アップル、プライバシー保護の懸念を受けて児童性的虐待コンテンツへの言及をひっそり取り止め

Apple(アップル)は、iOS 15とmacOS Montereyにその新しい技術が組み込まれることを発表してから数カ月後、ウェブサイトから児童性的虐待スキャン機能に関するすべての言及を静かに削除した。

8月にAppleは、CSAMとして知られる児童性的虐待コンテンツを同社が検出し、法執行機関に報告することを可能にする機能を導入すると発表した。当時Appleは、すでに違法となりうるコンテンツをチェックするための包括的なスキャンを提供しているクラウドプロバイダとは異なり、画像やデバイスを取得することなく、またその内容を知らなくてもユーザーのデバイス上のCSAMを特定できる技術なので、ユーザーのプライバシーを保護しながら違法画像を検出することができると主張していた。

関連記事
アップルがiCloud上の児童虐待画像を検出する新技術「NeuralHash」導入へ
また批判を浴びるアップルの児童虐待検出技術

これに対し、Appleは大きな反発を受けた。セキュリティの専門家やプライバシー擁護団体は、このシステムが政府のような高度なリソースを持つアクターによって悪用され、無実の被害者を巻き込んだり、システムを操作されたりする可能性があると懸念を表明した。また、児童の性的虐待の画像を特定するのに効果的でないと揶揄する人もいた。このため、数十の市民の自由団体がAppleに対してこの論争の的となっている機能を展開する計画を放棄するよう求めた。

恐怖を和らげるための広報活動を行ったにもかかわらず、Appleは譲歩し、CSAMスキャン機能の展開の延期を発表した。同社は「顧客、支援団体、研究者などからのフィードバックに基づいて、今後数カ月間、さらに時間をかけて意見を集約し、これらの極めて重要なチャイルドセーフティ機能をリリースする前に改善を行うことにしました」と述べた。

関連記事:アップルが次期iOS15での児童性的虐待コンテンツ検出技術導入を延期

現在、この機能は完全に廃止された可能性があるようだ。

MacRumoursは、AppleのチャイルドセーフティのウェブページからCSAMに関するすべての言及がひっそりと削除されていることに最初に気づいた。12月10日まで、このページにはCSAM検出の詳細な概要と、この物議を醸す機能が「iOS 15、iPadOS 15、watchOS 8、macOS Montereyのアップデートで2021年後半に登場」するとの約束が含まれていた。更新されたバージョンのページでは、CSAM検出に関するセクションが削除されただけでなく、この技術に関するすべての言及と、CSAMプロセスを説明し評価する文書へのリンクを提供するセクションが削られている。現在、Appleのチャイルドセーフティページには、今週初めにiOS 15でデビューしたメッセージのコミュニケーションセーフティへの言及とSiri、Spotlight、Safari検索への拡張ガイダンスのみが含まれている。

関連記事
アップル、iOS 15.2開発者ベータ第2弾で「メッセージ」アプリに子供向け新安全機能を搭載
アップルが次期iOS15での児童性的虐待コンテンツ検出技術導入を延期

Appleの広報担当者Shane Bauer(シェーン・バウアー)氏はTechCrunchに対し、9月に発表した同機能の遅延に関する声明について「何も変わっていない」と述べたが、CSAM機能への言及が削除された理由については言及しないとしている。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Yuta Kaminishi)

フェイスブックがエンド・ツー・エンド暗号化の全面導入を「2023年中まで」延期

Facebook(フェイスブック)改めMeta(メタ)が、エンド・ツー・エンド暗号化を同社の全サービスに全面展開することを「2023年中まで」延期する。このことは、同社の安全部門のグローバル責任者であるAntigone Davis(アンティゴン・デイビス)氏が英国のTelegraph(テレグラフ)紙に寄稿した論説記事によって明らかになった。

Facebook傘下のWhatsApp(ワッツアップ)には、すでに2016年からエンド・ツー・エンド暗号化が全面的に導入されているが、ユーザーがメッセージデータを暗号化する鍵をユーザーのみに持たせるこの機能は、同社の他の多くのサービスではまだ提供されていない。つまり、エンド・ツー・エンド暗号化が提供されていないそれらのサービスでは、メッセージデータを公権力に提供するよう召喚されたり令状が発行されたりする可能性があるということだ。

しかし、Facebook創業者のMark Zuckerberg(マーク・ザッカーバーグ)氏は、Cambridge Analytica(ケンブリッジ・アナリティカ)のデータ不正利用スキャンダルを受けて、2019年にはすでに「プライバシー重視のプラットフォームへと転換させる」取り組みの一環としてエンド・ツー・エンド暗号化を同社の全サービスに全面導入する計画であることを発表した。

ザッカーバーグ氏は当時、エンド・ツー・エンド暗号化の全面導入の完了時期について具体的な日程には言及しなかったが、Facebookは2021年初めに、2022年中には全面導入が完了する予定であると示唆していた。

それがこの度、同社は、2023年中の「いずれかの時点」まで完了する予定はないと発表した。明らかに先送りされているようだ。

デイビス氏によると、今回の延期は、子どもの安全に関わる捜査を支援するために情報を法執行機関に提供する能力を同社が保持できるようにして、安全性を確保しながらエンド・ツー・エンド暗号化を実装することに時間をかけたいと同社が希望しているためだという。

デイビス氏は次のように語る。「当社でもそうだが、ユーザーのメッセージにアクセスできない状態で、テック企業が虐待問題に立ち向かい続けることと法執行機関の重要な任務をサポートし続けることをどのように両立できるのかという点については、今も議論が続いている。プライバシーと安全性のどちらかを選ばなければならないような状態にしてはいけないと当社は考えている。だからこそ当社は、適切な方法でこの技術を導入するために、強力な安全対策を計画に盛り込み、プライバシー分野や安全分野の専門家、市民社会、政府と協力している」。さらに、同社は「プロアクティブな検知テクノロジー」を使用して不審なアクティビティを特定することに加え、ユーザーのコントロール権限を強化し、問題を報告する能力をユーザーに付与する予定だと同氏はいう。

Facebookが2年以上前に「全サービスへのエンド・ツー・エンド暗号化導入」計画を公に発表してからこれまで、英国を含む西側諸国の政府は、最高レベルの暗号化を全サービスに全面導入する計画を延期または断念するよう同社に対して強い圧力をかけ続けている。

英国政府はこの点で特に、Facebookに対して苦言を呈してきた。内務大臣のPriti Patel(プリティ・パテル)氏は、Facebookのエンド・ツー・エンド暗号化拡大計画は、オンラインの児童虐待を防止する努力を阻害するものになると、公の場で(繰り返し)警告し 、同社を、児童性的虐待コンテンツ(CSAM)の制作と配信を防ぐ闘いにおける無責任な悪役であるとみなした。

したがって、Metaが今回、英国政府ご贔屓の新聞に論説記事を寄稿したのは偶然ではなかったのだ。

Telegraph紙に寄稿された前述の論説記事の中で、デイビス氏は「エンド・ツー・エンド暗号化を展開するにあたり、当社は、市民の安全を確保する活動に協力しつつも、暗号化されていないデータの組み合わせを用いて各種アプリ、アカウント情報、ユーザーからの報告をプライバシーが保護された安全な状態に保つ」と述べ「この取り組みにより、すでに、子どもの安全を担当する当局機関に対し、WhatsAppから極めて重要な情報を報告することができている」と同氏は付け加える。

デイビス氏はさらに、Meta / Facebookは過去の事例をいくつも調査した結果「エンド・ツー・エンド暗号化をサービスに導入した場合でも、重要な情報を当局機関に報告することができていた」との結論に達したと述べ「完璧なシステムなど存在しないが、この調査結果は、当社が犯罪防止と法執行機関への協力を継続できることを示している」と付け加えた。

ところで、Facebookのサービスにおいてすべてのコミュニケーションがエンド・ツー・エンドで暗号化された場合に、同社は一体どのようにして、ユーザーに関するデータを当局機関に渡すことができるのだろうか。

Facebook / Metaがそのソーシャルメディア帝国において、ユーザーのアクティビティに関する手がかりを集めている方法の詳細をユーザーが正確に知ることはできない。しかし、1つ言えることとしてFacebookはWhatsAppのメッセージ / コミュニケーションの内容がエンド・ツー・エンドで暗号化されるようにしているが、メタデータはエンド・ツー・エンドで暗号化されていないということだ(そしてメタデータからだけでも、かなり多くの情報を得ることができる)。

Facebookはまた、例えば、2016年に議論を呼んだプライバシーUターンのように、WhatsAppユーザーの携帯電話番号データをFacebookとリンクさせるなど、アカウントとそのアクティビティを同社のソーシャルメディア帝国全体で定期的にリンクさせている。これにより、Facebookのアカウントを持っている、あるいは以前に持っていたユーザーの(公開されている)ソーシャルメディアアクティビティが、WhatsAppならではの、より制限された範囲内でのアクティビティ(1対1のコミュニケーションや、エンド・ツー・エンド暗号化された非公開チャンネルでのグループチャット)とリンクされる。

このようにしてFacebookは、その巨大な規模(およびこれまでにプロファイリングしてきたユーザーの情報)を利用して、たとえWhatsAppのメッセージ / コミュニケーションの内容自体がエンド・ツー・エンドで暗号化されていたとしても、Facebook / Metaが提供する全サービス(そのほとんどがまだエンド・ツー・エンド暗号化されていない)において、誰と話しているのか、誰とつながっているのか、何を好きか、何をしたか、といったことに基づいて、WhatAppユーザーのソーシャルグラフや関心事を具体的に把握できる。

(このことを、デイビス氏は前述の論説記事で次のように表現している。「エンド・ツー・エンド暗号化を展開するにあたり、当社は、市民の安全を確保する活動に協力しつつも、暗号化されていないデータの組み合わせを用いて各種アプリ、アカウント情報、ユーザーからの報告をプライバシーが保護された安全な状態に保つ。この取り組みにより、すでに、子どもの安全を担当する当局機関に対し、WhatsAppから極めて重要な情報を報告することができている」)。

Facebookは2021年の秋口に、WhatsAppが透明性に関する義務を遂行しなかったとして欧州連合から多額の罰金を科せられた。WhatsAppがユーザーデータの使用目的と、WhatsApp-Facebook間においてそのデータを処理する方法について、ユーザーに適切に通知していなかったことが、DPAの調べによって明らかになったためだ。

関連記事:WhatsAppに欧州のGDPR違反で約294億円の制裁金、ユーザー・非ユーザーに対する透明性の向上も命令

FacebookはGDPRの制裁金に関して控訴中だが、米国時間11月22日に、欧州の規制当局からの求めに応じて、欧州のWhatsAppユーザー向けのプライバシーポリシーの文言を少し変更することを発表した。しかし、同社によると、ユーザーデータの処理方法については、まだ何の変更も加えていないとのことだ。

さて、エンド・ツー・エンド暗号化そのものに話を戻すと、2021年10月、Facebookの内部告発者であるFrances Haugen(フランセス・ハウゲン)氏が、同社によるエンド・ツー・エンド暗号化テクノロジーの応用に関して懸念を表明した。このテクノロジーはオープンソースではなく、専有テクノロジーであるため、ユーザーはFacebook / Metaのセキュリティ方針を信じなければならず、同テクノロジーのコードが本当にそのセキュリティ方針を順守しているかどうか、独立した第三者が検証する術がない、というのが同氏の主張だ。

ハウゲン氏はさらに、Facebookがエンド・ツー・エンド暗号化をどのように解釈しているのかを社外の者が知る方法がないことも指摘し、同社がエンド・ツー・エンド暗号化の使用を拡大しようとしていることについて「Facebookが本当は何をするつもりなのかまったくわからない」と述べて懸念を表明した。

「これが何を意味するのか、人々のプライバシーが本当に保護されるのか、私たちにはわかりません」と英国議会の議員たちに語ったハウゲン氏は、さらに次のように警告した。「これは非常に繊細な問題で、文脈も異なります。私が気に入っているオープンソースのエンド・ツー・エンド暗号化製品には、14歳の子どもがアクセスしているディレクトリや、バンコクのウイグル族コミュニティを見つけるためのディレクトリはありません。Facebookでは、社会的に弱い立場にある人々を標的にすることが、この上なく簡単にできてしまいます。そして、国家政府がそれを行っているのです」。

ハウゲン氏は、エンド・ツー・エンド暗号化の支持については慎重に言葉を選んで発言し、エンド・ツー・エンド暗号化テクノロジーは、外部の専門家がそのコードや方針を厳正に調査できるオープンソースで対応することが望ましいと述べた。

しかし、Facebookの場合は、エンド・ツー・エンド暗号化の実装がオープンソースではなく、誰も検証できないため、規制当局による監視が必要だとハウゲン氏は提案した。ユーザーのプライバシーをどの程度確保するか(したがって、政府当局などによる潜在的に有害な監視からの保護をどの程度確保するか)、という点についてFacebookが誤解を招く指針を打ち出さないようにするためだ。

「私たちはプライバシーを保護し、危害の発生を防ぐ」という見出しの下で書かれた前述のデイビス氏の論説記事は、Metaが「外部の専門家と引き続き協力し、虐待と闘うための効果的な方法を構築していく」ことを誓う言葉で締めくくられており、英国議会の議員をなだめることによって、Facebookが一挙両得を狙っているように感じられる。

「Facebookはこの取り組みを適切な方法で進めるために時間をかけており、当社のすべてのメッセージングサービスでエンド・ツー・エンド暗号化を標準機能として導入することが、2023年中のある時点までに完了する予定はない」とデイビス氏は付け加え「Facebookはユーザーのプライベートなコミュニケーションを保護し、オンラインサービスを使用する人々の安全を守る」という、具体性のない宣伝文句をまた1つ発して記事を締めくくった。

英国政府は間違いなく、Facebookが今回、規制に配慮を示しながら非常に厄介な問題に関する記事を公に発表したことについて、喜ばしく思うだろう。しかし、同社が、パテル内相などからの長期にわたる圧力を受けて、エンド・ツー・エンド暗号化の延期の理由を「適切に導入するため」だと発表したことは「では、非常にセンシティブなプライバシーに関する問題という文脈において、その『適切』とは何を意味するのか」という懸念を強めるだけだろう。

もちろん、デジタル権利の擁護活動家やセキュリティの専門家を含むより大きなコミュニティも、今後のMetaの動向を注意深く見守っていくだろう。

英国政府は最近、児童性的虐待コンテンツ(CSAM)の検知または報告、作成阻止を目的として、エンド・ツー・エンド暗号化サービスにも応用できる可能性があるスキャニング/フィルタリング技術を開発する5つのプロジェクトに、およそ50万ポンド(約7700万円)の税金を投じた。「代替ソリューション」(プラットフォームにエンド・ツー・エンド暗号化を実装する代わりに、スキャニング / フィルタリング技術を暗号化システムに組み込むことによってCSAMの検知 / 摘発を行う)を開発することによって、革新的な方法で「テクノロジーにおける安全性」を確保するよう閣僚たちが求めたためだ。

したがって、英国政府は(ちなみに現在、オンライン安全法案の制定に向けても動いている)、子どもの安全に関する懸念を政治的な圧力として利用して、暗号化されたコンテンツを、エンド・ツー・エンド暗号化の方針のいかんに関わらず、ユーザーのデバイス上でスキャンすることを可能にするスパイウエアを実装するようプラットフォームに働きかける計画のようだ。

そのようにして埋め込まれたスキャンシステムが(閣僚たちの主張とは相容れないものの)堅牢な暗号化の安全性にバックドアを作ることになれば、それが今後数カ月あるいは数年のうちに厳密な調査と議論の対象になることは間違いない。

ここで参考にできるのがApple(アップル)の例だ。Appleは最近、コンテンツがiCloudのストレージサービスにアップロードされる前に、そのコンテンツがCSAMかどうかを検知するシステムをモバイルOSに追加することを発表した。

Appleは当初「当社は、子どもの安全とユーザーのプライバシーを両立させるテクノロジーをすでに開発している」と述べて、予防的な措置を講じることについて強気な姿勢を見せていた。

しかし、プライバシーやセキュリティの専門家から懸念事項が山のように寄せられ、加えて、そのように一度は確立されたシステムが(著作権下のコンテンツをスキャンしたいという市場の要求だとか、独裁政権下の国にいる反政府勢力を標的にしたいという敵対国家からの要求に応えているうちに)いや応なく「フィーチャークリープ」に直面する警告も発せられた。これを受けてAppleは1カ月もたたないうちに前言を撤回し、同システムの導入を延期することを表明した。

Appleがオンデバイスのスキャナーを復活させるかどうか、また、いつ復活させるのか、現時点では不明である。

AppleはiPhoneのメーカーとして、プライバシー重視の企業であるという評判(と非常に高収益の事業)を築いてきたが、Facebookの広告帝国は「利益のために監視する」という、Appleとは正反対の野獣である。したがって、全権力を握る支配者である創業者が、組織的に行ったプライバシー侵害に関する一連のスキャンダルを取り仕切った、Facebookという巨大なソーシャルメディアの野獣が、自社の製品にスパイウエアを埋め込むようにという政治的な圧力を長期にわたって受けた結果、現状を維持することになれば、それは自身のDNAを否定することになるだろう。

そう考えると、同社が最近、社名をMetaに変更したことは、それよりはるかに浅薄な行動だったように思えてくる。

画像クレジット:Justin Sullivan / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

アップルが2019年からiCloudメールに児童虐待画像が添付されていないかスキャンしていると認める

アップルが2019年からiCloudメールに児童虐待画像が添付されていないかスキャンしていたと認める

Apple

アップルは児童虐待(いわゆる児童ポルノ)対策のためにiCloudにアップロードされる画像をスキャンする方針を発表し、様々な方面から批判を集めています

そんななか、アップルがCSAM(子供を巻き込んだ性的に露骨な活動を描くコンテンツ)を検出するため、2019年からiCloudメールの添付ファイルをスキャンしていることを認めたと伝えられています。その一方で、iCloud画像やiCloudバックアップはスキャンしていないとのことです。

この声明はアップルの不正防止責任者Eric Friedman氏が、自社サービスが「児童ポルノ写真を配布するための最大の温床になっている」と述べる社内メールが発覚した(Epic Gamesとの訴訟で提出された証拠から発掘)件を受けて、米9to5Macが問い合わせたことに対して回答されたものです。すなわちiCloudの写真をスキャンしていないのであれば、どうやって温床になっていると分かったんだ?というわけです。

9to5Macいわく、他にもアップルがiCloudメールのスキャンを行っているらしき手がかりはいくつもあったとのことです。たとえば「子供の安全」ページ(Webアーカイブ)には、「アップルは画像照合技術を使って児童搾取の発見と報告を支援しています。電子メールのスパムフィルターのように、Appleのシステムは電子署名を使って児童搾取の疑いがあるものを見つけ出します」との一節が確認できます。

さらにアップルの最高プライバシー責任者であるJane Horvath氏は、2020年1月に「アップルはスクリーニング(集団をふるいにかけて目的物を探す)技術を使って違法画像を探している」と述べたとの報道もあったとのことです。

これらにつきアップルは、Friedman氏の発言にノーコメントの一方で、iCloud画像をスキャンしたことはないと回答。しかし2019年以降、iCloudメールの送受信をCSAM画像を探すためスキャンしていると確認したとのことです。iCloudメールは暗号化されていないので、アップルのサーバーを通る際に添付ファイルをスキャンするのは容易だと思われます。

さらにアップルは他のデータを限定的にスキャンしていることを示唆しつつ、ごく小さな規模に留まる以外は、具体的なことを教えてくれなかったそうです。ただし「その他のデータ」にはiCloudのバックアップは含まれていないとのことです。

アップルのこうした回答を、9to5Macは責めているわけではありません。逆に上記のFriedman氏による「アップルが児童ポルノの温床」発言は確かなデータに基づいているわけではなく、ただの推論である可能性が出てきたと指摘しています。アップルが毎年CSAMに関して行っている報告は数百件にすぎず、電子メールのスキャンでは大規模な問題の証拠を捉えられていないことを意味している、とのことです。

かたや、Friedman氏の発言全文は「Facebookなどは信頼と安全性(偽アカウント)に注目しています。プライバシーに関しては、彼らは最悪です。私たちの優先順位は逆です。私たちが児童の(ポルノ)写真を配布するための最大の温床になっている理由です」というものです。

つまりFacebookやその他のクラウドサービスはプライバシー保護を棚上げしてまで児童ポルノ写真を取り締まっているが、アップルは逆にプライバシーを厳守しているために十分に取り締まれていない……と推測しているだけではないか、というわけです。

たしかにGoogleドライブの利用規約には「Google は、コンテンツが違法か否か、または Google のプログラム ポリシーに違反しているか否かを判断するために、コンテンツを審査することができます」とあり、少なくともスキャンが可能であるとは述べています(「Google によるコンテンツの審査が行われていることを前提としないでください」とも但し書きしていますが)。

またメールについても、他社は少なくとも児童ポルノ取締りについてはスキャンしていることは珍しくありません。やはりGoogleのGmailが違法な画像を見つけて、当局に通報したこともありました

アップルは、他のハイテク大手が以前からやっている「児童ポルノ取締りはプライバシー保護よりも優先する」という方針を大がかりに発表したことで、想定以上の注目や批判を集めてしまった面もあるのかもしれません。とはいえ、常々アップルは「プライバシーは基本的人権の1つ」と標榜しているだけに、他社よりも厳しい基準を求められるのも当然とは言えそうです。

(Source:9to5MacEngadget日本版より転載)

【インタビュー】アップルのプライバシー責任者、児童虐待検出機能とメッセージアプリの通信の安全性機能への懸念について答える

先にApple(アップル)は、同社の端末を使う児童の安全性の向上を目的とした一連の新機能を発表した。この新機能はまだリリースされていないが、2021年後半にはダウンロード配信される予定だ。これらの機能は、未成年の保護と児童性的虐待画像の拡散を抑えることをも目的としており、良い機能として受け入れられているものの、アップルが採用しているやり方に疑問の声が上がっている。

関連記事:アップルがiCloud上の児童虐待画像を検出する新技術「NeuralHash」導入へ

この記事では、アップルのプライバシー担当責任者Erik Neuenschwander(エリック・ノイエンシュバンダー)氏に、アップル製端末に搭載されるこれらの新機能について話を聞いた。同氏は、この機能についてユーザーが抱いている多くの懸念について丁寧に回答してくれた。この機能の導入後に発生する戦術的、戦略的な問題についても詳しい話を聞くことができた。

また、密接に関連しているが、同じような目的を持つ完全に独立したシステム群であるこれらの機能の導入についても話を聞いた。アップルは今回3つの機能を発表しているが、これらの機能はその守備範囲においても、一般ユーザーの間でも、混同されることが多いようだ。

iCloud写真でのCSAM検出NeuralHashと呼ばれる検出システムは、全米行方不明・被搾取児童センターやその他の組織のIDと照合可能なIDを作成し、iCloud写真ライブラリにある既知のCSAMコンテンツを検出する。大半のクラウドプロバイダーでもユーザーライブラリをスキャンしてこうした情報を取得しているが、アップルのシステムは、クラウド上ではなく端末上でマッチングを行う点が異なる。

メッセージアプリの通信の安全性親がiCloudファミリーアカウントで未成年向けにオンにできる機能。画像を表示しようとする子どもたちに、その画像には露骨な性的表現が検出されていることを警告し、親にも同じ警告がなされることを通知する。

Siriと検索への介入:Siriや検索を介して児童性的虐待画像関連の表現を検索しようとするユーザーに介入して、そのユーザーに介入を通知し、リソースを紹介する。

これらの機能の詳細については、当社の記事(上記にリンクがある)またはアップルが先に投稿した新しいFAQを参照いただきたい。

関連記事:アップルがメッセージアプリで送受信される性的な画像を検知し子どもと親に警告する新技術を発表

筆者は、個人的な体験から、上記の最初の2つのシステムの違いを理解していない、あるいは、自分たちの子どもの無害な写真でも何らかのフィルターに引っかかって厳しい調査を受ける可能性があると考えている人たちがいることを知っている。ただでさえ複雑な内容の発表に混乱を生じさせる結果となっているようだ。この2つのシステムはもちろん、組織がすでに虐待画像と認識しているコンテンツと完全に一致するコンテンツを検索するCSAM検出システムとは完全に別個のものである。メッセージアプリの通信の安全性では、すべての処理が端末上で実行され、外部には一切報告されない。単に、端末を使っている子どもに、性的に露骨な画像を表示しようとしている、またはその可能性があることを、その場で警告するだけである。この機能は親によるオプトイン方式となっており、有効化されていることを親も子どもも意識する必要はない。

アップルのメッセージアプリの通信の安全性機能(画像クレジット:Apple)

また、端末上で写真をハッシュ化しデータベースを使って比較対照できるIDを作成する方法についても疑問の声が上がっている。NeuralHashは、写真の高速検索など、他の種類の機能にも使用できるテクノロジーだが、iPhone上では今のところCSAMの検出以外には使用されていない。iCloud写真が無効になっている場合、この機能は、まったく動作しない。これにより、この機能をオプトアウトできるようにしているのだが、iCloud写真がアップルのオペレーティングシステムに統合されていることの利便性を考えると、オプトアウトすることで失うものが非常に大きいことは明らかだ。

エリック・ノイエンシュバンダー氏へのインタビューでは、これらの新機能について考えられるすべての質問に答えているわけではないが、アップルの上級プライバシー担当者による公開の議論としては、最も詳細な内容になっている。アップルがこれらの新機能の内容を公開しており、継続的にFAQを更新し、記者会見を開いていることから、同社はこのソリューションに明らかに自信を持っているように思われる。

この機能については、さまざまな懸念や反対意見があるものの、アップルは、必要なだけ時間をかけてすべての人たちに納得してもらうことに尽力しているようだ。

このインタビューはわかりやすくするために編集されている。

ーーー

TC:大半の他のクラウドプロバイダーは、すでにCSAM画像のスキャンをかなりの期間実施していますが、アップルはまだ行っていません。現在、サーバー上でCSAM画像の検出を行うことを強制する規制はありませんが、EUやその他の国では規制による混乱が起こっています。今回の新機能はこうした動きを受けてのことでしょうか。なぜ、今なのですか。

なぜ今リリースするのかという点については、児童の虐待からの強力な保護とユーザーのプライバシーのバランスをとるテクノロジーが実現したということに尽きます。アップルはこの分野にかなりの期間注目してきました。これには、クラウドサービス上のユーザーのライブラリ全体をスキャンする最先端の技術が含まれますが、ご指摘のとおり、アップルはこうした処理、つまりユーザーのiCloud写真を走査するという処理を行ったことがありません。今回の新システムもそうした処理は一切行いません。つまり、端末上のデータを走査することもなければ、iCloud写真に格納されているすべての写真を走査することもありません。では、何をやっているのかというと、既知のCSAM画像が蓄積し始めているアカウントを特定する新しい機能を提供しているのです。

ということは、この新しいCSAM検出テクノロジーが開発されたことが重要な転機となって、このタイミングで今回の機能をリリースすることになったというわけですね。しかも、アップル自身も満足のいく形で、なおかつユーザーにとっても「良い」方法でこの機能を実現できると考えていると。

そのとおりです。この機能には、同じくらい重要な2つの目的があります。1つはプラットフォーム上での児童の安全性を向上させること、もう1つはユーザーのプライバシーを保護することです。上記の3つの機能はいずれも、上記の2つの目的を実現するテクノロジーを組み合わせることで実現されています。

メッセージアプリの通信の安全性機能とiCloud写真でのCSAM検出機能を同時に発表したために、両者の機能と目的について混乱が生じているようです。これらを同時に発表したことは良かったのでしょうか。また、この2つが別個のシステムなら、なぜ同時に発表されたのでしょうか。

確かにこれらは2つの別個のシステムですが、Siriと検索における当社による介入の増加に伴って開発されたものです。アップルのiCloud写真サービスの中の既知のCSAMのコレクションが格納されている場所を特定することも重要ですが、その上流部分を特定することも重要です。上流部分もすでにひどい状況になっています。CSAMが検出されるということは、すでにレポートプロセスの処理対象になったことのある既知のCSAMが存在しており、それが広範囲に共有されて子どもたちが繰り返し犠牲になっているということです。そもそも最初にそうした画像が作成される原因となった虐待があり、そうした画像の作成者がいたはずです。ですから、そうした画像を検出することも重要ですが、人々が問題のある有害な領域に入ろうとするときに、あるいは、虐待が発生し得る状況に子どもたちを仕向ける虐待者がすでに存在している場合に、早期に介入することも重要です。メッセージアプリの通信の安全性と、Siriおよび検索に対する当社の介入は、まさにその部分に対する対応策です。つまり、アップルはCSAMに至るまでのサイクルを遮断しようと試みているのです。最終的にはCSAMがアップルのシステムによって検出されることになります。

iCloud写真システムにおけるアップルのCSAM検出プロセス(画像クレジット:Apple)

世界中の政府と政府機関は、何らかのエンド・ツー・エンドまたは部分的な暗号化を組織内で使用している大規模組織に常に圧力をかけています。政府機関は、バックドアや暗号解読手段に賛成する理論的根拠として、CSAMやテロにつながる可能性のある活動を抑えることを挙げることがよくあります。今回の新機能および端末上でのハッシュ照合を実現する機能をリリースするのは、それらの要求を回避し、ユーザーのプライバシーを犠牲にすることなく、CSAM活動を追跡し防止するために必要な情報を提供できることを示すための取り組みでしょうか。

最初に、端末上での照合についてですが、このシステムはマッチング結果を(通常マッチングと考えられているような方法で)端末または(端末が作成するバウチャーを考えている場合でも)アップルに公開しないように設計されている、という点を申し添えておきます。アップルは個々の安全バウチャーを処理することはできません。このシステムは、あるアカウントに、違法な既知のCSAM画像に関連付けられたバウチャーのコレクションが蓄積した時点で初めて、そのユーザーのアカウントについて調査できるように設定されています。

なぜそんなことをするのかというと、ご指摘のとおり、これはユーザーのプライバシーを保護しながら検出機能を実現するための仕組みだからです。我々の動機となっているのは、デジタルエコシステム全体で児童の安全性を高めるためにもっと多くのことを行う必要があるという事実です。上記の3つの機能はすべて、その方向への前向きな一歩になると思っています。同時に、アップルが、違法行為に関わっていない人のプライバシーを侵害することも一切ありません。

端末上のコンテンツのスキャンとマッチングを可能にするフレームワークを作成するというのは、法的執行機関の外部のフレームワークを作るということでしょうか。つまり「アップルはリストを渡します。ユーザーのデータをすべて検索するようなことはしたくありませんが、ユーザーに照合して欲しいコンテンツのリストを渡すことはできます」ということでしょうか。そのリストをこのCSAM画像コンテンツと照合できるなら、探しているCSAM画像以外のコンテンツとも照合できますよね。それは、アップルの現在の考え方、つまり「アップルはユーザーの端末を復号化できない。端末は暗号化されていて、我々はキーを持っていないのだから」という立場を損なうことになりませんか。

その立場は一切変わりません。端末は依然として暗号化されていますし、アップルは復号化キーも持っていません。今回の新システムは端末上のデータに対して機能するように設計されています。アップルが作成したのは端末側コンポーネントです。プライバシーを向上させる端末側コンポーネントも含まれています。サーバー上のユーザーデータをスキャンして評価するやり方もあったわけですが、そのほうが(ユーザーの承認なしに)データを自由に変更できるし、ユーザーのプライバシーも低いのです。

今回のシステムは、端末側コンポーネントとサーバー側コンポーネントで構成されています。端末側コンポーネントは、バウチャーを作成するだけで何も認識しません。サーバー側コンポーネントには、バウチャーと、アップルのサービスに入ってくるデータが送信され、当該アカウントについて、違法なCSAM画像のコレクションが存在するかどうか調査されます。つまり、サービス機能です。話が複雑になりますが、このサービスの機能に、バウチャーが端末上に作成される部分が含まれているのですが、何度も申し上げているとおり、端末上のコンテンツの内容が認識されることは一切ありません。バウチャーを生成することで、サーバー上ですべてのユーザーのコンテンツを処理する必要がなくなりました。もちろん、アップルはiCloud写真の内容を処理したことも一切ありません。そのようなシステムは、プライバシー保護の観点から、より問題を起こしやすいと思います。ユーザーに気づかれずにシステムを本来の設計意図とは異なるものに変更できてしまうからです。

このシステムに関して大きな疑問が1つあります。アップルは、CSAM画像以外のコンテンツをデータベースに追加して端末上でチェックするよう政府やその他の機関から依頼されたら拒否すると明言しました。アップルには、ある国で事業展開したければ、その国の法律に最高レベルで準拠しなければならなかった例が過去にあります。中国の件が良い例です。政府からシステムの意図的改ざんを要求または依頼されても、アップルは、そうした干渉を一切拒否するという約束は本当に信頼できるのでしょうか。

まず、このシステムは米国内でのみ、iCloudアカウントのみを対象としてリリースされます。ご質問では国全般または米国以外の国からの要請を想定されているようです。少なくとも米国の法律では、こうした要請を政府が行うことは許されていないと思われます。

システムを改ざんする試みについてですが、このシステムには、多くの保護機能が組み込まれており、児童虐待画像を保持している個人を(政府が)特定するにはあまり役立たないようになっています。ハッシュリストはオペレーティングシステムに組み込まれるのですが、アップルは1つのグローバルなオペレーティングシステムのみを所有しており、個々のユーザー向けにアップデートを配信することはできません。ですから、ハッシュリストはシステムを有効にしているすべてのユーザーに共有されます。第2に、このシステムでは、(バウチャーの中身を見るには)画像のしきい値を超える必要があるため、個人の端末または特定のグループの端末から単一の画像を探し出すことはできません。というのは、システムはアップルに、サービスに保存されている特定の画像について一切情報を提供しないからです。第3に、このシステムには手動によるレビュー段階が組み込まれています。つまり、あるアカウントに、違法なCSAM画像のコレクションが保存されていることを示すフラグが立つと、外部の機関に報告する前に、アップルのチームがその画像が確かに違法なCSAM画像と一致していることを確認するようになっています。ですから、ご指摘のような状況(アップルが政府の要請に応じてシステムを改ざんするような事態)が発生するには、例えばアップルに内部プロセスを変更させて違法ではない(既知のCSAM以外の)コンテンツも報告させるようにするなど、本当に多くの作業を行う必要があります。それに、アップルは、そうした要請を行うことができる基盤が米国内に存在するとは考えていません。最後に付け加えておきますが、ユーザーはこの機能を有効にするかどうかを選択できます。この種の機能が気に入らなければ、iCloud写真を使わない選択をすればよいだけです。iCloud写真が無効になっていれば、このシステムは一切機能しません。

iCloud写真が無効になっていればこのシステムは機能しないと、確かにFAQでも明言されています。この点について具体的にお聞きしますが、iCloud写真が無効になっている場合でも、このシステムは端末上で写真のハッシュの作成を継続するのでしょうか。それとも、無効にした時点で完全に非アクティブな状態になるのでしょうか。

ユーザーがiCloud写真を使用していない場合、NeuralHashは実行されず、バウチャーも生成されません。CSAMの検出では、ニューラルハッシュがオペレーティングシステムイメージの一部である既知のCSAMハッシュのデータベースと比較対照されます。iCloud写真を使用していない場合、安全バウチャーの作成やバウチャーのiCloud写真へのアップロードなどの追加部分は、一切実行されません。

アップルは近年、端末上での処理によりユーザーのプライバシーが保護されるという事実に注目しています。今思い浮かぶ過去のすべての事例において、これは真実です。確かに、例えば写真をスキャンしてそのコンテンツを特定し、検索できるようにするといった処理は、ローカルの端末上で実行し、サーバーには送信しないで欲しいと思います。しかし、この機能の場合、外部の使用ケースがなければ個人的な使用をスキャンするのではなくローカルの端末をスキャンするという点で、ある種の抗効果が発生し、ユーザーの気持ちに「信頼性の低下」というシナリオが生まれる可能性があるように思います。それに加えて、他のすべてのクラウドプロバイダーはサーバー上をスキャンすることを考慮すると、この実装が他のプロバイダーとは異なるため、ユーザーの信頼性が低下するのではなく向上するのはなぜか、という疑問が生じるのですが。

アップルの方法は、業界の標準的な方法と比較して、高い水準にあると思います。すべてのユーザーの写真を処理するサーバー側のアルゴリズムでは、どのようなものであれ、データ漏洩のリスクが高くなり、当然、ユーザーのライブラリ上で行う処理という点で透過性も低くなります。これをオペレーティングシステムに組み込むことで、オペレーティングシステムの完全性によって他の多くの機能にもたらされているのと同じ特性を実現できます。すべてのユーザーが同じ1つのグローバルなオペレーティングシステムをダウンロードおよびインストールするため、個々のユーザー向けに特定の処理を行うのはより難しくなります。サーバー側ではこれは実に簡単にできます。いくつかのプロパティを用意しそれを端末に組み込んで、この機能が有効になっているすべてのユーザーでプロパティ設定を統一できることで、強力なプライバシープロパティが得られます。

第2に、オンデバイステクノロジーの使用によってプライバシーが保護されるというご指摘ですが、今回のケースでは、まさにおっしゃるとおりです。ですから、ユーザーのライブラリをプライバシー性の低いサーバー上で処理する必要がある場合の代替策になります。

このシステムについて言えるのは、児童性的虐待画像という違法行為に関わっていないすべてのユーザーのプライバシーが侵害されることは一切なく、アップルがユーザーのクラウドライブラリに関して追加の情報を得ることも一切ないということです。この機能を実行した結果としてユーザーのiCloud ライブラリが処理されることはありません。その代わりに、アップルは暗号的に安全なバウチャーを作成できます。このバウチャーには数学的プロパティが設定されています。アップルがコンテツを復号化したり画像やユーザーに関する情報を取得できるのは、そのユーザーが、CSAMハッシュと呼ばれる違法な画像ハッシュに一致する写真を収集している場合だけです。一方、クラウド処理スキャンサービスでは、まったく状況が異なります。すべての画像を復号化された形式でくまなく処理し、ルーチンを実行して誰が何を知っているのかを決定するからです。この時点で、ユーザーの画像に関して必要なことは何でも確定できます。それに対して、アップルのシステムでは、NCMECおよび他の児童虐待保護組織から直接入手した既知のCSAM画像ハッシュのセットに一致することが判明した画像について知ることしかできません。

このCSAM検出機能は、端末が物理的にセキュリティ侵害されたときにも全体として機能しますか。何者かが端末を手元で操作できれば、暗号がローカルに迂回されることもあります。これを防ぐための保護レイヤーはありますか。

これは難しく、犠牲が大きい問題ですが、非常に稀なケースであることを強調しておきたいと思います。この問題はほとんどのユーザーにとって日常的な関心事ではありませんが、アップルはこの問題を真剣に受け止めています。端末上のデータの保護は我々にとって最重要事項だからです。では、誰かの端末が攻撃されたという仮説の下で説明してみます。その攻撃は極めて強力なので、攻撃者が対象ユーザーに対して行えることはたくさんあります。攻撃者にはアクセス可能なユーザーのデータが大量にあります。誰かの端末のセキュリティを侵害するという極めて難しい行為をやってのけた攻撃者にとって最も重要なことが、アカウントの手動レビューを起動させることだという考え方は合理的ではありません。

というのは、思い出して欲しいのですが、しきい値が満たされていくつかのバウチャーがアップルによって復号化されても、次の段階で手動レビューによって、そのアカウントをNCMECに報告するべきかどうかを決定するわけですが、我々は合法的な高価値レポートであるケースでのみこうした報告を行うべきだと考えています。我々はそのようにシステムを設計していますが、ご指摘のような攻撃シナリオを考えると、攻撃者にとってあまり魅力的な結果にはならないと思います。

画像のしきい値を超えた場合のみ報告されるのはなぜですか。CSAM画像が1つ見つかれば十分ではないでしょうか。

NCMECに対してアップルが報告するレポートは高価値でアクション可能なものにしたいと考えています。また、すべてのシステムについて共通しているのは、その画像が一致するかどうかにある程度の不確かさが組み込まれるという点です。しきい値を設定することで、誤報告によってレビューに至る確率は年間で1兆アカウントに1つになります。ですから、既知のCSAMのコレクションを保持しているユーザー以外の写真ライブラリをスキャンすることに興味がないという考え方に反することになりますが、しきい値を設定することで、レビューしているアカウントをNCMECに報告したとき、法執行機関は効果的に調査、起訴、有罪判決まで持っていくことができると確信できます。

関連記事
電子フロンティア財団が「アップルの大規模な監視計画に反対」と声明発表、請願書への署名を呼びかけ
アップルが台湾・香港・中国向け刻印サービスで「ダライ・ラマ」「雨傘革命」など法的義務以上に検閲と明らかに
アップルがSiri改善のためフィードバック収集アプリ「Siri Speech Study」をひそかに提供開始
また批判を浴びるアップルの児童虐待検出技術
画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Matthew Panzarino、翻訳:Dragonfly)

電子フロンティア財団が「アップルの大規模な監視計画に反対」と声明発表、請願書への署名を呼びかけ

電子フロンティア財団が「アップルの大規模な監視計画に反対」との声明を発表、請願書への署名を呼びかけ

EFF

アップルは今月初め、児童虐待対策をiPhoneやMacに導入するとして、2つのしくみを発表しました。ひとつは「子供がメッセージアプリで性的な写真を受信したり送ろうとすると、本人に警告しつつ親に通報する」、もうひとつは「iCloudに保存されるCSAM(子供を巻き込んだ性的に露骨な活動を描くコンテンツ)画像を検出し、当局に通報することもある」といったものです。

これに対してEFF(電子フロンティア財団)が「アップルの大規模な監視計画に反対する」との声明を発表し、iPhoneユーザーらに請願書への署名を呼びかけています。

EFFとは米国に拠点を置く非営利組織であり、デジタル世界での市民の自由を擁護することを目的とする団体です。先日もiOS 14でのアプリトラッキング制限については支持を表明しており、特に反アップルの色合いはありませんが、アップルが上記のCSAM対策を発表した直後に「私生活にバックドアを開く」として反対を表明していました

EFFは今回の声明で「大量の監視は、それがどんなに善意のものであっても、犯罪撲滅のための戦略として容認できるものではありません」と主張。その上でアップルの新方針を「次のバージョンのiOSがすべてのiPhoneに監視ソフトウェアをインストールする」とみなし、憤慨している人々に声を上げるよう訴えかけています。

この声明によれば「昨年EFFの支援者たちは、オンライン上のすべてのメッセージのスキャンを可能にする可能性があった政府の計画であるEARN IT法案を阻止しました」とのこと。ここでいうEARN IT法案とは、2020年3月に米上院議員らが提出したものであり、法執行機関が令状を取得した場合に、テクノロジー企業が暗号化データの解除を支援するよう義務づける内容でした。要は暗号解読バックドア法案ということで、否決に追い込まれています。

そしてEFFはアップルの計画を「すべてのiPhoneで写真のスキャンを可能にする」と定義し、EARN IT法案と同じように受け入れられないことを表明すべきだとの趣旨を述べています。

EFFいわく、アップルがiPhoneに導入しようとしている「スキャンシステム」は2つ。ひとつは「iCloudにアップロードされた写真をスキャンし、法執行機関が子どもに対する犯罪を調査する」ために準政府機関である全米行方不明・被搾取児童センター(NCMEC)を初めとした団体が持つCSAMデータベースと比較するシステムです。

もう1つは、保護者(iCloudファミリー共有が設定されている場合)が選んだ場合に作動するもので、未成年者が送信したiMessagesを調査し、あらゆる種類の「性的に露骨な」素材を探すアルゴリズムと照合するもの。その類の画像が検出された場合、iPhoneは本人、場合によっては親に年齢に応じた通知を行うーーといったEFFの解釈は、アップルの説明とも一致しています。

ちなみにアップル幹部はCSAM対策に批判が湧き起こった直後、この2つの施策を一度に発表したことで「アップルがメッセージアプリを検閲している」との誤解を招いてしまったと認め、もう少し違いをハッキリさせれば良かったと反省を述べていました

さてEFFの声明に戻ると「これらのシステムは、私たちのプライバシーとセキュリティを脅かすもの」であり、iCloud画像のスキャンについては「すべてのiCloud写真ユーザーのプライバシーを侵害」し、「政府が作成したCSAMの秘密データベースと照合する」と批判。かたやメッセージアプリでの保護者通知スキャンには「エンドツーエンドの暗号化の約束を破るもの」との見解を述べています。

締めくくりにEFFは、アップルの施策を「虐待する親のことを考慮していない」と分析し、ひいては「権威主義的な政府がその拡大(画像スキャンやメッセージの検閲など)を推し進めようとする」危険があると指摘しています。

これまでの批判に対してアップルは、iCloud写真スキャンは動画には適用されず、政府による利用もあり得ないと反論しています。しかし、一度そうしたしくみを作ってしまえばバックドアに転用される可能性を完全には否定しがたく、また一企業に過ぎないアップルが現地の法律に従わざるを得ないことはすでに証明済みです

そもそも一連の批判や混乱は、アップルが外部の児童虐待対策団体などに(少なくともNCMECや一部組織以外は)相談せず、すでに世界的なプラットフォームになったiPhoneについて、一方的にプライバシーに踏み込む施策を打ち出したことが大きな原因とも思われます。今後アップルはさらなる説明を追加するか、譲歩を迫られるのかもしれません。

(Source:EFF(1)(2)Engadget日本版より転載)

アップルが台湾・香港・中国向け刻印サービスで「ダライ・ラマ」「雨傘革命」など法的義務以上に検閲していると明らかに

アップルが台湾・香港・中国向け刻印サービスで「ダライ・ラマ」「雨傘革命」など法的義務以上に検閲していると明らかに

Citizen Lab

アップルはAirPodsやiPadなどを公式ストアで注文したユーザーに対して、無料で刻印サービスを提供しています。このサービスに付き、中国や香港、台湾で政治的検閲を行っていると指摘するレポートが発表されています

この報告書は、カナダにあるトロント大学のインターネット監視団体Citizen Labが調査に基づき公表したものです。Citizen Labは中国生まれのTikTokが悪質な行為を行っている証拠はないと述べるなど、特に反中国というわけではありません。

アップルの無料刻印サービスはどの地域でも攻撃的な言葉やフレーズを禁止しており、米国でも170の単語を入力することができません。しかし中国では、禁止されている単語やフレーズの数は1000以上にのぼり、その中には政治的な言及も多く含まれているとのことです。

アップルが台湾・香港・中国向け刻印サービスで「ダライ・ラマ」「雨傘革命」など法的義務以上に検閲していると明らかに

Citizen Lab

アップルが台湾・香港・中国向け刻印サービスで「ダライ・ラマ」「雨傘革命」など法的義務以上に検閲していると明らかに

Citizen Lab

Citizen Labが行ったのも、どの単語が拒否されるかを調べるテストでした。これができたのは、アップルの刻印サイトが入力されたテキストを一文字ずつ分析し、受付できない内容に即座にフラグを立てるためです。

このテストは6つの地域で実施され、その結果アップルが国ごとに異なるAPIを使ってテキストを検証していると明らかになったそうです。さらに中国では政治的な検閲が行われていると分かり、その一部は香港や台湾にも及んでいました。

まず中国本土では、中国の指導者や政治システムに関する広範な言及、反体制派や独立系報道機関の名前、宗教や民主主義、人権に関する一般的な用語などが検閲されていると分かったとのことです。たとえば政治関係としては「政治、抵制、民主潮、人权(人権)」など、チベットやチベット宗教に関しては「正法、達賴(ダライ・ラマ)、达兰萨拉」といったところです。

かたや香港では、市民の集団行動に関するキーワードが広範囲に検閲されています。たとえば「雨伞革命」や「香港民运」「雙普選」、「新聞自由」など。はてはノーベル平和賞受賞者の劉暁波氏の妻で詩人の劉霞氏や、アーティストの艾未未氏の名前までも禁止されていることは「香港の国家安全法に基づくアップルの検閲義務をはるかに超えている」と評されています。

さらに台湾に対しても、中国に配慮したかのような政治的検閲が行われている模様です。こちらでは中国共産党の最高幹部らや歴史上の人物(毛主席など)、「外交部」などの国家機関、およびFALUNDAFAやFalun Gongなども禁止されているとのこと。台湾にはそうした言葉を取り締まる法律もなく、アップルが検閲を行う法的義務もありません。

それに加えてCitizen Labは、「8964」という数字まで検閲されていると突き止めています。この数字は中国では天安門事件の「1989年6月4日」という日付にちなんだものとして認識されているため、と推測されています。

アップルもいち民間企業に過ぎず、現地の法律には従う義務があり、Citizen Labも法律で禁止されている言葉の検閲を批判しているわけではありません。特に問題視されているのは、アップルが法的に要求されている以上を行っており、現地企業が自粛しているキーワードを検討せずに流用しているように見えることです。

今回の一件と関係あるかどうかは不明ですが、かつてiOS 11.4.1では“Taiwan”とタイプしたときに特定の言語や地域設定のiPhoneがクラッシュする問題や、日本語のiPhoneでも“たいわん”と入力して台湾の旗に変換できなかったことがあります(記事執筆時点では、どちらも修正済み)。

ちょうどアップルは、児童虐待対策として「iCloud上に保存された写真が自動スキャンされ、当局に通報されることもある」しくみの導入に対して、政府の検閲に利用されるのではないかとの懸念が寄せられているところです。アップルは「政府の要求を拒み続ける」と回答していますが、その言葉に信ぴょう性を与える行動が望まれそうです。

(Source:Citizen Lab。Via 9to5MacEngadget日本版より転載)

また批判を浴びるアップルの児童虐待検出技術

Apple(アップル)が2021年8月初めに発表した、児童への性的虐待コンテンツ素材(child sexual abuse material、CSAM)を検出する技術は、大きな反発を招いた。AppleがNeuralHashと呼ぶその技術はまだ、その10億あまりのユーザーに対して起動すらされていないが、すでにそのアルゴリズムは欠陥のある結果を出すと主張するセキュリティ研究者たちからの非難に直面している。

NeuralHashはユーザーのデバイスにある既知のCSAMを見つけるが、画像を所有したり、その画像のコンテンツを認知したりはしない。iCloudに保存されているユーザーの写真はエンド・ツー・エンドで暗号化されているため、Appleですらそのデータにアクセスできない。そのため、NeuralHashはそユーザーのデバイスにある既知のCSAMをスキャンし、Appleはこれをよりプライバシーフレンドリーだと主張している。それは他企業のようにすべてのユーザーファイルをスキャンするのではなく、写真だけを対象にスキャンするからだ。

Appleは、ユーザーのデバイス上で、NCMECといった児童保護団体から提供されたハッシュ(画像を一意に識別できる文字と数字の組み合わせ)が同じである画像を探すことでこれを行います。NeuralHashが30個以上の一致するハッシュを見つけた場合、その画像はAppleにフラグが立てられ、アカウント所有者が法執行機関に報告される前に、手動で審査される。Appleによると、誤検出の可能性は1兆個のアカウントで約1つだという。

しかしセキュリティのエキスパートやプライバシー保護活動家たちは、そのシステムは政府のようなリソースが極めて豊富なところでは乱用誤用される可能性があるという懸念を表明している。たとえば罪のない人が巻き込まれたり、システムが操作されて権威主義的な国が有害と認めるような素材を検出するかもしれない。Appleのスタッフに対し社内的に配布されたメモのリークによると、NCMECはそういう批判者のことを「少数派のキーキー声」と呼んでいる。

関連記事:アップルがiCloud上の児童虐待画像を検出する新技術「NeuralHash」導入へ

米国時間8月17日夜、Asuhariet Ygvar(アスーハリエット・イグバー)氏は、NeuralHashのコードをPythonのスクリプトに落として、そのコードをGitHubに公開し、Appleのデバイスが手元にない人でもこの技術をテストできるようにした。イグバー氏はRedditのポストで、NeuralHashは難読化されたコードでiOS 14.3に「すでに存在している」が、その技術を再構築することができたため、2021年の後期にiOSとmacOSデバイスに展開される前にセキュリティの研究者はアルゴリズムをもっとよく理解できる、と述べている。

コードが公開され他の人が手を加えるようになり、NeuralHashのケースでは2つの完全に異なる画像が同じハッシュを生成する「ハッシュの衝突」という現象が初めて報告された。この「ハッシュの衝突」を発見したのは、Intel Labsの著名な研究員であるCory Cornelius(コーリー・コーネリアス)氏だ。その後、イグバー氏も衝突を確認している。

ハッシュの衝突は、セキュリティを暗号技術に依存しているシステムのお葬式の鐘になることもある。何年もの間に、MD5やSHA-1のようなパスワードハッシングアルゴリズムは衝突攻撃によって無効になり、その後現役の座を去った

暗号技術のエキスパートでOpen Crypto Audit Projectを創ったKenneth White(ケネス・ホワイト)氏は、「iOSのNeuralHashのコードが見つかってから、最初の衝突が起きるまでの時間が、数カ月や数日ではなくて2時間だということを、理解してなかった人もいたようだね」とツイートしている。

Appleの広報担当者は公式のコメントを拒否したが、匿名かつオフレコで語ったところによると、Appleはハッシュの衝突を軽視し、保護策を講じることが重要と主張した。それは例えば法執行機関に報告する前に手作業で写真を調べることで虐待を防げる、と。さらにAppleによると、NeuralHashのコードを分解されたバージョンはジェネリック(総称的)なバージョンであり、2021年後期に展開する完全なバージョンではないという。

その技術に懸念を表明しているのは人権グループやセキュリティのエキスパートだけではない。ドイツの高名な国会議員が今週、AppleのCEOであるTim Cook(ティム・クック)氏に書簡を送り、同社は「危険な道」を歩んでいると述べて、Appleがそのシステムを実装しないことを強く要請した。

関連記事
アップルがメッセージアプリで送受信される性的な画像を検知し子どもと親に警告する新技術を発表
持続可能性にフォーカスするアップルのImpact Acceleratorが支援する有色人種企業15社を決定
アップルが不評だったSafariの変更点をiOS 15 beta 6で修正、再びアドレスバーの上部表示も可能に

画像クレジット:Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)