- Googleの**Web Environment Integrity(WEI)**提案では、ChromeがOSやソフトウェアの状態に関する改ざん耐性のある情報をウェブサイトへ送信するようになり、ユーザーが自分のコンピュータの発言をコントロールする権限を弱めるおそれがある
- WEIはTPMやsecure enclaveを用いたリモート証明(remote attestation)であり、ウェブサイトがブラウザやデバイス構成をユーザーの自己申告ではなく暗号学的証明で確認できるようにする
- 広告詐欺、中間者攻撃、ゲームのチート、ボットアカウントや偽レビューの削減が名目だが、実際の利益は主に商用サービス運営者にもたらされる可能性が高い
- ウェブサイトはWEIを使って気に入らないブラウザやOSをブロックでき、Googleが提案する「少数のChromeユーザーにはWEIを送らない」という緩和策だけでは排除を防ぎにくい
- リモート証明ツールそのものを禁止する必要はないが、オープンウェブに組み込むべきではなく、ユーザーは自分のコンピュータとソフトウェアについて何を語るかを自分で決められるべきである
Google WEIが変えようとしているブラウザとウェブサイトの関係
- GoogleはChromeに、ユーザーのOSとソフトウェアの状態を改ざん耐性のある情報としてウェブサイトへ送るコードを追加しようとしている
- 広告詐欺を減らすという説明とは裏腹に、この機能はユーザーが自分のコンピュータを制御する能力を弱める可能性がある
- 承認されたOSやブラウザを使っていないユーザーが、一部のウェブサイトでブロックされる可能性もある
- Google社員が作成した非公式の説明文書は、Web Environment Integrity(WEI)が新しいブラウザの参入障壁を高めうることを認めている
ブラウザがウェブサイトに送る情報
- ウェブブラウザはサーバーに接続するとき、デバイスやブラウザに関する情報を自動的に送る
- 例: 「Google Pixel 4でChrome 116.0.5845.61を使用中」といった情報
- サーバーは、インストール済みフォントや画面サイズなど、より詳細な情報も要求できる
- こうした情報は、ウェブサイトがユーザーのデバイスに合わせたファイル形式、解像度、レイアウトを提供するために使われる
- 同じ情報はブラウザフィンガープリンティングにも利用される
- Cookieやその他の追跡を拒否したユーザーでも、ブラウザ特性の組み合わせで識別できる
- 一部のサイトはブラウザやデバイス情報をもとに価格を変えたり、質の悪い・欺瞞的な提案を表示したりできる
ユーザーが虚偽またはランダムな情報を送れるべき理由
- 現在、ブラウザがウェブサイトに送る情報は基本的に任意である
- ユーザーはプラグイン、プライバシーツール、高度な設定を通じて、信用しないサイトに対して望む情報を送れる
- 単に情報を送らないだけでは十分でない場合がある
- サービス側がデバイス情報を要求し、提供しないユーザーを拒否できるためである
- プライバシー・追跡防止ツールは、その代わりにもっともらしいが誤ったデバイス情報を送ることができる
- これにより、サービスがユーザーのプライバシー選択を理由に差別できないようにする
リモート証明とセキュアコンピューティングの仕組み
- 現代のコンピュータ、タブレット、携帯電話の多くには、何らかのセキュアコンピューティング機能が搭載されている
- 初期のセキュアコンピューティングではTrusted Platform Module(TPM)という独立したプロセッサを利用し、多くのデバイスではsecure enclaveと呼ばれる強化されたサブシステムが使われている
- こうしたシステムは起動過程の各段階を監視し、メーカーが提供した変更されていないコードが実行されているか確認できる
- 同じ仕組みは、ユーザーが意図的に別のコードを実行するのを防ぐためにも使われうる
- 例: 自由・オープンソースOS
- 例: 監視機能を無効化したり、メーカーのアプリストア外のソフトウェア導入を許可したりするよう変更したソフトウェア
- TPMやsecure enclaveには暗号学的な署名鍵が含まれている
- OSバージョン、拡張機能、ソフトウェア、ブートローダーなど低レベルコードの情報を収集できる
- その情報を暗号学的に署名した証明(attestation)として提示できる
- リモートサーバーは、ユーザーのブラウザが語る内容を信じる代わりに、デバイスの暗号学的証明を要求できる
回避と研究に伴う法的リスク
- ユーザーがsecure enclaveやTPMの保護を回避できないなら、その証明はデバイス構成の非常に信頼性の高い指標になる
- TPMやsecure enclaveを改変することは、法的に危険になりうる
- DMCA Section 1201、特許、著作権は、こうした技術を調査する技術者に民事・刑事上のリスクをもたらしうる
- セキュリティ機能を無効化または回避する方法を公開すれば、リスクはさらに高まる
- 回避ツールを配布すれば、複数年の刑を含む深刻な刑事・民事リスクを負う可能性がある
WEIが提案するウェブ向けリモート証明
- WEIは、サーバーがデバイスにリモート証明を要求できるようにする技術提案である
- 要求はデバイスのsecure enclaveやTPMに渡され、デバイスは暗号学的に署名された信頼性の高いデバイス説明を返す
- ユーザーはこの情報をリモートサーバーに送らないこと自体はできる
- しかし、自分に必要だと判断したときに、デバイスやソフトウェアに関する改変された情報やランダムな情報を送る能力は失われる
Googleが掲げるユースケースと限界
- Googleのエンジニアは、WEIがさまざまな問題を減らせると考えている
- 実際のユーザーが手動でブラウザを操作しているのか、ボットがサービスを自動操作しているのかを区別する
- 広告詐欺を減らしてパブリッシャー収益を増やし、より良いコンテンツ制作につながるという期待
- 二要素認証のワンタイムパスワードまで横取りして実サービスのログインに使う中間者攻撃の防止
- ゲームで相手が改変されていないゲームを実行し、チートを使っていないか確認する
- ブラウザ自動化ツールを検知・遮断し、偽レビューやボットアカウント大量生成のような不正を防ぐ
- こうしたユースケースには一定の妥当性があるかもしれない
- しかしセキュリティの問題では、プライバシー侵害や個人の自律性の損失が、現実の問題の一部を軽減するための手段としてしばしば用いられる
- 店に入るすべての客に手錠をかければ万引きは減るかもしれないが、万引きは店の問題であって、すべての客がコストを負うべき問題ではない
WEIはブラウザやOSのブロックに使われうる
- Google文書のあるセクションは、ウェブサイトがWEIを使って気に入らないブラウザやOSをブロックできることを認めている
- Googleは緩和策として、ChromeがWEIを実装した後も、本来ならWEI情報を送れるコンピュータのうち「小さな割合」では情報を送らない案を検討しているという
- 理論上、WEIのないブラウザをブロックするサイトは、この少数のChromeユーザーもブロックしてしまい、ユーザーの不満から方針を撤回する可能性がある
- しかし多くのウェブサイトは、どのブラウザやOSを使うかを強制したいと思うかもしれない
- 過去には「このウェブサイトはWindows XP上のInternet Explorer 6.0で最もよく動作します」のような例もあった
- 一部のウェブサイトは、その「小さな割合」のユーザーを失うコストを受け入れられるかもしれない
- ユーザーにブラウザデータを初期化し、そのサイトでWEIが有効になるまで再試行するよう案内することもできる
Googleの利益相反
- Googleは「小さな割合」をどの程度に設定するかについて利益相反を抱えている
- その割合を非常に小さくすれば、より多くの広告クリックを認証でき、Googleの広告詐欺対策部門に有利になる
- 認証済み広告クリックが増えれば、Googleは広告をより高い価格で販売できる
- 割合を高くすれば、ウェブサイトが排他的な挙動を実装しにくくなる
- しかし高い割合はGoogleに直接利益をもたらさず、競合ブラウザを作りやすくする
- この緩和策を実装したとしても、Googleのインセンティブは、オープンウェブを守るには小さすぎる割合に設定する方向へ働く
ユーザーは自分のコンピュータの主人であるという原則
- コンピュータはユーザーのものであり、ユーザーの指示どおりに動作すべきである
- リバースエンジニアリングやコンピュータの再構成を妨げる法律も問題だが、少数の巨大ウェブサイトがインターネットのボトルネックを握っている状況では危険はさらに大きい
- 少数の企業が、買い手と売り手、演者と観客、労働者と雇用者、家族とコミュニティの間の門番になっている
- そうした企業が取引を拒否すれば、ユーザーのデジタル生活は止まりうる
- ウェブは、インターネットに残された最後の主要なオープンプラットフォームである
- 誰でも許可を得たり他者の仕様を満たしたりせずに、ブラウザやウェブサイトを作って参加できるプラットフォームである
- ウェブサイトが「承認済み技術のみ通過可」という仮想検問所を設けたとしても、ユーザーにはサイトが聞きたがる答えを語る権利があるべきだ
WEIの意図と予見可能な悪用
- WEI提案者は、WEIが善意の目的にのみ使われてほしいと述べている
- ブラウザのブロックや、プライバシーを守ろうとするユーザーの排除のためにWEIを使うことも明示的に批判している
- しかしコンピュータ科学者は、技術が実際にどう使われるかを決めることはできない
- ウェブに証明を追加すれば、企業がユーザーのデバイス構成に関する権利を攻撃するために使うリスクは十分に予見可能である
- このリスクは、ユーザーの必要と技術企業の商業的優先順位が衝突するときに特に大きくなる
- WEIは作られるべきではなく、作られたとしても使われるべきではない
リモート証明技術をどう扱うべきか
- リモート証明そのものを禁止すべきではない
- コードは表現であるため、誰もがリモート証明ツールを研究し、理解し、作る自由を持つべきである
- リモート証明ツールには、分散システムの中で用途がありうる
- 投票機メーカーが現地のデバイス構成を確認するために使える
- 危険にさらされた人権活動家が、信頼する技術者にリモート証明を送り、国家支援型マルウェア感染の有無を判断する助けを得られる
- しかし、こうしたツールをウェブに追加してはならない
- オープンプラットフォームにおいて、リモート証明は適切ではない
- ユーザーは、自分のコンピュータとソフトウェアについて他人に何を語るかの最終決定権を持つべきである
企業の問題よりユーザーの自律性が優先される
- 広告詐欺で収益に影響を受ける企業、チーターと戦うゲーム会社、ボット問題に悩むサービスの苦労は理解できる
- しかし、そうした問題の解決が技術利用者の権利より優先されることはない
- ユーザーには、自分のコンピュータがどう動くか、そしてそのコンピュータが他者に何を語るかを選ぶ権利がある
- 自分のデバイスを制御する権利は、デジタル世界におけるあらゆる市民権を成り立たせる基礎要素である
- オープンウェブは、害よりもはるかに多くの利益をもたらしている
- 巨大で独占的な企業にユーザーの技術選択を覆させれば、企業の問題は解決されるかもしれないが、ユーザーの問題は解決されない
1件のコメント
Hacker News のコメント
セキュリティエンジニアとして働いてきた現実的な経験からすると、これがなぜ悪い方向に終わるのかを理解する助けになると思う
銀行はハッキングされた場合のコストが天文学的で、規制も「可能な限り安全に」することを求めるため、セキュリティに非常に敏感な組織である
銀行がオープンな Web や Linux ユーザーを嫌って WEI を導入しようとするのではなく、導入しなければ「セキュリティのためにできることをすべてやらなかった」という責任問題が生じ、訴訟・規制上の処罰・保険料の上昇につながりかねないため、導入することになるだろう
今は WEI がないので要件ではないが、いったん存在すれば標準的な慣行になる可能性が高く、反対する人は CCTV をプライバシー侵害だとして反対する人のように、非現実的に見られることになりかねない
まもなく Cloudflare のような CDN がチェックボックス 1 つで提供するようになり、サイト所有者は受託者責任の観点から、それをオフにするのが難しくなるだろう
2年前まで IE7 を使っていて、業務のかなりの部分はいまだに Excel ファイルをメールでやり取りする形であり、受信したメールに Excel が添付されているという事実自体が妥当性の証拠のように扱われている
認証なしの SMTP リレーも運用していたし、実際のセキュリティは無視しながら業務用ノート PC には Windows を強制している
理由は、システム内のすべての jar を再帰的に展開して log4shell を探す、お気に入りの RAT PowerShell スクリプトを動かすためで、今もそうしている
こうした規則や慣行を作った人たちが、デンマーク中央銀行の決済清算の中核システムも運用している
銀行は安全というより保守的で政治的であり、セキュリティ劇場を維持するために人を苦しめるが、実態は外皮に近い
WEI は間違いなく導入するだろうが、セキュリティをもたらすことはない
ただし銀行は人々のお金を守る実績はかなり良く、それは疑わしい取引をコンプライアンス担当者が手作業で確認する 多層防御 のおかげである
多くの大手機関はいまだに SMS 二要素認証 しかサポートしておらず、それすら義務化されたのはごく最近である
だからこの技術が広まったとしても、銀行口座で強制されるのは最初ではなく、ほぼ最後になる可能性が高いように思える
クレジットカードがひどく安全でないのも似た文脈だ
関心がないからではなく、技術的対策を全体のセキュリティ戦略の小さな一部と見なし、オンラインアクセスも事業の小さな一部であり、基本的に信頼できないものと見ているからだ
Web の大半は認証済みユーザーを信頼するが、銀行は認証済みユーザーであっても概して信頼せず、すべての行動を潜在的なリスクと見るため、認証そのものを強化する優先度が相対的に低い
Web インターフェースがあっても、ログインするには モバイルアプリ が必要だ
ただし反対者が「非現実的に見え、その立場に長くはいられない」という部分はよく分からない
普遍的な監視に反対する人々が大多数にとって非現実的に見えるわけでもなく、立場を変えるわけでもない
少数の企業が、買い手と売り手、演者と観客、労働者と雇用主、家族とコミュニティの間にある ボトルネック を支配し、彼らが取引を拒めばデジタル生活が止まる、という短い段落は、私たちが流れ着いた奇妙な状況をよく要約している
悪影響を受ける利害関係者は事実上、社会全体に近く、こうしたゲートキーパーには、取り込まれた政治家や給与関係者、外部性を無視する市場といった自然な同盟者がいる
それでもなお、ほぼ無限の財政的・政治的・知的資源を持つ社会全体を屈服させられるというのは奇妙だ
すでにシステム規模の マインドコントロール が働いているように見えるほどだ
社会全体が脅迫されているというより、大半の人が単に気にしていないのだと思う
それほど突飛な話ではなく、マインドコントロールではなく昔ながらの 無関心と無知 だ
概ね同意するが、一つ指摘すると、TPM は Technical Protection Module ではなく Trusted Platform Module の略だ
FSF ほどひどくはないが、論評を混ぜる傾向があり、今回の件は誰かが皮肉を言おうとしたように聞こえる
ただし TPM についてのミスか、他の略語と同じように別の展開を導入しようとしているように見える
あえて悪魔の代弁をすると、この技術はすでに存在していて、問題はブラウザでクライアント証明を行うのか、リモート証明など存在しないふりをするのかということです
拒否されれば、「信頼できるクライアント」を必要とするサービスはWebアプリを捨て、iOS/Androidアプリに依存するようになるかもしれません
WEIを擁護したいわけではありませんが、GoogleがChromeに実装しないからといって魔法のように消える問題ではなく、別の場所へ移るだけです
本当の戦いは、そもそもTPMを実装した時点にありました
MicrosoftだけがSecure Bootキーの権限を持っているのと似ています
モバイル機器にはすでに、セキュア領域、セキュリティプロセッサ、SIMカードの暗号機能のような証明機能が数多くあります
恣意的なルールに従って、技術に詳しい人を日常的なインターネットから排除するために悪用されるに決まっている技術は必要ありません
抑制と均衡がなく、ユーザーに強制される非常に広範な権限の束です
これは提案や実験ではなく、強制的な押し込みの試みです
Webがモバイルアプリやネイティブアプリとどう違うのか、クライアント証明のようなAPIがモバイル環境では可能でも、Webプラットフォームに実装されるとなぜ有害なのかをよく説明しています
たとえばWEIの提案は、「Webページの訪問は安全であるべき」という原則(https://www.w3.org/TR/design-principles/#safe-to-browse)に違反します
新機能は、Webページの訪問は一般に安全だというユーザーの期待を保つように設計されるべきです
Webが活力を保つには、ユーザーがあるリンクを訪問するだけでは、コンピュータのセキュリティやプライバシーの本質的な側面に影響しないと期待できなければなりません
たとえば、どのWebサイトでも支援技術の利用有無を検出できるAPIは、その技術の利用者に、知らないページを訪問することを危険だと感じさせる可能性があります
こうした安全性への期待が現実的であれば、ユーザーはWebベースの技術と他の技術との間で informed decision を下せます
ネイティブアプリのインストールはWebページ訪問より危険なので、ユーザーはアプリのインストールではなく、Webベースの料理注文ページを選べます
技術にそれほど詳しくはないが慎重なユーザーの中には、最も信頼する提供元でない限りモバイルアプリのインストールを決して拒む人が多く、この原則は、なぜユーザーが今もWebを好むのかを判断するためのよい枠組みを与えてくれます
かつてのVenmoには完全なWebアプリがありましたが、今ではWeb上で送金も受け取りもできません
Chaseの多くの機能も携帯電話専用です
そして、こうしたアプリのかなりの数は、検出できるなら脱獄済みiPhoneやroot化されたAndroidをブロックします
銀行が要求すれば、単にアクセスが遮断されるだけです
証明デーモンもなく、仮にあっても銀行は信頼しないでしょう
Firefoxが追加しても、私のコンピュータではそのまま動きません
人々はブラウザのことばかり話しますが、私はアドウェアやスパイウェアが組み込まれていないOSを使い続けたいのです
私が所有するコンピュータは私の管理下にあり、リモート証明機能はまさにその管理を妨げるためのものです
これが根本的な問題です
銀行や証券会社が実装すれば、専用の新しいコンピュータを買うか、電話または対面だけで銀行業務を行わなければなりません
とてつもない無駄で、セキュリティにも役立ちませんが、いったん存在すれば、銀行が従うチェックリストに入るでしょう
ここでの目的は、クライアント証明が使われる領域を広げることではなく、狭めることです
少しでも狭まるたびに勝利であり、まずブラウザから取り除き、その後でアプリのネイティブ証明に対処すればよいのです
「拒否すればサービスはネイティブアプリへ行く」という主張は、EMEの時にもそのまま出てきました
今ではEMEの影響を振り返ることができますが、ネイティブアプリへの移行を防げず、Netflixのような企業はEMEを実装しながらも、いずれにせよ行うつもりだった制限の大半を維持し、ブラウザの多様性を損ないました
Webで「単にやらない」と言うことは恐ろしく聞こえるかもしれませんが、脅しに屈しても効果がないことはすでに経験しています
ネイティブへ行きたいサイトは行くでしょうし、WEIひとつがWebに残る、あるいは去るためのビジネス上の正当化にはなりません
ネイティブ専用に行きたいところは、WEIができたからといって急にWebサイトを作るわけではなく、もともとやろうとしていたことをしつつ、ユーザーの自律性を制限する道具箱にWEIを追加するだけです
クライアント証明に依存しようとする企業がWebでの存在を諦めるよう強いられるのは良いことであり、Webの力は過小評価されています
WEIをサポートしないからといってWebが死ぬわけではありません
EFFの記事を勧めるのもよいですが、こうしたキャンペーンを支援するために直接寄付することもできます
すばらしいグッズも作っています: https://supporters.eff.org/donate/
[1] https://www.eff.org/press/releases/international-coalition-r...
[2] https://blog.cloudflare.com/kiwifarms-blocked/
Googleの広告詐欺を減らし、広告事業を助けることを、なぜ気にしなければならないのかわかりません
これはGoogleの問題であり、Googleがもっと儲けるために私の個人用コンピュータの情報を第三者へ渡すことに、私が関与する理由はありません
WEIは、かつての電話網で個人が自分の電話機を所有してネットワークに接続できないようにしていたことに少し似ています
最終的に政府がそれを違法だと宣言しました
これまでこのテーマについて読んだ記事の中で、最も詳細でバランスの取れたものの一つだと思う
ただし他の記事と同様に、Web Environment Integrity について非常に重要な説明が一つ抜けている
これはウェブの一部ではない
完全に Google Chrome の機能のための Google の草案であり、Google は W3C の会員ではあるものの、会員として行っているものではない
Google の利害にあまりにも限定されているため、このような提案が作業部会の憲章にまで進むのは難しいと思う
ウェブへの脅威となる唯一の理由は、すでに独占に近づいている Google の圧倒的な市場支配力にある
このような文書で「Web」という用語が目立って使われることで、ウェブの開放性に長期的な損害を与えかねない短期的な利害を避けるための堅固な手続き[1]を持つ W3C の評判が傷つくのではないかと懸念している
[1]: https://www.w3.org/Consortium/Process/
とてもよく書かれた解説だ。こういう種類の説明をもっと頻繁に見たい
人々はこれを広告ブロック検査として理解していたようだが、元の提案ではブラウザ拡張は WEI とまったく関係ないと明記されていた
WEI は既存のオペレーティングシステムと TPM ベースの証明 API を呼び出し、その証明状態をサイトに提供するものだ
依然として、暗号化反対派が「子どもたちのことを考えろ」と言うのに似て見える
WEI がウェブサイト運営者の行動をどう魔法のように変えるのかについての説明は、まだ見えてこない
運営者はすでに望まないクライアントをブロックできるが、「開かれたインターネット」を実質的に妨げるほどにはそうしていない
Apple が実装しなければ WEI は意味がなく、現在の議論が Apple に与える唯一の影響は、その選択を公にどう取り繕うかという点だろう
まだ自分のコンピュータに自分が命じたことを言わせることはできるので、何を言うかを決める小さな Firefox 拡張 を作った
子どもっぽくて些細なことだが、ときには権利を行使している気分になるのは良いものだ
[1] https://github.com/rogual/wei-gfy