意見簡単な質問1。あなたはGoogleを信頼していますか?オープンウェブ運動(MOW)は信頼していません。MOWは、Chromeの近々導入されるIP保護機能をめぐって、Googleを英国の競争・市場庁(Big C)に訴えています。
Google、ChromeのIPアドレスクローキング問題で英国監視機関に召喚される
続きを読む
質問2。あなたはヨーロッパ諸国の政府を信頼していますか?電子フロンティア財団(EFF)と数百人の専門家は、EU規則の改正案「eIDAS」の一部が、国家認定の証明書をブラウザによるセキュリティ対策の対象外とすることを指摘し、信頼していないと述べています。
過去2週間の出来事を順に見ていきましょう。GoogleのIP保護は基本的に匿名化プロキシで、ChromeがユーザーのIPアドレスをサードパーティの匿名化ツールに渡すことを意味します。これによりランダムなIPアドレスが割り当てられますが、そのIPアドレスは頻繁に変更されるため、複数のサイト間でユーザーを特定することはできません。MOWによると、これはGoogleだけがトラッキングを行えるため、他のアドテク企業(MOWは彼らの代弁者です)にとって不公平であり、好ましくないとのこと。また、詐欺行為を助長する可能性もあります。そして、そうそう、誰か子供たちのことを考えてくれないでしょうか?
eIDAS規制は信頼に関するものです。HTTPSなどのプロトコルのセキュリティを管理するデジタル証明書は、信頼チェーンの一部である証明機関(CA)によって発行されます。有効な証明書を持つサイトは、その証明書が示す通りのサイトです。CAが侵害されたり悪意を持ったりした場合、そのCAは信頼チェーンから削除され、ブラウザは不正な証明書を持つサイトから提供された鍵を使用しなくなります。
eIDASは、政府認定の認証局(CA)が発行する証明書については、この安全機能を無効化することを望んでいます。たとえ証明書が偽サイトを誤って特定したとしても、ユーザーにはそれが見分けがつきません。これにより、政府、政府認定の組織、あるいは特定の信頼チェーンに不正に関与する者が、Webトラフィックを密かに大規模に監視・復号する偽サイトを作成できるようになります。これはエンドツーエンド暗号化の新たな利点であり、犯罪やテロリズムとの闘い、虐待の防止、そしてもちろん、子供たちのことを考えてという理由と同じです。
これら二つの話には共通点があります。どちらもセキュリティの名の下にインターネットの基本機能に変更を加えることを提案しています。そして、どちらも本来の目的とは正反対のことをするとして反対されています。どちらを信じるべきでしょうか?そして、どちらを支持するか、それとも非難するか、どのように判断すべきでしょうか?
一つの方法は、戦闘員に目を向けることです。Googleは多くの点で全く信用できません。データ不正使用で長年発覚しています。国民国家は至る所にありますが、規制と法の支配に強いコミットメントを持つ国家でさえ、データ奪取のためにはあらゆる手段を講じます。政府機関は、たとえ善良な機関であっても、国家安全保障を盾に日常的に違法行為を行っており、人間の営みと同様に無能と腐敗に陥りやすいのです。MOWはダークホースです。かつては「Marketers for an Open Web」を名乗り、Googleのアンチトラッキングに反対するロビー活動を行ってきた経歴があります。不透明なロビー団体を信頼する際に当てはまると思うルールを適用してください。EFFは完全にオープンな団体であり、インターネット上でユーザーの自由を侵害しようとする有害な試みを特定し、警告してきた長年の実績があります。繰り返しますが、信頼は自分に合ったものを適用してください。
- 照明を点灯し続ける技術の紹介
- YouTubeは収益よりもプライバシーを重視している
- インテルのPCチップ船は沈没寸前、Arm-adaの出現で沈没寸前
- Windows 11: ダイヤルした番号は切断されました
しかし、特に公に表明された信頼は、それ自体では重大な決断を下すためのフィルターとしては不十分です。偶然の経験、社会的なグループ、そして給料の出所によって左右される可能性があります。より深い分析が必要です。
プライバシーは、良いものも悪いものもすべて保護します。技術的な詳細は関係ありません。権威主義体制は、自らのプライバシーは完全に確保する一方で、国民のプライバシーは要求しません。一方、自由民主主義体制は、個人のプライバシーを定義し、国家によるものも含め、侵害から保護します。例外として、捜索令状、盗聴、ISPログの開示などがありますが、それは司法による長年にわたる監視システムの範囲内です。ITにおけるあらゆるプライバシー要素は、プレイヤー間の力関係を変化させ、いずれは飢えたセイウチが牡蠣を襲うように、あらゆる要素が攻撃を受けると予想できます。
こうした攻撃は、4 つの要素に照らして検証できます。つまり、攻撃によってどれほど大きな変化が生じるか、誰が被害を受け、誰が利益を得るか、攻撃が失敗する可能性はどれほどか、そして攻撃が失敗した場合の結果は何か、ということです。
IP保護について考えると、それがもたらす変化の大きさだけが唯一の要因です。IPを匿名化する方法は既に数多く存在し、Googleは、基本的なアーキテクチャのせいで他社が追跡できない場所を追跡できるようになる可能性を強く否定しています。これはトラッキングCookieに悪影響を与え、ユーザーのプライバシーを向上させます。これ自体に特有の、明らかな有害な障害モードはありません。
eIDAS規則は、ブラウザメーカーが防御することが違法となる中間者攻撃技術の使用を義務付けるという、大きな変化をもたらします。この規則は、ウェブの基盤となるセキュリティを、経験の浅いユーザーにとって独特な方法で脆弱にする一方で、幅広い主体にあらゆる種類のデータを復号するツールを与えることになります。この規則は、国家が運営する秘密のセキュリティシステムと同様に、無能、事故、あるいは悪意によって機能不全に陥る可能性が高く、その影響は5億人のEU市民だけでなく、EUベースのサービスを利用するすべての人々に及ぶ可能性があります。もちろん、傍受技術を回避できるほどの才覚を持つ犯罪者は別ですが。
ITの特殊性は、かつて国家が容認したプライバシー侵害とは違い、すべての人に一斉に適用できることです。ある物事がもたらす害が大きければ大きいほど、規制も厳しくなるというのが法の基本原則であり、eIDAS提案を検討する際には、まずどのような監督と保護が適切であるかを問わざるを得ません。知的財産保護はどうでしょうか?そうではありません。
これはすべて、ごく基本的なリスク評価の原則を提案するものであり、SpaceXのスターシップで発生したコンクリート竜巻を除けば、ロケット科学とは全く言えない。これは規制当局や立法者にとって、あるいはそうあるべき、まさに命取りである。しかし、特に後者に関しては、最も危険な提案にはこの原則が全く欠けており、これは偶然ではないだろうし、常にそうであるはずもない。おそらく私たちは、誰を信頼すべきかではなく、誰が私たちを信頼していないのか、そしてなぜそうなのかを問うべきなのだろう。®
