米国DOJ、AppleとGoogleに車両改造アプリ利用者10万人超の身元開示を要求

 (macdailynews.com)
1 ポイント 投稿者 GN⁺ 3 시간 전 | 1件のコメント | WhatsAppで共有
  • 米国のDOJは、EZ LynkのAuto Agentアプリのダウンロード利用者とEZ Lynkハードウェア購入者の氏名、住所、電話番号、購入履歴を要求している
  • 召喚状はApple・Google・Amazon・Walmartに発行され、対象は10万人以上に及ぶ可能性があり、証人の特定と聞き取りが目的とされる
  • DOJは、EZ LynkがClean Air Actに違反し、排出ガス制御を回避するためのdefeat devicesを販売したとして2021年に提訴した
  • EZ Lynkは、自社製品は性能監視、更新、合法的な改造や診断に使われるものであり、排出ガス関連の利用は利用者の責任だと反論している
  • 弁護団とEFF・EPICは、この要求は過度であり、合衆国憲法修正第4条の問題を生じさせると批判しており、AppleとGoogleも異議申し立てを準備中とされる

DOJ召喚状の範囲

  • 米国のDOJは、車両の排出ガス制御をめぐる長期訴訟の中で、EZ LynkのAuto Agentアプリをダウンロードしたドライバーの個人データを求めている
  • Apple、Google、Amazon、Walmartに発行された召喚状では、アプリおよび付随するハードウェアに紐づく氏名、住所、電話番号、購入履歴が求められている
  • 2026年3月と4月、AppleとGoogleにはAuto Agentアプリのインストール利用者に関するダウンロードおよびアカウントデータが求められ、AmazonとWalmartには物理的なEZ Lynkハードウェア購入者情報が求められた
  • 対象全体は10万人を超える可能性があり、Gizmodoはその規模が100,000人を上回る可能性があると報じている
  • 政府は、実際のツールの使い方について証言できる証人の特定と聞き取りのために、この情報が必要だと説明している
  • 政府は、一部利用者がこのシステムで排出ガス制御を無効化したことを示すフォーラム投稿とソーシャルメディア上の証拠をすでに提出している

EZ Lynk訴訟の背景

  • DOJは2021年、ケイマン諸島に所在するEZ Lynkを相手取り、Clean Air Actに違反して「defeat devices」を宣伝・販売したとして提訴した
  • 問題視されているツールは、EZ Lynk Auto Agentアプリと車載自己診断装置であるOBDハードウェアドングルを組み合わせて使うことで、ディーゼル車の工場出荷時の排出ガス制御を回避できるようにするものだとされている
  • EZ Lynkはこうした主張を強く否定し、自社製品は車両性能の監視、ソフトウェア更新の適用、合法的な改造や診断といった正当な用途を提供していると強調している
  • EZ Lynkは、排出ガス関連の利用は製品の主目的ではなく、そのような利用は利用者の責任だと主張している

プライバシーと法的反発

  • EZ Lynk側の弁護団は、召喚状の要求は事件に必要な範囲を大きく超える過剰な要求であり、深刻な合衆国憲法修正第4条上の問題を生じさせると反発している
  • 弁護団は「この請求を調査するために、製品を使ったすべての人物を特定する必要はない」と記している
  • AppleとGoogleは、当該召喚状に異議を申し立てる準備を進めていると伝えられている
  • EFFEPICは、個人識別情報に対する広範な要求を批判している
  • 両団体は、大半の利用者は利用規約を読まないうえ、車両診断やチューニング向けに販売されたツールをダウンロードしただけで、意図しない法的リスクにさらされる可能性があるとみている

潜在的な影響

  • EZ Lynkは、利用者の行為に対するプラットフォーム責任を制限するため一般的に用いられるSection 230の免責を主張していたが、2025年に裁判官がこれを退け、訴訟は継続している
  • 今回の事案は、執行措置のために政府がアプリストアのデータへより強い関心を示していることを浮き彫りにしている
  • 過去にも、銃器用照準器アプリの利用者データ要求のような、類似しつつもより小規模な要請があった
  • 今回の要請は、以前より10倍大きい規模となる可能性があり、とりわけ注目されている
  • Apple、Google、および他の企業は公にはコメントしておらず、DOJも裁判所提出文書以外の追加説明を拒んでいる
  • 召喚状に対する異議申し立ての結果は、規制執行事件におけるデジタルプライバシーに関する重要な前例となる可能性がある

関連記事

1件のコメント

 
GN⁺ 3 시간 전
Hacker Newsのコメント

  • 政府は実際の使用方法を証言する目撃者の特定と聞き取りが必要だと言うが、そんな情報も協力してくれる人もいないのなら、そもそもなぜこの件を始めたのか疑問だ。
    すでに情報がないと言っているようにも聞こえるし、それならなぜ捜査が進んでいるのか分からない。
    ツールの全利用者を探すのではなく、政府が問題視する使い方をした利用者だけを見つけて、その人たちの情報を求めるべきだ。
    合法的で現実的な用途があるアプリの全利用者と、ドングル購入者全員を求めるのは本当に筋の悪いアプローチだ。

    • 通報先さえあれば、周囲でローリングコールしているトラックを全部喜んで通報するよ。
      パトカーの横でローリングコールしているトラックすら見たことがあるが、当然何も起きなかった。
      これは「環境保護」で包んだ深刻なプライバシー侵害だ。
      法執行に100%の順応を要求する必要はなく、明白な違反を単に起訴したり罰金を科したりするだけでも、問題解決にはかなり有効なはずだ。
      シートベルトをせずに運転するたびに車が検査官へメールを送る必要がなかったのと同じで、警察がシートベルト未着用の違反切符を切るだけで十分だった。
    • 違法に製品を使っている人たちの資料や証言は、すでにかなり持っている可能性が高い。
      オンラインには、この製品で排出ガス制御装置を回避する方法を説明したスレッドが何百もある。
      検察が作りたい事件の核心は、EZ Lynkがこうした行為を知りながら可能にしていた、という点だ。
      アプリ利用者の多くが犯罪を犯していると示せれば、証人を数人集めるよりはるかに強い事件になる。
    • なぜそこで止まる? どこかの時点でアプリをダウンロードした可能性がある全員の個人識別情報も要求したらどうだ?
    • 推測するに、不当な用途が実際に主たるユースケースであることを立証しようとしているのだろう。
      全利用者から無作為標本を取って、その大半が排出ガス制御を無効化するために使っていると示せれば、アプリ開発元の防御論を弱められる。
      だからといって、こうした過剰な要求が正当化されるわけではない。
      すでに事件を立証する根拠がないなら、何らかの統計的証拠が出るかもしれないという推測だけで、利用者のプライバシー侵害を許すべきではない。
      ただし法体系は違う見方をするのかもしれない。
    • YouTubeのボディカム映像を見ると、警察が法的に提供する必要のない情報を「捜査のために必要だ」といった調子で要求する場面が半分くらいある。
      賢い人は「分かった、でも捜査に協力する義務はない」といった感じで答える。
      これはそれよりずっと侵襲的で、ずっと高価な版に見える。
      「このアプリが、我々が悪いことだとみなす使われ方をしているという、潜在的に薄弱な証拠がある。だから本来は訴訟提起前に確保しておくべき証拠を集めるために、企業と数千人のプライバシーを侵害しなければならない。政府だからそれでいい」という話に見える。

  • この「自動車チューニングアプリ」は、実質的に工場出荷時の排出ガス制御装置の削除用GameSharkのように使われている。
    これでローリングコールみたいなことをする人たちにはあまり同情できない。
    政府がこのアプリの利用者名簿全体を調べる代わりに、排出ガス制御ソフトウェアが無効化されると分かっていながらディーゼルエンジンを禁止すべきなのか? 環境規制を緩和すべきなのか? 本当の解決策が何なのか分からない。

    • あるいは単に現行法を執行して、警察が仕事をすればいいのでは?
      無関心な機関や「警官の安全」への懸念のせいで、交通法規の執行が事実上ほとんど消えていくのを見てきた。
      私のような何千人もの米国人の権利を侵害するより、実際にローリングコールしている人たちを捕まえる方がましだ。
    • 政府はアプリ相手に使える証言を欲しがっている。
      追求している解決策は、利用者を捜査することではなく、アプリを違法化することだ。
    • 「この『ウェブブラウザ』は実質的に――」
      この道に進むべきではない。
    • 金属グラインダーも物を盗むのに使えるのだから、禁止すべきか?
    • 排出ガス基準と安全基準についての定期車両検査が解決策かもしれない。
      多くの法域ではすでにガソリンエンジンの排出ガス検査を行っており、一部の州では安全検査も実施している。
      ちゃんとやれば負担と費用を低く抑えつつ、DEF削除を事実上終わらせられる。
      運用を誤れば、検査を担当する整備工場の金儲けになり、車両所有者に経済的に外部化された煩わしさを与え、自分の車を自分で整備する能力を不必要に制限することになる。

  • 最初は車を「悪い」やり方で改造した人たちについてこの情報を召喚するところから始まるのだろうが、いったん前例ができれば、自動車メーカーがGPS追跡の無効化のような改造をした人を追跡するために、すぐ使われるようになる気がする。

    • その次は、コンソール、冷蔵庫、携帯電話を改造した人たちまで追跡するのだろう。
      滑りやすい坂には、もうたっぷり潤滑油が塗られている。

  • だからF-Droidから匿名でダウンロードすべきなんだ。

    • Googleサービスがインストールされた端末では、すべてのアプリが少なくとも1日1回は検査される。

      Real-time protections for non-Play installs
      Google Play Protect offers protection for apps that are installed from sources outside of Google Play. When a user tries to install an app, Play Protect conducts a real-time check of the app against known harmful or malicious samples that Google Play Protect has cataloged.
      https://developers.google.com/android/play-protect/client-pr...
      新しい署名が付いたAPKについては、さらにコピーを取ってGoogleに送り、逆コンパイルして検査した上で、利用者が明示的に許可しないとインストールできないようにするはずだ。

    • Googleは他の識別子と結び付けて、アプリを実行した事実を依然として把握している可能性が99%ある。
      ただし、Play Storeからのダウンロード利用者名簿と一緒に渡される可能性は低いだろう。
    • その通り。ソフトウェアのサイドローディングがより良い理由を示す、また一つの例だ。
    • だから新しいAndroidスマートフォンでは、結局F-Droidが動かなくなるのだろう。

  • アプリ配布が過度に中央集権化されたときに何が起きるかを示す、典型的な警鐘の話だ。

  • 一部の利用者がこのシステムで排出ガス制御装置を無効化したというフォーラム投稿やソーシャルメディア上の証拠は、すでに提出されているという。
    違法行為のせいで、修理する権利がメディア海賊版のときのように壊されるのか?
    MP3海賊版が始まったときも、私たちは最終的に痛い目を見ると分かっていたし、多くの人が何が起きるか警告していたのに、それでもやり、結局警告通りになった。
    違法行為は、本来なら権利であるべきものを強制的に奪うための理由と口実を同時に与えてしまう。
    そしてそうした権利は、その両方の理由で強制的に奪われることになる。
    しばしばひどい人間がそうするのだが、それは彼らの手を無理やり動かしたか、あるいは彼らに口実を銀の皿に載せて差し出したからだ。
    技術の自由を擁護する人たちは、自分たちが政治的文脈の中で動いていることを十分に理解してこそ、持続可能で前向きな力になれ、逆効果を避けられる。

    • MP3海賊版のひどい結果って、Napsterと競争しなければならなかった媒体のおかげで、音楽が今や安く広く利用できるようになったことなのか?

  • これはばかげている。排出ガス法に違反する方法は、これ以外にもいくらでもある。
    本当に気にしているなら、連邦捜査官や州・地方警察に検査機器を支給すればいい。
    規則を破っていそうな車両は、見たり聞いたりするだけで簡単に分かる。
    通報ホットラインを作れば、一日中でも通報できる。
    乱用されないよう、車両ごとの取り締まり頻度に制限を設ければいい。
    結局は企業と政府が結託して、私たちが何も本当に所有できないようにする問題に行き着く。
    車を改造するツールを「無効化装置」と呼ぶこと自体が、あまりにも露骨だ。
    携帯電話でサイドローディングを妨げる流れと合わさると、本当にひどい。
    何もかもひどく、記憶している限りずっと悪化し続けている。
    そのうちインターネットやコンピューター全般との関係を断ち切ってしまいそうだ。
    以前感じていた力と自由は、利便性に偽装された抑圧へと変わってしまった。
    すべてを支配する、たった一つのToken Ringだ。

  • これで、App Storeがソフトウェアを入手する唯一の手段になり、無効化も交換もできないコールホームコンポーネントが付くのは悪い考えだと認められるのではないか?
    私たちは事実上、AppleやGoogleが管理する端末上であらゆることが起きる状態を、少しずつ普通のこととして受け入れている。

  • 2021年に始まった排出基準維持訴訟が今まで生き残っていたことに驚く。
    DOGEの検索語で「emission」の綴りを間違えたのだろう。

    • あるいは、当時主導権を握っていた人たちは、内燃機関車を相手取った訴訟には関心がなかったのかもしれない。
    • 私も同じことを考えた。
      たぶんこの訴訟は、彼らが気付けば取り下げられるのではないか。
      アプリ開発元がTrump財団に寄付すれば、その日のうちに撤回されるかもしれない。

  • ここで抜けているのは域外適用の問題だ。
    Cloud Actのせいで、米国当局はAppleとGoogleに世界中の利用者データを渡すよう強制でき、そこにはGDPRが自分たちを守ってくれると思っていたEU居住者も含まれる。
    実際には守られない。
    AppleとGoogleは米国企業であり、外国の裁判所命令に対するGDPR第48条の制限は、彼らには適用されない。
    その10万人の利用者には、自分のダウンロード履歴がDOJの手に渡り得ることをまったく知らない欧州人も、ほぼ確実に含まれている。