#160 映画『シチズンフォー』から始まる、ネットプライバシーを守る闘い
先日、noteがパスワード認証のみでログインでき、セキュリティが甘いと感じていたことについて記事にしたところ、思いのほか反響があって驚いている。
関心を持ってもらえて嬉しいと思う反面、ならばどうやって自衛するのか、ということについても説明する必要があるだろうと感じ、本稿を執筆することにした。ただし、わたし自身は専門家ではなく、いちユーザーとして実践していることを共有する記事である、という点にはご容赦いただきたい。
記事の前半部は、サイバーセキュリティの基本的な確認事項と、わたし自身が行なっている対策について説明する。後半部は、ネット上でプライバシーを守ることの大切さを、映画『シチズンフォー スノーデンの暴露』を契機に、わたし自身が調べた当時のメモを元に説明する。
セキュリティやプライバシー保護の強化には、必ず不便が伴う。そのため、不慣れなままあれもこれもと設定すると、スマホが故障したり機種変更をした際に、ログインができなくなる等のトラブルにも繋がる。そのため、一般的には前半部の知識のみで一定の安全が得られるように書いている。長文になるが、前半部分をお読みいただいた上で、更にプライバシー保護にも関心があれば、後半部分も続けてお読みいただければと思う。
最も危険なパスワード
基本的なことですが、パスワードを記憶することが面倒で「password」や「123456」のような文字列を使っている方がいれば、即変更しましょう。この後の文章は読むのは、変更してからでも遅くはありません。
検索サイトで「危険なパスワード 2023」等のキーワードで検索してみてください。パスワードマネージャーを販売しているNord Passが発表している記事(元は英文)を日本のメディアが取り上げた記事がヒットすると思います。
※こちらのドコモラボの記事が分かりやすくておすすめです。簡潔に読みたい方は、こちらのマイナビニュースの記事も良いと思います。
パスワードを使い回していませんか?
これちらもまた、基本中の基本。学校や会社でもそう啓発されていませんか?パスワードはサイトごとにオリジナルなものを用いましょう。
ときどき、大企業が顧客データを流出させたといって、社長が謝罪する様子が報道されますよね。流出したデータはどうなるのか?売られるのです。売られたデータはどうなるのか?分かりません。少なくとも、善意の人の手に渡ることはないでしょう。
もう少し身近な例を。別れた恋人や縁を切った友人がいたとします。その人はあなたのメールアドレスを知っています。その人がもし、あなたの設定した簡単なパスワード ーペットの名前や好きな芸能人の名前、それらと誕生日の組み合わせなどー を見破ることができたなら、どうなるでしょうか?あらゆるサイトにログインでき、なりすまして、滅茶苦茶な言動をして、あなたに報復することができるかもしれません。(noteはそれが可能なため、前回記事にて改善を求めたのです)
強固なパスワードとは?
それではわたしたちは、どのように自衛すれば良いのでしょうか。前述の通り、まずは危険なパスワードを避け、かつ使い回しをせずに、サイトごとに別のパスワードを設定することです。その上で、そのサイトが許容する文字数の最大値を使って、記号が利用可能ならば、記号も取り入れて、パスワードを作成します。noteはわたしが試した限り、最大72文字の英数記号のパスワードを受け付けます。
最大72文字というのは、他のサイトと比べても長めの設定です。現状、noteが脆弱であることへの対策は、これをめいっぱい使って強いパスワードを作ることです。
一般的には、オリジナルな72文字のパスワードを設定しているアカウントが外部から乗っ取られることは稀でしょう。狙われやすいのは、前述した弱いパスワードを用いている人達だからです。あとは、ときどきパスワードを変更していれば、安全だと思います。
複雑なパスワードの管理方法
しかし、複雑なパスワードを作成したことにより、別の問題が発生します。自分自身が覚えられないのです。そのため、PCやスマートフォンの各OS、またはWebブラウザに、パスワードマネージャーの機能が備わっています。
Apple製品をお使いの場合は「キーチェーン」を、AndroidやChromeブラウザをお使いの方は「パスワードマネージャー」の機能が入っています。その他、EdgeやFirefox等のWebブラウザには基本的にパスワード保存機能が備わっています。それらを使って、複雑なパスワードを管理します。
二要素認証(MFA)
とはいえ、どれだけ複雑なパスワードであっても、文字列そのものが何らかの形で漏洩してしまえば、どうしようもありません。そのため、本人確認のためにもう一段階、認証を追加しましょうというのが、二要素認証です。
一般的に多い形態は、登録した携帯電話へSMSで認証コードを送信し、所定時間内にそれを入力しないとログインできない、というやり方です。メールアドレスに送信するケースも同様に多いです。また、認証コードを生成するスマホアプリも存在します。「Microsoft Authenticator」や、「Google Authenticator」といった製品です。(Microsoftのアプリは、パスワードマネージャーの機能もついています)これらは、第三者が外部からログインしようと試みた際の障害として機能します。
サイトの内容にもよりますが、個人情報を預かったり、決済機能のあるサービスであれば、ここまでの機能を備えていることは最低限のラインだと考えています。ユーザー側も、サイトにこの機能があるかどうかを確認し、あれば必ず設定するように心がけましょう。
パスキー認証
しかし、最近のトレンドはパスワードそのものを使わせない、というものです。今や誰もがスマートフォンをもっていて、そこに指紋や顔認証などの、生体認証機能が備わっています。悪意のハッカーとのイタチごっこの中で、どんな形であれ文字列は盗まれる可能性があることから、採用するケースが増えてきた認証方法です。
現状、最も簡便かつ優秀な認証方法だと思いますが、注意点があります。パスキーがどこに入っているのかを、しっかりと認識しておく必要があります。その点、Apple製品は楽でしょう。iPhone、iPad、Macのいずれも、iCloudキーチェーンに保存され、同じApple IDなら自動的に同期されます。
わたしはどうしているのか?
それでは、わたし自身はどうしているのかと言うと、有料のパスワードマネージャーを使っています。iPhone、Android、WindowsといったOSを跨いで使えますし、無料のものと比べて、機能や使い勝手が良いからです。そのため、個人的には「これでなくてはダメ!」というレベルで必須のアプリなのですが、人に勧めるかどうかというと、それほどでもありません。
一般的には、Appleのキーチェーンか、MicrosoftのAuthenticatorで十分だと思います。お金をかける必要はありません。信頼できる会社が無料で提供している訳ですから、それを使うのが妥当です。
クレジットカードについては、Rovolutを使って、サイト/サービス毎に番号の異なるプリペイド型のVISAカード(バーチャル)を発行して、登録しています。プリペイドカードが登録できないサイトの利用は、他の支払い方法を検討するか、諦めています。(プリペイドやデビットカードは、国内のサイトでは弾かれやすいですね。AmazonやNetflixのような米国発祥のサイトでは、いずれも問題なく使えます。これはクレカを持てない人も多い米国内と日本との事情の違いが垣間見えるところです)
また、Rovolutにはワンタイムバーチャルカード(使用する度にカード番号が変わる)の機能があるため、継続利用するかどうかは分からない、一度限りになりそうなお店での購入にはそちらを使っています。仮に流出しようが、既にその番号は無効になっている、というわけです。ちなみに、前述したバーチャルカードも、タップするだけで新たに発行したり利用停止したり、削除したりすることができます。
その上で、Rovolutには普段1,000円程度の低額しか入金しておかずに、使う時にだけ適宜入金するようにしています。(0円にしないのは、プリペイド/デビットカードの場合、登録したサイトから定期的に有効性チェックで請求→返金の処理が行われるためです)
もっとも、Apple Payで支払い可能な店舗では、Apple Payを優先して使っています。こちらの方が圧倒的に楽で、セキュリティも高いためです。(そもそも、カード番号が送信されません。仕組みにご興味のある方はこちらをご確認ください。Google Payも同様に安全です)
そして、メールアドレスもサイト毎に別々のアドレスを使っています。そして、会員登録に使用する電話番号は、格安SIM契約の「捨て番号」を使っています。
セキュリティを更に強固にするために
ここまではパスワードのお話でしたが、メールアドレスも同じです。メールアドレスを使い回すのはやめましょう。メールアドレスがユーザーIDになっているサイトがあまりにも多いためです。お使いのメールに「エイリアス」の機能があるかどうか、調べてみてください。メールエイリアスは、本来のメールアドレスに別名をつける機能です。これを使って、メールアドレスが流出した際のリスクを軽減します。
(もし、お使いのメールにエイリアス機能がない場合、DackDackGoのメールプロテクション機能は無料で使えます。メールの開封状況等を追跡するトラッカーを削除して、本アドレスに転送してくれるサービスです。ただし、本稿執筆時点では、まだベータ版のサービスのようです。しかし試してみたところ、何の問題もなく使えて、しかも簡単でした)
わたしは、AppleのiCloud+(130円/月)に契約しているので、有料機能の「メールを非公開」(Apple IDに登録しているアドレスに転送される、受信専用のアドレスを作成できる)を使って、サイト毎にメールアドレスもオリジナルのものにしています。ただし、受信専用のため、返信する際には本来のメールアドレスを使わざるを得ないのですが、Webサイトに登録するメールアドレスで返信が必要になることなどほとんどないため、これで満足しています。
※Appleユーザーなら、iCloud+に課金することを推奨します。プライベートリレーによりプライバシーの保護にも役立ちます。
使わないサービスを退会する
ベネフィットを得ていないのに、個人情報を登録しているだけの状態など、リスクでしかありません。これが厄介なのは、退会方法のよくわからない、根性の悪いサイトがいくつも存在することです。イライラしますが、使わない会員登録は暇をみつけて退会していきましょう。
その他、マルウェア等の脅威については…
一応、サイバーセキュリティの話として触れないわけにはいきませんが、実はわたし自身、VPN(後半で説明します)に接続したiPhoneと、トラッキング防止機能付きで履歴の残らないWebブラウザ(Firefox Focusです。Safariが必要な時でも、極力プライベートブラウズでアクセスしています)しか使っていません。目の前にPCがあったとしても、iPhoneから検索しています。また、権限はアプリが動く限りの最低限しか許可していません。Androidを使う場合でも同様にしています。現在、PCは仕事以外では使いません。(組織の定めるセキュリティが設定済みの端末を貸与される仕組みのため、自分で設定していません)そのため、あまり語れることがありません。
さて、前半部(セキュリティの基本)はここでおしまいです。ここまでお読みになった段階で、noteのパスワードを強化しようと思われた方は、新たに作った強力なパスワードを無くさない方法も併せて検討した上で、変更を行なってください。後半の記述にも言えることですが、慌てず、騒がず、冷静に。自分なりに折り合いのつくインターネットとの付き合い方を検討してから、動いてください。
ここから先は後半部です。実は、2年ほど前にXアカウントで公開した文章のリライトになります。その際のタイトルは、『シチズン・フォー』から始まるネットプライバシーの覚書 でした。(いないとはおもいますが…)読んだことがあるぞ!という方もいらっしゃるかもしれませんが、当時のメモを元に、大幅な加筆修正を行っております。
ここまでの内容で、ネットプライバシーの保護にもご興味を持っていただけた方は、ぜひとも続きをお読みください。
“かつての”自由”を今はプライバシーと呼んでいます。プライバシーを失えば自由を失うのです。”
エドワード・スノーデンの告発
エドワード・スノーデン氏を覚えているでしょうか?2013年6月に、NSA(アメリカ国家安全保障局)によるインターネットの大量監視を告発した人物です。
彼は米国が行なっている、前代未聞のプライバシー侵害 ー全世界のメールや通話など、通信網を流れるあらゆる情報の盗聴。それらに電話会社やApple、Google、Microsoft等の名だたる企業が協力していたこと。その大量監視を行うシステム※ が存在することー を世界に知らしめました。
※UPSTREAM(インターネットのインフラを通過するデータの傍受)と、PRISM(GoogleやApple等テック企業の製品に設けたバックドア、NSAはあなたのiPhoneやAndroidのセキュリティ設定とは無関係に、データにアクセスできるということ)というシステム。PRISMは2017年以降、呼称を"DOWNSTREAM"に変更した。
当時、ドイツの首相であったアンゲラ・メルケルの通話も、NSAによって盗聴されていたことが発覚し、いっとき米独関係が冷え込む事態にもなりました。盗聴の対象は、各国首脳に対してまで及んでいたのです。きっと、大企業の経営者のビデオ会議や、あなたの自撮り写真も、PRISMに捕捉されていたことでしょう。
つまり、世界の全てを盗聴するという、あらゆるトラフィックが通過するインターネット発祥国という地の利と、世界中のOSを支配しているIT最先進国としての利を活かして、全世界を相手に網羅的なスパイ活動をしていたのです。米国は全インターネットユーザーのプライバシー権を侵害していた、ということです。
スノーデン氏の告発は、世界を震撼させる大ニュースとなりました。その後、彼の告発を記事にした英ガーディアン紙とワシントン・ポスト紙の報道はピュリツァー賞を、映画『シチズンフォー スノーデンの暴露』は、アカデミー賞の長編ドキュメンタリー賞を受賞しました。
しかし、スノーデン氏は米国内で数々の容疑をかけられ、FBIやCIAから追われる身となりました。彼は最終的にロシアへ亡命し、後にロシア国籍が付与されました。米国への帰国を望み続けていますが、未だ安全な暮らしの保障が得られないため、その願いは叶っていません。
彼の行いは、国家への反逆ではありましたが、それは国家の側が重大な罪を犯していたからです。どう考えても、道徳的な正しさはスノーデン氏の側にあると思います。そして、ロシアから出られないまま年月が経ち、そのロシアが戦争を始めてしまいました。スノーデン氏はきわめて聡明な人物です。きっと、どこか安全な場所で、妻子と共に暮らしていると信じています。
話を戻しましょう。スノーデン氏の告発から、ずいぶんと時が経ちました。その間に、身の回りのデバイスもいろいろと進化しました。
スマートフォンはあなたの顔や指紋を知っています。声を知っています。名前や住所や生年月日はもちろん知っています。おそらく、Googleはあなたの恋人や家族よりも、あなたのことに詳しいだろうと思います。そして今や、インターネットは時計やスピーカー、冷蔵庫や電球にまで及び、電気の通うあらゆるものがオンライン化されようとしています。
わたしは今、Xiaomi(中国メーカー)のスマートバンドを愛用していますが、わたしの歩数や心拍数を、中国の諜報部が閲覧することはあり得るでしょうか?閲覧される機会はないかもしれませんが、収集はされているだろうと思います。米国がやっていることは当然、中国も同じくやるだろうと考えています。
大量監視の共犯者、日本
さて、NSAの監視によるプライバシー権の大量虐殺は、スノーデン氏の告発後も続きました。そして実は、当の日本も監視をする側の国であったということが、その後の報道で明らかになりました。しかし皆様、そんなニュースがあったことを知っていますか?わたしは知りませんでした。騒ぎにならないので、日本社会におけるプライバシーの議論というのは、一向に盛り上がらない。というよりも、誰も興味が無いのではないかと感じられるのが現状です。
"An April 2013 document revealed that the NSA had provided the Japanese Directorate for SIGINT with an installation of XKEYSCORE, a mass surveillance system"
(2013年4月の文書で、NSAが日本のシギント総局に、大量監視システム「XKEYSCORE」の設置を提供していたことが明らかになった)
※カッコ内の訳文はDeepl翻訳で作成したもの
2017年4月、NHKとインターセプトの共同スクープにより、日本でもNSAの監視ツールであるXKEYSCORE(「スパイのグーグル」と称されることから、なんとなく用途が想像できますね。ZDNET Japanのこちらの記事が詳しいです)を運用していることが明らかになりました。
これを、米国から重要なパートナーとして認められている証で、国家安全保障の観点から頼もしいと感じるか、米国と同罪でプライバシー権の侵害(人権侵害)だと捉えるかは、その人の見方によって変わることでしょう。とはいえ、誰しも自身を丸裸にして好きなように扱って良いなどと、許可することはできないと思います。
Igeta Daisuke, a Japanese lawyer who specializes in civil liberties cases, said that the XKEYSCORE revelation was “very important” for the country. The Japanese government’s use of the system could violate Japan’s Constitution, which protects privacy rights, Daisuke told The Intercept. He added that Japan has a limited legal framework covering surveillance issues, largely because the scope of the government’s spying has never before been disclosed, debated, or ruled upon by judges. “Japanese citizens know almost nothing about Japanese government surveillance,” said Daisuke. “It is extremely secret.”
(市民的自由の訴訟を専門とする日本の弁護士、Igeta Daisuke氏は、XKEYSCOREの摘発は「非常に重要」であると述べた。日本政府がこのシステムを使用することは、プライバシー権を保護する日本国憲法に違反する可能性があると、Daisuke氏はThe Interceptに語った。また、日本では監視の問題を扱う法的枠組みが限られており、政府のスパイ活動の範囲がこれまで公開されたり、議論されたり、裁判官によって裁かれたりしたことがないことが主な理由だとも述べています。「日本国民は日本政府の監視についてほとんど何も知らない」とDaisuke氏は言う。「極めて秘密なのです」)
※カッコ内の訳文はDeepl翻訳で作成したもの
日本では未だ多くの人がインターネットの匿名性を信じていると思われます。通信が開示請求もなく自動的に、法を犯すまでもなく、またその疑いをもたれるまでもなく、機械的に全てを盗聴されている可能性など、及びもつかないことです。
ディストピアSFのフィクションか、はたまた陰謀論かと思われても仕方がありません。しかし残念ながら、これは現実に起きていることであり、陰謀論の類ではありません。
監視社会の行く末
"現在の戦争とは、支配集団が自国民に対して仕掛けるものであり、戦争の目的は、領土の征服やその阻止ではなく、社会構造をそっくりそのまま保つことにある。"
『一九八四年』〔ハヤカワepi文庫〕
早川書房 2009/7/18 P.282
大量監視の話題において、ジョージ・オーウェルを持ち出すことは、一種の礼儀であり様式美です。国家的危機を察知するために作られた情報収集ツールが、結果的に全てを監視していることになり、当初の目的が拡大解釈され続けた結果、最終的には支配者にとって都合の良い社会構造の維持に使われることになります。そう、まさに現在の中国のように。
香港で起こった民主化デモと、その後の顛末は記憶に新しいことでしょう。きっと今、香港で習近平や共産党を批判したり、民主化を求める発言をどこかでしようものなら、必ずや当局の目にとまります。どこでどのように監視されているかが分からず、誰もが口をつぐむように成り果てます。そのようにして、市民の自由を奪う仕組みとして機能してしまうのです。
話を日本に戻します。そうした監視の大義名分は「テロとの戦い」でした。おそらく、米国から求められるままに追従したことなのでしょう。しかし、その影響で起こった事件がありました。
日本の警察がイスラム教徒を監視対象とした事件(ムスリム捜査情報流出事件)です。9.11米同時多発テロ事件以降の「イスラム教は危険だ」という、おおいに歪んだ色眼鏡により監視が行われ、彼らのプライバシーは侵害されました。当然ながら、ムスリムである事を理由にテロリストの疑いをかけることは差別です。
犯罪に関わった事実ではなく、単に属性によって判断されたのです。差別を根拠に、彼らは監視下に置かれたのです。これは、誰でもある日突然に、特定の属性を持っているというだけで危険人物と見做され、監視対象となる可能性がある。という事例でもあるのです。
果たして彼らは、監視を受けながらも普通に暮らすことができたのでしょうか?尾行されているかもしれない状況で自由に行動できるでしょうか?盗聴されているかもしれない環境で楽しく通話ができたでしょうか?これは監視の基本的な効果についての説明です。監視は、人の心を破壊します。IT社会が前進し続けた結果が、アニメ『PSYCHO-PASS』さながらの巨大なパノプティコン(この単語の登場もまた、様式美です)とならないためには、どうすれば良いのでしょうか?
リテラシー向上の必要性
現代は、コンピューターやインターネットがなくては成り立たない社会です。そして、それは不可逆的に進化し続けるものです。例えば、今から突然「AIは人間の仕事を奪うから、開発を禁止しよう」などということはありえません。必要なのは、人道的な進化を求めていくこと、そうではないと判断した製品やサービスを(可能な限り)拒否すること。それしかありません。一人ひとりが想像力を働かせ、自分事として考える必要があります。その判断を行うためには、ユーザーのリテラシー向上が不可欠です。
こちらは、先ほどリンクを貼った映画『シチズンフォー スノーデンの暴露』の監督、ローラ・ポイトラス氏と共に、スノーデン氏の告発を手助けしたジャーナリスト、グレン・グリーンウォルド氏の著書です。わたしは映画を観るより先に、この本を読んでいました。結果、映画の内容が非常にわかりやすくなりました。内容も非常に(恐ろしくて)面白く、必読の一冊です。もちろん映画の方も、必見の作品です。
無料の代償、メタデータ
さて、ここからは少し、話題を身近なものに変えましょう。国家による監視が云々、という話ではなく、わたしたちは、GoogleやFacebookのようなテック企業に何を与えているのか?そして、彼らは何を手にしているのか?というお話です。
個人情報保護の話題をした時によくある、「悪いことはしていないのだから、隠すことなど何ひとつない!」という回答をする方でも、ここから先を読み進めていくと「さすがにちょっと嫌だな…」と、感じてくると思います。
インターネットで収集されるデータ(ビッグデータという言葉、流行りましたね)で最も重要なものは何でしょうか?電話番号?クレジットカード番号?いいえ、メタデータです。位置情報とか、ログインした時間とか、そうした小さな小さなデータの集積です。
電話を盗聴したり、メールを覗き見たりしなくても、メタデータの収集だけで十分です。ひとつの情報では意味を成さなくても、集約することでパーソナリティを正確に描き出し、効果的な投稿や広告を表示し、果ては行動を変容させることすらできるためです。以下は、メタデータを使って分かることの例です。
They know you rang a phone sex line at 2:24 am and spoke for 18 minutes. But they don't know what you talked about.
(あなたが午前2時24分にテレホンセックスの電話をかけて、18分間話したことは知られています。しかし、彼らはあなたが何を話したか知りません。)
They know you called the suicide prevention hotline from the Golden Gate Bridge. But the topic of the call remains a secret.
(あなたがゴールデンゲートブリッジから自殺防止ホットラインに電話したことはバレています。しかし、その電話の内容は秘密のままだ。)
They know you called a gynecologist, spoke for a half hour, and then called the local abortion clinic’s number later that day.
(婦人科医に電話をして30分ほど話し、その日のうちに地元の中絶クリニックの番号に電話したことがバレてしまうのです。)
※カッコ内の訳文はDeepl翻訳で作成したもの
盗聴を行なっていなくても、スマホの位置情報や時間、どこに電話をかけたか。そうした小さなパーツをかき集めると、上記のような人物像が浮かび上がってくるわけです。これを集めて、ユーザー毎に最適化された広告を表示する。その広告枠を売って、莫大な利益をあげているのです。
Googleや Facebookはきっとこう言うでしょう。「会話の内容そのものは聴いたり覗いたりしてない。ユーザーの利用状況を収集しているだけで、プライバシーの侵害ではない」そうした主張は、卑怯な言葉のトリックです。現代人は誰しも、常にメタデータを発信して生きています。これを収集するという事は、スマートフォンが監視装置になるということに等しいのです。
メタデータはプライバシーを暴く
ところで、個人情報というと、何を思い浮かべますか?住所氏名やマイナンバー、生年月日等の、個人を特定できる情報が思い浮かぶと思います。しかし、それらは大切な情報ではありますが、必要が生じれば自ら開示する情報でもあります。適正に管理するべきですし、取り扱う側に対する法律(個人情報保護法)も存在します。
では、別の質問を。個人情報は言わなくて良いので、あなたの心の中を全て開示してください。何を考えているのか、何を求めているのか、どんなコンプレックスやトラウマを持っているのか、親兄弟との関係、友人や恋人との関係、思い出、将来の夢、生きたいのか死にたいのか、そうしたことを全て教えて下さい。
そんなことは、よほど心酔しているカウンセラーが相手でもない限り、誰しも胸の中にしまって話さないことだと思います。しかし、メタデータの集積から浮かび上がってくる情報とは、そうした性質のものなのです。心の中を暴くということです。そして、世界中から集めたビッグデータをもとに、あなたのタイプが特定され、広告として現れます。これをプライバシーの侵害と言わずに、何と言うのでしょうか?
個人情報など、いわば記号です。わたしには名前がありますが、それはわたしの心とは別個にあるものです。住所がありますが、それは居場所を示すだけの文字であり、わたしの秘めたる感情とは関係がありません。しかし、メタデータの集積は、そうした内面をあぶり出そうとするものです。
わたしたちは、ネットから授かる恩恵にばかり注目してはいないでしょうか?現在のインターネットが不気味である事を示す、もう一つの話題に移りましょう。
SNSで人の行動を変えさせる
マーク・ザッカーバーグは(悪質な)天才です。Facebookでは自動的にコンテンツ(投稿)が生まれ、実名のプロファイルが人間関係とともに手に入ります。サイトの内外で執拗なトラッキング※ を行い、フィルターバブル(日本語で言うところの、ムラとか界隈みたいな、その人が見たいものしか存在しない世界のことです。サイト側がユーザーの嗜好を把握して表示内容を変えることにより発生します)を形成し、少しずつ人間の思考や行動を支配していきます。
※Webトラッキングについて、要するに「あなたがどのサイトにどれだけ滞在していて何を注視していたか、こっそり監視しているんだ!このあと効果的な広告を出すから楽しみにしておいてね!」という機能です。これは、Facebookのアカウントを持っているかどうかとは無関係に、そこらじゅうのサイトから付いてまわってきます。Googleや、他の企業ももちろんやっていることです。Nord VPNのブログにあるこちらの記事が分かりやすいと思います。
そうした仕組みは、果てはトランプ大統領を誕生させたり、ブレグジットを達成させるほどに、巨大な影響力を持つに至りました。(両方とも、ケンブリッジ・アナリティカというデータ分析企業がFacebookを利用した選挙戦略を行い、成功させました。SNSを使って人々の行動を変容させることができる、という事例の最たるものです。興味がある方はこちらの記事を参照してください)広告を売るためのアルゴリズムは、もはや人の行動を操り、選挙結果さえ左右するほどの領域に達しているのです。
先ほど、広告枠を売って莫大な利益をあげている、と書きましたが、もう少し踏み込んだ表現に改めます。GoogleやFacebookに代表されるテック企業の商品とは「ユーザーそのもの」なのです。
わたしたちは現在、Webサイトを開くだけで知らずのうちに、「推定年齢30代前半の独身女性彼氏ナシ、性格は内向的で現在の悩みは〇〇。韓国アイドル〇〇のファンで支持政党は〇〇党。現在強い結婚願望アリのユーザーがきたぞ!広告を出したい企業は?」というオークションが自動的に開始して、自動的に落札された結果、広告が表示されるという鬱陶しい世界にいるのです。
サービスを使っている顧客のつもりが、まさかの商品だった、という訳です。(顧客は、広告主の方です。Netflixが観れる環境にある方は、『監視資本主義: デジタル社会がもたらす光と影』をぜひご覧ください。シリコンバレーの各企業に勤めた当事者達が、その恐ろしさを語っています)
しかもこれは、Facebookのような「ど真ん中」の企業がやっていることです。それでは、大量監視社会の「周辺」には、何があるのでしょうか。データブローカー、と呼ばれる企業が存在します。
米国のアーカンソー州に本拠を置くAcxiomは、全世界の25億人分のデータを所有していると謳っている。米国では、これらの個人情報に興味をもった人なら誰であろうと、実質的に制約なく購入して利用できるのだ。こうして形成されたデータ仲介業界には、消費者や市民の詳細な個人情報の販売によって数十億ドルが流れ込んでいる。
あらゆる情報を買い漁り集積するこのような企業により、おそらくは不正に流出した個人情報と、不正ではない手段で集めたメタデータが連結され、プロファイリングを含む完璧な個人情報として商品になっていることと思われます。
※曖昧な表現をしている理由は、このような企業が「やってますよ〜」等と言うはずもなく、詳細が分かりかねるためです。個人的には上記の通り、個人情報として完璧なデータを保有していると考えています。
民間防衛のすすめ
広告収入を得るために無料で運営されているサイトを閲覧した際、広告ブロッカーを解除して欲しいと懇願するポップアップが表示される場合があります。応援したいサイトなら許可しても良いと思いますが、ネット広告はその後もユーザーの行動を追跡するため、プライバシー保護の観点からは許可しない、または広告ブロッカーは解除するが、サードパーティCookie(追跡するために埋め込まれるデータです。サイト制作者のものではなく、広告会社のデータです)は拒否する設定にすることをおすすめします。
お使いのブラウザの設定に「サードパーティCookieをブロック」の設定があれば、ONにしておきましょう。Safariの場合は「サイト超えトラッキングを防ぐ」という項目になっています。サードパーティCookieを利用したユーザーの追跡は、プライバシー上の懸念から問題視されることが多く、最近は多くのブラウザで初期値がONになっているとは思います。(サードパーティCookieに関しては、Nord VPNブログのこちらの記事が分かりやすいです)
ちなみにわたしは、これに関してはかなり神経質に対応しています。Safariの通常モードでWebを閲覧した後は、設定から「履歴とWebサイトデータを消去」を表示して、ファーストパーティCookie(閲覧したサイトのCookie、問題にならないもの)を含む全ての履歴を消去しています。
また、その作業が面倒なので、履歴の残らないFirefox Focusをデフォルトブラウザにして使っています。Safari自体が優秀(iCloud+のユーザーなら尚更です。プライベートリレーによりIPアドレスを秘匿できます)なので、一般的にはたまに消す程度で十分だと思います。
わたしがiPhoneを使う理由
ユーザーは政府や巨大企業の前で常に裸でいなければならない、という訳ではありません。SNSやブラウザのプライバシー設定で拒否できるものもあります。水面下で情報収集を行うテック企業の姿勢は改められるべきですが、Appleは先手を取り、ユーザー本意であることをアピールしました。
もしオンライン広告による不透明なトラッキングにうんざりしていて、それをコントロールできていないと感じているなら、新しい「iOS」の機能を試してほしい。アップルが4月26日(米国時間)にリリースした「iOS 14.5」により、すべてのアプリがポップアップで次のように尋ねてくることになる。
「○○が他社のAppやWebサイトを横断してあなたのアクティビティを追跡することを許可しますか?」
今回はこの質問に対してノーを突きつけるべく、「Appにトラッキングしないように要求」を選ぶほうがいい。
2021年、AppleはApp Tracking Transparency(ATT)を導入し、アプリがユーザーを追跡する前に「許可しますか?」というポップアップを表示する仕様に変更しました。これにより、大半のユーザーがトラッキングを許可しないことを選択するようになったのです。
※ここまでの記述で、主な企業名としてやたらとFacebookを挙げてきたのは、このApp Tracking Transparencyによって、最も打撃を受けた企業だと思われるからです。つまり、前フリとして挙げてきました。(その影響は、GIGAZINEのこちらの記事に詳しいです)また、念のために補足しておくと、InstagramはFacebookと同じMETA社のサービスです。わたしは使いません。
このように、OS側からはっきりとユーザーに確認をとるというのは、画期的な出来事でした。Appleは広告依存度の低い企業なので、自ら進んでプライバシーを強化することで、ライバルを蹴落とす道を選択したのです。NSAの監視から逃れることはできないでしょうが、少なくとも、収益の大半を広告に依存しているGoogleよりは、Appleの方がマシだろうと想像しています。それが、わたしが主にiPhoneを使う理由になっています。(もちろん、Androidが危険というわけではありません。Androidも、Googleアカウントの設定やアプリの設定から、自身に合ったプライバシー設定/権限設定を行うことで、安心して使用することができます)
しかし、そのiPhoneにおいても、許可してしまえば同じことです。「許可(オプトイン)することを、さも当然かのように推奨するアプリが多すぎる現状に変わりはありませんので、新しいサイトやアプリに会員登録した際は、真っ先にプライバシー設定とアプリの権限を確認する習慣をつけましょう。
iPhoneが権限について尋ねてきたときは、早くアプリを使いたい気持ちを一旦抑えて立ち止まり、本当に必要なのかをよく考えて選択しましょう。権限は後から設定で変えることもできるので、必要性がよくわからないものは、許可しないことを基本スタンスにするのが良いでしょう。
プライバシーを守るために
プライバシーは人権であり自由の源です。実害に直面しない限り、道徳についての議論は無視できるのでしょうか?インターネットを愛するなら、問題点についても目を向ける事が本当の愛ではないでしょうか?ここまでの記事は、そんな想いで綴ってきました。
国家と巨大企業によるプライバシー侵害を無効化することはできません。しかし、ユーザー側で流出するプライバシー情報をコントロールすることは可能です。それは、巨大な相手に対する意思表示となりえます。ネットに流すデータの価値を下げていくことで、抵抗するのです。
ここからは、民間防衛の具体的手段をお伝えします。ただし、本稿冒頭でもお伝えした通り、わたしは専門家ではありません。あくまで自身が実践していることの情報共有にすぎないという点はご理解ください。また、内容そのものはOSを問わないお話ですが、例として挙げる画像は、わたしがメインで使っているiPhoneのものである点もご容赦願います。
・プライバシー設定を見直しましょう
各サイト/サービスのアカウント設定にプライバシーの項目があれば、必ず確認しましょう。このとき、とりあえず「許可」するスタンスはやめましょう。例として、わたしのiPhoneで、noteのアプリから「フォト」に許可している内容のスクリーンショットをご覧ください。
わたしの知る限り、あらゆるSNSアプリは「フォト」へのアクセスを求めてきます。これを「フルアクセス」にする必要はありません。使う画像だけ、その都度許可すれば良いのです。
他にも、位置情報や連絡先データへのアクセスを求めてくるケースが多いですが、そうしたときに安易に許可を与えるのではなく、むしろ最初は許可をせず、必要性が理解できたときに許可するくらいがちょうど良いかと思います。もちろん、SNSに限らず全てのアプリにおいて権限の確認をしましょう。ときどき、「その権限いる?」と思える、変なアプリが見つかります。
これは、Androidで経験した話ですが、わたしが好きなポータブルオーディオのメーカーに、中国のFIIOという会社があります。FIIOの製品を設定するためのFIIO Controlというアプリが、何故だか位置情報をONにしないと動いてくれないのです。位置情報など全く関係のないアプリであるにも関わらずです。実はこうした挙動は、他の中国メーカー製品でも経験しています。仕方なくONにはしましたが、必要な設定を終えた後はアプリを削除しました。きっと、中国はわたしがオーディオマニアであることを知っているでしょうね。
また、そもそもですが、アプリがどんな権限を要求してくるのかは、App Storeでダウンロードする前にしっかりと確認しましょう。(GoogleのPlayストアでも同様です)わたしがnoteのヘッダー画像を生成する時に使っているのは、『AIイラストつくろっ!』というアプリです。このアプリは広告を見ることで、無料でAIイラストを生成できるものです。
「フォト」に画像を追加する権限のみで動きます。
次に、App Storeで「ai イラスト」というワードで検索し、一番上に表示された『AIイラスト作成』というアプリの権限を見てみましょう。
なぜ位置情報が送信されるのか?ということを、ダウンロードする前に考える必要がありますね。(それでも、このアプリはまだ大人しい方ですね。Instagramとか凄まじいですよ)
・ブラウザのCookieを定期的に削除しましょう
前述しましたが、Cookieはプライバシー侵害の懸念があるもの(ユーザーの行動を追跡するためのサードパーティCookie)と、そうではないもの(ログイン情報を記憶する等、利便性を向上させるためのCookie)がありますが、Cookie自体はどんどん溜まっていきます。
どれが必要なものかを判別できるなら、個別に消したり、ブラウザ側に保護機能がある場合はそれを使って、頻繁に閲覧するサイトのログイン情報だけは消えないように設定する、ということも可能なのですが、既にCookieまみれになっている場合は、とりあえず全部消しておきましょう。
最近はブラウザではなくスマホアプリでアクセスすることも多いと思うので、いっそのことブラウザは履歴もCookieも残らない、プライベートモード(Safari)やシークレットモード(Chrome)で使うことを基本スタンスにしても良いかと思います。
ただし!これができるのは、既にパスワード管理が万全にできている場合に限ります。Cookieを削除することによって、全てのサイトがログインからのやり直しになります。それがまずい場合は、パスワードの管理が先です。絶対に早まらないようにしてください。
・検索サイトのデフォルトをDackDackGoに切り替えましょう
Webブラウザの設定で、デフォルトの検索サイトを選択することができると思います。おそらく、Googleをデフォルトにしている方が多いと思いますが、検索を行うことで当然ながらGoogleにデータを提供することになります。Googleアカウントでログインしていれば尚更ですね。(一応、検索結果の履歴については、Googleアカウントの設定から保存しない設定に変えることが可能です)
尚更、と言いましたが、実はログインしていなくても、ユーザーを特定する作業は行われています。Google自身か、あるいは広告トラッキングを行う他の企業によって、またはその両方によって。
サードパーティCookieは問題視され、ほとんどのブラウザでブロック機能のONがデフォルトになりました。しかし、広告企業はCookieに頼らない追跡方法を編み出したのです。(もちろん、引き続きCookieも使われています)
Cookieとは別に、ブラウザフィンガープリントという手法があります。これは、アクセスしたブラウザの種類、言語、使用している端末、インストールしているプラグインの種類、等々の「どんな環境でアクセスしているか(ブラウザの指紋)」をもとに、ユーザーを特定しようという試みです。一人ひとり微妙に環境が違う点に注目して「こないだ来たのと同じ人だ!」ということをやっているのです。また、Webビーコンと呼ばれる、目視不能な小さな画像をサイトに埋め込むことで、ユーザーを追跡する手法も存在します。ここまでされると、もううんざりです。(ブラウザフィンガープリントについて詳しく知りたければ、WIREDのこちら記事を参照してください。Webビーコンについては、カスペルスキーのこちらの記事が分かりやすいです。)
Webの世界がトラッカーだらけなのは変えられませんが、「ユーザーを追跡しない」というポリシーを掲げている検索サイトが存在します。DackDackGoです。ほとんどのブラウザで既定の検索サイトをDackDackGoに変更することができます。(DackDackGoの第三者による評価が気になる方は、Nord VPNのブログにあるこちらの記事が参考になります)
検索サイトをDackDackGoに変更すること、そして広告ブロッカーを導入すること(これはもう、やっている人が多いと思うので割愛します)、定期的にCookieを削除すること、プライベート/シークレットモードを積極的に使うこと。以上を踏まえていれば、Webブラウザの設定は十分です。併せて、最初にお伝えした、アプリの権限設定を最小限にすることが出来ていれば、個人ができる意思表示、民間防衛としては必要最低限を満たすことができたと思います。
ありがとう、使いません。
・VPNを導入しましょう
ここまでお読みになって、「IPアドレスの話はいつ出るの?」と不思議に思われた方、お待たせしました。この対策はお金がかかるものなので、後回しにしていました。
IPアドレスのトラッキング
IPアドレスとは、インターネット上のデバイスを識別するための数字です。使用しているコンピュータ、スマートフォン、ルーターだけでなく、ウェブサイトやサービスを提供するサーバーにも、IPアドレスが割り当てられています。IPアドレスは、ウェブトラフィックが目的の場所に配信されることを保証するもので、インターネットの構造上、不可欠なものです。
IPアドレスからユーザーの大まかな位置情報がわかるため、ウェブサイト管理者はIPアドレスのトラッキングを利用して、ユーザーがどのエリアでアクセスしているのかを把握することが可能です。また、IPアドレスを利用して、ユーザーの行動パターンを特定したり、同一人物による繰り返しの訪問があるかどうかを判断したりすることもできます。
ここでグローバルIPとプライベートIPが云々…という話に広げてしまうと、本稿の趣旨から大幅に脱線するため「当然、IPアドレスもトラッキングに利用されています!」ということだけをお伝えしておきます。
そして、わたしたちがインターネット上で送受信するデータは、必ずISP(インターネットサービスプロバイダ)を通って行きます。ISPはあなたがどのサイトにアクセスしたのかを知っています。インターネットの仕組み上、必ずそうなります。
しかし、ISP自身がその情報を悪用することは、ありえないと思います。そんなことがあれば大事件になり、廃業の危機です。むしろ、厳密に管理しているはずだと思います。しかし、ユーザーを追跡して情報を集めたいと思えば、それが可能な立場にあります。
ここで思い出していただきたいのは、国家による大量監視のお話です。これは、国家的に行われたプライバシー権の侵害で、米国の名だたる企業が協力しており、日本もまた、その共犯者であるというお話をしました。もし、これに少しでも「NO!」を突きつけたいなら、VPNを導入することです。
先ほど、IPアドレスもトラッキングに利用されていること、またISPはどのサイトを閲覧したかを知ることができる、と書きました。VPNはこの二つの懸念から安心を得るための方策です。
VPNの導入後、ISPからわかることは「あなたがVPNサーバーに接続した」ということだけになります。また、閲覧先のサイトで分かるIPアドレスは、VPN会社のサーバーのIPアドレスであり、あなたのIPアドレスではなくなります。
わたしが契約しているのはNord VPNです。所在地はパナマ共和国で、日本はもちろん、米国の影響も受けずに運営していると思います。Nord VPN自身がユーザーを追跡することもありません。というより、ログを保存していません。(ノーログポリシー)もう使い始めて3年目になりますが、VPNのONとOFFで速度の体感差はほとんどありませんね。速度に関しては、携帯電話会社のパケ詰まりの方が余程影響します。
わたしはVPN機能のみの最も安いプランで2年契約しています。為替や割引施策によって価格が変わってしまうことがあるので、金額を書きにくいです。正確なプランと料金は公式サイトをご覧ください。参考までに、わたし自身が契約を更新した際の、PayPalのスクリーンショットを貼っておきます。
契約も設定も(アプリを入れるだけです)簡単ですが、VPNサービスは他にもありますので、ご自身でお調べになった上で、十分納得してから契約しましょう。検索サイトで「VPN おすすめ」のようなワードで検索すれば、いろいろな方が比較検討に役立つブログを書いています。お金がかかることなので、じっくりと検討しましょう。
そうそう、VPNを選ぶにあたっての注意点があります。無料のVPNを使うのは避けましょう。無料には代償があることを、まだお忘れではないはずです。
・メールやメッセージアプリは、エンドツーエンド暗号化(E2EE)に対応するものを使いましょう
エンドツーエンド暗号化(E2EE)は、すべての人からメッセージを秘匿化するメッセージ機能(メッセージサービスを含む)の一種です。E2EEを使用すると、復号化されたメッセージを見ることができるのは、メッセージを送信した人と受信した人に限定されます。送信者は会話の一方の「end(終端)」で、受信者はもう一方の「end(終端)」であるため、「エンドツーエンド」という名称がつけられています。
メールやメッセージがインターネットを流れていく途中で、誰かが盗んだとしても読めない暗号文であり、かつその暗号は、送信者と受信者にしか解読できない独自の暗号になっており、それはサービス提供者ですら解読できない。だからプライバシーが守られるのだと理解していただければ良いかと思います。
もっとも、ほとんどの場合、送信者と受信者の双方が同じアプリを使う必要があるため、GmailとLINEが支配的な日本の現状では、使いたくともなかなかうまくいかないでしょう。
Gmailの現状を、E2EEメールを提供しているTutaが批判しています。(巨大なライバルであるGmailへの攻撃ですね)
Gmailはかつて、デフォルトでエンドツーエンドの暗号化を行うことを約束しました。しかし、その約束はWorkspaceのキーアカウントにのみ適用されます。個人のGmailユーザーにとっては、エンドツーエンドの暗号化はまだ手の届かないところにある。この真のセキュリティのための新しい取り組みは、将来的にすべてのユーザーが利用できるようになるのでしょうか、それとも「選ばれた少数派」だけが利用できるようになるのでしょうか?
また、LINEは条件付きでE2EEが機能しますが、機能する条件が厳しすぎて、かなり中途半端な仕様になっています。
LINE - テキストメッセージ(一部を除く)、位置情報、1:1音声・ビデオ通話のみがLetter Sealingを用いたE2E暗号化の対象。
画像・動画・添付ファイル・アルバム・イベント・グループ通話・ノート・タイムライン・プロフィール情報などは、E2E暗号化されない。
また、通信相手のうちの一人でもこの機能を無効化している場合は、その通信相手を含むチャット、グループのすべての通信がE2E暗号化の対象外となる[36]。
トーク画面右上のボタンから表示されるメニューの下部に、「このトークルームではLetter Sealingが適応されています。」という文字と南京錠アイコンが表示されていない場合は、そのチャットに参加している誰かが、この機能を無効化しており、結果としてE2E暗号化されていないことを示す。
※読みやすさを考慮し筆者にて改行のみ行った
※対応しているサービスの一覧については、Wikipediaの上記引用部があるページが簡潔かつ分かりやすいです。
わたし自身は、メッセージアプリはAppleの「メッセージ」を使っています。iPhone同士で会話をすると吹き出しの色が青くなりますが、その状態ならE2EEでのやり取りが成立しています。(SMS/MMSではなく、AppleのiMassageを使っている状態)
メールはProton Mailを使っていますが、E2EEで送受信する機会はないですね。ましてや個人メールですから、ほぼ受信専用です。ただそれでも、Protonはメールの内容を覗き見しないことを約束しているということ、オープンソース(ソースコードが公開されているため、NSAが各企業に求めたバックドアを仕込むようなことができない)であることから、信頼して使っています。
Proton is incorporated and headquartered in Switzerland. This means all your data is protected by strict Swiss privacy laws and Swiss neutrality.
(プロトンはスイスに設立され、本社を置いています。これは、すべてのデータが厳格なスイスのプライバシー法とスイスの中立性によって保護されていることを意味します)
※カッコ内の訳文はiOS「翻訳」機能で作成したもの
さて、お伝えしたいことは概ね書ききる事ができました。いろいろとお話しましたが、対策についてはあくまで「わたしの場合」という一例です。大切なのは、ご自身がどのレベルでプライバシーを守る必要があるかを考え、ポリシーを決定することです。
また、インターネットでどこまでプライバシーを隠せるのか、ということに興味を持たれた方には、ケビン・ミトニック氏が書かれたこの本がおすすめです。面白く読み続けることができる文体になっており、難しい知識も必要ありません。
おわりに:インターネットがフェアであること
ここまで読み進めていただき、本当にありがとうございます。おわかりの通り、わたしはネットセキュリティ、ネットプライバシーについては、かなり神経質な対応をしています。しかし一方では、このnoteで自身のプライバシーをつまびらかにお話していたりもします。
矛盾するようではありますが、わたしの中では筋が通っていることです。インターネットは使うが、大量監視のようなアンフェアなことは認めない、ということです。むしろ、インターネットの未来が民主的なものになるように、インターネットを使って発信するべきだと考えているのです。
しかしながら、今後も国家による大量監視は続くどころか、手を変え品を変え、拡大していくことでしょう。なぜならこれは、米国と中国、西側と東側による新冷戦の一部であるためです。諜報合戦、サイバー戦争、そうした言葉が当てはまる事態であるためです。安全保障上、簡単には止められない現実があるということです。
しかし、人々がテック企業による監視を受け入れるかどうかという点については、変えていくことができるかもしれません。無料であることだけを強調して、難しい利用規約に同意させて、その後は好き放題にユーザーを監視する。そしてユーザーを商品にする。そうしたビジネスモデルが崩れる時が、いずれはやってくることでしょう。
以前の記事で「みんなの銀行」を紹介しました。すっかり気に入り、その後も使っているのですが、この銀行には面白い特徴があります。サブスクリプションのプレミアムサービスがあるのです。
月額600円(本稿執筆時点では、6か月の無料期間あり)のサブスクに加入すると、金利の優遇や振込・ATM出金手数料の無料回数が増えたりします。他の銀行なら、預金残高やローンの利用など、取引内容に応じて銀行側の基準で勝手に決まることが多い中、みんなの銀行では、あくまでユーザーが選択するのです。
わたしはこれを、フェアだと感じました。こうした小さな変化がいろいろなところで起こって、インターネットがより公正になることを望んでいるのです。
そうそう、noteもです。他とはちょっと違うな、と思える居心地の良さは、サービスの設計がフェアだからだと思います。無料プランと有料プランの機能差は妥当ですし、Xのように有料ユーザーを過度に優遇することもありません。
サイト内で有料記事やマガジンを販売させて、そこから手数料をとる。法人アカウント(note pro)を呼び込み、会費を得る。そのような商売なので、きっと今後は支払い方法が多様化(アプリ内で決済できないかなぁ…)して、有料記事の売買が活発化したり、広告会社に頼るのではなく、法人アカウントが自らの手で発信したり、そうしたことでこのSNSが続けていけるなら、是非とも応援したいなと思います。
「無料」も「ポイント(ポイ活)」も、ほとんどの場合は、代償として情報を差し出す行為です。そして、ネット広告には誰もがうんざりしています。これからは「フェアであること」の価値が高まって行くのではないでしょうか。わたしは、そうした未来を望んでいます。
この記事が気に入ったらサポートをしてみませんか?