タグ: プライバシー

Twitteが常連トロルの取締りを強化、電話番号で本人を同定

Twitterにはトロルという問題がある。CEOもそのことをよく知っている。そこで同社はこれから、ユーザを暴言や脅しなどから守るための対策に乗り出す。

Twitterが今日まず発表した対策は、ユーザの安全性に関わる懸念を報告するプロセスを拡張し、またいやがらせの常習犯が新しいアカウントを作るのを、電話番号を利用して防ぐことだ。

The Vergeの記事によると、Twitterはこれまでに分かっているトロルたちの、電話番号の調査を開始する。これまでは、Twitterが彼らのアカウントを閉鎖してもすぐに新しいアカウントを作られて、いやがらせが再開していた。電話番号が分かれば、彼らのアカウント再取得の試みを摘出できる。そして最終的には、彼らのしつこい行為を排除できるだろう。

Twitterの現在のアカウントは、電話番号の記載がオプションだ。でもThe Vergeによると、誰かにいやがらせをしているユーザを見つけたら、そのアカウントを一時的に停止し、電話番号の提供を求める。電話番号およびアカウントの登録に使ったメールアドレスが、Twitterが作成したブラックリストに載っていれば、アカウント取得を拒否する。トロルは停止されたアカウントを捨てて、電話番号を提供せずに新しいアカウントを持てるから、それは完璧なソリューションとは言えない。でも、とりあえず対策の第一歩とは言える。

またTwitterは昨年から、これまでは被害者だけにできた暴言の報告を、目撃者でもできるようにした。そしてこれからは、その方式を、自傷行為やなりすまし、個人情報の公開などにも適用する。

同社はセキュリティを強化するため、サポートチームの人数をこれまでの三倍にした。とりわけ、Twitterによると、当事者以外でも暴言を指摘できるようになってから、報告の量が従来の五倍になった。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


匿名ネットワークの危機: ハッカーや政府機関にも狙われるようになった

[筆者: Debbie Fletcher]

編集者注記: Debbie Fletcherはライターで、さまざまな雑誌やニュースメディアに寄稿している

NCISを見るまでもなく、人がやることは何でも、何らかの痕跡や足跡を残す。とくにインターネットでは、あなたがどこをクリックし、何をポストし、誰へメールを送り、どんなファイルをダウンロードしようとも、それらはすべて、どこかの誰かが知っている。もちろんたまには、そういう目に遭わない人もいるが。

インターネットの上では匿名でありたい、と願う理由は、たくさんある。その理由には、善良でもっともなのがあり、邪悪なのがある。そこで、人びとをインターネット上で匿名でいさせてくれるプログラムが攻撃される理由もたくさんある。匿名ネットワークTORも、今年あたり危ない、と言われている。では、何がそのリスクなのか。

何のためのTORか

TORは反体制派の政治活動を助けたり、麻薬の売人(ばいにん)たちの密会所として使われたりする、古くからあるインターネットアプリケーションであるだけでなく、誰もが企業や政府機関などから追跡されることなくインターネットをナビゲートとできるための、匿名ネットワークを提供するフリーソフトウェアだ。TORでは、インターネット上の通信が暗号化されることによって匿名化される。TORアプリケーションのその何重にもなっている暗号化層は、オニオンルーティングと呼ばれる(TORはThe Onion Routerの頭字語だ)。〔日本語参考記事(1)(2)。〕

TORは、いろんな人がいろんな理由で使っている。コメディアンのUncle LarryはTORの大ファンで、同じく多くの無名のプライバシー保護派の人たちもそうだ。家庭内暴力の犠牲者や、ストーカーに遭いたくないソーシャルワーカーなどが、自分の居場所や通信内容を隠すためにTORをよく使う。そんな人たちにとって、TORは貴重な存在だ。

ジャーナリストや活動家の人たちも、各国政府による検閲を逃れるためにTORを本格的に利用している。今のインターネットには、政府等が簡単に検閲などできてしまうという、重大な欠陥がある。また、その対策としてTORのような匿名ネットワークがある。TORはイランやエジプトの民衆蜂起で重要な役を担い、NSAの内部告発者として有名になったEdward SnowdenもTORを使って自分の身元を隠した。

しかしインターネット上のあらゆるものに、影の部分がある。TORの場合は、違法な性的コンテンツの配布など、不法な目的で使われることがある。違法薬物の売買、本人性詐称、クレジットカードや銀行関連の詐欺行為などにも、TORが利用される。ハッカーグループや犯罪組織も、自分の目的のためにTORを使っている。

すでに攻撃が

残念なことに、Sonyを何度も攻撃して有名になったハッカーグループLizard Squadが、2014年の終わりごろTORを標的にした。TORの匿名化は、たくさんのボランティアのノードで構成される稠密なネットワークが支えている。Lizard Squadは、多数のボランティアノードを彼らのメンバーが乗っ取ることによってTORを攻撃した。ノードを乗っ取ったハッカーは、TORユーザの通信を盗聴できるようになり、それにより、さらに今後の攻撃や強奪行為を可能にした。

Lizard Squadのハッカーたちは、まるで、TORをめぐって戦争をしているようだった。Lizard SquadがSonyを攻撃したときは、人畜無害な娯楽がターゲットだったが、TORの場合は違った。インターネットの活動グループAnonymousは、例外的にTORを攻撃対象にしていない。腐敗した政府と戦うためにはTORが必要だから、と彼らは言っている。AnonymousはLizard Squadに、攻撃をやめるよう警告した

TOR攻撃の2015年のトレンド, DDoS攻撃

Anonymous vs. Lizard Squadの例に見られるように、今年はTORをめぐる状況がますます醜悪になりそうだ。ユーザは、Lizard Squadなどの標的になる心配があるだけでなく、政府機関のターゲットになるおそれもある。

北朝鮮に対するDDoS攻撃が先月大きく報道されたので、一般の人たちもDDoS攻撃という言葉を知るようになった。TORでは数多くの違法行為が行われているので、NSAやFBIなどの政府機関が小規模で目標を絞ったDDos攻撃を仕掛けて、通信内容の暴露を試みるだろう、と言われている。

すでにTORのセキュリティには疑問符がつけられている。2014年11月にはFBIが、密輸品の売買に関わったとされるおよそ400のWebサイトを閉鎖して、とくにドラッグ市場と関係していた17名を逮捕した。そして彼ら全員が、匿名でインターネットを利用していた。

今はアナリストたちがTORのことを‘もろいネットワーク’と呼んでいる。ハッカーグループだけでなく政府機関のような合法的な組織も犯罪摘発のために攻撃のターゲットにしているぐらいだから、TORはそろそろ、何らかの対策をとる必要がある。

最近のDDos攻撃はますますその規模と過激さと頻度を増している。だからTORのような、有益な面も大きい匿名ネットワークは、進化して攻撃への耐性を身につけるべきだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


メールのプライバシーの改革に合衆国議会が再度取り組む、しかし…

メールのプライバシーを改革するための、二つの互いに関連した法案が、ひとつは上院、もうひとつは下院で審議中だ。それらは、政府があなたのデジタル信書を読んでもよい場合の要件を修正するための、合衆国議会としての新たな試みだ。

現行の保護は、最小限だ。本誌TechCrunchが前に報じたように、今の電子的通信のプライバシー法(Electronic Communications Privacy Act, ECPA)では、書簡が180日以上古いか、または開封されていれば、政府は召喚状だけでその電子メールを読むことができる。

この二つの要件の理由はなんだろう? 数十年前には、ストレージが高価だった。

今ではストレージは至るところにあり、無料に近い。古い規則は、これまでもあまり意味がなかったが、今では意味ゼロだ。そこで今や、ECPAを改正すべき時だ。つまり、かなり前からECPAを改正すべき時であり、毎日が、ついにその面倒な作業をやるべき日、だったのだ。

EFFによると、下院の法案は共同スポンサーが220以上おり、出足好調だ。この法案は両院で二党が支持している。しかしこの前そうだったときは、法案が否決された。議会には、人間の常識が通用しない側面がある。

記憶力の良い方は、なんか聞いたような話だ、とお思いになるだろう。昨年ホワイトハウスは、こんなリポートを出した:

実際には、いくつかの修正法案が提出された。Leahy-Leeの電子的通信のプライバシー法修正法(Electronic Communications Privacy Act Amendments Act)(テキスト)もその一つだ。 共和党のZoe Lofgrenも法案を提出した。それらのどれも、議会の両院を通過して大統領のデスクに到達することはできなかった。難しい問題ではなかったはずだ。2013年の後半にGoogleはホワイトハウス宛の陳情起草して、ECPAの改正を求めた、等々、類似の事例は多い。

しかも、メールのプライバシーはとても人気があるから、新法が成立して当然と誰もが思う。

メールに関するルールの改正は、合衆国政府が行っている大量監視を正すための一歩にすぎないが、それでも重要な進歩であることに変わりはない。

政府があなたのメールを調べる場合に、そのための正当な理由は必要ない、という話はありえない。しかし2014年のNSAの改革は多くの理由により失敗し、移民法改正も即座に行き詰まった、等々々々とまずい事例は続く。でも、上記の正当な理由を法律で定義し、国民のデジタル書面のまわりにより高い壁を築くことぐらい、全員が賛成してもよさそうなものだ。

それとも、2015年も2014年の繰り返しになるのか、みんなで注目したい。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Instagram上の犯罪容疑者と偽アカウントで友だちになる「犯罪捜査」は合法か?

警官が偽のInstagramアカウントを作成して、誰かと友だちになり、そして流れてくるフィードを調査したり、犯罪の証拠を摘発するようなことは合法だろうか。ニュージャージー州地方裁判所裁判官のWilliam Martiniによると、そのような行為は完全に合法であるとのこと。捜査令状も必要ない。

ArsTechnicaの記事によると、この判断は宝石窃盗団のリーダーであったDaniel Gatsonの裁判で示されたものだ。Gatsonは2013年に、FBIにより逮捕された。その際に、警官側はInstagram上に偽アカウントを作ってGatsonと友だちになり、そこから犯罪の証拠を集めたのだそうだ。

Gatsonはプライバシー設定(投稿は友だちのみが見られるようになっていた)により安全だと判断して、いくつか盗品の写真をアップロードしていたりした。この写真を見るために警官は偽アカウントを作成して友だち申請したのだ。裁判所は、Gastonがその友だち申請を受け入れた以上、そこから得られた情報に基づいてGastonの家宅捜査令状が発行されたことにも全く問題はないと判断している。

Vergeの記事にもあるが、InstagramがFacebookのような実名登録の仕組みを採用していれば話はまた違ったのかもしれない。実名登録が必要なかったので、警察側はGatsonがうっかり友だち承認してしまうような偽のアカウントを簡単に作ることができたわけだ。

こうしてソーシャルメディア上の「プライバシー」の境界は曖昧になり、犯罪捜査や刑事裁判などでも利用されていくことになるわけだ。もちろんこれはソーシャルメディアに限った話ではなく、インターネット時代となって、個人情報の取り扱い方を改めて考えなければならなくなっていることの一環でもある。

アカウント設定をいかにいじったところで、オンラインに公開した情報はプライベートなものではあり得ないのだ。全く用途が異なるはずのTinderを犯罪捜査に使うというような例もでてきている。

GigaOmの記事にもあったが、裁判所の公式ドキュメントはこちらで読むことができる。

原文へ

(翻訳:Maeda, H


タイの軍事政権が3000万Lineユーザの全通信をモニタ、不敬罪の摘発へ

タイ政府のお役人たちは昨年、チャットアプリLineにアクセスしてその会話内容をモニタしたい、と要求した。そして今週、ある政治家(下記)が、今では彼らはそれができる、と主張した。

The Nationの記事によると、情報通信技術大臣Pornchai Rujiprapaが記者会見で、“政府はタイの国民が毎日Lineを使って送っている4000万通近くのメッセージのすべてをモニタできる”、と述べた。

Lineのスポークスパーソンは記事の内容を否定し、本誌TechCrunchに対して、同社はタイの政府にユーザ情報を提供していない、と述べた。

大臣のその主張は、タイでは相当重大な情報開示だ。アジアにはメッセージングアプリのユーザがFacebookのユーザよりも多い国がいくつかあるが、タイはその一つ。Lineの公表によると、タイの登録ユーザ数は3000万を超えている…登録ユーザ数としてはFacebookよりも多い

タイ政府が本当にLineをモニタしているのなら、それは、これまで彼らがやってきた、いくつかのソーシャルネットワーク上の不法と見なされるコンテンツをブロックする取り組みの、延長かもしれない。

Pornchai大臣のこのたびの暴露によると、刑法に厳しい不敬罪がある*タイでは、その法に違反しているメッセージを見た者は誰でも、そのメッセージの最初の発信者を突き止めることのできる当局に連絡しなければならない。〔*: タイ刑法第112条 国王、王妃、王位継承者あるいは摂政に対して中傷する、侮辱するあるいは敵意をあらわにする者は何人も三年から十五年の禁固刑に処するものとする。 —Wikipedia「不敬罪」より。〕

不敬罪による過去の逮捕者は、SMSやFacebookのメッセージ、インターネット上のフォーラム、Webサイトなどに関連していた。おそらくLineもやがてその一員になるのだろう。しかし、今では政府に対する批判勢力もあるので、当局はそれとも戦うつもりだろう。

タイの軍のトップ(今の首相)は、今年5月のクーデターにより政権を握った。新たな政権は複数の抵抗勢力に直面しており、その中には学生グループもいる。彼らは映画Hunger Gamesの真似をして、三本指の敬礼を、現政権に対する異議申立てのサインとして使っている。

軍事政権は、政権批判者が出没するWebサイトを検閲する、と脅している。Facebookすら、彼らによって一時的にブロックされた。政府当局はこの夏、GoogleやFacebookとの検閲に関する話し合いを持とうとしたが、両社ともその話には乗らなかった

この国でユーザ数が最大のソーシャルネットワーク上の、すべてのメッセージを当局が自由にフィルタできる(らしい)という話は、プライバシーの観点から大きな困惑であるだけでなく、Line自身のセキュリティにとっても問題だ。

たとえば昨年Lineは、携帯のデータ通信で送られるメッセージにサードパーティがアクセスできる、という中間者攻撃遭いやすいという脆弱性が見つかった。Lineはその問題をパッチし、チャットの暗号化機能を導入したが、ぼくの個人的な経験の範囲内では、これまで誰もその機能を使っていない。

政府はLineの協力の要らない独自の方法でメッセージをモニタできるのかもしれない。モニタしていることを、Lineにもユーザにも知られることなく。政府当局は、より効率的な検閲システムのために、独自のインターネットゲートウェイとその検閲への利用を計画していると思われる

そういうゲートウェイや検閲システムに関して、政府による公式の発表はない。本当だったとしても構築に数年は要するだろうが、今強く感じられる可能性としては、サイバー空間のモニタリングやコントロールに関してタイ政府は、インターネット企業の協力や同意等は求めずに、ISPや通信事業者とのみ協働していくつもりだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Googleがプライバシーポリシーをユーザに無断で統一したとしてオランダ政府が$15Mの罰金刑

オランダ政府のデータ保護当局がGoogleに対して、同国のデータ保護法に従ってそのプライバシーに関するポリシーを2015年2月末までに改めなければ、最大1500万ドルの罰金を課す、と通告した。

Googleは2012年の1月に、同社の60あまりのプロダクトのプライバシーポリシーを統一する、と決定した。それは主に、ターゲティング広告のためのユーザ情報を集めやすくするためだったが、早速10月にはEUの当局がそれを批判し、次いでフランスのデータ保護監視機関が噛み付いた。これらに続いてヨーロッパの6か国のデータ保護機関が個別に調査を開始し、その一つであるオランダは昨年4月に、Googleの個人データの扱いに関する調査に着手した。

オランダのデータ保護当局CBPは、Googleに対してしびれを切らしたらしい。今週初めに発表した声明文でCBPは、Googleは複数のプロダクトにの複数のプライバシーポリシーを統一するにあたって、ユーザからの明確な同意を得るべきだ、と述べている。つまり、プライバシーポリシーに関する一般的な同意…[同意する]ボタン…ではだめで、明確な許可画面を要する、とCBPは主張する。

Googleはまた、どんな個人データをどのサービスから取得して、何の目的のために使っているか、という情報を、プライバシーポリシーの中で明確かつ一貫性のある形で開示すべきだ、とも言っている。

CBPはさらに、YouTubeがGoogleのサービスであることをはっきりと明示せよ、と懸念を表明している。ただしこのオランダのデータ保護当局(CBP)は、Googleはこの点に関しては適切な行動をとった、とも述べている。

CBPのJacob Kohnstamm長官は、“Googleはわれわれの個人情報を目に見えない蜘蛛の巣で捉えているが、そのことをわれわれに告げることもなく、またわれわれの許可を求めてもいない。それは2012年以来行われており、われわれの忍耐をこれ以上試すことは許されない”、と述べている。

Googleは調査を開始した6か国(フランス、イタリア、ドイツ、スペイン、オランダ、イギリス))に書簡を送っている、とCBPは付け加えている。その書簡には、プライバシー保護に関するヨーロッパの法令をGoogleが遵守するための大量の方策が詳細に書かれている、とCBPは言っている。

しかしながら、CBPによれば、Googleが提案しているそれらの方策によって、プライバシーの侵犯が明らかになくなるとは、まだどこも判定していない。

オランダ政府からの罰金の脅しに対してGoogleのスポークスパーソンは、次のように述べている: “オランダのデータ保護当局からご指示を頂いたことは残念である。なぜならば弊社はすでに、彼らの懸念に対応して弊社のプライバシーポリシーに数多くの変更を加えているからである。しかし最近弊社は、ヨーロッパのプライバシー規制グループからさらなる変更のご提案を頂いている。近くこれらについてご説明申し上げたいと願っている”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


アイオワ州、運転免許証をデジタル化するアプリケーションを開発中

最近では、どこに行くのにもスマートフォンを持っていくようになった。そうした状況を鑑み、アイオワ州運輸省では運転免許をアプリケーションにしてしまおうと考えているそうだ。

アプリケーションには、従来の運転免許と同様の情報を掲載するのだとのこと。警察や空港のセキュリティでも、このアプリケーションを正当なIDカードとして取り扱う予定にしているのだとのこと。

デジタル免許証情報の正当性確認にはPINコードを用いるのだと、運輸省のスポークスパーソンであるAndrea HenryがCNNのインタビューに対して述べている。将来的には指紋認証ないし顔認証を使う予定にもしているとのことだ。

なるほど便利そうだが、問題もある。たとえば複数のデバイス上で同じID情報を表示できるようにもなるわけだ。また、スマートフォンにID情報のすべてを担わせることには問題があるのかもしれない。免許証の情報をデジタル化することで、むしろ自己証明が難しくなる(他の情報を組み合わせる必要が生まれる)という側面もあるのかもしれない。

この電子免許証については、2015年の早い段階で実現予定だという話もあった。しかしプライバシー問題など、実現を妨げる問題もいろいろと予測されている。Wall Street Journalの記事によれば、運輸省側の実用に向けたタイムラインはまだまだ流動的であるようだ。

Photo credit: William Petroski/Des Moines Register

白バイなどに突然止められたときには、スマートフォンの画面をロックすることもできないだろう。そのような状況で、警察官はスマートフォンに表示される免許証をみれば、スマートフォン上での活動履歴を見ても良いのだと考えるかもしれない。そのようなケースに対応するため、免許証情報を表示した場合には画面をロックするという仕組みの実装も考えているのだとのこと。

また、重要な情報をスマートフォンに入れて運用することの問題もあるのかもしれない。そもそもは情報を管理しやすくして、より安全に持ち運べるようにしようというのが運輸省側の考えではある。しかしスマートフォンを盗まれれば、重大な個人情報が盗まれることに繋がるわけではある。

もちろんメリットもある。電子化しておくことにより、これまでのように免許証をなくしてしまうというようなことはなくなる。また免許証を探して部屋中をひっくり返したり、それでも見つからなくなってしまったりというようなこともなくなるだろう。

アイオワ州としても、従来のカード型免許証をなくしてしまう意図はないようだ。どちらを使うかを選べるし、また双方を使うという選択肢も用意するとのこと。

「モバイルデバイスはますます普及するようになってきていて、そうしたデバイスで行えることがどんどん広がっています。私たちとしても、そうした時代に対応したいと考えているわけです」とHenryは言っている。

ちなみに本件を最初に報じていたのはDes Moines Registerだった。

原文へ

(翻訳:Maeda, H


忘れられる権利の適用をヨーロッパのサブドメインだけでなくgoogle.com本体にも、とEU規制当局が求める

【抄訳】

Googleはそれを蹴った。会長Eric Schmidtも先月、公衆の門前でそいつを蹴り上げた。しかしEUの規制当局は、そのいわゆる“忘れられる権利(right to be forgotten, RTBF)”の規則が、Google.co.ukのようなヨーロッパのサブドメインだけでなく、Google.comにも適用されることを求めている。

それをしないと、Google.co.ukでだめならGoogle.comをトライすることが、誰でも容易にできてしまうからだ。特定個人のスキャンダル等をGoogle.comで見つけて、それがGoogle.co.ukでは出ないことを知るのも、簡単だ。

‘忘れられる権利’という奇妙な名前で呼ばれているものの実体は、(公人以外の)個人に関する不正確で古くて今の当人とは関係のない情報が、その人の名前で検索をしたときに、いかなる検索エンジンでも検索結果として出現しないことを求める、個人の権利のことだ。情報をインターネット上から消すリクエスト、という報道が一部為されているが、それは誤りだ。またEUのこの規則の適用対象はGoogleだけでなない。しかしヨーロッパでも検索におけるGoogleのシェアは90%もあるから、Googleが標的になることが圧倒的に多い。

規則が今年の5月に公布されてからほぼ半年になるが、その間にGoogleが受け取った情報隠蔽リクエストは17万5000件、URLの数では60万を超えている。これらの中でGoogleが隠蔽化したのはリクエストの半分以下(41.5%)、URL数では20万8500だ。

RTBF規則の根拠となる上位法は、EUのデータ保護法であり、インターネットの検索エンジンもその法を守る義務がある、とされている。個人の保護を目的とするが公人はその保護の対象外となるこのルールには、曖昧性や難しい問題が入り込む可能性が多々ある。これまでのGoogleのやり方については、この文書が参考になるだろう。

【後略】

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Twitterがあなたのスマホ上のアプリを調べる機能をオプトアウトする方法

Twitterはユーザのスマートフォン上にあるアプリを調べて、そのデータを自分の目的に利用している。

それは世界最悪の無礼な行為だろうか? でもない。あなたの閲覧履歴を調べて、あなたの教師や親に送ってるわけではない。しかしそれでも、良い気分ではない。Twitterはユーザをだいじにするサービスを自称しながら、今回の機能はオプトインではなくオプトアウトにした。

ユーザへの通知文には、この機能がユーザのアカウント上で自動的に有効になると書いてある。そこをさらにスクロールすると、オプトインしたことになる。

でも、この機能は簡単にオプトアウトできる。

そのやり方は:

  1. 通知をまだ見てなければ、iOSでは”Limit ad tracking”を、Android上では”Opt out of interest based-ads”(Accounts -> Google -> Ads) をonにすると、この機能が生きる前に殺せる。
  2. すでに生きていたら(よくわからなかったら)、あなたのデバイスのTwitterアプリへ行く。
  3. iOSではアイコンを、Androidではアイコンをタップする。
  4. 設定をタップする
  5. 自分のアカウントをタップする(複数のアカウントがあるなら、そのそれぞれを)。
  6. “Tailor Twitter based on my apps”のチェックボックスをoffにする。そんなチェックボックスがなければ、この無礼な機能はまだ有効になってない。

チェックボックスをクリアしたら、あなたはまた自由の身だ。おめでとう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Glenn GreenwaldのSnowden本に対しCIAがトンチンカンなレビュー

今年の前半にジャーナリストのGlenn GreenwaldがSnowdenによる情報リークの顛末を記録したNo Place to Hideという本を書き、NSAに関する新事実も掘り起こした。同書には多くの好評が寄せられ、Amazonのスター数は4.5だった。悪くない結果だ。

でも、本書の最新のレビューは、圧倒的にベストだ。CIAのWebサイトで“CIA Historical Intelligence Collection(諜報史料集)のキュレーター”となっているHayden Peakeは、CIAを代表してSnowdenに関する三つの本をレビューしている。彼のGreenwaldに対する書評 — その全文はここで楽しめる — は、笑いを意図していないのに笑えてしまう。

三箇所引用しよう [太字は本誌TechCrunchによる]:

章のタイトルがほのめかしている考え方がひどいと思ったGreenwaldは、それを不法と想定して分析しているが、それの採用に至った諜報面の問題に関する言及はまったくない。 [...]

Greenwaldはまた、NSAの情報収集事業の合法性に言及しているそのほかの解釈を無視している—たとえば海軍の将官を退役してNSAの長官になり、国の諜報活動に貢献したMichael McConnell… [...]

これら三つの本に共通しているテーマをGreenwaldは要約している: Snowdenの行為は、彼が“監視国家の改革”を求めることを選んだ点で正当化される。そして、何を出版するか/してよいかに関してはジャーナリストに最終的絶対的な決定権があるGreenwaldのしばしば感情的な毒舌が、この主題の結語になることはないだろう。

感情的な毒舌で最終的な決定をしているのは、むしろPeakeの方だろう。逆に彼の言葉は、ジャーナリズムの誇大宣伝のようでもある。

それでは一体、“この主題の結語”は何になるのだろう? たぶんGreenwaldは彼の書き方の間違いを悟り、政府自身のPRのような、ポジティブでお世辞たらたらのNSA賞賛本を書き、書くことに対する自分自身の決定権がジャーナリストになければこうなる、という見本を示すだろう。

画像: GAGE SKIDMORE/FLICKR UNDER A CC BY-SA 2.0 LICENSE (IMAGE HAS BEEN MODIFIED)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


世界中の無防備なWebカメラを見せるInsecam…パスワードに無関心なアドミンが多い

Insecamというおかしなサイトが、世界中の無防備なWebカメラ73000台を表示できる、と豪語している。その多くはCCTVやシンプルなIPカメラだが、それらに共通しているのは、一般的にアクセス可能なネットワークポートへストリーミングされていることと、デフォルトのパスワードをそのまま使っていることだ。だから誰でも、Webをクロールするロボットなどを使って、単純に”admin/admin”とタイプし、そのストリームにアクセスできる。

このサイトはカメラを機種と位置で分類しているが、カメラの多くは標準的なIPベースのカメラ(またはカメラ列)で、FoscamやPanasonicなどメジャーなメーカーの製品だ。このような“すきのある”カメラのリストは何年も前からあるが、このサイトはMotherboardが記事で取り上げたために、世界中に知られることになった。

このサイトで今、何が見えるのか? 大したものはなさそうだ。世界的に有名になってしまったために、多くのフィードが停止したのだろう。しかしNetworkWorldによると、Foscamのカメラはその多くが赤ちゃんカメラとして使われ、親たちに安心感を与えている。サイトのフロントページからのリンクで、ライブのカメラをいろいろ見ることはできるが、今は多くのストリームが死んでいる。

このサービスをロシアから提供しているらしい匿名のアドミンは、こう書いている:

“ときどき管理者は(たぶんあなたも)、監視システムやオンラインカメラやDVRなどの、’admin:admin’や’admin:12345’のようなデフォルトのパスワードを変えることを忘れる。そういうカメラは、実質的に世界中に一般公開されているのと同じだ。世界中のカフェやお店やモール、工場、そして寝室などに、何千というそんなカメラがある。カメラを閲覧するためには、国や機種を指定するだけだ。このサイトを作ったのは、セキュリティのための設定の重要性を、知らしめるためだ。あなたのカメラをこのサイトから消すためには、パスワードを変えてそれを非公開にするだけでよい。

わざわざ弱いパスワードを使ってWebカメラを一般公開でストリーミングする理由は、どこにもない。ITの連中は、8台のCCTVをセットアップする時、標準の”admin/12345″で楽をしたいと考えるかもしれないが、その怠慢に付け入るのは簡単だ。公開データにアクセスしても犯罪ではないから、プライバシーを守りたかったら、カメラのマニュアルをちゃんと読んで、まともなパスワードを使おう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


DropboxのCEO Drew HoustonがSnowdenの批判に反論

NSAを内部告発したEdward Snowdenが、プライバシーを守りたいなら”Dropboxを利用するな“、と二度も忠告したことが、議論を呼んでいる。今日(米国時間11/4)はDropboxのCEO Drew Houstonが、その非難に応えた。彼は、もっと強力な暗号化の方式はあるけれども、どの方式を使うかは、使いやすさや利便性とセキュリティとのトレードオフだ、と述べ、“ユーザには選択肢を提供している”、と語った。

Houstonのこの発言は、今日アイルランドのダブリンで行われたWeb Summitのステージで述べられた。それはイギリスのGCHQの長官が、テロとソーシャルメディアと政府によるデータへのアクセスについてのエッセイを掲載した日でもある。

Houstonは、政府機関がソーシャルネットワークやそのほかの大手テクノロジ企業からデータを取り出すことの正否について、直接的には何も語らなかった。また、プライバシーが不可侵の権利であるか否かという、倫理的な問題にも触れなかった。むしろ彼は、ユーザ体験に焦点を絞った。

“ゼロ知識暗号化(zero knowledge encryption)を提供しているサイトの動機は十分に理解できるが、それには欠点もある”、と彼は言う。Dropboxが暗号化の方式を今以上に強化したら、検索やサードパーティアプリへのアクセス、モバイルデバイスからのデータへのシームレスなアクセスなどが、とてもやりにくくなるだろう、というのだ。ただしDropboxでも、ユーザがそれを選択することはできる。“うちは、そのためのサードパーティツールを提供しているが、もちろんそれを使えば検索やインデクシング、プレビューの表示などが困難になる。でもトレードオフというシーソーの上では、人びとは自分が選んだどの位置にでも立つことができる”。

彼はDropboxの企業イメージの問題にも、それとなく触れた: “人から石を投げられて、嬉しい人はいない。でも、FacebookやZuckも、これまでさんざん叩かれている。良いことはいっぱいしているはずなのに、急に、不正なことをしている企業にされてしまう。でも企業や人間が、人びとがいろいろ言うほどすごく良いことはないし、また、そんなにひどく悪いこともない”。

ステージ上のインタビューでHoustonは、2009年に協同ファウンダのArash Ferdowsiと一緒にiCloudがまだない頃のAppleを訪れたときの思い出を語った。そのとき彼らは、Steve Jobsからの(巷間9桁の)買収オファーを断わった。そしてCEOの彼は、その後、買収ではなくパートナーシップという企業進化の路線を選んだのだ。

今日Dropboxは、Microsoftとの、Houston曰く“深い統合”を発表した。これで二社のユーザは両方へシームレスに行ったり来たりできる。これはGoogle対抗策でもあるようだが、実際まさに今日Googleも、新たなクラウド事業を発表した。

Houstonは、両社の協働の意義について、“今Dropboxのユーザは12億人いるが、彼らがやってることで一番多いのがOffice文書の保存やバックアップだ”、と述べた。彼は今回のパートナーシップを“うちにとっては異例”と言うが、すでに自前のクラウドプラットホームを持っているMicrosoftにとっては、もっと異例だろう…Dropboxほど、繁盛していないとはいえ。“Microsoftがこのような統合をしたことは、過去に一度もないと思う”、とHoustonは言っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Elloが$5.5Mを調達、公益法人として登記し、広告なし+データを売らないを義務化

先月になって突然急に大ブレイクした、広告のないソーシャルネットワークEllo.coが550万ドルのベンチャー資金を調達し、また、同社は今後も(買収された場合でも)広告およびユーザデータを売ることを収入源にしない、という法的制約を自らに課した。

すなわち同社は(会社登記料の安い)デラウェア州でPublic Benefit Corporation(公益法人)としての登記を行った。合衆国の法律では、公益法人の投資者はそれに対して、広告を表示したり、データを売ったり、またこれらの条件に違反するであろう買い手に会社を売ることを要求できない。

ElloのCEO Paul Budnitzによると、彼は今のインターネットが“巨大なビルボード”になってしまっていることに対する批判としてElloを作った。Elloには偽名(芸名など)でアカウントを作ってもよいが、市民としての一般常識に反した会員は破門される。

残念ながら、本誌のSarah Buhrも書いているように(以下に部分引用)、同社は早すぎた成功の犠牲者かもしれない:

[注: Elloへの参加は既存ユーザからの招待のみ。]

ベータだから完璧を期待すべきではないが、このところの招待ユーザ数の急増を見ると、ほとんど一般公開になったのと等しい。これだけの急拡大は、むしろ悲劇だ。提供している機能はなかなかクールだが、どれもまだ完成度が低い。

これだけユーザ数が増えると、検索機能が重要だが、ElloのUIは出来が悪くて、それがなかなか見つからない。やっと見つけても、その検索機能は使い物にならない。たくさんの人を紹介してくれるのだが、“なぜこの人たちを?”という文脈が全然分からない。友だちを(Elloの登録名)で探しても、見つからない。

Alexaのトラフィック統計(概略だが一応の参考にはなる)を見ても、Elloのトラフィックは9月の急増期に比べると落ち込んでいる。

でも9月には1時間に40000という、ものすごい数の招待リクエストだったから、投資家たち(Foundry Group、Techstars Bullet Time Ventures、FreshTracks Capital)もElloを無視できなくなった。

広告のないことが今や法的義務になってしまった同社は、個人化機能などのちょっとしたサービスを有料にすることで売上を得たい、としている。AppleのApp Storeを真似たそのためのオンラインストアを作るそうだ。

Elloに投資しているSeth Levineはブログの記事で、広告を載せないしユーザデータを売らないことを義務化したElloを、今後VCたちがどこまで支援するか、そのあたりが不安だ、と述べている。

それに対し、Budnitzはこう答えている:

弊社はサードパーティの広告やユーザデータの販売に依存しないビジネスを構築していく。Elloの今後のプロダクトや機能の中には、ユーザが喜んでお金を払うものがある、と弊社は信じている。それらの単価は小さくても、数百万の人びとから成るユーザの大きなエコシステムが弊社を支援し、今後の投資を誘いうる経済モデルを提供するだろう。

なお、Elloに投資する投資家は、以下のような、綱領文書(ミッションステートメント)に署名しなければならない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ユーザの本人性を隠すWeb閲覧サービスを提供するZenMateが$3.2M(シリーズA)を調達

技術知識があってプライバシーを気にする消費者が増えるに伴って、VCたちも、さまざまなプライバシー関連のスタートアップに着目するようになった。ここでご紹介するZenMateは、ユーザのブラウザから各Webサイトへ行く情報をIPアドレスも含めてすべて暗号化し、ユーザのプライバシーを誰も嗅ぎ取れないようにする。

ベルリンで起業した同社は最近、Holtzbrinck Venturesが率いるシリーズAのラウンドで320万ドルの資金を獲得した。これには既存の投資家Project A Venturesと、新たな投資家Shortcut VenturesとT-Ventureが参加した。後二者はドイツのモバイルキャリアE-PlusやDeutsche Telekomとコネがあるので、同社の今後のさらなるモバイル進出がより便利にできそうだ。同社はこの前、2013年10月に、130万ドルを調達している。

デスクトップのブラウザChrome、OperaおよびFirefoxと、iOSとAndroidのモバイルアプリをカバーするZenMateのプライバシーとセキュリティのサービスは、ユーザのブラウザからのデータや情報を完全に暗号化して自己のサーバネットワークから目的サイトに送るという、VPN的な通信技術だ。これによりプライバシーとセキュリティが確保されるだけでなく、ユーザの居住国でブロックされているサイトやサービスにアクセスできる、というアドバンテージもある。

このような消費者向けのVPNサービスは、ユーザの居住国が限定されているサイト(たとえばNetflixならアメリカ合衆国)を外国の人が利用するためによく利用されている。同じ意味で、BBCのiPlayerにイギリス人以外の人たちがアクセスするためにも、利用されるだろう。

1年半前にローンチしたZenMateは、ユーザ数が500万に達している(最初の6か月で100万を達成)。主要マーケットは合衆国とイギリスとドイツで、サービスのデスクトップバージョンは利用回数等の制限なく無料だ。モバイルバージョンは、500MBまで無料、それ以上は有料で、データ圧縮や有害サイトのブロックといった機能がつく。

同社と類似のサービスに、Privax(Hide My Ass)、AnchorFree(Hotspot Shield)、TunnelBearCyberGhostなどがすでにある。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Microsoftがユーザ情報の政府リクエストの実態を開示…正規ルートのみ

Microsoftが今日(米国時間9/26)、2014年の前半における、各国政府から来た、ユーザデータとアカウント情報のリクエストに関するデータを開示した。リクエストの総数と対象アカウントの数は、2103年の後半とほぼ同じだ。

すなわち今年の1月から6月までMicrosoftには、58676のアカウントに関連する34494件の情報リクエストがあった。その前の6か月では、アカウント58676に関する35083件のリクエストだった。リクエストが多かった上位の国は、合衆国、ドイツ、フランス、トルコだった。

Microsoftのデータ供与数は減っている:

法の執行に関わるリクエストのうち、顧客のコンテンツデータの開示に至ったのは3%未満であり、一方、リクエストの約75%が“ノンコンテンツ”のデータの開示に至った。これらに対し、22%は法を根拠として、あるいはデータが見つからないために、開示の拒絶に至った。その前の6か月では、拒絶の率は18%だった。

また、FISAに基づく開示命令は、その種別により、最少はゼロ件、最多は999件だった。これらに関わるアカウントの数は、最少が18000、最多が18999だった。

もちろん上記のデータは、各国の政府が当人の許可なく勝手に取り出しているデータ取得行為の、氷山の一角にすぎない。過去一年半にわたり、われわれ地球市民は、政府の過剰なデータ収集に関して多くを知った。それは主に、元NSAの契約職員Edward Snowdenによるリークがきっかけであり、その後、一般公民からだけでなく、政府機関の一部からも改革を求める声が上がった。

テクノロジ企業がこのような情報を開示するのも、たいへんな努力だろうとは思うが、それで十分ではない。

Microsoftは政府に、海外ユーザのデータを自国民のそれと同じように求めるな、と抗議している。しかしまだ同社は、法廷で勝っていない。もちろん、今後も抗議し続けるだろうが。

なお、年2回開示されるこれらのデータは、正規のチャネルからのリクエストのみであり、NSAのMUSCULARのような、個々の特別事業による情報収集は含まれていない。そういう意味でも、この開示には限界がある。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


データを完全に自己管理したい人のためのパーソナルサーバデバイスWedg

各国の政府がインターネット上の一般市民のデータや通信内容をたえず盗視していることをEdward Snowdenがばらして以来、デジタルの世界は心配症や不安症に支配されている。では自分のデータを完全に自分で管理できるためには、何をどうやるべきか? これまでさまざまなソリューションが提案されているが、今日ご紹介する’Wedgは、ユーザが自分でホストするストレージとメールのためのデバイスだ。クラウドストレージとのシンクや共有もでき、メディアのストリーミングやWebサイト/Webアプリケーションのホスティングもできる。これはいわばユーザが自分の家(うち)に置くパーソナルサーバないしパーソナルクラウドで、ファイルに自分の携帯からアクセスすることもできる。

Wedgを作っているイギリスのスタートアップは今、Indiegogoで資金を募集している。実はクラウドファンディングはこれが二度目で、最初は失敗した。そのときのフィードバックに基づいて今回の新型機はより高速なEthernetとUSBをサポートしている。また機種は、元からのARM機と、Atomチップセットを使ったWedg Proの二種類がある。

自分で管理運営できるパーソナルサーバの方がセキュリティもプライバシー保護も完璧、と言えるためには、そう、セキュリティの設定が完璧でなければならない。WedgはAESとXTS-AESにより512ビットの暗号化を行い、キー管理を内蔵、モバイルアプリは二要素認証を使用、ネット接続はSSL、共有コンテンツとキーはGPG/OpenPGPで管理する。ユーザの機密データはサンドボックス化されて隔離され、サードパーティのアプリケーションや外部デバイスからアクセスできないようにする。今のプロトタイプ期を終了して完成に達したら、プロジェクトの全体がオープンソース化される。

Wedgのメーカーは、今後外部のデベロッパが関心を持ってくれてWedg用のいろんなアプリケーションを開発することを期待している。CEOのShehbaz Afzalはこう述べる: “Wedgは総合サーバなので、発売の時点ですでに、ファイルサーバ、メールサーバ、メディアストリーミング(音楽、写真、ムービー)、Webサイトホスティングなどの機能がある。しかし今後デベロッパが自分の作ったアプリケーションでWedgの機能を拡張することも自由にできる”。

“たとえばフォトギャラリーやパスワードの集中管理、Bitcoinのワレットなどがあればいいね。目標額の倍の13万5000ポンドに達したら、Google DocsやOffice 365のような、リアルタイムでコラボレーションできるWebベースのオフィススイートの開発に着手したい”。

“インターネットの今の現状は、プライバシーがいろんなところから痴漢されているのに、ユーザ自身はそれをされていることすら分からない。しかも、ユーザが簡単に避難できる安全圏を、どこも提供していない。Wedgは、何もかも完全に揃った、優秀な安全圏でありたい。しかもそれは、ユーザ自身が完全に管理でき、ハードディスクのアップグレードも簡単、多様で安全なバックアップオプションもあり、初心者がすぐに利用を開始できるようにダイナミックDNSによるルーティングサービスも提供する”。

Wedgはもちろん、初めての、あるいは唯一の、パーソナルサーバデバイスではない。Afzalが挙げる強敵は、Sherlyboxだ。2月に本誌が取り上げたPixeomもある。自分のデータをどこかの馬の骨に預けたくはない、完全に自分で管理したい、という欲求の高まりとともに、このようなデバイスが徐々に伸びている。今後もまだまだ、あちこちこちから雨後の筍してくるだろう。

WedgのProバージョンはIndiegogoで219ポンド、1TBのストレージつきだ。ARM機は149ポンドだが、こちらもストレージは1TBだ。ストレージなし、という買い方でもよい。今現在は目標額の71000ポンドに対して59000ポンド集まっている。締め切りまであと58日だ。製品の一般発売は来年の3月を予定している。

〔訳注: 参考サイト(1)(2)。〕
〔このようなハードウェア製品だけでなく、Linux用のセキュアな総合パーソナルサーバソフトも、きっとあると思う(ウデのある人は自分で構成してもよいが)。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


BitTorrentの暗号化P2PチャットBleepがMacとAndroidでアルファを公開

【抄訳】

プライバシーが気になる消費者のための新しいサービスが、このところ増えている。今日(米国時間9/17)登場したのはピアツーピア(P2P)のファイル配布サービスBitTorrent発表したチャットサービスBleepだ。これもやはりP2Pで、音声とテキストのチャットができ、データは暗号化される。今はまだアルファバージョンだが、MacアプリケーションとAndroidアプリをダウンロードできる。すでに存在するWindowsアプリケーションは、招待制のみの非公開アルファだ。

BitTorrentによると、iOSアプリも目下開発中で、近くリリースされる。

昔のBitTorrentは海賊行為を可能にすると悪者視されたが、今では広告主や名のあるパートナー企業に遠慮しておとなしくなった。同社はNSAによる監視行為が発覚して以来、インターネットのプライバシー問題についてもっとも声高に発言してきた企業の一つだ。Bleepも、その主張に沿ったプロダクトである。

BitTorrentによると、Bleepはエンドツーエンドで完全に暗号化されている。メッセージなどのデータはユーザのデバイス上にしか保存されない。ユーザはメッセージの履歴を削除できるから、過去の会話の痕跡が残らない。

この思想は、BitTorrentが使っているような分散P2Pのアーキテクチャでは、すべての通信内容がサーバを経由するクラウド型のアーキテクチャに比べて、チャットアプリがよりセキュアだ、と言っているのだ。

“クラウド型のサービスでは、個人情報やプライベートな通信内容がサーバに保存される。したがって、攻撃に遭いやすい”、とBleepのプロダクトマネージャJaehee Leeが、”Privacy should not be up for debate. And privacy should not be hard to achieve”(プライバシーは議論されるべきでなく、達成が困難であるべきでない)、とブログ記事で書いている。

Bleepがプライバシーを達成している方法は、そのサーバレスのアーキテクチャだ(そのためにdistributed hash table(分散ハッシュテーブル)、略称DHTというものを利用する)。BleepのプロダクトマネージャFarid Fadaieが彼の技術記事で書いているところによると、DHTはスケーラビリティの拡大を目指してアルファ中でも頻繁にアップグレードされている。

またアプリへのサインインにはメールアドレスやモバイルの番号を使用し、匿名モードもある。“個人を同定できる情報はいっさい必要ない”。

しかしご希望なら、Googleのアドレスブックをインポートしたり、友だちをメールやSMSやQRコード、公開鍵などで誘える。また既存のアカウントをAndroidデバイスに移すと、あらゆるデバイスからの入信を受け取れる。

【後略】

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Yahoo、Googleと協働してエンドツーエンドのメール暗号化実現へ

YahooはGoogleと協働して、電子メールにてエンドツーエンドの暗号化を実現する予定であるとのことだ。政府やハッカーたちによる覗き見の危険性を気にすることなく、プライベートな通信が行えるようになる。このアナウンスはBlack Hatセキュリティカンファレンスの壇上で行われたものだ。

Yahooの情報セキュリティ部門チーフのAlex Stamosによると、Yahooは今年末あたりにも、暗号化の仕組みに用いるソースコードを公開したいとのこと。曰く「Googleとも密接に連携しながら、双方のエンドツーエンドの暗号化に互換性をもたせるべく作業を続けているところです」とのことだ。

Googleも6月にメールにおけるエンドツーエンドの暗号化を構築中である旨をアナウンスしていた。このYahoo-Googleの共同歩調が他のプロバイダにも波及して欲しいところだ。メジャーなメールサービスが相互に流通するメッセージを暗号化してやりとりするようになれば、利用者はより多くの利用者がセキュアな環境を利用できるようになる。

もちろんこうした動きはスノーデンによる情報収集活動についての暴露に端を発するものだ。以来、情報をよりセキュアなものとするための動きがあちこちで繰り広げられている。YahooおよびGoogleの両者は、NSAがデータセンター間の通信ケーブルの情報を傍受していることを明らかにしてから、データセンター間の通信の機密性を強化する旨をアナウンスしていた。

ネットワーク上では、一般の利用者でも簡単に用いることのできる暗号化技法が必要とされている。Yahooもそうしたニーズに真摯に応対しようとしているわけだ。

原文へ

(翻訳:Maeda, H


Googleの通報で児童ポルノ犯が逮捕さる、それが通信のプライバシー侵犯でないわけ

【抄訳】

Googleが、ヒューストンに住む容疑者のGmailアカウントに見つけた違法な画像を当局に通報したため、男が児童ポルノ保有の嫌疑で逮捕された一件は、それでGoogleを批判する者は一人もいないと思われるが、手がかりがあくまでも私信の中から見つけられたものであるだけに、そこで使われた方法について疑念を抱(いだ)く者がいるかもしれない。Googleは、違法行為を見つけるためにメールを自発的にスキャンしていたのか? GoogleはユーザのGmailアカウントにあったデータに関して当局に通報することにより、サービスプロバイダとしての役割を逸脱したのではないか? セキュリティ企業のSophosも、事件の直後にまさにこの疑問を、同社のブログNaked Security上で投じた。

しかしそれらの疑問は、この逮捕の実現のためにGoogleが用いた技術を、よく理解していないために生じているようだ。

今日では、多くの人がすでに知っているように、Googleはその無料のサービスを支える広告の適切化(個人化)のために、ユーザのメール中のキーワードやフレーズを、人が介入しない自動化ソフトでスキャンしている。人間がユーザのメールを読んでいる、ということはない。

またGoogleの技術者たち…つまり人間…がこの男のメールアカウントの中身を読んで、違法画像が共有されていることを見つけたのではない。さらにGoogleは、窃盗などの犯罪的行為を見つけることを目的としてユーザのアカウントを…自動化ソフト等で…スキャンしていることもない。

今回のケース、および逮捕に結びついた技術は、児童ポルノの発見だけを目的とする、きわめて専門的限定的なアクション、ならびに技術だった。

児童ポルノはMicrosoftやGoogleのような大手インターネット企業にとって大きな問題であるため、両社は数年前から共同で対策に取り組んできた。とりわけ、ネット上でシェアされている画像の中に、そういう違法画像を見つける技術は、最初、Microsoftが開発したものだ。

PhotoDNAで児童虐待画像を自動的に発見

Microsoftの”PhotoDNA”は、コンピュータのプログラムによって自動的に(人の目を介さずに)、特定のタイプの違法画像を見つける技術だ。それがもしも人間の仕事だったら、想像しただけでもつらい!

PhotoDNAはまず、画像をふつうのB&W形式に変換し、サイズを一定化する。Microsoftは、ネット上の児童虐待と戦うためにGoogleとの協力関係を強めている、と昨年発表している。そのときにこのような、技術に関する説明もあった。

次はそのB&Wの画像を下図のように複数の矩形に分割し、それぞれの矩形画像の陰影の特徴を数値化する(微分係数によりハッシュ値を求める)。このような数値の集合が、その画像ファイルの“PhotoDNAシグネチャ ”と呼ばれる。他の画像と比較するときは、各画像のユニークなシグネチャを比較する。

Microsoftはこの技術をBingやOutlook.com、およびそのクラウドストレージサービスで使用して、児童虐待画像の発見と再配布防止に役立てている。

【中略】

Google独自の画像ハッシュ技術

しかしながら、今回のヒューストンの逮捕の一件では、PhotoDNAは関わっていない。ただし、それと似たものが使われた。

Googleにも、同社独自のハッシュ技術がある。2008年以降それは、ネット上の性的虐待の画像を見つけるために利用されてきた。GoogleもMicrosoftもそのほかのテクノロジ企業も、このような技術を共有してこの種の違法行為と戦っている。今回の逮捕でPhotoDNAの出番がなくても、このようなハッシュ技術により、虐待画像を自動的に発見する努力が、各所で行われているのだ。

【後略】

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ヨーロッパ司法の忘れられる権利を笑劇に変えてしまった凄腕のGoogle

まばたきをしても、それはまだ見えるだろう。錯視ではなく、目の前の現実だから。ヨーロッパ司法裁判所の忘れられる権利に関する裁定を実質的に無効にしてしまうGoogleの戦略が、見事に成功している。

5月の終わりに下されたその裁定は、人の名前で検索をしたときに拾い出されるその人に関する古い、または不適切な情報を、その人からのリクエストがあった場合には検索のインデクスから外す(==今後の検索結果に現れない)ことを、Googleに課している。

そのデータが外されるのは、European Googleの検索結果のみであり、Google.comではない。また、対象は私人としての個人であり、公人に関しては公共の利益を根拠として対象から除外される。Googleによると、同社はこれまでにおよそ7万件のリクエストを受け取っている。

リンクを検索のインデクスから外す、という遵法作業をGoogleは、先月(6月)の終わりに開始している。しかし今週(7月第1週)に入ってこの巨大広告企業は、検閲反対のキャンペーンを、Googleに同調するそのほかのメディアの力を借りる形で展開しつつある。

たとえば今週初めにはBBCのジャーナリストRobert Pestonが、Why has Google cast me into oblivion?(なぜGoogleは私を世間から忘れられた存在にしてしまったのか?)と題する感情的なブログ記事を公開し、Googleがジャーナリストとしての自分の過去の業績を消し去ることに疑問を呈した。

これは、一種の挑発だろうか? 違う。

これは、彼のような職業にとっては、当然の懸念だ。

メディアは自分たちの過去の成果を検索で見つけてほしい立場だから、Googleへの同情票はGoogle自身が指一本動かさなくても、いくらでも集まる。

しかしそうは言っても、最近の動きには明らかに、紐付きの気配がある。まず、Googleは今では、記事のリンクを検索結果から削除したことをニュースサイトなどにメールで通知している。しかしそれは、メディアに対する、裁定を批判し攻撃せよ、という暗黙の合図でもある。Googleは、これまでに送った通知メールの数を公表しない姿勢だ。

裁定によると、Googleがやるべきことへの要件には、このような、情報のパブリッシャーへの通知は含まれていない。Google自身もこれまでは、たとえば、あらゆる種類のサイトに影響を与える検索結果のランク付けアルゴリズムの重要な変更などを、とくにユーザに通知することなく行ってきた。

しかし今回の問題は、Google自身の今後の業績に負の影響を及ぼす可能性がある。人には忘れられる権利があるとする裁定は、ヨーロッパの裁判所や立法府が、元々その気のないGoogleの顔に投げつけた変更要請であり、そのプライバシー保護のための強制事項は、同社のメインエンジンであるビジネスモデルに真っ向から反している。そのビジネスモデルとは、個人がデータを収穫することを基本商材とし、しかし収益を広告に依存することにより、その基本商材へのアクセスは完全に無料にする、というものだ。ヨーロッパの法廷の裁定は、その重要な商材に無視できない傷を与えるから、Googleが易々諾々と受け入れることは絶対にできない。

今のところGoogleのメディア戦略は見事に成功している。各メディアは、削除されたリンクに関する記事を掲載するから、裁定の効果は、当初の目的だった“忘れられる”から、“人びとが思い出す”へと、完全に逆転している。古い記事や不適切な記事を葬ってしまいたい個人は、むしろそれらの、墓場からの掘り出しを眼前にしているのだ。

今週、その裁定はデジタルの劇場(ないし見世物小屋)となり、Googleは自分にとって容易に作ることのできた「ヨーロッパのデータプライバシー」と題する笑劇に、笑い転げている。

Andrew OrlowskiはThe Registerで、Googleは個人からのリクエストをEUのデータ保護監視機関に送り返せばよい、と指摘している。そして、監視機関がリクエストを是とするたびに、控訴すればよい。もちろん、それをやれば、たいへんな手間にはなるが。

‘司法の空振り三振’を見せつけるためのもっとも簡単な方法は、情報に関する公共の関心と利益を強調し、裁定が有害な検閲行為に相当することを明らかにして、メディアや人びとにヨーロッパ司法裁判所に対する非難の声を上げさせることだ。

もちろん私は、個々のインデクス外しに関してGoogleの意思決定に関与してはいないが、結果がすべてを物語っている。Google自身は、個々のリクエストに対する意思決定の過程については、何も明かさない。

昨日(米国時間7/3)のReutersの記事によると、Guardianが、「うちの記事が勝手に検索結果から消えた、けしからん」、と騒ぎ立てた記事を、Googleは黙って復活させたそうだ。

Guardianに書いた自分の記事を6つも‘消された’同紙の記者James Ballは(一部の記事は‘復活’したのだと思うが)、Googleのやり方を“報道の自由に対する宣戦布告” と呼び、“表現の自由が同様の犠牲者になるのは時間の問題”、と論じた。

Googleが一部の記事の検索インデクスを戻した(復活させた)あと、GuardianのスポークスウーマンがReutersにこう語った: “Googleの今のやり方は解釈の幅が広すぎるようだ。あの判決の目的が、パブリッシャーに対する検閲のためのバックドアを設けることではない、とするなら、われわれは、Googleが決定に用いている基準を同社が一般公開するよう、求めていくべきだ。また、パブリッシャーが異議申立てをするための方法と窓口と手順も、正式に整備されなければならない”。

上記の‘解釈の幅が広すぎる’は、Googleの姿勢をぴたり言い当てているようだ。多めに拾っておけば、問題ないだろう、大は小を兼ねる、という姿勢だ。

Googleは、その処理が現在は“進化の途上にある”、と言うだけだろう。それなら、どんな批判の弾(たま)も逸らすことができるし、いずれは裁定を覆すためにわざと良い記事を消した場合でも、“進化途上”がその言い訳になる。

私がGoogleにコメントを求めたときに返ってきた声明も、今週初めに発表されたものとほぼ同じだ: “弊社は最近、ヨーロッパ司法裁判所の裁定のあとに弊社が受け取った削除リクエストに対する対応を開始しました。これは弊社にとって、新しくて進化途上のプロセスです。弊社は今後も継続的にフィードバックに耳を傾け、またデータ保護の専門化などとも協働して、裁定を順守して参ります”。

BBCのPestonの例が典型的に示しているように、裁定へのGoogleの対応の仕方は、それが重要で公共性のある情報に対する‘検閲’だという、ネガティブでおどろおどろしい反応を作り出している。

Pestonが、正当な理由なくGoogleに‘消された’と騒いでいる記事は、2007年のブログ記事で、投資銀行Merrill Lynchの前頭取Stan O’Nealについて書いている。O’Nealは銀行が巨額の損失を出したために頭取の座を追われたが、Prestonの記事は“同行が行った無謀な投資による途方もない額の損失”、といった書き方をしている。

今度は投資銀行家たちとジャーナリストが、ポスト金融危機の時代のもっとも憎まれた人たちをめぐって対立する。ステージにはパントマイムの悪役が登場し、Googleに代わり、忘れられる権利をボードに大書する。でも、銀行家の過去の行為を拭い去ることを助けるような法律を、誰が支持するのか?

しかも問題は、O’Neal自身がPrestonのブログ記事の削除をリクエストしたのではないことだ。それにO’Nealの名前で検索すると記事は消えていないから、銀行家の過去は拭い去られていない。

Pestonは自分の記事を更新してこの事実を書き記した。それによると、削除をリクエストしたのは、元のブログ記事にコメントを寄せた某氏だ、という。だから、O’Nealの名前ならPrestonの記事は出てくる。コメントを書いた某氏の名前で検索したら、出てこないのだ。

こういう、見当はずれが起きる。

でも、裁定の筆の幅が太すぎるために、Googleは無害な記事でもリクエストに応えて削除し、それがひいては、メディアの自由を奪うという悪評につながる。Googleが笑劇を書くためには、好都合だ。だから本当は、裁判所はGoogleがリクエストに応じるべき記事を、いくつかのパラメータとその値域で、具体的に指定すべきだった、という議論が生まれる。

今明らかなのは、今週のGoogleの笑劇によって、この裁定が保護しようとしたまさにその人が、ハイライトを外され、舞台の影の目立たない脇役みたいになってしまっていることだ。(公人でなく)私人の古い情報や不適切な情報が検索で出たら、その後の人生が生きづらくなるのか。失業者になり、別の仕事を探さなければならなくなるのか。自分のデジタルの足跡が、無関係な他人の評判にくっついて現れるのをどうやって防ぐのか。自宅の住所は、許可無く公開されてもよいのか。…等々の、中心的な問題点が、どっかへ行ってしまっている。

平均的個人のプライベートな生活の権利こそむしろ、Googleがあなたに忘れてほしいと思っているものなのだ。

忘れられるためのリクエストを提出する作業を助けてくれるサービス、Forget.meの初期のデータによると、リンクの削除を求める最大の動機が、プライバシーだった。

‘プライバシーの侵犯’と‘名誉毀損や侮辱’が、同サービスを利用してリクエストを提出しようとする人たちの理由の半数近くを占める。そしてプライバシー関連の理由の上位3項目は、1)自宅住所の開示、2)ネガティブな意見、3)失業(失職)だ。名誉既存(誹謗中傷)の最上位の理由は、‘(本当は)当人と無関係なことへの結びつけ’だ。

個人のプライバシーを守ろうとするこの裁定に、メディアが慌ただしげに、‘恣意的な検閲’というブランド名をつけることは、無責任だけど意外ではない。

個人のプライバシーを害するおそれのあるデータを大量に保持することは困難であり、その困難性は日増しに増大する。この問題が単純だ、というふりはすべきでない。経営と利益を重視する私企業が、背後で紐をひっぱているときにはなおさらだ。

[画像: Edmond Wells/Flickr]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))