ホーム » IT・セキュリティ » これからのセキュリティの話をしよう 〜決して折り合わないAppleとFBIの泥仕合に見る個人情報保護〜

これからのセキュリティの話をしよう 〜決して折り合わないAppleとFBIの泥仕合に見る個人情報保護〜

iPhoneのロック解除をめぐって争われていたAppleとFBIの泥仕合が、多少の火種を残しつつもいちおうの決着を見た。FBIが「外部の協力者」のおかげでロックの解除に成功したという。
この一連の騒動について視点を変えて考えてみると、個人情報をめぐる環境について、これまでとはすこし違った景色が見えてくる。

◎個人情報はすでにダダ漏れである

みなさんは、どこまで熱心に「プライバシーポリシー」を読んでいるだろうか。
私たちが日常的になにげなく閲覧しているWebサイトやサービスなどには、ほとんどの場合「プライバシーポリシー」というドキュメントへのリンクがある。このドキュメントには、サイトにアクセスした人が意識的もしくは無意識的にサイト運営者に渡してしまっている個人情報の取り扱いについて記載されている。もちろんその内容はさまざまであるが、おおむね以下の点では共通している。
1.あらかじめ決めてある用途以外に個人情報を利用しません
2.法律に従ってきちんと個人情報を取り扱います
3.ただし特定の場合には個人情報を事前の承諾なく他者に開示します
そう。特定の条件を満たした場合には、運営者は集めた個人情報を勝手に外部へ引き渡す、と規定しているのである。そして、この「特定の条件」の部分でもっともメジャーなのは、法令に基づく場合、人の生命や財産の保護に必要な場合、といったものだ。
運営者が必要と判断したら、自由に個人情報は開示される。それが現実である。

◎司法への個人情報の開示は当然の義務:FBIの視点

犯罪捜査のために運営者がログを開示する……というのは、もはや日常茶飯事である。
十数年前、匿名掲示板に書き込まれた内容から犯人を特定するために運営者がログを司法に渡す、という行為がニュースになっていた。しかし、最近では当たり前のこととなり、開示そのものがニュースになることはなくなっている。
当然である。
当時は、匿名のつもりが実は匿名ではなかった、という事実が目新しかっただけなのだから。
法律に従い、司法の求めに応じて手持ちの情報を渡すのは、運営者にとってはいたって自然なことである。
その感覚からすれば、銃乱射事件の捜査のために被疑者のiPhoneをロック解除して情報を見られるようにしろ——とFBIが主張するのは、無理もない。

なんでできないんだ、犯罪者を擁護するつもりか、それじゃあ犯罪者といっしょじゃないか、ふざけるなApple。

それがFBI側の思いだろう。
しかしながら、これは重大な事実誤認に基づく感情的な意見である。
すでに取得している情報を開示するだけならAppleもNoとは言わなかったはずである。犯人がAppleのサービスを使った際のログを提供せよ、という内容がFBIの要求であれば、まったく問題がない。
問題なのは、現在存在しない「ロックを解除するソフトウェア」を開発せよ、という点である。存在しないものを作れ、というのは、取得済の情報を開示せよ、という要求とはまったく異質なのだ。

◎利便性という名の光とセキュリティホールという名の闇:Appleの視点

私たちの身の回りには便利な道具やサービスが満ちあふれている。それらには複雑なプログラムが組み込まれており、このプログラムの機能によって利便性が提供されていることは言うまでもない。

利便性を光とすれば、プログラムに潜むセキュリティホールは闇である。複雑なプログラムを作るのが人間である以上、必ずミスは起こる。このミスがセキュリティホールを生むのである。そして、セキュリティホールが存在する以上、それを悪用しようとする犯罪者は必ずあらわれる。
利便性を手にいれるために、私たちは犯罪被害者となる潜在的なリスクとしてのセキュリティホールを甘受するしかないのである。
Appleからすれば、FBIに要求されていることは、自身の製品のセキュリティホールを見つけて不当に侵入するツールを作れ、と言われているに等しい。

セキュリティホールは発見次第すぐに修正するべきものだ、それを使って侵入するツールを作るなんて犯罪者と一緒じゃないか、ふざけるなFBI。

これがApple側の思いだったに違いない。
そもそも、セキュリティホールが残っていたら、犯罪者に悪用されかねない。仮に今回、AppleがFBIの求めに応じて侵入ツールを作ったとしても、すぐにAppleは自社製品の使用者のセキュリティを確保するために、セキュリティホールを修正するだろう。
では、次の事件が起きたら? またセキュリティホールを見つけ出し、一度限りの侵入ツールを作って提供し、すぐにセキュリティホールをふさぐ。
これでは堂々めぐりである。
こうして、AppleとFBIの不毛な争いは解決を見ないまま泥沼化していたのである。
そこに登場したのが「外部の協力者」である。

◎不正なはずの侵入が許されてしまう「正当な理由」:外部協力者の視点

技術者の視点であれば、Appleの対応は当たり前すぎて、議論する余地などない。

しかし、犯罪者が保存していた情報にアクセスしたいという司法当局の思惑も理解できる。事件の全容解明に必要なのであれば情報を入手する手段を提供してやってもいい。
そんな協力者が登場したとしても不思議ではない。ロック解除に成功した協力者が具体的にどのような手段を使ったのかは不明だが、協力者はセキュリティホールを突いて侵入し、ロックを解除したはずである。

なんだ、FBIの技術力もたいしたことないな。俺がひと肌脱いでやるよ。

外部協力者はこのように考えたに違いない。
通常であれば、侵入は犯罪である。おこなえば逮捕されても文句は言えない。理論上、侵入方法が存在することは知っていても、それを試す機会は限られている。
が、その技術的なチャレンジを正当化してくれる条件がいくつかある。所有者本人からの依頼があった場合と、司法当局からの免責が認められている場合だ。
もしかすると、FBIから報酬がもらえるかもしれない。見つけた新たなセキュリティホールの情報をAppleに伝えれば、報奨金が出るかもしれない。実利もあり、技術的な好奇心も満足させられる千載一遇のチャンスだったのである。
この外部協力者が善良なホワイトハッカーだったかどうかは、侵入に使ったセキュリティホールの情報をAppleに報告したかどうかにかかっている。技術者としての道義心があれば、セキュリティホールは放置できないだろう。
さて、この協力者、はたして黒かだったのか白だったのか?

◎目的は手段を正当化する風潮の中での自衛手段とは?

FBIの思惑の根底には「目的が正しければ手段は問わない」という考え方がある。これは、2001年9月11日の同時多発テロ以降、とくに増えてきた風潮である。公共の安全のためであれば、人権は制限されても構わないということだ。
マイケル・サンデルはこんな問いかけを学生にしている。
「1人を殺せば5人が助かる状況があったとしたら、あなたはその1人を殺すべきか?」
多くの学生は「殺すべき」と答えたという。殺人という犯罪行為はより多くの人を救う目的のために正当化される、という考え方が、現代の社会には蔓延していることが、このことからもよくわかる。
われわれが暮らす現在の社会は、大義があればより小さな悪には目をつぶる。そういう社会なのである。

もちろん、ここでその是非を議論するつもりはない。
個人情報は漏れる。
意図せず、もしくは意図的に、時には公権力によって強制されて、必ず。
そんな不都合な現状を受け入れ、自分の個人情報を守るためにどうすれば良いのかを考えてみたい。

【対策1】何か確認メッセージが出たら基本「No」

たとえば、スマートフォンにアプリをインストールしたとしよう。アプリの起動時に「このアプリはアドレス帳へのアクセスを要求しています。許可しますか?」といったメッセージが出ることがある。ここで許可したばっかりに、アドレス帳の情報をごっそり抜き取られてしまうことがある。
たとえば、PCにフリーソフトをインストールする際に「一緒にこんなアプリもインストールする」というオプションが出てくる場合がある。余計なプログラムに入り込まれて、勝手に情報を収集されてしまうかもしれない。
何か確認されたら基本「No」の姿勢を実践することで、意図せぬ個人情報の提供を防ぐことができる。

【対策2】登録する情報は最小限に

サイトなどに登録する際、必須項目以外は入力しないことが重要である。
また、オンラインのサービスを使うだけなのに物理的な住所を入力する必要はない。それどころか、メールアドレスで認証できさえすれば良いのだから、氏名を正確に入力する必要すらない。
サービスを使用する目的に応じて「不要なはずなのに必須入力の項目」にはダミーの情報を入れるくらいのことをしてもいいだろう。
これはサービスの運営者から情報が漏れた際の被害を最小限に抑えるために有効である。

【対策3】公開されて困ることはしない

当たり前のことだが、もっとも難しいことでもある。
法律に反するような行為をしないのは当然だが、法律に反していないものの人に知られるのはちょっと……という恥ずかしいことはある。
あまり人には言えない性癖や嗜好は、誰もが多かれ少なかれ持っている秘密なので、仕方のないことである。しかし、そうした秘密の活動をする際、「ネットを使えばこっそり秘密裏に活動できる」という幻想を抱くのは禁物だ。ネットを使っているかどうかに関わらず、常に秘密の活動が暴露されるリスクは存在している。情報がネット上に蓄えられているぶん、ネットを使うほうがリスクが高いと言えるかもしれない。
秘密の活動をする場合には、常に暴露されてしまうリスクを覚悟した上でおこなわなければいけない。暴露された際に開き直ってさらけ出す覚悟がないのであれば、とくにネットを使ってそうした活動をしてはならない。
2015年に著名な不倫サイトのユーザー情報が暴露された事件は、まだ記憶に新しいことだろう。あなたが秘密で登録しているサイトで同じことが起きないという保証はないのである。

家の鍵をかけないでいて泥棒に入られても、仕方がないだろう——だから家の戸締りはきちんとしよう。
財布を落として、中身ごとちゃんと返ってきたらラッキーだ——だから財布は肌身離さず持ち歩こう。

これらと同じように、個人情報を守るためにも自分自身で工夫をしていかなければいけないのが、21世紀という時代なのだろう。


コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください