米国で働くことを望むテクノロジー分野の専門職は、月曜日から新たなプライバシー上の懸念に直面している。12月15日から、H-1Bビザを持つ熟練労働者とその家族は、領事面接の前に自分たちのソーシャルメディアのプロフィールを公開設定に切り替えなければならない。これはセキュリティとプライバシーの観点から極めて危険な措置だ。
米国務省の通達によると、移民審査官は、国家安全保障上の脅威となる兆候がないかを見極めるために、利用可能なあらゆる情報を用いて新規入国者を審査する。その中には「オンライン上の存在のレビュー」も含まれる。このレビューにより、H-1B申請者だけでなく、H-4申請者(彼らと一緒に米国へ移住しようとする扶養家族)も、「すべてのソーシャルメディアプロフィールのプライバシー設定を『公開』に調整する」ことが求められるようになった。
CBSが入手した国務省内部の電文では、さらに踏み込んだ表現が使われている。そこでは審査官に対し、「米国の市民、文化、政府、制度、あるいは建国の原則に対する敵意の兆候」を精査するよう指示しているのだ。それが具体的に何を意味するのかは不明だが、もしあなたの友人が強い政治的意見を投稿するのが好きなら、心配すべきだ。
政府が人々に、自分たちのプライベートなデジタル生活のカーテンをこじ開けることを強制したのは、これが初めてではない。国務省は今年6月、学生ビザ申請者に対しても、ソーシャルメディアのプロフィールを公開にすることを強制した。
これは多くの人にとって重大な問題だ。H-1Bプログラムは、企業が専門職の外国人労働者を一時的に雇用することを認める制度である。米国は昨年、H-1Bプログラムの下で約40万件のビザを処理しており、その大半は雇用更新の申請だったと、ピュー・リサーチ・センターによれば報告されている。そこにこれらの労働者の扶養家族を加味すると、対象となるのは優に100万人を超える。この決定は、彼らを長期的なデジタル露出に追い込み、それは彼ら自身だけでなく、米国にとっても脅威となる。
なぜ強制的な公開はセキュリティ上の大惨事なのか
多くのH-1B労働者は、防衛関連企業、半導体メーカー、AIラボ、大手テック企業で働いている。これらは、外国勢力(特に米国に敵対的な国々)が強い関心を抱く組織であり、そのことがH-1B従業員を彼らにとっての主要な標的にしている。
H-1B保持者の本名、顔、日常の行動パターンを公開させることは、デジタル上のドックス(個人情報晒し)の一種だ。この方針は、安全といえる範囲をはるかに超える個人情報をさらし、新たな重大リスクを生み出している。
この情報は、これらのアクターにとって、無料の組織図を提供するようなものだ。誰が半導体設計や機微なソフトウェアに携わっている可能性が高いのか、最新の情報付きで把握できる。
同時に、組織図に載っている人々を標的にするために必要な情報も与えてしまう。H-1B保持者とその扶養家族について、友人や家族、興味関心、よくいる場所、さらにはどのようなテクノロジーを使っているかといったインテリジェンスが手に入るのだ。彼らはSIMスワップやスワッティングといったリスクに、これまで以上にさらされることになる。
こうした公開情報は、従業員を組織への攻撃ベクトルにも変えてしまう。敵対者は、個人情報と職業情報を利用して、スピアフィッシングやビジネスメール詐欺といった、組織に多大な損害を与える手口を強化できる。公開されたソーシャルメディアのコンテンツは詐欺のための学習データとなり、脅威アクターが企業の従業員を精巧に成りすますための音声や映像を提供してしまう。
ソーシャルメディアのプロフィールはまた、敵対者にとって人々へ接触する格好の手段にもなる。彼らはソーシャルメディアを悪用し、資産価値のある人物をリクルートする標的として狙うという厄介な習性を持っている。MI5長官は2年前、中国の国家アクターが産業・技術機密を盗む目的で、推定2万人の英国人にLinkedIn経由で接触していたと警告した。
標的の「心のツボ」を深く親密に理解したうえで武装した攻撃者は、彼らを取り込める可能性を大きく高めることができる。ある人はギャンブル問題や病気の親族のためにお金を必要としているかもしれない。別の人は孤独で、ロマンス詐欺の格好の標的かもしれない。
あるいは、もっと単純な恐喝はどうだろうか。同性婚や同性愛が犯罪とされる国から来たLGBTQ+の人々は、帰国した際に自分たちを害しうる政権に性指向や性自認を知られる危険を負う。敵対的な国にいる家族は、交渉材料にされかねない。地域によっては、この情報がアクセス可能になれば、高度な人材の家族がより大きな危険にさらされる可能性もある。外国の国家は、こうした「痛点」を突くことに長けている。この方針によって、彼らはそれを探し回る必要すらなくなる。
ビザ申請者の中には、審査が終わればアカウントを再び非公開に戻せばよいと考える人もいるかもしれない。しかし、米国に敵対的な国家は、そうした情報を積極的に探し求めている。彼らは、公開されたソーシャルメディアアカウントを収集する巨大なオンライン監視網を持っているのだ。誰かがH-1Bビザのステータスで米国に現れたことに気づいた瞬間、彼らはすでにスクレイピングしておいたアカウントデータを掘り起こす準備ができているだろう。
では、H-1B申請者はどうすればよいのか。アカウントを削除するのは悪手だ。突然の消滅は疑念を招きかねず、審査官はフォレンジックな痕跡を検出する可能性がある。より安全なアプローチは、新規投稿を一時停止し、プロフィールを公開にする前に過去のコンテンツを慎重に見直すことだ。日常の行動パターンや場所、センシティブな意見を明かす投稿を削除または非表示にすることで、アカウントが公開された際に、文脈を切り離されて悪用されたり、標的化に使われたりするリスクを減らせる。
皮肉なことに、スパイたちは、何年もかけて磨き上げた偽のソーシャルメディアアカウントを使ってレーダーの下をすり抜けている可能性が高い。つまり、彼らはこれまで通り闇の中で活動を続ける一方で、正当なH-1B申請者こそが脆弱になるのだ。この方針は、意図しているリスクをむしろ生み出してしまう可能性がある。そして、政府とのやり取りの条件として、強制的な公開を当たり前のものとしてしまう。
私たちは今、岐路に立っている。今日、危険にさらされているのはビザ申請者とその家族、そして彼らの雇用主だ。このアプローチを拡大するためのインフラは、すでに存在している。あるいは、今ここで立ち止まり、これらのリスクがより深く固定化されてしまう前に、再考することもできる。
