- Googleの Web Environment Integrity 提案は、ブラウザー環境を「信頼できる」ものにするという名目だが、実際には 広告ブロッカー(ad blocker)の無力化 を狙ったものだと評価されている
- 過去にMicrosoftがVistaへの搭載を試みて断念した Palladium と構造的によく似ており、認証・完全性技術がDRMの強制や競合アプリケーションの排除に悪用される可能性がある
- Androidの Play Integrity API(SafetyNet) に着想を得ているが、root化やカスタムROM利用者にはすでに容易に回避されており、実効性には疑問がある
- 導入されれば Chaseのような銀行 がSecure Bootの強制や広告ブロッカーの禁止を決済条件に掲げることも可能になり、2000年代初頭の閉鎖的なWebへの逆戻りが懸念される
- Palladiumを阻止した前例のように、規制と圧力 を通じてGoogleの試みも止められるという立場
Web Environment Integrityの正体と意図
- Googleの Web Environment Integrity 提案は、ブラウザー環境が「信頼可能」かどうかを確認するという建前だが、実際の目的は 広告ブロッカーの排除 にあるとみられる
- 前提として、執筆者はMicrosoft所属ではあるもののWindowsやEdgeの担当ではなく、この技術について完全な理解に基づくものではなく、自身の理解に基づく個人的見解であると明かしている
Microsoft Palladiumとの類似性
- Web Environment Integrityは、MicrosoftがVistaに搭載しようとしていた Palladium と非常によく似ている
- Palladiumは 認証(attestation)と完全性(integrity) を追加することでWindowsのセキュリティを強化しようとした試みだった
- 同時に、PC全体で DRMを強制 したり、Firefoxのような「信頼されていない」競合アプリを排除したりする用途に悪用される余地があった
- Vistaの長く苦しい開発過程の末にPalladiumは放棄され、その結果Vistaはリリース可能になった
- Palladiumは "Next-Generation Secure Computing Base" に改名されたが、一般にはPalladiumの通称で呼ばれている
- BitLocker、UEFI Secure Boot(Windows 8)、TPM要件(Windows 11)など一部の機能は実際に導入されたが、無効化や回避は可能である
Play Integrity API由来と回避の現実
- GoogleはAndroidの Play Integrity API(SafetyNet) から着想を得ている
- このAPIは、root化された端末でNetflix、Google Pay、銀行アプリなど特定アプリを使えなくするためによく用いられている
- root化後に LineageOS のようなカスタムROMを使うユーザーは、悪性アプリからrootを隠して検査を通過できる
- 非公式のLineageOSビルドを入れた OnePlus 11 でもGoogle Payを日常的に使えている
- Pixel 7などGoogle純正のPixel端末でも回避は容易であり、Play Integrityがどれほど頻繁に破られているかGoogleが認識していないのではないかという疑問が呈されている
- 公式署名されたChromeバイナリだけを許可しない限り、Chromiumを改変して検査結果を偽装することを防ぐ手段はない
銀行・フィンテック適用時の懸念
- 現在のWebにも Chase Bank のような事例がある
- ChaseはWindowsまたはMacだけが「必要」だと主張し、user agentを書き換えない限りBSDやLinux-on-ARMからのアクセスを遮断している
- これが話題にならないのは、Chaseがそれぞれ2〜3%以上のシェアを持つLinux-on-x86とChrome OSは許可しているためである
- 実際、FedoraのノートPCからは変更なしでChase.comにログインできる
- ChaseにWeb Environment Integrityが適用された場合
- 2000年代初頭の最悪のWeb を顧客に押しつけることが可能になり、反発を避けるためにChromebookと一般的なLinuxディストリビューションだけ例外扱いする可能性もある
- さらに、クレジットカードや住宅ローンの支払いのために Secure Boot搭載と広告ブロッカー削除 を義務づけることさえ可能になる
- Chaseに限らずあらゆる銀行に当てはまり、カスタマーサービスや請求支払いに独自アプリを要求するフィンテックではさらに深刻になる(例: X1 credit card)
規制と対応の方向性
- Web Environment Integrityが導入されるなら、すべての政府はGoogle・Apple・Microsoft・adtechを可能な限りあらゆる形で規制すべきである
- 明白なマルウェアでない限り、どのブラウザーでも認証できるようにする アンバンドリング(unbundling)要件 の追加が必要だ
- Windows 8時代の UEFI Secure Boot はLinuxを排除できなかった
- MicrosoftにLinuxディストリビューションへの署名を迫り、デスクトップLinuxが消滅すれば独占禁止法上の懸念が生じることが作用した
- 同じようにGoogleに Vivaldi、Tor Browser のような小規模ブラウザーを許可するよう強制できる
展望と結論
- Web Environment Integrity APIは、Palladiumのように放棄されたChromiumブランチの中で消滅するのが望ましい
- Palladiumと競合していたリセット前の Windows Longhorn ソースも、忘れ去られたAzure DevOpsサーバー上に放置されたまま残っていると推測される
- この戦いは勝ち目のないものではない
- 豊富な資源を持つMicrosoftやPC業界、さらにはNSA・MPAAを相手にしても Palladium阻止に成功 した前例がある
- 強く対抗すれば、Googleによる反ユーザー的なWeb Integrityの試みも止められる
1件のコメント
Hacker News の意見
Palladium との戦いに勝ったことは、実質的にはピュロスの勝利だった。Microsoft はそのアイデアを XBox、Azure Sphere に適用し、今では Pluton の統合を通じて、セキュアなワークステーション向けの将来の Windows ハードウェア要件として再び戻ってきている
https://www.microsoft.com/en-us/security/blog/2020/11/17/mee...
UNIX 側に主に関心がある人たちは、次の PC に Pluton CPU が入る可能性があることを、あまり実感していない気がする
https://www.thurrott.com/hardware/260917/here-come-the-first...
ここでの問題は、ほとんどの人が気にしないことにある。昨夜、飲みの席で彼女にこの状況を説明したのだが、彼女は別分野の高度な研究者で、数学・論理の素養も強いにもかかわらず、「自分が使っているものが動き続けるなら、なぜ問題なの?」以上の意見は出てこなかった
仮想的なリスクなのでその反応も理解はできるが、副作用は全体として否定的で、オープンウェブの性格が危険にさらされている。人々はいつも森の真ん中にある安全な道だけを見て、二歩後ろから飛び出してきて食い殺す怪物には気づかない
このスタンプを受けることは強制ではなく、コンピューターも引き続き正常に動作するが、一部のウェブサイトは使えなくなる。最初は銀行サイト、次にストリーミングサイト、その次にフードデリバリーサービスが遮断され、最終的には主要サービスの大半が、支払いをするまで壁の向こう側に入ってしまうだろう
このインフラは構築と保守が必要で、無料ではないはずなので、FAANG であれ証明サービスを運営する側であれ、サービス利用者に課金し、その費用はエンドユーザーに転嫁される可能性が高い
「オープン」であることが本当に重要なのは、能力のある人なら誰でも貢献できるという意味だからだ。強力な数学・論理の素養を持つ研究者なら、誰が働けるかの審判者を、教会のような権力が自称するとき、産業だけでなく科学そのものが何を失い得るのか理解すべきだ
だからこそ規制機関やさまざまな制度があるのであり、彼らは継続的に情報を持ち、注意を払っていなければならない。単に大衆の怒りが爆発した後にだけ動くべきではない
問題は規制の虜であり、そうした機関が、自分たちに資金を出している人々の利益を守るという任務に失敗していることにある。これは技術の問題ではなく、民主主義とガバナンスの基盤の問題なので、気にしないつもりなら投票もやめて、企業の寡頭支配の中で暮らしているのだと受け入れたほうがいい
国家レベルでも、なぜウクライナや台湾を助ける必要があるのか、なぜカーボンフットプリントを減らす必要があるのか、という話になる。鉛管もよく機能していたし、アスベストもよく機能していたし、喫煙も問題なさそうに見えたが、結局そうではなかった
二次的影響には経験と教育が必要で、結果が即時に現れないとき、人は因果関係をうまく理解できない
もちろん、その夜はソファで寝ることになる可能性が高い
西側のデジタル技術が、いくつかの広告会社に完全に支配されるようになったのは狂っている。社会的目標、経済的目標との利益相反は巨大で、解決策は単純で自然なものだ。
これほど重大な問題が、本来受けるべき最優先の関心と能力をもって扱われていないという事実は、角の生えた男が議事堂を襲撃した事件よりも、米国の政治体制の状態をよく示している。
その規模で意味のある競合は他の広告会社だけで、他の誰も任意のデジタル機器をそこまで効果的に収益化できない。
だから政治的に活動し、効果的に動く必要があるし、元記事がその点を指摘してくれたのもよかった。選挙で選ばれた公務員の結果を扱うときに、人々に投票を思い出させるのに似ている。
広告事業以外に、「どんなデジタル技術を発明しようが関係なく、人気さえあれば山ほど稼げる」と安心して言える事業があるだろうか。支配的なテクノロジー企業の標語に近いと思う。複数のホームアシスタントが失敗した例は明らかだ。人気はあったが、テクノロジー企業がユーザー体験に広告を差し込む方法を見つけられず、稼げなかった。
例えばAIが、米国が西側のデジタル上の物語を支配する能力を追い越し、各国が自国のデジタル上の物語を持つようになるか、あるいは米国対中国の技術・経済戦争の勝者がその役割を担うだろう。第三の選択肢があればいいが、現時点では他の仮定は古びて見える。
インドで育ったが、人口の大半は最新ハードウェアにアクセスできない。ウェブサイトがこうした変更を導入し始めれば、多くの人がインターネットから切り離されることになる。
その多くは周縁化されたコミュニティに属している。インドにはカーストに基づいて人を差別してきた歴史があり、この変更はそうしたコミュニティが利用できるオンラインリソースをさらに制限し、これまでの進展を台無しにしかねない。とんでもないことだ。
インドのインターネット利用者の圧倒的多数はモバイルを使っており、Xiaomiやその他の中国OEMが市場をリードしている。彼らは1〜2年で壊れ、OTAアップデートもひどいスマートフォンを売っている。一部はダウングレードしたりカスタムROMを使ったりするが、大多数は2〜3年ごと、場合によっては1年ごとに新しいスマートフォンを買う。最も貧しい人々でさえ、分割払いでiPhoneを買うこともある。しかも高価な端末を買う必要はなく、ここ数年に出たGMS認証スマートフォンならすべて備えている。
実際のコンピューターはほとんどが完成品PCかノートPCで、2013年以降はSecure Bootが入っている。必須TPMのない最後のWindowsリリースは2025年にサポート終了となり、Microsoftは人々にアップグレードを迫るだろう。
これらは古い機器だ。直近4年以内に出たノートPCなら、新しい閉じたウェブにアクセスできるはずなので、交換は難しくないだろう。
むしろこの「インターネットの終わり」がごく早く来てほしい。そうすれば人々が気づく。ある日、人々は高価な端末でウェブへのアクセスを遮断された状態で目覚めるべきだ。ゆっくり煮え立つ水のように進めば、また止めるには遅すぎることになる。
SafetyNet/Play Integrityを「だませる」のは、古い端末との互換性のためだという点が重要だ。最も強いPlay IntegrityレベルであるMEETS_STRONG_INTEGRITYは、ブートローダーがロック解除された端末では偽装できない。
今大きな問題になっていない理由は、まだ多くのアプリがこれを要求していないからであり、ハードウェアがないかAndroidのバージョンが古くて通過できない古い端末がまだ多いからだ。
数年後には、ロック解除されていないがMEETS_STRONG_INTEGRITYに対応していない端末の数が十分に減り、アプリがこれを要求し始めるだろう。そうなれば、今なおブートローダーのロック解除をしている大半のユーザーにとって、ブートローダーのロック解除の終わりになる可能性が高い。
この問題でFSFを語るなら、StallmanのRight to Readの話は外せない。
https://www.gnu.org/philosophy/right-to-read.html
26年前に書かれた文章だが、どれだけ多くを言い当てていたかを見るために読み返す価値がある。
これが解決しようとしている「問題」の一つは、広告主が広告を見る側がロボットではなく人間かどうかを「知る必要がある」ということだ。
しかし、あまりにも一方的だ。そうであるなら、ユーザーにも、この広告を見せた責任がロボットではなく人間にあるのかを知る権利があるはずだ。もちろん現実はそうではない。この方式は敵、つまりユーザーをひざまずかせ、広告主だけが自動化と完全性検証にアクセスできるようにするだろう。
DIYフォーラムで電動工具の広告を見たり、Stack Overflowで開発者向けツールの広告を見たりすることに大きく反対する人は多くないだろう。問題は、明らかな詐欺、少額課金まみれのモバイルゲーム、オンラインカジノ、消費者である私に何の利益もないものを浴びせられることにある。Googleは消費者、つまり広告主の完全性を検証することに、もう少し集中すべきなのかもしれない。
簡単に捨てられるようには思えない。Googleにはプロジェクトをよく捨てる前歴があるが、検索広告の販売に直接関わるものにはあまり当てはまらない。
世界の指導者たちは、自国民と自分たちの自由が、権威主義の匂いをたっぷり吸い込んだような米国企業一社によって単独で制限されることに対して、もっと公然と反対するものだと思っていた。
広告ブロッカーが Google にとってそこまで大きな問題なのかは確信が持てない。特にモバイルではあまり使われておらず、世の中は明らかにモバイルへ移行している
広告ブロッカーの財務的影響はどの程度だと推定されているのか知っている?
広告詐欺のほうがはるかに大きな問題のように思える。広告詐欺は Google の問題ではないと主張する人もいるだろうが、それでも Google には損害を与える
あるいは今思いついていない第三の理由があるのかもしれない。広告ブロックはあまりにもニッチに見える。単にユーザー追跡の独占をより強固にしようとしているだけでは?
それに正直、目的が広告詐欺の防止だとしても気にしない。それは私の問題ではないし、そもそも Google が作り出した問題で Google がさらに儲けるために、なぜ私がコストを払わなければならないのか。本当に広告詐欺を防ぎたいなら、広告事業をやめればいい。問題解決だ
すでに他のブラウザーが追跡防止やサードパーティ Cookie の制御を主導し、それが Google のビジネスモデルに影響を与えた。そこで Google は Chrome を作り、人々に好まれるよう投資し、自社のウェブサイトで後押しし、Chrome Sync と Passwords で壁に囲まれた庭を作った
その後、Gmail にログインすると Chrome にもログインされるようにし、プライバシーを減らすために使い始めた。ウェブサイトが Google 広告を使っていなくても、訪問したサイトを追跡し、広告改善に活用する
Android で自社ブラウザーに限定されるパスワードマネージャーは Google のものだけで、そこには理由がある
データを改ざんしたのは Google 自身なのだから、自分を責めるべきだ