アンドレスは天気のことだけを尋ねる
アンドレスはベネズエラ人です。彼は近所の果物屋で何年も働いています。ある日、私は彼に、現政権下の最も過酷な時期にいた家族の様子を尋ねました。
「私の国はいつも良い天気ですよ」と彼は言いました。
私は理解できず、聞き返しました。すると、彼は説明してくれました。「家族とはWhatsAppでしか話せません。電話はうまくつながらないからです。でも、書く内容には細心の注意を払わなければなりません。誰かが会話を読んでいるかもしれないからです。私たちが知っているのは、いつ誰が逮捕されてもおかしくないということで、逮捕されたらまず電話を調べられます。PINコードを教えなければ、教えるまで殴られ、独房に入れられます。そして、WhatsAppで気に入らない内容が見つかれば、運が良ければ殴打と数日間の拘留で済みますが、運が悪ければ、その人は行方不明になります」
「だから、彼らと話すときは、基本的に天気がどうかだけを聞きます。返事があれば、少なくとも生きていることはわかるからです」
アンドレスは犯罪者ではありません。隠すことも何もありません。しかし、彼は、チャットに書かれた一言が愛する人の人生を破壊しかねない世界に生きているのです。
プライバシーが必要なのは犯罪者だけではない
弁護人の戦略について依頼人と話す弁護士を想像してみてください。その会話は正当で合法的ですが、文脈を無視して切り取られれば壊滅的な打撃を与えかねない情報が含まれています。その弁護士には、その会話の秘密を保持する専門的かつ法的な義務があります。
若いカップルを想像してみてください。彼女は両親と暮らしています。彼らは親密な会話を交わしますが、それは完全に正当でありながら、彼らの最もプライベートな領域に属するものです。彼らには、それらの言葉がハッキングされたり、売却されたり、裁判所に要求されたりする可能性のあるサーバー上に存在しないようにする権利があります。
節税対策について税理士と話す個人事業主を想像してみてください。彼が法の境界線のどちら側にいようと、それは彼の問題です。もし彼らが事務所に座って話していれば、誰もその会話を聞くことはできません。遠隔で話しているからといって、なぜ状況が異なるべきなのでしょうか?
あるいは、ミサイルが降り注ぐ中、パリの編集部と連絡を取ろうとしているイランのジャーナリストを想像してください。あるいは、故郷に残った両親と話すマドリードの移民を。
これらすべての人々にプライバシーが必要です。彼らの誰も犯罪者ではありません。
「完璧な暗号化」という罠
2018年、FBIは暗号化された携帯電話を販売する会社を設立しました。ブランド名は「Anom」でした。市場で最も安全な選択肢として販売されました。3年間で、100カ国以上に12,000台以上のデバイスが配布されました。ユーザーは全幅の信頼を寄せて会話していました。
彼らが知らなかったのは、すべてのメッセージがFBIのサーバーにも届いていたということです。すべての言葉、すべての写真、すべての計画が。
2021年6月、「トロイの盾作戦(Operation Trojan Shield)」が公開されました。16カ国で800人以上が逮捕されました。史上最大の組織的な警察活動でした。
それは技術的な欠陥ではありませんでした。暗号化は本物でした。テクノロジーは機能していました。問題は、誰がその背後にいて、何を得ようとしていたかでした。
これは孤立したケースではありません。50年以上にわたり、スイスのCrypto AG社は120以上の政府に暗号機を販売してきました。2020年まで誰も知らなかったのは、Crypto AGがCIAとドイツの諜報機関の秘密の所有物であったということです。機械は機能していましたが、真の所有者がすべてを読み取れるように、意図的に脆弱性が組み込まれていました。
イラン、インド、パキスタン、バチカン、中南米の軍事政権。彼らは皆、信頼していました。なぜ誰かがこれほど安価に暗号化技術を販売することに固執したのか、誰も疑問に思いませんでした。
常に自問すべき問い
もし誰かが何かをオファーしてきて、その見返りに何を得ているのか理解できなければ、疑ってください。誰もが悪意を持っているからではなく、ビジネスモデルを理解することが、そのサービスを信頼できるかどうかを判断する最も基本的な方法だからです。
WhatsAppを使うとき、Metaが何を得ているかはわかります。広告を売るためのあなたのデータ、習慣、注目です。それに賛成するかどうかは別として、少なくとも交換条件は理解できます。
しかし、誰かが完全に無料、広告なし、購読料なし、そして目に見えるビジネスモデルなしで暗号化通信サービスを提供している場合、問うべきは暗号化が優れているかどうかではありません。問いはこうです。「誰がこれを資金援助しており、それはなぜか?」
本当に重要なこと
プライバシー・ツールを評価するのに役立つ兆候があります。オープンソース、セキュリティ監査、欧州の管轄権。これらはすべてプラスです。しかし、どれも絶対的な保証ではありません。
オープンソースとは、アプリケーションが何をしているかを誰かがレビューできることを意味します。しかし、正直に言いましょう。ユーザーの99.9%は、コードの一行さえ読みません。そして歴史は、何千人もの人々によってレビューされたオープンソースプロジェクトに、誰にも発見されずに何年も存在し続けた極めて深刻な脆弱性で溢れています。
セキュリティ監査は価値があります。しかし、監査は金で支払われ、金は意志を買うための最も単純な手段です。監査は、レビューされた当日にコードがクリーンであったことを示します。その後に何が変更されたかについては何も語りません。
世界最高のコードを持ち、監査を受け、オープンソースであったとしても、データがサーバーを通過すれば、それが一瞬であっても、暗号化されていても、誰かがそのサーバーに物理的にアクセスできます。そしてその誰かは、裁判官や政府、あるいは多額の現金がどんな扉も開けてしまうような国にいるかもしれないのです。
あなたを本当に守るのは、「データを読みません」という約束ではありません。あなたを守るのは、データがあなたの手から決して離れないアーキテクチャです。侵害されるサーバーがなく、流出するバックアップがなく、開けられるバックドアがない場所です。
信頼はタダではない
Anomのユーザーは、製品が機能したから信頼しました。Crypto AGの顧客は、ブランドが立派だったから信頼しました。アンドレスはWhatsAppを信頼していませんが、他に選択肢がありません。
プライバシー・ツールへの信頼は、「うまく機能している」ことに基づくべきではありません。背後に誰がいるのか、何を得ているのか、そしてもし明日その会社が閉鎖されたり、所有者が変わったり、自国ではない国から裁判所の命令を受けたりした場合に、あなたのデータがどうなるのかを理解していることに基づくべきです。
次に誰かが安全なメッセージングアプリを勧めてきたら、まず機能やデザインを見ないでください。誰が金を払っているかを見てください。もし答えに納得がいかなければ、別のものを探してください。