英国の暗号化バックドア要求に追い詰められたApple、強力なセキュリティ機能を停止

Electronic Frontier Foundation

英国の要求を受けて、Appleは英国内で、Advanced Data Protectionの提供を取りやめることを決定した。この機能は、ファイルやバックアップなどのデータをエンドツーエンド暗号化するiCloudのオプション機能である。

もしAppleが英国政府の当初の要求に屈していれば、その影響は英国一国にとどまらなかったはずだ。居住地や国籍を問わず、世界中のユーザのデータにバックドアを設ける必要に迫られていたことだろう。これまでの歴史が示すように、そして我々が繰り返し警告してきたように、政府のためのバックドアは、ハッキングやなりすまし、不正行為の格好の標的となってしまう。

このような世界規模の要求に直面し、Appleは厳しい選択を迫られた。同社は長年バックドアを作らない姿勢を貫いてきており、2023年に英国政府に提出した文書では、その代替案としてAdvanced Data Protectionなどの機能を使用できなくする可能性に言及していた。英国のユーザに対して同機能を無効化するという今回の決定は、現時点で取り得る最善の策だったのかもしれない。しかし、この決定によって英国のユーザは悪意ある攻撃者の標的となるリスクが高まり、プライバシーを守るための重要な技術を失うことになる。英国政府は自国民の安全と自由を危険にさらす道を選んだのである。

英国の調査権限法は、Appleに対して発令されたようなセキュリティを損なう命令を認めているものの、米国の政策立案者にも一定の対抗手段は残されている。先週、ロン・ワイデン上院議員とアンディ・ビッグス下院議員は、国家情報長官（DNI）宛ての書簡でこう指摘した。両国はサイバーセキュリティや情報共有で緊密に連携する同盟国だが、「政治的手段を用いた外国からの事実上のサイバー攻撃を、米国政府は容認してはならない」。両議員は、米国企業に対して英国が直接データを要求できる特別な地位を与える「暗号化中立」なCLOUD法が、今回のような要求を本当に許容しているのかなど、核心的な疑問を投げかけている。我々は米国議会とその他の関係者に対し、英国への圧力を強め、どの政府からのバックドア要求に対しても米国企業が毅然とした態度を取れるよう支援を求めたい。

英国でエンドツーエンド暗号化バックアップを提供しているのは、Appleだけではない。たとえばWhatsAppのチャットバックアップやSamsung Galaxyのバックアップでも、オプションでエンドツーエンド暗号化を有効にできる。多くのクラウドバックアップサービスが同様の保護機能を備えており、Signalをはじめとする数多くのチャットアプリも会話の安全性を確保している。他の企業に対して同様の要求がなされているかは不明だが、我々は彼らもAppleと同様の毅然とした対応を取ることを期待している。

英国在住のユーザで、まだADPを有効にしていない場合、今後この機能を使用することはできない。すでに有効にしている場合は、Appleから対応方法が案内される予定である。なお、この変更はApple Messagesのエンドツーエンド暗号化には影響せず、パスワードや健康データなど、標準でエンドツーエンド暗号化されている他のデータにも及ばない。だが、iCloudバックアップには長年にわたって抜け穴が存在し、デバイスの暗号化が有効なiPhoneでも、バックアップに保存されたメッセージの内容を含め、本来アクセスできないはずのデータに法執行機関がアクセスできる状態が続いていた。Advanced Data Protectionは、まさにこの抜け穴を塞ぐためのオプション機能だったのである。これが使えなくなると、英国のユーザのファイルとデバイスバックアップはAppleの管理下に置かれ、法執行機関と共有される可能性も出てくる。

我々は英国政府の要求に対するAppleの毅然とした態度を評価する。暗号化の弱体化は基本的人権の侵害にほかならない。プライベートな空間を持つ権利は万人に保障されるべきであり、バックドアの存在はその権利を根底から覆すことになる。英国は行き過ぎた要求を撤回し、Apple――そして他の企業――がエンドツーエンド暗号化されたクラウドストレージのオプションを提供できる環境を整えなければならない。

Cornered by the UK’s Demand for an Encryption Backdoor, Apple Turns Off Its Strongest Security Setting | Electronic Frontier Foundation