サンフランシスコのカリフォルニア北部地区連邦地方裁判所に提起された連邦集団訴訟は、Meta Platformsがメッセージのプライバシー保護について、数十億人のWhatsAppユーザーを組織的に欺いてきたと主張している。
180カ国にわたる20億人超のユーザーを代表する訴状は、Metaがエンドツーエンド暗号化のマーケティングを掲げる一方で、社内の従業員向けツールを通じてチャット内容に密かにアクセスし、保存・分析しているとして、その主張と矛盾すると述べている。
オーストラリア、ブラジル、インド、メキシコ、南アフリカの原告らは、マーク・ザッカーバーグによる2014年の宣言や、「メッセージと通話はエンドツーエンドで暗号化されています」とするアプリ内通知を含むMetaの公的発言が、意図的な詐欺に当たると主張している。
訴訟は、こうした主張にもかかわらず、Metaが分析目的で配信後のメッセージ内容を保存し、社内ツールを運用してスタッフに私的通信への無断アクセスを与えていると主張している。
この慣行により、メタデータ分析だけでは抽出できない、機微な個人の健康情報や親密な詳細が露出するとされている。
訴状は、これらの社内慣行を明らかにしたとされる匿名の内部告発者の証言に支えられている。
しかし、コードサンプル、サーバーログ、無断復号の暗号学的証明といった技術的証拠は、公には開示されていない。
原告側の代理人団にはQuinn Emanuel Urquhart & Sullivan、Keller Postman、Barnett Legalが含まれ、プライバシー詐欺の疑いに対する損害賠償(金額未特定)を求めている。
世界規模の集団訴訟として認定されれば、この訴訟は米国、カナダ、または欧州の利用規約の下で利用するWhatsAppユーザーに影響し得るほか、Metaの運用慣行にも世界的に影響を及ぼす可能性がある。
Metaの広報担当者アンディ・ストーンは、これらの主張を「完全に虚偽でばかげている」として退け、WhatsAppは2016年以降、Signal Protocolを通じてエンドツーエンド暗号化を実装していると強調した。
Signal ProtocolはOpen Whisper Systemsが開発した広く認知された暗号標準で、送信中および保存時において、サービス提供者でさえメッセージの平文にアクセスできないよう設計されている。
「この訴訟は、取るに足らないフィクション作品だ」とストーンは述べ、Metaは原告側弁護士に対する制裁を求める方針だと付け加えた。
しかし同社の声明は、メタデータ収集がどのように行われるのかを直接説明しておらず、また、仮に社内ツールが存在する場合にそれを通じたメッセージアクセスの範囲を明確にしていない。
技術的観点からは、WhatsAppのE2EE実装はメッセージの送信経路を保護し、ユーザーデバイス上で保存時暗号化も確保している。
ただし、任意のクラウドバックアップ機能、特にiCloudとGoogle Driveには文書化された欠落があり、バックアップ目的で暗号化されていないメッセージのコピーが送信される。
さらに、メタデータ収集(誰が誰と、いつ通信したかの特定)は内容の復号を必要とせずに行われ、ユーザーが私的だと考える可能性のある通信パターンを明らかにし得る。
この訴訟は、独立したセキュリティ監査を可能にするSignalのようなオープンソース代替と比べ、プロプライエタリなエンドツーエンド暗号化実装に対する懐疑が高まっていることを反映している。
本件は、特に機微なユーザー通信を大規模に処理する企業における、データ取り扱い慣行に関するベンダーの透明性をめぐる継続的な議論を浮き彫りにしている。
公に侵害の証拠は出ていないものの、この訴訟は、社内データアクセス方針、監査ログ、メッセージ取り扱いを規定する従業員プロトコルについて、Metaに透明性向上を迫る可能性がある。
その結末は、暗号化メッセージングプラットフォームがユーザーに対してセキュリティ慣行をどのように開示すべきかについて、新たな基準を確立する可能性がある。
本件はまだ初期段階にあり、ディスカバリー(証拠開示手続)により、Metaの実際のデータアクセスおよび保存慣行を明確にする技術文書が明らかになる可能性がある。
翻訳元: https://cyberpress.org/new-lawsuit-alleges-meta-can-read-all-whatsapp-users-messages/