出典:Backyard Productions / Alamy Stock Photo
Electronic Frontier Foundation(EFF)による新たな暗号化イニシアチブは、大手テクノロジー企業および通信企業に対し、これまでに掲げてきたデータ保護・プライバシー保護の約束を実行に移し、ユーザーデータと通信のためのエンドツーエンド暗号化(E2EE)機能をついに実装するよう促している。
「Encrypt It Already」と名付けられたこのキャンペーンは、(1)企業がすでに約束した機能をリリースすること、(2)既存のE2EE機能をデフォルトで有効にすること、(3)他社がすでに備えているデータ保護機能を提供すること、の3点に焦点を当てる。例としては、Blueskyがダイレクトメッセージ向けにE2EEをついに提供すること、RingがカメラのE2EEをデフォルトで有効化すること、GoogleがAndroidのバックアップデータにE2EEを提供することなどが挙げられる。
E2EEは「私たちの会話とデータを守る最良の方法」だと、EFFはブログ投稿で書いている。
Facebook、Bluesky、Telegram、Signalといった人気・新興のソーシャルメディア/コミュニケーションアプリの利用者は、自分たちの会話やデータが私的なままであることを期待している。サービス提供者がそのデータにアクセスできる場合に懸念が生じ、さらに利用者の知らないところで第三者と共有されると、法執行機関や政府機関を含め、懸念は一層高まる。E2EEは、第三者がやり取りの内容をそもそも見ることができないため、情報共有の余地を実質的に断つ。
破られた約束もある
大企業は常に、より高いプライバシーとセキュリティの基準を目指すべきだが、このイニシアチブは特定の組織を非難したり、恥をかかせたりする意図のものではない。代わりに「Encrypt It Already」は、人々が自分のプライバシーとデータをコントロールできるよう「力を与える」ことを目指していると、EFFのセキュリティ/プライバシー活動家であるThorin KlosowskiはDark Readingに語る。E2EEは、より目新しい機能が優先されるあまり、後回しにされ続けているように感じることが多い、と彼は付け加える。
ソーシャルメディアアプリのBlueskyが2024年にダイレクトメッセージを開始した際、ユーザビリティ、セキュリティ、プライバシー面でやるべき作業が多いため、E2EEの実装には時間がかかると述べていた。しかし、入手可能な最新の更新情報によれば、2025年1月時点でBlueskyはまだ作業に着手していなかった。Dark ReadingはBlueskyに連絡したが、同社は期限までに回答しなかった。
Appleも別の例だ。このテック大手は2024年にRich Communication Services(RCS)メッセージングプロトコルを採用した。これはiOSとAndroid端末間の通信をより安全にするために必要だった。しかし、両者間の完全なE2EEは依然として未実装であり、AppleとGoogle双方の協力と作業が必要となる。
2023年、Metaはユーザーの1対1のFacebook Messenger会話を保護するため、E2EEをデフォルトで有効化した。同時に同社は、「グループメッセージングやInstagramのダイレクトメッセージなど他の製品については、まだテスト段階にある」と述べていた。進展はあるものの、この機能は依然として任意のままだ。
「私たちは、これから提供される機能について企業が公に発言したことに責任を持たせ、私たちが覚えていること、そしてユーザーも覚えていることを思い出させたいのです」とKlosowskiは言う。「私たちは今でもそれらを望んでいます。私の感覚では、基本的なことを求めているだけです」
E2EEをデフォルトで有効にするよう求める
企業にE2EE機能をデフォルトで実装させるよう働きかけることは、「Encrypt It Already」の主要な要素だ。E2EEを提供すること自体は不可欠だが、ユーザーが探し回ってオンにする必要があるよりも、自動的に備わっているほうが安全性は高い。企業はユーザビリティの観点から、ユーザーの操作が少なくて済むため、オプトアウトをデフォルトにすることを好む。しかしそれは同時に、安全とプライバシーの責任を、個人が理解して安全に行動することへと押し付けることにもなる。
Klosowskiによれば、ほとんどのユーザーはデフォルト設定を変更しない。このイニシアチブは、こうした機能が存在すること、そして人々がオプトインすべきであることを思い出させる役割も果たす。EFFが「Encrypt It Already」キャンペーンで大企業に焦点を当てたのは、彼らがすでにE2EEを提供しているのにデフォルトにしていない、あるいはデフォルト化する計画を表明しながらまだ実行していないからだ。E2EEの実装や約束の履行には時間がかかるが、この非営利団体の目的は議論を始めることにある。
「デフォルトでオンになるのが理想ですが、率直に言って、私たちが対象にしたすべての企業にそれを期待しているかというと分かりません」とKlosowskiは言い、EFFは投稿で言及した企業にすでに連絡を取っていると述べた。「企業側にも同情します。作業と時間が必要になるからです」
AIがプライバシー懸念のハードルを引き上げる
人工知能(AI)ブームがすでにもたらした数々のセキュリティ/プライバシー懸念を踏まえると、時間は企業の味方ではないかもしれない。Access Nowのシニア・ポリシー・カウンセル兼暗号化ポリシー責任者であるNamrata Maheshwariは、より多くのプラットフォームが暗号化通信を提供し、覗き見をするAIエージェントから安全に守ることが、これまで以上に重要だと語る。エージェントは極めて機微な領域へのアクセスを得る一方で、人間による監督は少なくなる。
「Encrypt It Already」イニシアチブは、この目標を達成するための具体的な要求を提示しており、市民社会やプライバシー企業の要望を反映しつつ、企業が約束を果たす必要があることを強調している。
「私たちは重要な局面にいます」とMaheshwariは付け加える。多くのことがオンラインで行われ、生活がオンライン上で営まれているからだ。
「エンドツーエンド暗号化プラットフォームのプライバシーは、AIアシスタントの急増によって脅かされています。AIアシスタントは、私たちがオンラインで行うあらゆることへのアクセスを選別しようとするからです」と彼女は言う。「利便性はプライバシーと並存しなければならず、プライバシーの代わりになってはなりません」
祝うのはいつ?
通信やデータ保存にE2EEを有効化することをめぐる議論は複雑だ。一方で、ユーザーには根本的にプライバシーが保障されるべきである。しかし、そのユーザーが児童性的虐待資料の所持や拡散といった重罪で告発された場合はどうなるのか。法執行機関が人々の通信にアクセスしたいと考えることに正当な理由がある場合もあるが、濫用の可能性が高すぎる。
データと通信にE2EEを実装した企業は、ユーザー情報にアクセスできない。たとえアクセスしたいと思っても、あるいは強制されてもだ。2024年、批判を受けてRingは削除した。地域住民をつなぐNeighborsアプリの「Request for Assistance(支援要請)」ツールで、消防・警察がこの機能を使って動画を要請・受領できなくなると同社は述べていた。ところが昨年、RingはAxonとの提携を発表し、「Community Requests」という新ツールを通じて、機関がユーザーに直接連絡してカメラ映像の提供を求められるようになるとした。
Amazon Ringが法執行機関によるカメラアクセス要請に対する姿勢を変えたことは、プライバシー懸念に対処するうえで暗号化が重要であることを浮き彫りにしたと、EFFのKlosowskiは説明する。
EFFはRingに対し、カメラのE2EEをデフォルトで有効にするよう求め、現状ではオンにするのに「16ステップ」かかると指摘した。オフのままでは、誰が映像にアクセスできるかという点でユーザーはより脆弱になる。オンにすれば、主導権はユーザーに戻る。
この非営利団体はまた、Googleが高度なデータ保護(ユーザーが主導権を持てるE2EE機能)を採用することも期待している。Appleはすでに実施しており、実現可能であることを示しているとKlosowskiは指摘する。
AIがプライバシー懸念を増幅させるため、変更は今後起こり得るし、必要にもなるかもしれない。AIにはしばしば、ユーザビリティとセキュリティのトレードオフが伴うとKlosowskiは言う。一方で、EFFが要請した企業の多くは、年内にこれらの機能を有効化する可能性が「非常に高い」とKlosowskiは述べる。
「実現したら、私たちはそれを祝います」と彼は付け加えた。
翻訳元: https://www.darkreading.com/cloud-security/encrypt-it-already-pushes-big-tech-e2e-encryption
