GoogleのWeb DRM計画、かつてGoogleが支持していたすべてに反するもの
(techdirt.com)- GoogleがChromeに提案したWeb Environment Integrity(WEI) は、Webサイトがクライアント実行環境を検証できるようにし、Webを事実上DRM化しかねないとして批判を受けている
- WEIは、ユーザーが「安全なAndroid端末」のような環境でWebクライアントを実行中であることを証明し、それを暗号学的に署名されたトークンで渡す仕組みである
- 不正防止を名目としている一方で、Mozillaは支援技術・自動テスト・アーカイブ・検索エンジンのスパイダーといった既存のWeb利用が妨げられる可能性があると見ている
- Braveは、WEIがユーザーではなく大規模Webサイトやプラットフォームに権力を移すとして、Braveブラウザには搭載しないと明らかにした
- リモート証明をWeb標準に組み込むと、善意の用途だけでなく、ブラウザ排除、広告ブロック制限、プラットフォーム統制強化にも使われうる
ChromeのWEI提案が呼んだWeb DRM論争
- GoogleはChromeにWeb Environment Integrityを導入する案を提案した
- このシステムは、Webサイトがクライアントコードが実行される環境の中核的な事実を証明するトークンを要求できるようにする
- 例として、ユーザーが「安全なAndroid端末」でWebクライアントを実行中であることを示せる
- トークンは暗号学的署名によって改ざんを防ぐ構造になっている
- Webサイトは、attesterが返した判定を信頼するかどうかを自ら決める
- Googleの説明では、attesterは実務上、OSやプラットフォームから提供される可能性が高い
- 提案文書は、AppleのApp AttestやAndroidのPlay Integrity APIのような既存のネイティブ証明シグナルから着想を得ている
- 不正防止の観点では、決定的な判定と高いカバレッジは有用になりうるが、Webサイトが特定のattesterや証明不能なブラウザを排除する危険も残る
リモート証明が変えるコンピュータの権限関係
- Cory Doctorowの説明によれば、Microsoftは約20年前にNext Generation Secure Computing Base、あるいはPalladiumと呼ばれるtrusted computing構想をElectronic Frontier Foundationに提示した
- その中核は、ユーザーのコンピュータ内に別個の装置を置き、ブートローダー・OS・アプリケーション・拡張機能・カーネル状態などを観測して、署名付きマニフェストを外部の検証者へ送るリモート証明(remote attestation) である
- リモート証明は、互いに信頼していない人々がそれぞれのコンピュータ構成を確認できる強力な機能になりうる
- 在宅勤務環境で会社が従業員の端末構成を確認するような、有益で合意された利用も可能である
- 同時に、Word文書をOpenOfficeで開けなくしたり、SMBとSambaを区別してネットワークアクセスを遮断したりするような排除にも使える
- 核心的な論点は、ユーザーが望まないときでもコンピュータが外部に「真実」を語らなければならないのか、またユーザーが制御できない機能を他者がリモートで起動できるべきなのかという点にある
MozillaとBraveが反対した理由
- MozillaはGitHub上の議論で、WEIはオープンWebに反するとして反対した
- 選択肢を制限するメカニズムはWebエコシステムの開放性を損ない、ユーザーにとっても望ましくないというのがMozillaの立場である
- 提案されたユースケースは「人間ではないトラフィックの検出」能力に依存している
- この方式は、支援技術、自動テスト、アーカイブ、検索エンジンのスパイダーのように、人間向けコンテンツを受け取って変換・テスト・索引化・要約する既存のWeb利用を妨げる可能性がある
- 「holdback」のようにランダムに証明を生成しない安全策は効果が限定的で、懸念を解消するには不十分だと見ている
- BraveもWeb Environment Integrityへの反対を表明し、BraveブラウザにWEIを搭載しないと明らかにした
- Braveは、WEIがユーザーではなく大規模Webサイト、特にGoogleが運営するWebサイト側へ権力を移すと見ている
- Chromiumを使っていても、WEIは含めない方針である
- WebAuthnの一部やPrivacy KeysのようにWEIと似ていてもより限定的な機能についても、善意の利用を壊さない範囲で制限する案を検討している
広告ブロックとプラットフォーム統制への懸念
- Alex Ivanovsは、WEIの副作用の1つとして、Googleが広告ブロックを事実上阻止できる可能性を指摘している
- attesterを支配する主体がクライアント環境を検証すれば、Googleや他の大手テック企業が信頼スコアを操作し、どのWebサイトまたはブラウザ環境を信頼するかを決められるのではないかという懸念が生じる
- BraveはWEIを、Googleの近年のWeb提案の流れと結び付けている
- WebBundlesは、ユーザーが望まないページ内容をブロックしたりフィルタリングしたりしにくくすると見ている
- First Party Setsは、どのサイトがユーザーを追跡できるかをユーザーが判断しにくくすると見ている
- Manifest V3によるブラウザ拡張の弱体化は、uBlock Originのような広告・トラッカー遮断拡張の制御力を下げると見ている
- Braveは、こうした機能をBraveブラウザでは無効化または修正するとしている
オープンWebにおいて権力はどこにあるべきか
- WEIが対処しようとしている不正や悪用の問題は実在するが、提案された方式はオープンなインターネットの構造を根本から変えてしまう
- 権力をネットワークのエッジへ押し出すのではなく、Webサイトやプラットフォーム側へ中央集権化する点が核心的な批判である
- 政府監視のような陰謀論的説明を退けたとしても、この提案自体が悪く危険であり、オープンWebの原則に反している
- Googleの動機が善意だったとしても、この種の道具が今後も善意だけに使われ続ける保証はない
- オープンWebを支持するならWEIに反対すべきであり、Google自身もこの提案を退けるべきである
1件のコメント
Hacker News のコメント
Googleを反トラスト法に基づく分割の対象にするよう、強くロビー活動すべき時期に来ている
今回のDRM計画は独占的地位の乱用であり、強制分割を政治的に推し進める名分をさらに与えるものだ。Alphabetは買収で大きくなった会社なので、分割も比較的明確にできる。Googleは検索と検索広告だけ、DoubleClickはサードパーティサイト広告、AnalyticsはWebサイト向けサービス、Cloudはデータセンターサービス、Androidはデバイス、Chromeはブラウザ、YouTubeはストリーミング、Waymoは自動運転、Alphabetはその他、という形に分ければよい
ChromeがGoogleやDoubleClickから切り離され、シェア争いをしなければならなくなれば、DoubleClickやGoogle広告のブロックを妨げるインセンティブは小さくなる。テキサス州と複数州の司法長官による訴訟もすでに進行中であり、Googleが技術的に独占を固めようとする動きは、こうした訴訟に有利に働く。政治的に大きく騒げば、反トラスト法専門の弁護士の助言に従って、Googleがこの提案を取り下げる可能性はかなり高い
https://www.bloomberg.com/news/articles/2023-06-05/google-an...
https://www.lanierlawfirm.com/google-antitrust-lawsuits-expl...
Googleは、デジタル資産である広告の唯一の売り手であり、その資産の唯一の市場運営者でもある。そして公開監査のない閉じたアルゴリズム取引システムを持ち、誰がいくらで入札したのかを示す公開台帳もない。同時に、自社製品を広告する主要顧客でもある
広告主はサイトにトラッキングコードを設置しなければならないため、Googleは取引、売上、顧客をすべて見ることができる。閉じたアルゴリズムと広告市場が合わさると、操作の余地は非常に大きい。最も重要な分割は、広告事業を検索を含むその他の事業から切り離すことだが、容易ではないにせよ変化は必要だ。現実的には、オンライン広告市場への強い規制、事業部門間の分離ファイアウォール、プラットフォーム監査の方が可能性が高そうに見える
Webやメールのような基盤にまで深く食い込んだ企業の「世界中の情報を整理する」という使命は、今や「世界中の情報の前にできるだけ多くの有料仲介者を置く」、あるいは一部の情報を完全に遮断する、というものに変質したように見える
1社に「世界」の情報を実質的に管理させてはいけない。Alphabetを正確にどう分割すべきかは分からないが、分割すべきだという点には同意する。情報が自由であるべきなら、Googleがその守護者のふりをしない世界で、その自由をどう守るのかも改めて考える必要がある
https://techcrunch.com/2023/04/25/google-cloud-turns-profit-...
赤字であること自体は問題ではない。利益を出す前に投資は必要だし、Google Cloudのようなサービスは軌道に乗れば現金製造機になり得る。ただ、クラウド事業者はサードパーティやパートナーに資金を注ぎ込み、企業に売り込み、構築させている。あるオランダの花取引所の会社は数百のサービスをAWSへ移行中で、新しいITマネージャーの1人はAWS販売に関してAmazonとつながりがあるように見えた。いったん入り込むと、抜け出すには数百万ドルと何年もの時間がかかるため、AWSからGCPのような横移動はあまり起きないだろう
Chromeは主に、広告事業がより多くのデータを得て、Webの方向性に影響力を行使するために存在している。それを切り離すと、ChromeOSで少し稼ぐ以外には収益源がなく、Chromeを維持するのは難しくなる
Googleにこの提案を諦めさせるための政治的手段だというのは理解している。だがGoogle/Alphabetの分割は非現実的であり、Microsoftも同時に分割しない限り望ましくない。そうしなければMicrosoftが再びWebを支配することになりかねず、あの時代をもう一度経験したくはない
これは、OEMには選択肢がありGoogleの独占ではないというGoogleの主張を事実上崩すものだ。問題は、Googleがレーダーの下にとどまるのに長けていることだ。Apple、Google、Microsoftの製品を使わない少数の人だけが気づいており、政治家や一般大衆、影響力のある人々はほとんど知らない
今回も同じように、誰も気にしない可能性が高い。説明するには複雑すぎるため、気にかけるべき人たちもまた目を背ける気がする。核心は、懸念している少数派が十分に声を上げていないことにある。脱Google化したAndroidを妨げる銀行などに圧力をかけ続ける必要があり、残っている「良い」サービスの公開リストも必要だ。今のところは、自由なブラウザと自由なOSを実際に使い、GitHubのような場所であってもできるだけ大きく問題提起するしかない。Webの自由について最も声が大きいのはweb3とcryptoだけだが、私には投機で金を稼ごうとする人たちが雰囲気だけを盛り上げているように見える
私たち全員が Google のサービスを無料で便利なツールのように扱ってきたから、ここまで来るのを許してしまったようなもの
「Chrome がどうだこうだ」と言っていると、それが実は世界最大の広告代理店の戦略ツールだという点を忘れてしまう。Chrome や GMail などはすべて、怪しげな広告を押し込み、個人識別情報を吸い上げる地球規模の広告技術フレームワークに組み込まれている
Google は独占と寡占を利用して生活の中に入り込む。Google は怪しげな事業者だというフレーミングを広めるべきだ。信頼できる会社ではなく広告の巨人であり、インテグリティもない。銀行が Google のインテグリティ機能を使うなら、カスタマーセンターに電話して「動かない」と初心者のように長く引き止め、最終的に Integrity + Chrome の話が出たら「怪しげな広告代理店の側に付くのか、信頼できる銀行だと思っていた」と問い詰めるべきだ
ヘルプデスクで重要なのはチケット終了指標と通話時間であって、感情的な爆発は何も変えない
結局、まずデータで支払い、後からまたお金でも支払うことになる。無料のインターネットは一部の人には良いかもしれないが、私たちは購入する製品の価格に含まれた広告税をみな払っている。いっそこの部分課金的な価格モデル全体を禁止し、昔のように物に直接お金を払えば、多くの問題が解決するかもしれない
https://httptoolkit.com/blog/apple-private-access-tokens-att...
そのうち、銀行が Apple デバイスだけを要求する状況をもっと恐れるべきになるかもしれない
2012年に Google Ireland でSRE 職の面接を受けた
家族の事情で結局行かなかったが、しばらくの間、Google 規模の問題を解き、FAANG レベルの報酬を得る機会を逃したことを残念に思っていた
今ではその後悔は完全になくなった。Google の変わりようと、世界における自分たちの役割を理解するやり方が変わったからだ。あるいは、もともとの企業としての本性がよりはっきりしただけなのかもしれない。2000年代の Google は企業世界における善の力だと信じていたが、今ではまったくそうではないと確信している。だから悲しいし、自分の好きなインターネットと FOSS の世界に最終的にもたらす害が怖い
Google を、単一の本当の本性を持つ一つの実体とは見ていない。結局は人々が意思決定する組織だ。ある時は VP8 をオープンソースとして公開して世界的な価値を生み、またある時は意図をもっとよく説明すべきだった実験を行う
Pichai 体制では、自分たちの地位を固定し、競争相手を潰し、WWW をGWWWに変えようとしているように見える
悪名高かった DoubleClick を買収した時でさえ、オンライン広告業界をより良く変えられるだろうと信じてうれしく思った。だがそうはならず、Google は結局そのような低質なオンライン広告会社になってしまった
初期の Google は誠実でまっとうな人々のように見えた。ドットコム崩壊の後、誰もが請求書を払うために収益化に躍起になり、そこに今日の種がまかれたのだと思う
Google は何かを守るふりをしていたかもしれないが、法人になって以降はずっと悪い企業だった。企業は設計上そう動く
関連する例として、Google は自社サービスで10年以上にわたり「IE5+ 専用」のようなことをしてきた。良い製品でブラウザ競争を殺したのではなく、良いサービスを持つか買収した後、それを Chrome をユーザーに強制するために使った。自発的には数十億ドル規模の広告を通じて、非自発的には互換性や性能に関する嘘、あるいは他のユーザーエージェントのブロックを通じてだった
IE は Microsoft が勝ったと勘違いして IE チームを解体し、油断している間に Firefox の前身たちに押された。Firefox は Google が狂ったように Chrome を高速化したことで競争に敗れ、たびたび後れを取った末にほぼすべてのシェアを奪われた。Chrome の支配と Google の市場地位の濫用は歓迎できないが、その寿命の大半において Chrome は良い製品だった
https://www.businessinsider.com/google-sergey-brin-employees...
企業は金を稼ぐか、レバレッジを積み上げようとする。もちろん、実行や競争がうまくない企業もある。初期には善いことをしながらレバレッジを作り、今はそのレバレッジで金のなる木をできるだけ長く搾り取る段階だ
コンピューティング機器は、医師、聖職者、弁護士よりも近いユーザーの代理人だ
私たちはデバイスとより内密な情報を共有しており、デバイスなしに普通の生活を送る能力もはるかに低い。コンピュータは他人や世界との相互作用をますます多く仲介し、コミュニケーションや必須サービスへのアクセスにも必要になっている。家や寝室にまで持ち込むものなので、ユーザーの最善の利益のために行動すべきであり、少なくともユーザーに不利に行動してはならない
これは特別な要求ではなく、基本前提であるべきだ。自由ソフトウェアの概念が生まれたばかりの時でさえ、ユーザーの尊重を中心に据えていた。かつての軽視は、おおむねレントシーキング、過剰な価格、機能やバグへの無関心、作成者に有利なルール程度だった。ソフトウェアが能動的かつ意図的にユーザーに反する可能性はあり、検査・修正・共有の自由が理論上そのリスクへの答えだった。しかし当時は一般的な問題ではなかった。今ではユーザーを積極的に裏切るソフトウェアやシステムが一般化し、正常化しており、ほとんどの人はその事実に気づいていないようだ
私には、もう手遅れのように見える
大多数は単に気にしておらず、そもそも知りたがってもいない、という印象が強い。私の知人のほとんどもそうで、なぜ最新アプリを入れないのかと聞いておきながら、プライバシー、ロックイン、リソースへのアクセス喪失、修理する権利などを説明する前に話を遮ってしまう
個人的には、Gemini、Fediverse アプリ、Linux フォンのような代替手段を学ぶことに、できるだけ多くの時間を使っている。同時に、銀行のような生命維持に近いサービス専用にだけ使う「主流」のノート PC を別に用意し、何もインストールせず、普段は電源を切っている
政府や司法の上層部の腐敗、秘密拘禁施設と拷問、利益のための違法な戦争も同じ。起きているすべてのことに関心を持つのは不可能で、人々がすべてを知ったり気にしたりすることを期待するのも非合理的だ
そのうえ、ほとんどの市民は給料が2回止まるだけで貧困に陥る。一方でロビイストは意思決定者へのアクセス権と現金を持ち、具体的な変化を押し進める。この構造は設計されたもので、Google も他の企業と同じようにそれを利用しているだけだ。「人々」を責めるのは被害者を責めることだ
この記事では、Secure Computing に関する Doctorow の優れた引用を WEI に当てはめている
「あなたがコンピュータに自分のために嘘をついてほしいと思っていても、コンピュータが真実を語るよう強制できるべきなのか? あなたが制御できず、他人が遠隔で作動させられる装置がコンピュータの中にあるべきなのか?」
適切な当てはめであり、文化や、各個人・組織が過去に経験した支配者による濫用の経験によって答えが分かれる根本的な問いだ。個人的には反対だ
取り外せないはんだ付けされたチップが、カーネルなどの「真実」を報告するという文脈なら、コンピュータが真実を語っているかどうかは分からないと思う。DEF CON に一度でも行けば分かる。入り込む方法は常にあり、ハックは常に存在する。ハックを難しくすればするほど、DEF CON のギークたちはさらに強く動機づけられる
また、「他人」は決して「あなたが望む人たちだけ」ではない。犯罪者、ストーカー、権威主義政府が必ず含まれる。だから答えは単純に「いいえ」だ
自動運転車が必ずしも所有者のために動くのではなく、「正しいこと」、つまり真実に従うのだとしたら、避けられない衝突状況で、現在の所有者の利益、メーカーの利益、全員の平均的利益のどれを優先すべきかが問題になる
Google はそもそも何かを守ったことなどなく、do no evil はほとんどマーケティングだった
2010年代を見るだけでも十分だ
https://nakedsecurity.sophos.com/2011/08/26/real-canadian-ph...
「個人情報は収集しない」
https://europe.googleblog.com/2010/04/data-collected-by-goog...
「ああ、収集していた」
https://googleblog.blogspot.com/2010/05/wifi-data-collection...
Google の賃金談合も2001年までさかのぼる
https://www.cnet.com/tech/tech-industry/apple-google-seek-ap...
この件の一つの「副作用」は、Google が事実上 広告ブロックを阻止できるようになることだ
もちろん、多くの人はそれを副作用ではなく最終目標だと見るだろう
誰もがこれを DRM だと当然のように受け止めているように見える
実際の主張は、ウェブサイトがこのシグナルを使ってアクセスを許可または拒否するというもので、これはすでにさまざまな方法で可能です。Google や他のブラウザベンダーは、ウェブサイトが機能をどう使うか、あるいは悪用するかを決めることはできません。
不正対策には決定的な判定と高い適用範囲が必要ですが、ウェブサイトが特定の証明者や証明できないブラウザを排除するリスクもある、という緊張関係があります。このリスクはすでに存在し、実際に起きています。広く普及していない理由は、不可能だからではなく、人気がないからです。強制的に使わざるを得ない銀行のようなサイトは毎日そうしており、選択肢がないため受け入れられています。
多くの記事は、これがどう違うのか、Google がウェブサイトによるユーザーの扱いと何の関係があるのか、どんな解決策があるのかを説明せずに、「DRM」という主張を繰り返しています。Google の取り組みはすべて疑うべきですが、ここでは批判的思考なしに潜在的な悪用をオウム返ししているだけに見えます。このテーマに関する記事は言葉を並べ替えているだけで価値を加えていないので、AI で自動生成しても有用性は同じくらいに見えます。
どのフィンガープリンティング手法が使われているかを把握し、回避できます。たとえば yt-dlp はある程度それを行っています。Android でも、root 化やカスタム ROM を純正 Android のように見せかけて銀行アプリを使い続けようとする支援が多くありました。しかし、アプリが使う SafetyNet のレベルによっては、今では文字どおり不可能です。
TPM ベースの証明以前は、自分のデバイスを制御できました。Android SafetyNet の証明は、カスタム ROM では提供できない信頼のルートに基づいているため、回避できません。独自実装を提供できたとしても、誰もが Google の提供するものだけをサポートするなら意味がありません。LineageOS にも独自の SafetyNet 実装はありますが、採用はほとんどありません。WEI は事実上 SafetyNet をウェブへ拡張するものであり、根本的に自分のデバイスの制御権を奪うという点で異なります。
提案の最初の目的は、「ウェブサーバーがデバイスの真正性とソフトウェアスタック、およびデバイスから出たトラフィックの正直な表現を評価できるようにする」ことです。つまり、ウェブサーバーが、ユーザーの選んだデバイスとソフトウェアスタックからコンテンツにアクセスする権利をデジタルに制限または管理できるようにする、ということです。
これが DRM であることは疑いようがありません。Google は、これはボットや悪用トラフィックを区別するためだけに使われると主張していますが、この技術は容易に悪用でき、Google にはそうする動機も能力もあります。「どんな解決策を提案するのか」という問いは、路上で誰かが銃を頭に突きつけて金を出せと言っているとき、その人の手元に自分の金がないという問題をどう解決するのか、と尋ねるようなものです。しかも、その問題を解くまでは銃を下ろせとも言えない、という条件まで付いているようなものです。
最善に見ても、極めてナイーブな見方にしか見えません。コンテンツのロックやユーザー監視に使える機能は、最終的にそう使われます。現在存在するあらゆる機能がそうであり、そうではないと主張するのは、ほとんど悪意に近いものです。
「ブラウザベンダーはウェブサイトの悪用に責任がない」というなら、ファイルシステム、位置情報、カメラ、マイクへのアクセスを権限ダイアログなしでデフォルト有効にしてもよいのでしょうか。Java と Flash も復活させればよいでしょう。ウェブサイトが悪用するのはブラウザベンダーのせいではないのですから。
これは違います。ブラウザが実行される環境について意味のある証明は、セキュアブートから始まる 完全な信頼の連鎖 なしには達成できず、それは Google と訪問先サイトが Google 承認のブートローダー、Google 承認の OS、Google 承認のドライバーやソフトウェアを検証できるようにします。さらに悪ければ、ウェブサイト承認のソフトウェアまで要求される可能性があります。
子どもに鋭いナイフと装填済みの銃を持たせて、誰かがけがをしたら驚くのでしょうか。この機能を可能にしてしまえば、私たち全員がその結果を引き受けなければなりません。その結果が何になるかは明らかです。愚かなことをしてはいけません。
YouTube のプロダクトマネージャーが広告ブロッカーによる損失を計算した後、Chrome チームにブロックしてほしいと依頼するところを想像するのは、そんなに難しいことでしょうか?