プラットフォームと政府の蜜月と、プライバシーの境界

Electronic Frontier Foundation

この数年、テクノロジー企業と政府の密接な関係に懸念の声が上がっている。テック企業が親しい友人や家族以上にあなたの情報を握っている時代にあって、政府からの非公式なデータ提供要請に応じるのか、令状を要求するのか、あるいは広範すぎる令状に抵抗するのかは、デジタル炭鉱にカナリアとなっている。例えば2022年、捜査機関は17歳の少女のメッセージの開示を求めてFacebookに令状を執行した。そのメッセージは後に、彼女が中絶を受けたことを示す証拠として刑事裁判で使用された。2023年、Facebookは計画発表から4年を経て、同社がメッセージ内容にアクセスできないようメッセージングシステムを暗号化を実装した。

企業と政府の関係は、メッセージのプライバシーに影響を及ぼす。ビッグテック企業と米国政府の間に生まれた新たな共生関係は、企業が政府からのデータ要請に批判的な姿勢を示すことへの期待と、テック規制や消費者プライバシー法制定の可能性の双方の先行きを曇らせる。企業・政府の親密な関係には警戒しなければならない。企業と政府がCEOの個人的な交友関係や官僚的なしがらみ、イデオロギーの一致を通じて結びつきを強めている。オンラインデータの何がプライベートで、何が企業幹部の一存でサーバーからすぐに取り出せる状態にあるのかを、見極めなければならない。

EFFは長年にわたり、データの暗号化を重視するプラットフォームへの移行をユーザに呼びかけてきた。また、オンラインでのやり取りやセンシティブなデータの保存に、エンドツーエンド暗号化を標準として採用するよう、プラットフォーム側にも働きかけを続けている。この暗号化技術によって、会話は送り手と受け手の間だけで共有され、運営プラットフォームや第三者からアクセスできなくなる。我々の組織と、数十に及ぶ関心を寄せる団体、テックユーザ、公職者の努力が実を結び、今では以前の世代よりもプライバシーを重視したアプリケーションやプラットフォームの選択肢が豊富にある。しかし、最近の政治的な動向を踏まえると、どのプラットフォームやアプリケーションがDMを暗号化し、どれがセンシティブな個人的なやり取りにアクセスできるのか、改めて確認する時期に来ている。

プラットフォームが「エンドツーエンド暗号化」を謳っていても、絶対的に信頼できるものではない。実装が不十分だったり、セキュリティ研究者の注目するほどにはメジャーではなかったり、セキュリティ監査にかける資金が不足していたり、公的な検証が十分でない新規の暗号化プロトコルを採用していることもある。また、デバイスへの不正アクセスや会話のスクリーンショット撮影といった脅威は防げない。特定のアプリを使用していることが発覚するだけでも、場合によっては危険な状況に陥る可能性がある。また、標的型の積極的な攻撃に対して、事後的な情報収集と同じように防御するには、基本的な実装以上の対策が必要となる。それでもなお、エンドツーエンド暗号化はデジタルな会話を可能な限りプライベートに保つための、現時点で最善の方法である。そして何より重要なのは、あなたと会話する相手が実際に使用できるものであることだ。そのため、機能面も重要な考慮事項となる。

完璧なセキュリティ機能を備えたプラットフォームは存在しないが、選択肢を理解することで、より適切な選択が可能になる。主要なソーシャルメディアプラットフォームを見ていこう。Facebook Messengerは、プライベートチャットではデフォルトでエンドツーエンド暗号化を採用している（この機能はMessengerのグループチャットや、Instagramなどの他のサービスではオプション扱いだ）。Xなどの企業も、オプションでエンドツーエンド暗号化を提供しているが、認証済みユーザだけが利用可能といった制限がある。できるといった具合だ。Snapchatは過去にエンドツーエンド暗号化について言及しているが、現在の実装については詳細を明らかにしていない。一方、Bluesky、Mastodon、TikTokなどのプラットフォームは、ダイレクトメッセージにエンドツーエンド暗号化を採用していない。つまり、これらのやり取りは運営企業が閲覧可能で、捜査機関から要請があれば提供される可能性がある。

チャットに特化したアプリの選択肢はさらに多い。Signalは特別な設定なしでテキストメッセージと音声通話のエンドツーエンド暗号化をデフォルトで提供し、他のアプリと比べてメタデータの収集も最小限に抑えている。メタデータからは、誰と何時に会話したのか、どこにいるのかといった情報が分かり、場合によっては捜査機関にとって十分な情報となる。WhatsAppもエンドツーエンド暗号化を実装している。AppleのMessagesアプリは、全員がiPhone（青い吹き出し）を使用している場合に限りエンドツーエンド暗号化が適用される。Google Messagesも同様で、全員が適切に設定を行えば（自動的に設定される場合もある）エンドツーエンド暗号化が有効になる。

Zoom、Slack、Discord、Telegramなど、他のコミュニケーションツールも数多く存在する。ここでも状況は複雑だ。ZoomやTelegramではエンドツーエンド暗号化がオプション機能として提供され、Discordではビデオ通話と音声通話では利用できるがテキスト会話では利用できない。Slackに至っては、この機能自体が提供されていない。様々な機能を持つその他のツールも存在するため、新しいものを見つけたら必ずリサーチすることをおすすめしたい。もちろん、これらのツールを使うべきではないということではない。チャットの内容がプラットフォーム、捜査機関、管理者から見える可能性があることを意識した上で、何をいつ話すかを選択する必要がある。

リスクに晒されているユーザにとって、状況はさらに複雑になる。暗号化されたプラットフォームでも、全員がお互いの鍵を検証していなければ、標的型中間者攻撃（man-in-the-middle攻撃）を受ける可能性がある。多くの暗号化アプリは手動での検証機能を備えているが、最近では自動鍵検証を導入するものも出てきており、これはセキュリティ面での進歩と言える。また、メッセージのバックアップが暗号化されないまま企業のサーバーにアップロードされるのであれば、暗号化の意味は失われてしまう。そのため、メッセージをバックアップしないか、それに対応したプラットフォームで暗号化バックアップを慎重に設定することが重要だ。さらに、アプリが削除メッセージや消えるメッセージをどう扱うかという問題や、暗号化アプリを使用していることが発覚するリスクなど、考慮すべき点は尽きない。

CEOは企業文化や懸念のすべてを決定するものではないが、彼らのコミットメントや優先順位には警戒すべきである。監視と排斥の力を持つ政府機関に近づく企業が出てきている今、我々のデータやセンシティブな通信を別のプラットフォームに移行することは、重要な選択となるのだろう。政府による監視の標的となるリスクを直接抱えていなくても、特定のプラットフォームから距離を置くという行動は、企業に我々の価値観を示す明確な政治的メッセージとなる。

When Platforms and the Government Unite, Remember What’s Private and What Isn’t | Electronic Frontier Foundation