Proton Mail、サイバーセキュリティ機関の要請で記者アカウントを停止
(theintercept.com)- Proton Mailが、韓国政府システムのハッキングを取材していた記者のアカウントを、サイバーセキュリティ機関の要請に基づいて一時的に停止
- 記者らはアカウント復旧後も、Protonの停止判断プロセスとその根拠について明確な説明を求めている
- 世界中の多くの報道機関がGmailの代替としてProton Mailを利用しているが、今回の事態でプライバシーと信頼性への懸念が提起されている
- Protonは外部機関からの通報を受けてアカウントに措置を講じたことは認めたが、正確な機関名や根拠は明らかにしていない
- 今回の事件は、記者、内部告発者、セキュリティ研究者など脆弱な立場の利用者に向けた保護ポリシー強化の必要性を示唆している
Proton Mail、サイバーセキュリティ機関の要請で記者アカウント停止事件
Protonのアイデンティティと記者アカウント停止
- Protonは「個人データを保護する中立で安全な空間、自由の擁護に献身する」を掲げるメールサービス
- 先月、あるサイバーセキュリティ機関の要請により、韓国政府のコンピューターシステムへのハッキングを取材していた記者2人のProton Mailアカウントが無効化された
- 世論の反発と長い時間を経てアカウントは復旧したが、記者と編集部はProtonのアカウント停止判断プロセスについて明確な説明を求めている
記者保護と今回の事態の波紋
- Freedom of the Press Foundation所属のMartin Sheltonは、多くの報道機関がProton MailをGmailなどの代替として選び、今回のような状況を避けるために同サービスを活用している点に注目している
- 記者がProtonサービスを利用する場合、停止措置のようなセンシティブな問題では非公開のコミュニケーションを優先すべきだという意見が出ている
- RedditでProtonの公式アカウントは、今回の件は「誇張されている」とし、意図的に記者アカウントを遮断したわけではないと主張した
記者アカウント停止の背景
- アカウントが無効化された記者は、Phrack 8月号で韓国政府機関へのハッキングに関するAPT攻撃(高度持続的脅威)の取材記事を書いたSaberとcyb0rg
- 彼らは北朝鮮の犯行とされる「Kimsuky」に似たハッキングを追跡し、**責任ある公開手続き(Responsible Disclosure)**に従って、脆弱性が見つかった関連機関とセキュリティ団体(Korea Internet and Security Agency、KrCERT/CCなど)に事前通知した
- KrCERTは彼らに感謝を示す返信を送っていた
CERTとサイバーセキュリティ通報体制の説明
- CERT(Computer Emergency Response Team)は、セキュリティ事故対応を専門とする組織
- CERTは70カ国以上に存在し、政府または民間で運営され、さまざまな分野に特化している
- 米国ではCybersecurity and Infrastructure Agencyが代表的
アカウント停止の経緯と価値観を巡る論争
- Phrackの印刷版刊行から約1週間後、記者たちが脆弱性公開のために開設したProton Mailアカウントが停止された
- 「ポリシー違反の可能性」を理由にアカウントが停止され、Proton Abuse Teamはアカウント間の関連性と「悪意ある利用」を根拠にアカウント復旧を拒否する回答を行った
- Phrack編集部は、ハッキングデータがProtonアカウントで送受信されたことはないと反論し、情報の誤用への懸念は不要だと強調したが、回答は得られなかった
世論と社会的論争
- PhrackのX(旧Twitter)アカウントで、Protonのコミュニケーションと道徳的基準を批判する投稿が拡散し、15万回以上の閲覧を記録した
- Protonの公式アカウントは、CERTからの通報を根拠に複数アカウントを停止し、その後それぞれの事例を個別に検討していると説明した
- 「記者たちと共にある」としつつも、アカウント自体にアクセスできないため誤検知防止には限界があることを認めた
- どのCERTが通報したのか、具体的な機関名は公開していない
アカウント復旧とその後の対応
- Proton創業者兼CEOのAndy Yenはアカウント復旧の事実だけを知らせたが、停止と復旧の具体的な理由や手続きについて追加説明は行わなかった
- Phrack側は今回のアカウント停止により、「記者が他の報道機関と協業したり記事対応を行えなくなるなど、実際の被害が発生した」と説明している
- また、この事態が今後内部告発者や記者など脆弱なグループにどのようなメッセージを残すのかについて、強い懸念を表明した
- 「Protonは少なくとも裁判所命令、または明白な犯罪、利用規約違反が立証された場合に限ってアカウント停止措置を取るべきだ」という要求が提起されている
1件のコメント
Hacker Newsの意見
X/Twitterで関連する話題をずっと追っているが、Phrack側が何度かProtonに非公開で連絡したのに無視されたという点は本当に深刻な問題だと思う。ProtonはPhrackが公開の場で問題提起し、X/Twitterで拡散されてからようやく反応し、アカウントを復旧した。それ以前には、ある著者がProtonに直接異議申し立てをしたが却下され、この件がX/Twitterで話題になるまで何の措置もなかった。つまり、ProtonはCERTから問題提起があっただけで即座にアカウントを止めた一方で、社会的な論争になるまではまったく気にしていなかったことを強調したい。
Protonは実在の人物である証明すら求めずにメールアカウントを開設させてくれる。プライバシーツールとして必要な性質だと思うので、この点を非難したいわけではない。ただ、私がわずか数秒で何百ものProtonメールアドレスを自動作成できたほどセキュリティが緩いという事実はかなり恐ろしかった。captchaもあまりに簡単で、スクリプトで容易に突破できる。世界中のスパムブロックリストに載っていないのが不思議なほどだ。少なくともスパム防止システムはもっと強化する必要があると感じる。今回のような敏感な事案に迅速に対応できないのであれば、むしろ慎重に運用するべきだと思う。
少し危険な主張をすると、私は今回の件に米国のサイバーセキュリティ機関が関与していると思っている。ProtonのCEOが現米政権をかなり支持する姿勢を見せていたし(Proton公式Redditアカウントの削除済み投稿を参照。関連記事はこちら)、具体的な証拠はないが、CEOの公開発言を見るだけでも、Protonは21世紀版のCrypto AGなのではないかと想像してしまう。
Redditのファンたちは、この状況を奇妙にひねって言い訳したり擁護したりしようと延々説明している。だが事実は二つに分けられない。
それでも前向きに見れば、今はソーシャルメディアの力で問題を解決できる時代だという点は興味深い。
Proton側のReddit公式回答によると、Phrackが法務チームに8回連絡したというのは事実ではなく、実際に受け取ったメールは2通だけで、最後の1通は土曜日に法務チームの受信箱へ送られ、48時間以内の返答を求めていたという。Protonのような大企業では現実的に難しい要求だと主張している。しかも、顧客サポートの正式チャネルではなく法務チームの受信箱に送られていた点も指摘している。元の回答(リンク)
企業の本当の価値はコミュニケーション能力に表れる。社会的波紋が大きくなった時だけコミュニケーションするなら、その会社にどんな印象を持つだろうか。 真面目に気になるのは、メールサービスを提供する会社の中でProton Mailが一番まともな会社なのかということだ。 私は自分でメールをホスティングしていて今後もそうするつもりだが、人のためにメールサービスが必要になるなら、Proton Mailが最も無難なのか知りたい。他の人の意見を聞きたい。
私の経験は限られているが、答えはノーと言いたい。Fastmail、Runbox、Purelymail(1〜2人開発)、Mailbox(サポートはいまひとつだがシステムは安定していて、私が使っている)、Migadu(名前だけ聞いたことがある)、Tuta(個人的には少し嫌な感じがする。ProtonのようにIMAP/POPを無効化しており、Protonは少し抜け道的に許可している)、MXRouteもLETフォーラムなどで評判がいい。Zohoもメールだけ使うなら悪くないが、どうせZohoを使うならGoogleやMSFTと違うのはコストくらいだ。選択肢はいろいろある。 ちなみに私はVPS上でシードボックスすらまともにセルフホストできないので、メールは最初から試す気にもなれない。
20年間セルフホスティングして何の問題もなく使ってきたが、セキュリティの問題でやめた。いつか戻りたい。 質問だが、こうしたサーバーでどうやってセキュリティを管理しているのか気になる。私はパッチが多くて、関係ないことでもシステムがしょっちゅう壊れ、1日2日メールが使えないことがよくあった。
企業のコミュニケーション能力を価値と見る視点には同意する。ただ、多くの人はそれを気にしていないようだ。Claudeに毎月かなりのお金を使っていてもAnthropic(Claude)のサポートチームにはどうしてもアクセスできないケースと同じだ。 Tutanotaも一度検討してみる価値はある。
早くメールのセルフホスティングスタックを共有してほしい。この記事を見て急にセルフホスティングに興味が湧いてきた。
ProtonのReddit公式回答 私たちのチームは、ハッカーによって悪用された一部アカウントがあるというCERTからの通知を受け、ToS違反として複数のアカウントを無効化することになった。私たちはアカウント内容を見られないzero-access構造のため、濫用対策システムが正当な活動にも影響を及ぼしうることを認識している。アカウント復旧の可能性がある事例を個別に再確認した結果、2つのアカウントを復旧したが、明白なToS違反のあるアカウントは復旧できない。 Phrackが法務チームに8回連絡したという主張も事実ではない。実際に法務チームのメールに届いたのは2通だけで、最後のメールは9月6日土曜日に送られ、48時間以内の返答を求めていたため、現実的には大企業では対応が難しい(顧客サポートの正式チャネルでもない)。 この件は過度に拡大され、適切に回答する機会がなかったと考えている。理解してほしい。 — Proton Team
正確に理解できない点がある。ポリシー違反かどうか分からないと言いながら、どうしてCERTの要請だけでアカウント停止を決められたのか、そして最終的に2つのアカウントは何を基準に復旧したのかが気になる。
この回答はむしろさらに失望させる。CERTは法的強制力のある組織ではない。この件について迅速で綿密な事後分析もなく、こうした措置を取ったことは、Protonの主要顧客にとって非常に懸念すべきことだ。ユーザーが増えるほど警戒心が緩みがちだが、こういう姿勢こそ悪い見本だ。ソーシャルメディアで問題化されていなければ、当該アカウントはどうなっていたのか気になる。
Protonが一定期間ログインしていないアカウントを削除すると発表して以降、私のリストでは「ユーザー優先」メールプラットフォームの1位から外した。メール/メッセージング/コミュニケーションの提供者が、1年、2年、20年など私の望む期間にわたって安定してサービス接続を保証できないなら使う理由がない。もし有料サービスなら、プライバシーを守る支払い手段を受け入れるべきだが、その場合でもなお気が進まない。 Protonは以前、VPNやビジネスサービスなどで無料アカウントの維持費を賄っていたため信頼できたが、削除ポリシーの発表でその信頼を自ら壊したと思う。 不合理な要求をしているわけではないのだから、少なくとも保存容量に応じて差別化したポリシーを適用するなど、より進んだアプローチが必要だと思う。今の構造では、数年に一度しか使わない政府アカウントのメールすら残しておけない。復旧用メールを登録すれば通知できるのかもしれないが、そうするとプライバシー保護メールサービスである意味が薄れる。 (参考までに、Google Voiceも同様に継続利用しないと番号を削除する。2FA用番号も同じで、アカウントに4ドルのクレジットが入っていても同様だ。)
削除期間が曖昧だと言っていたが、実際には1年だ(公式案内)。
無料アカウントに限り、12〜24か月ログインしなければ削除されるポリシーだ。有料サービスでは現金(紙幣)の郵送送金にも対応している。原則は理解できるが、要求の仕方を見るとやや非現実的な顧客にも見える。
1位の座を誰が代わったのか気になる。
私もProtonの無料アカウントを複数持っているが、4年以上使っていなくても何の問題もなく維持されている。これだけの理由でProtonを非難する空気は少し行き過ぎだと感じる。集団的な反感が広がっている感じもある。もちろん完璧な会社ではないが、米国系ビッグテックのメールサービスと比べればプライバシーは比べものにならないと思う。あまりネガティブにだけ見ないでほしい。また、「不安定だ」という評価も多いが、私はデスクトップでもモバイルでも問題を感じたことはない。
お金を払わなければ顧客ではなく、ただ好意を受けているだけだ。無料ばかり求めすぎるのは避けるべきだ。
2018年からProtonの有料購読者だったが、サービスのバグが多すぎて不安定だったため、最近購読を解約した(11月で終了)。代替のメールやVPN事業者でおすすめがあれば知りたい。Fastmailとmailbox.orgの評判は良いと聞いている(最近mailboxにリブランドし、サービスも刷新した)。また、SimpleLoginで作成した大量のエイリアスメールアドレスを新しいサービスへ簡単に移せる方法があるのかも気になる。1つずつ手動で変更するのはつらい。
Fastmailは問題なかった。ただしUIは少し制限があるものの、技術的には完璧に動作し、速い。障害もほとんどない。カレンダー・連絡先・サードパーティ連携もよくできている。個人利用には十分だし、最近はオフライン対応も追加された。VPNについては、プライバシーを重視するならエストニアのような場所にVPSを置くか、自宅にWireguardを入れてDDNSなどでトンネルを張るのが一番良い。
9年前の問題がまだ尾を引いていて、mailboxには少し不信感がある リンク
FastmailとMullvadを併用している。どちらも価格は妥当で、よく動く。自分のVPSでホスティングしてみるのも勧める。
Zohoを4年以上家族で使っているが、とても満足している。ドメインごとの課金がないので12個のドメインを使っている。Web・モバイルアプリの設定も豊富で、サービスも速く安定している。UIも頻繁には変わらず予測しやすくて便利だ。
Posteo.de(カスタムドメイン非対応)、mailbox.org、runbox.com、mailfence、migadu、cranemailなども検討に値する。Fastmailより安く、どれもIMAP対応なので移行やバックアップも簡単だ。
Protonはこういう状況では、どう対応しても非難を避けにくいと思う。裁判所命令がなければ停止しないと言えば、メディアが悪意をもって「犯罪者がうようよいる場所」というフレームをかぶせてくる可能性が高い。
心配のために、もっと悪いポリシーを適用するのは正しくない。Proton Mailはすでにそうした非難を何度も受けてきたのだから、合理的なポリシーを一貫して守る方がよいと思う。クリックベイトメディアに振り回されて無意味な妥協をしないでほしい。
今の立場は、ただ責任回避に近いと思う。どうせ今でも協力しているし、ときどきメディアの非難も受けている。主張している通りに実行しても大差ないだろう。
ほとんどのCERT要請は意味があり従う価値があるが、無条件に従うのも無視するのもどちらも間違いだ。特に異議申し立てや正当なセキュリティレポートに関するものなら、必ず手動審査が必要だ。極端な選択ではなく、合理的な中間地帯を見つけるべきだ。
ProtonのReddit公式回答へのリンク(原文)。それと、最初のCERT連絡についてもっと詳しい情報を知りたい。
Protonの沈黙はむしろ不利に働いていると思う。信頼でき、安全で、毅然としたサービスというイメージが今回の件で弱まった感じがする。
PSA: Protonは1年間ログインしないと「非アクティブ」アカウントと見なして削除する。メールを受け取るだけで送らなくても「未使用」に分類されるなど基準が不明確だ。そのせいでiCloudアカウントの復旧ができない状況になってしまった。アカウントのオフボーディングにはかなり時間がかかりそうだ。
「未使用」の基準が不明確だと言っていたが、公式ポリシーによれば年1回ログインするだけでアカウントは維持される(ポリシーリンク)。
Protonの昔の不透明な課金方式が今も残っているのか気になる。クーポンでアップグレードしたあと期間が切れると、自動的にマイナス残高に切り替わってアカウントがロックされ、支払わないと解除できなかった経験がある。その後Protonは使っていない。
このポリシーが有料アカウントにも適用されるのか気になる。たとえば5年分を前払いして、その後3年間音信不通でも、そのアカウントは生きているのか知りたい。
メールやVPNの会社が法律を守っていないと考えるのは本当に甘い。そうでなければ決済代行会社ですら承認しなかったはずだ。また、ホスティング企業や上位ネットワーク事業者が即座にアカウントや会社を遮断する可能性も念頭に置くべきだ。