ベッキー・ブラッケン
こんにちは、そして「ダークリーディング・コンフィデンシャル」へようこそ。これはダークリーディング編集部によるポッドキャストで、サイバーの最前線から現実のストーリーをお届けします。本日は、ペガサス・ゼロクリック商用スパイウェアの発見から10周年、そして世界中でデジタル権威主義が強まる中、2人の専門家をお迎えできて大変嬉しく思います。トロント大学シチズンラボの政治学教授でディレクターのロナルド・ディーバート氏、電子フロンティア財団(EFF)のシニアスタッフ弁護士で市民自由ディレクターのデイビッド・グリーン氏、そしてこのテーマを長年深く取材してきたダークリーディングの特派員、アレックス・カラフィが参加しています。皆さん、ようこそ。ご参加いただきありがとうございます。
それでは、私はここで退き、アレックスにバトンタッチしてこの会話を楽しみたいと思います。
アレックス・カラフィ
ありがとう、ベッキー。そしてロナルド、デイビッド、本日はご参加いただきありがとうございます。まずはペガサスを出発点にしたいと思います。シチズンラボがNSOグループのペガサス・スパイウェアを明るみに出してから約10年が経ちました。これは、商業組織が監視ソフトウェアを各国に販売し、反体制派個人や組織をスパイする様子を捉えたものでした。それ以来、シチズンラボとEFFは、多くの国が商業的に調達したスパイウェアを使用している事例を数多く明らかにしてきました。
ペガサス登場以降、商用スパイウェアの問題は良くなったのでしょうか、それとも悪化したのでしょうか、それともその中間でしょうか?ロナルド、まずはあなたからお願いします。
ロナルド・ディーバート
はい、お招きいただきありがとうございます。ここに参加できて光栄です。そうですね、あの事件から10周年を迎えようとしています。私たちが最初に発見したのは、被害者の携帯電話にペガサス・スパイウェアを仕込むために使われたエクスプロイトで、実際にペガサスのコピーを回収することにも成功しました。ただし重要なのは、私たちやEFFは、実はそれ以前から傭兵型監視企業を追跡していたことです。2011年、2012年ごろから、ガンマ・グループやハッキング・チームといった西ヨーロッパの傭兵型スパイウェア企業2社も含めて調査していました。この市場はアラブの春やスマートフォンの登場と同時期に始まったものです。
それは当然の流れでした。当時、人々は多くの個人情報をデバイスに預け始め、法執行機関や情報機関はそのデバイス内部にアクセスする必要が出てきたのです。この市場はその頃に生まれ、同時に多くの独裁者たちが、デジタル技術によって人々が力を持ち、ソーシャルメディアやスマートフォンで組織化する様子を見て、それを無力化したいと考えたこととも重なります。
こうしたことが、この急成長する市場を生み出しました。現状について言えば、実際にはやや複雑な状況だと思います。一方で、10年前、シチズンラボやEFF、そして他に1、2団体ほどしかこの問題に取り組んでいなかった頃と比べて、今はこの分野に注目するコミュニティがはるかに大きく、強固で、専門的になっています。技術者だけでなく、アドボカシーや政策推進、訴訟に関心を持つ人も増えています。
デイビッドが後ほど説明すると思いますが、現在進行中の訴訟案件も非常に多いです。被害者がスパイウェアを使って自分の携帯電話をハッキングした政府を訴えたり、政府が使う技術のベンダーを訴えたりしています。これは全体的に見て非常に前向きな動きです。
また、バイデン政権下での規制の進展もあり、企業に制裁リスト入りなどの罰則が科され、主要なオーナーも対象となりました。さらに、バイデン大統領の大統領令により、世界中で人権侵害に悪用されるスパイウェアの調達を18の連邦米国情報機関に禁止しました。
これはポジティブな面です。一方で、ネガティブな面としては、やはりアメリカ国内の動向から始めなければならないと思います。アメリカにおける一種のテクノファシズムへの転落は、国内だけでなく世界中に非常に大きなシグナルを送っています。アメリカはパラゴンという、NSOグループの競合企業と契約を結びました。
パラゴンはかつて「倫理的なスパイウェア」を提供すると自称していましたが、今年初めに明らかになったのは、その技術がイタリアで移民支援活動家やジャーナリストの携帯電話をハッキングするために使われていたことです。そして今、ICE(米国移民税関執行局)がパラゴンと契約しているのは、誰もが懸念すべきことです。
さらに広く見れば、アメリカにおける権威主義への転落は世界にとって非常に悪いシグナルです。非営利団体や慈善団体への攻撃もあり、この分野の多くの組織は支援に依存していますが、それが攻撃されれば世界中のグループに影響します。民主主義基金やフリーダムハウスのような組織への資金提供が打ち切られたことも同様です。そして今や、スパイウェア企業だけでなく、民間企業が運営する監視マトリックス全体、特に位置情報追跡、広告インテリジェンス、ソーシャルメディア分析、監視などによって、膨大なデータが利用可能になっています。今は監視の黄金時代とも言える状況で、過去4年間に市場を抑制しようとした進展も急速に逆転しつつあるのではと危惧しています。ですので、やや複雑な状況だと私は見ています。
デイビッド・グリーン
その通りだと思います。付け加えることはあまりありません。活動家や標的となる側の視点から言えば、私たち人権コミュニティ全体として、スパイウェアについて人々を教育することにはかなり成功してきたと思います。そのため、より賢明な人権擁護者や、頻繁に標的となる人々が、デバイスの衛生状態をより良く保つようになっています。
同時に、スパイウェア技術は進化し続けています。それにより、検出や防止が非常に困難になっています。ゼロクリック・エクスプロイトの登場で、添付ファイルを開く必要すらなく、メッセージを開かなくても感染するようになりました。非常に注意深い人でもスパイウェアの被害者になるリスクが高まっています。ロナルドの意見に同意します。前進も後退も両方あると見ています。
また、民主主義国・非民主主義国を問わず、この技術に対する需要が非常に大きいため、市場に新しいプレイヤーが次々と登場しているように思えます。もはや1社や2社の話ではありません。
アレックス・カラフィ
少し視野を広げたいと思います。デジタル権威主義やテクノファシズムを考えるとき、まず思い浮かぶのはスパイウェア企業や、スパイウェアを使って市民や反体制派を監視する国々でしょう。しかし、これはもっと大きく複雑なネットワークです。たとえば中国の国家安全法のように、国家が組織にユーザーデータを国家安全保障のために共有させることができます。中国だけでなく、企業や組織がデジタル権威主義に巻き込まれる他の方法にはどんなものがあるでしょうか。被害者として、あるいは加害者としても。デイビッド、まずはあなたからお願いします。
デイビッド・グリーン
中国の法律が話題になるとき、私がいつも指摘するのは、実はそれほど珍しいことではないということです。アメリカにも似たような法律があります。国家安全保障書簡という制度があり、オンラインサービスにユーザー情報の提供を求めることができ、しばしば守秘義務が課され、ユーザーに通知することもできず、受け取った事実について話すことも大きなカテゴリー以外では制限されます。ですから、中国だけが特別だと思わないでください。アメリカでも、実際にはほとんどの法制度で見られます。自らを最も民主的だと考える国でも同様です。政府が人々のデータを欲しがるのは普遍的なことであり、私たち全員が大いに懸念すべきことです。そして、これが国家安全保障レベルだけでなく、日常的な法執行にもスパイウェアツールの巨大な市場を生み出しています。
バイデン政権下で進んだ良い方向の一つは、少なくとも「これらのスパイウェアツールは悪であり、被害者の人権に重大な害をもたらす」という規範を再確立しようとしたことです。もし使うのであれば、法的手続きが必要であり、例外的な場合に限るべきだという考えです。しかし、これは世界的な規範とはなっていません。
スパイウェアは非常に強力なツールであり、国家レベルから日常的な警察活動にまで広がるのは、もうすぐそこまで来ていると感じます。
ロナルド・ディーバート
デイビッドの意見に全面的に同意します。ここで皆さんに思い出していただきたいのは、私たちが生きているデジタルエコシステムは、設計上、侵襲的であるということです。その主な理由はビジネスモデルにあり、個人データを収集し、ユーザーのデータを監視して広告を配信するためです。つまり、スパイウェアだけの問題ではありません。テックプラットフォームやアプリケーション全体が、人々の習慣や社会的関係、移動、個人的な好みなど、豊富なデータを日常的に収集しています。そして、その多くは民間企業に委ねられています。
問題は、どのような条件下で国家がそれにアクセスできるかということです。デイビッドが指摘した通り、中国だけが特別ではありません。実際、ほとんどの国が何らかの形でそのデータへのアクセスを望んでいます。問題は条件です。ここで重要なのは、どんなガードレールや監督体制があるのかということです。通常、中国とリベラルな民主主義国を区別するのは、強固な監督メカニズムやチェック&バランスの有無です。以前はアメリカを例に挙げて、「監督がある、議会公聴会がある、第三者の監視団体がある」と言えましたが、今やアメリカについてはそうは言えなくなっています。
だからこそ、今まさに目の前で進行している権威主義への転落は非常に深刻です。アメリカがその道を進むと、他国が同じことをしたり、したいと思ったりすることを正当化してしまいます。全体の基準が下がってしまうのです。
さらに、今アメリカで特に深刻なのは、いくつかの要素が組み合わさっていることです。まず、DOGE(司法省)がこれまで分離されていた政府アクセス可能なデータにアクセスし、それを統合したこと、そしてパランティアというデータ融合企業が米政府、地方警察を含む契約を獲得し、すべてのデータを融合できるようになったことです。これは法執行や情報機関の支援に使われています。
そして今、アメリカで目撃しているのは、その行き着く先です。マスクをしたICE捜査官がバンで急停車し、誰かを連行する場面を見かけますが、それは政府が利用可能なテクノロジーによって通報を受けた結果であり、今後さらに洗練されていくでしょう。
かつて中国のような権威主義国に関する問題だと考えていたことが、今やアメリカ国内で大きな問題となっています。これはアメリカ人が直面し、何とかしてその国の独自性、つまり急速に失われつつある権力分立を回復しなければならない現実です。
アレックス・カラフィ
ご指摘の通り、こうした監視の仕組みは世界中の多くの国に存在し、アメリカ内外で乱用されています。そこで質問ですが、企業(公的・私的を問わず)は、こうした仕組みが存在する世界で、ユーザーデータや企業秘密を安全に保ち、自社の管理外に流出させないためにどのような責任を負うべきでしょうか?
これは企業の責任を軽減したり、責任がないと言いたいのではありません。むしろ逆です。企業があまりにも簡単に屈したり、必要な保護策を講じなかった場合に責任を問うべきだと思います。では、どうやってそれを実現し、企業に責任を負わせることができるでしょうか?ロナルド、まずはあなたからお願いします。
ロナルド・ディーバート
はい、とても良い質問です。これは先ほど議論した内容を、よりビジネスの責任に焦点を当てて掘り下げたものですね。まず第一に、企業は企業であり、どれだけ企業の社会的責任を語ろうとしても、最終的には収益や株主の意向に従う傾向があります。企業責任を約束することがビジネス上有利であればそうしますが、そうでなければ実行しません。だからこそ、アップル、マイクロソフト、グーグルなどの米国大手テック企業がトランプ政権にひれ伏したのを私たちは目撃しました。アップルのティム・クックが大統領に金メッキの贈り物をした事実などは、その象徴です。これは本当に不健全ですが、今の状況を示しています。
企業の責任については、さまざまなガイダンスがあります。たとえば国連の責任ある人権慣行など、企業が従うべき指針が長年確立されています。これは良いことですが、任意です。最終的には政府による規制が必要です。テック業界では何十年も規制が著しく欠如していました。イノベーションのために政府は介入せず、自由にさせるべきだという神話がありましたが、それは何度も打ち砕かれています。
今こそ、適切なガバナンスが必要だと認識すべきです。つまり、企業に一定の義務や禁止事項を課し、それに対して責任を負わせる政府規制が必要です。そして、その法律はできる限り先進国や他国でも統一され、企業が責任ある法的・規制環境下で運営されるようにすべきです。
デイビッド・グリーン
理想的には、企業は業務に絶対必要な範囲を除き、ユーザー情報を収集・保持しないことです。そうすれば政府の要請や悪意あるスパイウェアがあっても、取得できる情報の「蜜壺」が存在しません。しかし多くの企業は、収集した情報を保持するだけでなく、できる限り多くの情報を集めることに大きなインセンティブがあります。私たちは無料サービスという形でその恩恵を受けていますが、代償も大きいです。
アメリカには包括的なデータプライバシー規制がありません。州ごとの規制も不十分で、強力なプライバシー保護を導入している州はごくわずかです。
私はデータプライバシー規制が大きな前進になると考えますが、完全な解決策ではありません。人権評価や人権コンプライアンスを義務付ける国もあり、これも企業に対する実効的な責任追及の一助となるでしょう。しかし消費者として私たちにできるのは、企業に不満を伝え、データ保護を促し、守られていない場合は批判するという、非常に弱い圧力しかありません。
EFFでは長年、「Who Has Your Back」というプロジェクトを行い、企業が政府や法執行機関からのユーザー情報要請にどう対応しているかを公開してきました。これはユーザーが企業ごとの対応を比較できるようにするためです。しかし、企業には情報収集・保持・共有・収益化に大きな経済的インセンティブがあり、政府にとっても非常に豊富な情報源となっています。
アレックス・カラフィ
多くの理由から、企業はまず自社の利益を優先して行動します。お二人が規制を最初の防衛線として挙げるのも納得できます。では、私がCISOや意思決定者で、テクノファシズムやデジタル権威主義に抵抗したいと考えている場合、顧客やステークホルダーを考慮しつつ、現実的にどうやって政府の圧力や仕組みに抵抗すればよいでしょうか?
デイビッド・グリーン
実際、ロナルドが述べたように、企業の人権コンプライアンスには多くのモデルがあります。業界ごとに独自のモデルがあるかもしれません。企業ができることは多岐にわたります。技術面では、システムのセキュリティを最優先し、安全性が確保されるまで新機能をリリースしないことです。多くの場合、脆弱性のある新機能が先にリリースされ、後から修正されます。企業は脆弱性発見プログラムをよりオープンにし、発見者を攻撃者ではなく協力者として扱うべきです。これが大きな助けになります。
外部の協力を歓迎する企業もあれば、そうでない企業もあります。また、法執行機関からの要請やマルウェア感染が判明した場合の対応方針も重要です。法執行機関からの要請には、まず「ノー」と言うべきです。少なくともユーザー(標的となった人)に裁判で異議を申し立てる機会を与えるべきです。つまり、最初は応じず、ユーザーに通知し、できる限り支援することです。通知禁止規定がある場合は、それに法的に異議を唱えることも重要です。
ロナルド・ディーバート
デイビッドの意見に100%同意します。企業がもっと行うべきこと、実際に行った場合は称賛すべきことの一例を紹介します。数年前からアップルは、ペガサスや他のスパイウェアでデバイスがハッキングされたことを把握した顧客に通知を始めました。
これは必ずしも必要なことではなく、ビジネス的にはむしろ逆効果かもしれません。実際、ビジネス的観点から見れば逆の印象を与える可能性もあります。私はこれは公益のための行動だと考えます。
このステップは非常に称賛に値します。なぜなら、私たちのような市民社会への攻撃を調査し、被害者視点で取り組む団体にとって、通知を受けた多くの人々が自分が被害に遭っていることに気づき、対策を講じることができるからです。私たちにとっては、世界規模のトリアージを行っているようなもので、通知を受けた被害者を特定し、フォレンジック分析でハッキングを確認できました。
今年初めに述べたイタリアの事例もその好例です。実際、WhatsAppとAppleの2社が通知を出し、イタリア人がそれぞれ通知を受け、最終的に私たちの元に届き、フォレンジック分析でハッキングが判明しました。Appleは「ロックダウンモード」という機能も導入しました。これはハイリスクユーザーを守るためのもので、ビジネス的にはパフォーマンスが低下するため、決して有利とは言えません。しかし、私は導入以来ずっとロックダウンモードを使っていますが、特に不便はありません。
ロックダウンモードを有効にした状態でスパイウェアに感染した被害者は、今のところ一例も確認されていません。これらは自己利益ではなく、顧客全体の利益を考えた措置です。これは称賛されるべきであり、もっと増えてほしいです。デイビッドが述べたように、国際人権法基準をできる限り守ることから始めるべきです。
そこから、デイビッドが述べた国家安全保障書簡やユーザー情報要請への対応方針に至るまで、すべてがつながっています。
もう一つ付け加えると、企業が透明性レポートを発行することは非常に有用です。数年前より減りましたが、政府からの要請があることを公表し、詳細が出せなくても大まかな傾向を示すことで、一般市民や公益研究者にとって有益です。もっと増えてほしいです。
アレックス・カラフィ
EFFは35年、シチズンラボは24年の歴史があります。お二人ともデジタル権利について30年近く活動されてきたと認識しています。過去25~30年を振り返って、現状はどうでしょうか?何が良くなり、何が悪くなったのでしょうか?ロナルド、まずはあなたからお願いします。
ロナルド・ディーバート
ご指摘ありがとうございます。自分がこの分野にどれだけ長くいるかを思い出させていただきました(笑)。現状については、やはり複雑な状況です。私が所属するコミュニティの成長には本当に勇気づけられました。
かつては、シチズンラボのような調査活動を行う団体はほとんどなく、孤独に感じることもありましたが、今では多くの組織が関わり、成熟した専門的な交流が行われています。協力体制も整い、素晴らしい成果も上がっています。これは非常に嬉しいことです。
一方で、冷静に見れば多くの面で状況は悪化しています。例えばエンドツーエンド暗号化の普及など、技術的に良いこともありますが、全体的には気候危機を何十年も警告し続けてきた人のような気分です。状況はどんどん悪化しています。
ソーシャルメディアは多くの悪い問題を加速させてしまいました。権威主義の拡大は今や明確で、フリーダムハウスによると19年連続で民主主義が後退しています。これは非常に深刻です。権利や自由、専制支配への歯止めを重視する私たちにとって、今は非常に暗い時代です。気候危機と同様に、今は緊急事態であり、自由に発言し、組織し、集会し、投票する権利は当たり前ではありません。これらは社会的構築物であり、私たちが守り育てなければなりません。今、それらは大きな危機に瀕しており、デジタル空間、サイバー空間にも影響しています。
この環境を大切に思う人は、今が危機的状況であることを周囲に知らせ、警鐘を鳴らす必要があります。
デイビッド・グリーン
デジタル権利は、デジタル通信技術の利用に関わる人権そのものです。人権が危機に瀕していれば、デジタル権利も危機に瀕します。両者は切り離せません。
今は人権が大きな危機にある時代です。人権が危機にあるのは珍しいことではありません。人権がしばしば挑戦され、否定されようとするからこそ「権利」と呼ばれます。しかし、私たちが人権の砦と頼ってきた多くの制度が崩壊したり、揺らいだりしています。報道の自由への挑戦や、その規範の崩壊も広がっています。
今はすべての人権にとって恐ろしい時代です。デジタル権利も同様です。特にデジタル権利分野で悪化しているのは、社会全体でデジタル通信技術の利用に関する権力や意思決定をごく少数の企業に集中させてしまったことです。時には良い結果もありましたが、多くの場合そうではありません。
明るい面を探すなら、会話がアメリカやヨーロッパ中心からグローバルなものへと広がったことです。たとえばアフリカ発のデジタル権利対話は非常に進んでおり、知的で、アメリカやヨーロッパで議論されていた時よりもはるかに先進的です。アフリカは世界最多のインターネットユーザーと最も若いユーザー層を持ち、イノベーションが起きるべき場所であり、実際に多くの革新が見られます。これは大きな希望です。ただし、依然として人権の劣化が進んでいるため、デジタル権利も同様に劣化します。しかし、課題が明らかになったとき、西側民主主義の経験だけに頼らずに対処できる明るい側面も見えます。
アレックス・カラフィ
最後の質問です。確かに人権は危機にありますが、明るい面もあります。ただ、デジタル人権の扱われ方が緊急事態であることを強調すべきです。このポッドキャストを聴いている方は、統計的に見てもCISOやCEOではなく、サイバーセキュリティの実務者や、皆さんの活動に関心のある人が多いと思います。次に何をすべきでしょうか?もっと学ぶにはどうしたらいいでしょうか?次のアクションは何でしょうか?
デイビッド・グリーン
私の最初の答えは、常に個人の脅威モデルを意識することです。自分の脅威モデルによって対応は異なります。多くの人は、「できるだけ多くの情報を学び、知識ある消費者になる」「デジタル権利や人権を守る団体を支援する」「友人に助言する」といった対応ができるでしょう。これは素晴らしいことで、ぜひ実践してほしいです。しかし、実際にリスクの高い人々は、個々のリスクを評価し、デバイスのセキュリティを確保し、政府や強力な民間企業からの抑圧を受けないようにする必要があります。これは前向きなメッセージです。できることはあります。自分の脅威モデルが低い場合でも、重要な活動をしている団体は異なる脅威モデルを持っていることを理解する価値があります。
ロナルド・ディーバート
素晴らしい回答です。私からは、よく紹介するリソースをいくつか追加します。一つはEFFの「監視から身を守るガイド」です。広範な監視から身を守るための良い推奨事項が載っています。もう一つは、シチズンラボが開発し、現在はコンシューマー・レポートが運営する「セキュリティプランナー」です。
コンシューマー・レポートは家電の評価で有名ですが、セキュリティプランナーという素晴らしいポータルもあり、個人に合わせたデジタル衛生向上策を提案します。これは必ずしもハイリスクユーザー向けではありませんが、一般の人が簡単にできる対策を知るのに役立ちます。
そして、特にアメリカのハイリスクユーザー向けには、私の同僚マイカ・リーが書いた「テクノファシズムへの実践的防御」というブログ記事があります。Googleで検索すれば見つかります。アメリカで起きていることに対抗するための具体的な推奨事項がまとめられており、非常におすすめです。
アレックス・カラフィ
お二人ともありがとうございました。それではベッキーにお返しします。
ベッキー・ブラッケン
素晴らしいディスカッションでした。ダークリーディングの目標は、サイバー専門家の皆様に、普段は接点のない最高の専門家や思想家の知見を届けることです。皆様が詳細かつ実践的なアドバイスと、何十年にもわたる専門知識を惜しみなく共有してくださったことに心から感謝します。本当にありがとうございました。
アレックス・カラフィ、現場からの素晴らしいレポートをありがとうございました。デイビッド・グリーン、ロナルド・ディーバートにも感謝します。ダークリーディングは心より感謝しています。これが「ダークリーディング・コンフィデンシャル」でした。ダークリーディング編集部によるポッドキャストで、サイバーの最前線から現実のストーリーをお届けしています。ご参加ありがとうございました。私はベッキー・ブラッケンでした。また次回お会いしましょう。さようなら。
翻訳元: https://www.darkreading.com/cyber-risk/cybers-role-rapid-rise-digital-authoritarianism
