていないと明言していますが、このツールをより広く利用できるようにするよう圧力を受けることは間違いありません。

Apple社がクライアント側でCSAMをスキャンする機能を導入すれば、携帯電話に保存されているすべての画像、メッセージアプリで送信された画像、ユーザー生成コンテンツサイトにアップロードされたあらゆる種類のファイルをスキャンするよう要求される可能性が出てきます。また、CSAM画像をNCMECに報告するだけでなく(米国の法律で義務付けられている)、入手した情報を法執行機関と共有することも求められるでしょう。(例えば、EUのデジタルサービス法の草案には、「重大な犯罪」に関連すると思われる情報を法執行機関に通知することをサービスプロバイダーに義務付ける条項が含まれています)。) Apple社は、クライアント側でのスキャンを、画像を検査するための「プライバシー保護」の手段とすることで、今回の決定がプライバシーに与える真の影響を不明瞭にし、この技術の広範な使用を求める政府の要求を招いています。

3. Appleの「性的に露骨な画像」分類法は間違いを犯す可能性があります。アップルは、メッセージの変更の一環として、ユーザーのデバイスに機械学習の分類器をインストールすることを計画しています。この分類器は、アップルの「ファミリー共有」サービスの「子ども」アカウントとの間で送受信されるすべての画像をスキャンすることができます。親」のアカウントがこの機能を有効にすることで、「性的に露骨な」画像を検出し、「子」のアカウントに画像に関する警告を送信し、12歳以下の子どもの場合は、子どもが画像を送信または閲覧した際に「親」のアカウントに通知します。

ハッシュデータベースは、提供者がすでに知っているコンテンツとほぼ完全に一致するものを識別するように設計されていますが、分類器は、検出するように訓練されたコンテンツについて、これまでに見たことのない例を識別するように設計されています。このため、これらの分類器は強力なものになる可能性がありますが、エラーが発生しやすくなります。Tumblrでは、「アダルトコンテンツ」を検出するように設計された分類器を導入したところ、誤ってアート、アドボカシー、ミーム、人が飼っている犬の写真デザイン特許に関する投稿などにフラグを立ててしまいました。また、Facebookでは、「大人のヌードと性的行為」の禁止を強化するために分類法を使用しており、ニュース、ジャーナリズム、健康情報などを誤ってブロックしています。

つまり、実際にはおじいちゃんがビーチの写真を共有しようとしているだけなのに、親は誰かが幼い子どもに「性的な写真」を送ろうとしていると言われてしまうことになるのです。このような誤った認識は、家族間の大きな争いを引き起こす可能性があります。何の変哲もない自撮り写真に「デリケート」というフラグが立てられ、それを受け取った人が傷つくかもしれないと言われて恥ずかしい思いをしたり、自撮り写真を送った友人が同じ警告を受け、親や教師にその冤罪を指摘されたりしてトラブルに巻き込まれることもあります。また、このような誤った警告は、芸術、生物学、性と生殖に関する健康についての有益な情報を共有したり読んだりすることを10代の若者に躊躇させる可能性があります。

4. 各国政府は、AppleにMessageのバックドアを使って政治的なメッセージをブロックするよう要求するでしょう。Appleがメッセージでクライアントサイドのスキャンを開始すれば、そのツールを再利用することができます。この機能は現在、オプトインで、ファミリーアカウントでしか利用できませんが、Appleはこのツールを実行するソフトウェアをすべてのAppleデバイスにプッシュアウトし、そこですぐに起動できるようにします。そして、監視ツールがデバイスに搭載されれば、新しいカテゴリーのコンテンツを追加するための小さな一歩となります。中国は、「くまのプーさん」を含むミームや、習近平を侮辱するようなイメージをスキャンするようAppleに要求することができます。また、政府はAppleに対して、「過激派」コンテンツや、好ましくない政治的見解を示すミームのスキャンをメッセージに要求することもできます。

Apple社がスキャンするコンテンツの種類を拡大するだけでなく、政府はさらに、フラグを立てたりユーザーに通知したりするだけでなく、これらのメッセージを完全にブロックするようApple社に要求することもできます。いったんAppleが検出ツールを構築してしまえば、Appleがこのような政府の要求に応じるための技術的能力がないと主張することは非常に難しくなります。Apple社が不適切なコンテンツを送受信しようとしていることをユーザーに警告する「だけ」の場合でも、ユーザーの通信が監視されているという強いメッセージを発信することになり、それによって言論を萎縮させ、反対意見を抑止し、政府の摘発を恐れて活動家同士の関わりを阻害することになります。

5. 虐待する親は、Appleのメッセージツールを使って子供を監視し、罰するでしょう。Appleがメッセージを変更することで、あるユーザーが別のユーザーのアカウントを監視できるようになり、LGBTQ+の子どもたちや精神的な問題を抱える子どもたちなど、弱い立場にあるグループに不均衡な影響を与えることになります。リンクされた一連のAppleアカウントの「親」が、実際に子どものオンライン活動に関する決定権を持つ親であるという保証はありませんし、子どもの最善の利益を考えている大人であるという保証もありません。

子どもが一方の親(または別の家族)と一緒に暮らしながら、別の親が子どもの電話料金を支払い続けることもあります。例えば、サポートしてくれる親とフルタイムで暮らしている12歳の子どもが、トランスジェンダーであることを公表したとします。サポートしてくれる親は、子どもに健康や福祉に関する情報を送りたいと思うかもしれませんが、その中にはAppleの「性的に露骨なコンテンツ」分類でフラグが立てられるものもあります。子どもは、通知の警告画面をクリックしてしまうかもしれません。警告画面では、「親」が通知を受け取ることしか書かれていませんが、子どもの携帯電話のアカウントが実際には親権を持たない親によって管理されている(そして今は監視されている)ことに気づかないかもしれません。

たとえ相手の親が同じように協力的であったとしても、この子は自分の個人的な情報を意図せずに他人に知られてしまったのです。さらに悪いシナリオとして、相手の親がトランスフォビックであったり、虐待をしていたりする場合には、この不用意な情報開示が将来の親権争いの武器になったり、子どもの安全を直接脅かしたりする可能性があります。

6. アップルのメッセージ監視機能は、「親」と「子ども」だけが利用するという保証はありません。Appleは、13歳未満の実際の子どもを持つ実際の親だけがこの新しいツールを使うことを保証する方法を持っていません。アップルはこの新機能を、最大6つのアカウントがアップルのサービスで購入したメディアや購読物を共有したり、家族で共有するアルバムに写真を投稿したりできる「ファミリー共有」サービスと結びつけています。これらの機能は、現在のところ、「ファミリー共有」の設定を悪用しようとする人は少ないかもしれませんが、アップルがスパイウェア機能を導入すれば、その状況は変わります。

メッセージを監視する機能を追加することで、アップルは「ファミリー共有」を魅力的な「ストーカーウェア」、つまり加害者が被害者を監視するために利用できる技術に変えてしまうのです。支配する親は、子供のアカウントの年齢欄を操作することで、13歳という年齢制限を超えても監視機能を維持することができます。家庭内暴力を振るうパートナーは、被害者の携帯電話やインターネットへのアクセスをコントロールしようとすることが多く、アップル社が提供する新しいツールを使えば、パートナーが虐待の様子を記録した画像を送信して助けを求めようとしているかどうかを監視できるようになります。

アップル社は、「この機能の結果、アップル社が通信にアクセスすることはない」ため、このメッセージバックドアはエンドツーエンドの暗号化を破らないとしていますが、これは全くの的外れであり、このアカウント監視機能が多くの悪質な業者にとってどれほど魅力的なものであるかを全く理解していません。

今回発表された変更により、安全なメッセージングサービスやクラウドストレージサービスを提供してきたAppleは、これらのサービスの利用者を危険にさらしています。

また、アップル社や他のハイテク企業は、さまざまな種類の情報の検閲をさらに支援するよう政府からの圧力を強める可能性があります。CDTは、AppleがAppleデバイスに対するこのような変更を行わず、ユーザーに真のエンドツーエンドの暗号化されたメッセージングと安全なファイルストレージを提供することに戻ることを求めています。

出典:https://cdt.org/insights/what-could-go-wrong-apples-misguided-plans-to-gut-end-to-end-encryption/

付記:下訳をhttps://www.deepl.com/translatorで作成しました。

Table of Contents