英国は世界の安全を弱体化させている

• 今週、英国は世界全体を危険にさらした
• 2016年に「調査権限法（Investigatory Powers Act）」が成立し、英国の電子監視権限は大幅に拡大した
• 最近、英国はAppleに対し、iCloudへ暗号化バックドアを組み込むよう命じ、しかもそれを公表しないよう求めた
• Appleはこれまで政府によるバックドア要求を拒否してきたが、今回は英国ユーザー向けのiCloud暗号化を全面的に削除することを決めた

高度なデータ保護

• 暗号化とは、認可されていない者がデータを読めないようにする技術である
• 現代の大半のデバイスやインターネット通信は暗号化されているが、サービス提供者はなおアクセスできる場合がある
• 一部の提供者は「エンドツーエンド暗号化（E2EE）」を実装し、データにユーザーのデバイス上でしかアクセスできないようにしている
• Appleの「高度なデータ保護（ADP）」プログラムは2022年に開始され、メール、連絡先、カレンダーを除くほぼすべてのiCloudデータをE2EEで暗号化した
• しかし英国の要求により、Appleは英国でADPを削除した

バックドアとSalt Typhoon

• バックドアとは？
  • バックドアとは、暗号化やソフトウェア内において、開発者が直接アクセスできるように設けられた隠し経路を指す
  • 通常はユーザーの同意なしにひそかに動作し、自発的に提供される技術サポート用アクセスとは異なる
• バックドアは「善人」だけが使えるのか？
  • 政治家や政府関係者はしばしば、バックドアは「善意の目的」のために必要だと主張するが、現実には成り立たない概念である
  • 物理的な裏口と同じく、ソフトウェアのバックドアも悪意ある侵入者を防ぐことはできない
  • 悪意ある行為者は、ソフトウェアの脆弱性を探したり、フィッシング攻撃でユーザーアカウントを乗っ取ったりして回避できる
• バックドアは誰でも悪用できる
  • 内部脅威（insider threat）は現実に存在し、信頼できない従業員がバックドアを乱用する可能性がある
  • たとえばYahooのあるエンジニアは、ユーザーアカウントをハッキングして私的な写真を盗んだ事件を起こした
• Salt Typhoon事件（2024年の米通信網ハッキング事件）
  • 2024年、中国政府が米国および複数国の通信網をハッキングした事件が明らかになった
  • 米国内では少なくとも9社の主要通信事業者（Verizon、T-Mobile、AT&Tなど）が攻撃を受け、このハッキングでは法執行機関向けのバックドアが悪用された
  • このバックドアはもともと裁判所の承認を受けた盗聴のために設計されていたが、結果として中国政府のハッカーにも同じように利用された
  • この過程で、ドナルド・トランプ大統領、カマラ・ハリス副大統領など高官らの通話記録やメッセージが流出した
• 「善人だけが使うバックドア」という概念は虚構である
  • Salt Typhoon事件は、バックドアが悪用されざるを得ないことを示す決定的な証拠である
  • 政治家が「バックドアは安全だ」と主張するのは、現実的にはユニコーンやオークが存在すると言うのと変わらない

より広い文脈で見るバックドア問題

• 英国がAppleにバックドアを強要したことが誤りだと認めたとしても、その影響は英国ユーザーだけにとどまらない
• 今回の出来事は単なる個別事例ではなく、より大きなパターンの中で理解する必要がある
• PGPと暗号化戦争（Crypto Wars）
  • PGP（Pretty Good Privacy）は1991年の公開後、米国政府から兵器同然と見なされ、規制対象となった
  • 法廷で「コードは表現の自由である」という判決が下されたことで、暗号化技術は広く普及できるようになった
  • この判決のおかげで、今日ではTLSやAESなどの技術が一般化し、安全なオンラインショッピングやデータ保存が可能になっている
  • この事件はEFF（Electronic Frontier Foundation）を広く知らしめる契機となり、当時の法的代理人は現在EFF代表のCindy Cohnだった
• 暗号化戦争は続いている
  • 米国でもバックドア導入をめぐる論争は続いている
    • トランプ政権時代、司法長官William Barrは強くバックドアを支持した
    • バイデン政権も2022年の「Kids Online Safety Act」により、間接的に暗号化の弱体化を後押しした
    • EARN IT Act、STOP CSAM Actなど、より強力な規制法案に対するバイデンの立場は不明確である
• 欧州でもデジタル安全への脅威が増大
  • Chat Control: 欧州では、メッセンジャーアプリ（WhatsAppなど）で児童性的虐待資料（CSAM）の検出を義務付ける法案が提案されている
  • Appleも過去に類似のシステムを導入しようとしたが、技術的欠陥と悪用可能性のため撤回した
  • しかし、このような試みは繰り返され、復活し続けている
• 英国政府は #NoPlaceToHide キャンペーンを通じて、暗号化利用者を犯罪者のように描こうとする試みまで行っている
  • オンライン匿名性をなくそうとする動きや、広範なソーシャルメディア監視プログラムなど、プライバシー侵害政策が世界中に拡大している
  • Appleに対する英国の要求は、単に自国民向けのものではなく、グローバルなデジタルプライバシーへの新たな攻撃であり、しかも成功例になりかねない

対応策

• Salt Typhoonやデータ流出の事例を踏まえると、バックドアを推進する人々は技術的理解が不足しているか、あるいは意図的にそれを強行しようとしているように見える
  • 英国政府が暗号化を脅威と見なし、それを弱めようとすることは、結局ユーザーデータを脆弱にし、他国にも同様の試みを正当化する口実を与える
• Appleの英国市場撤退が法的対応のための戦略ではないかという憶測もあるが、信頼できる根拠はない
  • もしAppleが法廷闘争を行って勝利すれば、それはプライバシー保護にとって重要な転換点となるだろう
  • 過去のPGP暗号化とPhil Zimmermannの事例のように、法的勝利はデジタルプライバシー保護の先例となりうる
  • 一国、特に大国の措置は他国にも影響を及ぼし、たいていは負の方向に働く
• ユーザーが取れる行動
  • iCloudの利用をやめる:
    • AppleのAdvanced Data Protection（ADP）は依然として一部の国で提供されているが、すべてのデータをクラウドに預けるのは信頼できる選択とは言い難い
    • 写真、カレンダー、メモ、ドライブ保存領域などは、より信頼できる代替サービスへ移行できる
    • プライバシーとセキュリティを優先する代替サービス一覧
  • 簡単に複製できないデータはデバイス内に保存するか、そもそも使わない
    • 健康データ、通知、デジタルウォレットのようなサービスは、デバイス内保存にするか、あるいは使わないことも検討に値する
    • Apple Walletの利便性は認めつつも、現金利用のほうが予算管理に有効だという研究結果もある
    • 睡眠データ分析がなくても、基本的な睡眠衛生を守るだけで十分な場合は多い
  • 政治参加
    • プライバシー保護法はデータ保護の重要な防波堤になりうる（例: GDPRが適用されるEUでは個人情報検索サイトがほとんど存在しない）
    • 英国市民であれば、議員に連絡し、AppleのAdvanced Data Protectionに関する「技術的能力通知（technical capability notice）」に反対する意思を伝えるべきである
    • 英国拠点の団体（Big Brother Watch、Privacy Internationalなど）を通じて支援を受けることもできる

結論

• プライバシーを重視する人々の中に、犯罪を擁護したい者はいない
• しかし、少数の犯罪者を止めるために市民の自由を犠牲にするのは、均衡を欠いたアプローチである
• 多くのプライバシー侵害政策は「子どもを守る」という名目で推進されるが、それは真の保護ではない
  • 子どもや若者が自由に成長し、失敗から学べる環境が必要である
  • デジタル環境での失敗が永久に残り、個人の自由を抑圧する世界であってはならない
  • 政策ではなく、技術的保護措置こそが実質的な解決策であるべきだ
• 暗号化の禁止は保護ではなく、むしろ危険を招く
• 英国政府によるプライバシー侵害に対処する方法:
  • 英国法の及ばない安全なサービスへ移行する
  • 有権者として政府に反対意見を伝える