プライバシー劇場: ソーシャルネットワークがユーザを保護している“ふり”しかできないのはなぜか

次の記事

マイクロソフトもURL短縮競争に参戦:でも短縮用URLのbinged.itはbing.comより長いですから~!

編集者注記: このゲスト記事(TechCrunch掲載2009年12月27日)を書いたRohit Khareは、Angstroの協同ファウンダだ。彼は自分の最新プロジェクトソーシャルアドレス帳Knx.toの構築経験から、今の主なソーシャルネットワークのプライバシーの扱い方を、とても細かく知ることになった。

みなさまに新年おめでとうを申し上げたいが、でもFacebookのフレンドやLinkedInの仲間たちにメールで賀状を送るのは、それほど簡単じゃない。うちのknx.toのリアルタイムソーシャルアドレス帳(無料)も使いたいが、ソーシャルサイトの‘プライバシー’方針のため、自分のフレンドのものですら、コンタクト情報(メアドなど連絡先情報)をダウンロードできない。

彼らの今のサービス規約(Terms of Service, ToS)の下では、アドレスや電話番号などを一つ々々コピーするしかないが、そのために多量のアイデンティティ情報がごっそり盗まれることは防がれている。だからたとえば、名簿業者が簡単にぼろ儲けすることも、不可能なわけだ。でも、ほんとにそうかな?

違うね。RockYouが3200万ものパスワードを暗号化せずにそのまま保存したり、RapLeafが6億のメールアカウントをインデクシングしたり、Intelius が1億ものプロフィールページを買って株を公開する、なんて事件が起きることからも分かるように、ソーシャルネットワークはわれわれのプライバシーを“プライバシー劇場”(privacy theater)に売り飛ばしているだけなんだ。〔訳注: privacy theaterとは、見せかけだけで…往々にしてシステムの名前ももっともらしくて…実効のないプライバシーの仕組みや施策のこと。〕

Bruce Schneierのあのすばらしい造語“セキュリティ劇場”(security theater)(国際線のフライトで最後の1時間に乗客をおとなしく座らせて黙らせておくためのおまじない)を勝手に流用させていただいたけど、ソーシャルネットワークが2009年にからへと災難につきまとわれた理由は、彼らがユーザに与えるものが“プライバシーが改善されたというフィーリングのみで、実際には何も改善されていない”からだ。

ソーシャルネットワークが顧客にもっともらしいことを言って使用を禁じている情報を、大手のマーケティング企業が公開市場で売買している。そんな事態が続くかぎり、ソーシャルネットワークはユーザのプライバシーを保護しているふりをしているだけなのだ。

業界全域にはびこるアイデンティティ窃盗

先々週(米国時間2009年12月第3週)の本誌記事が紹介した報道によると、RockYouは過去数年間で32,603,388のアイデンティティを集め、そしてうかつにもそれらを正しく保護されていないデータベースにプレーンテキストで保存した。

RockYouの仰々しい公式声明は、“不法侵入”という言葉を使って、同社のセキュリティの欠陥を公表したImpervaや、アイデンティティを盗んだハッカーを責めているが、それはすべてお門違いだ。大量の認証情報を盗んだのは実はRockYouであり、同社に責任がある。

たしかに私はわざと、“アイデンティティ窃盗”とか“盗んだ”などの過激な言葉を使っているし、また、ユーザが自分の意思でRockYouのフォームに自分のパスワードをタイプしたことも事実だ。ユーザもRockYouのデベロッパも、コンタクトリストとか、ユーザの写真、友だちの性別など、ささやかな情報を共有しようとしただけで、悪気は何もなかったはずだ。しかし実際にRockYouがやったのは、そういう特定のデータの共有ではなく、悪い人がユーザになりすますために十分使える情報を蓄えたことだ。

  • 被害者を責めてはいけない。ユーザが自分のデータを共有するためのオープンなスタンダードがないことを嘆いたり、ユーザが選んだパスワードが弱いと非難したりするのは、主題のすり替えにすぎない。
  • “セキュリティ”の技術を責めてはいけない。暗号化の徹底やファイアウォールの強化は助けにならない。RockYouのデフォルトのユーザ名は、ユーザがいちばんよく使うメールアドレスだったのだから。有名なWebメールサービスや、そのほかのよく使われるオンラインサービスも、あの必ずある“パスワードをお忘れですか?”に対して新しいパスワードをユーザにメールで送らなければならない(それがどんなに楽しい仕事か、Twitterに聞いてみよう)。
  • RockYouのウィジェットをホスティングしていたパートナーを責めてはいけない。彼らはユーザのページの上に、スライドショウやスコアボードなどの機能を提供していただけだ。ユーザのログインを要求し、ユーザのフレンドにウィジェットの広告を送りつけて、口コミ的な宣伝を広めようとしていたのは、彼らではなくてRockYouだ。

しかしそれは、われわれの星回りのせいではない。ユーザに、パスワードを誰にも知られないようにせよとと忠告するだけで、ほかのことは何もせずに済ませているサイトの、自己満足が問題の原因だ。

ToSの合意事項には強制力がないから、たとえばMySpaceのパスワードをフィッシングする機会を逃したRockYouのデベロッパは、同じことをやろうとするスタートアップたちに対し、会社を競争上不利にしてしまうことになる。

APIはプライバシー侵害を自動化するだけか?

RockYouは、被害の範囲が同社のウィジェットの“レガシープラットホーム”だけであり、規模の大きな“パートナーのアプリケーションプラットホーム”は“業界標準のセキュリティプロトコル”を使っているので無傷だ、と主張している。つまり、ソーシャルネットワークのパートナーのAPIが使われるようになってから、なりすましやアイデンティティのひったくり行為は過去のものになったというのだ。

そういうAPIには独自のToSがあって、内容はサイトのToSと重複していたり、ときには矛盾する制限があったりする。サードパーティ〔というか筆者自身のこと?〕は、そんな箇所を見つけて楽しむ。ACLUが作ったおもしろいクイズは、ユーザの故郷から友人の性的趣味にいたるまで、いろんな情報が危機にさらされていることを、はっきりと示している。

たとえば、誰かが私の、人に見せたくない写真をアップロードしたら、私の名前をタグに含めるなとは言えるが、写真をオンラインに載せることを禁ずることはできない(非公開にすることもできない…バグでなくても)。しかも、ほかの人がその写真のページをブラウザにキャッシングすることすら、禁ずることはできない。

それでも、FacebookのAPIのToSは、サードパーティのアプリケーションは写真のリンクを1日以上キャッシュしてはいけないと言っている(Orkutでは1週間)。しかし写真を直接指すリンクをサーブするサーバは、プライバシーに関するチェックをしないから、サードパーティのアプリケーションはユーザが非公開だと思っている画像をリークする危険性を抱え込む。個々のAPI呼び出しが毎回、ページ上の写真を確認する、という厳しいコードをデベロッパが書いていないかぎり、そういうことになる。
.

ユーザを本名で呼んではいけない

理想としては、サードパーティのデベロッパは、個人が誰か分かる情報(personally-identifiable information, PII)を保存すべきでない。面倒な規制が多く、その取得と廃棄には一般市民の責任が問われる(犯罪の構成要因になることもある)から、PIIはまるで有毒ごみのような厄介ものだ。

ここでもやはり、基準点はFacebookだ: “彼女はSmith氏が2週間前にアップロードした写真が好きだった”のように、数字のIDに毛の生えた程度のもの(Smith)なら、表示してよい。デベロッパはFacebook Markup Language(FBML)を使ってセンテンスを書き、Facebookのサーバは実際にそれをサーブする時点で名前、性、アイテムカウントなどを置換し、代名詞、単数/複数、時間間隔などの文法的なチェックもする。

OpenSocialのガジェットはPIIをブラウザ中へコピーして、このようなセンテンスを書式化する。LinkedInのパートナーはなんと、PIIを自分のサーバにコピーする。同社の公開APIが今はAJAXによる認証と非互換だからだ。

PIIをコピーすることは、プライバシーをめぐる諸悪の根源だが、必要な理由が3つある: ネットワーキングの遅延(latency)…コピーを持ってればそれがない、ヒストリ(が必要なアプリ)、そしてアジリティ(処理の速さ)だ。キャッシュがないと、API呼び出しが遅くてアプリケーションのパフォーマンスを害することがある。記録を残しておかないと、ごく最近のイベントの分析も間違ってしまい、トレンドの発見や推薦サービスは正しい情報を提供できなくなる。また、“オフラインの”アクセスがないと、ユーザのログインをいちいち待たなければならないから、イベントへのリアルタイムの応答が遅れる。

データがいったんコピーされてしまったら、技術的な対抗手段はもうあまりない。LinkedInは同社のAPIを1年あまり検討した結果、メンバーIDをデベロッパとアプリケーションのアイデンティティで暗号化することによって、事故が起きたときにトレースできるようにする、という方策を編み出した…“事故を防ぐ方策”ではない。LinkedInは業界のパイオニアとして偉いと思うが、でもSEOに依存しすぎているから、今でも数字の公開IDをプロフィールページのURLに入れたりしている。

PIIをエクスポートするとき、法的効果のある文字列の添付を義務づけることは、われわれが今望みうる最良の方法だ。AmazonのToSは、提携業者の表示物に対して、正確な今現在の価格の表示を義務づけているが、Twitter は最近やっと、削除されたトゥウィートを検索することには問題があると気づいたものの、同社のAPIを使うパートナーたちに対し、トゥウィートが削除または保護されている場合の対応をコードに盛り込むことを、まだ義務づけてはいない。

盗まれたデータを取り戻せるか? 何億ドル積んでも無理

PIIの保護がそんなに難しいのなら、ソーシャルネットワークがユーザのプライバシーを守る唯一の方法はパートナーにコンタクト情報へのアクセスを禁じることしかない。クリスマスカードを送るためのメールリストをユーザ本人がエクスポートできなくても…まるでゴキブリホイホイに入ったデータだ…、大手のマーケティング企業は大手をふってプライバシー情報を売り買いできるのだから。

Rapleafへ行けば今すぐにでも、いろいろなメールアドレスリストの性別、収入、住所などの特性別構成のデータを買うことができる。短いリストでも、それはデータの集まりから個人情報へのなめらかな滑り台だ。あるいは、Inteliusのいろんな隠れ蓑やアフィリエイトからPIIを堂々と買うこともできる(TRUSTe-certified!)。あるいはデスクの引き出しに転がっている迷子の名刺と引き換えに、Jigsawで必要な情報を手に入れることもできる。こういう業者はすべて、ソーシャルネットワークから刈り取ったPIIが商材だ。

どうやって、それができるのか? 自分のプロジェクトにソーシャルネットワークを組み入れても、メールアドレスを読むAPIはないが、しかしどれにも“お友だちを招待しましょう!”がある。つまり多くのソーシャルネットワークは、自分の口コミ的な成長のために“お友だちを招待しましょう!”と言ったとたんに、ほかのソーシャルネットワークのパスワードを偽善者のようにフィッシングしてしまうのだ。

パスワードを偽善的にフィッシングして友だちのメールアドレスをかすめ取るだけでなく、もっと分かりにくい欠陥は、ソーシャルネットワークは会員のデータベースを検索してお友だち候補のアドレスのリストを嬉々として共有することだ。Rapleafはそうやってメールリストを手に入れ、その全部が会員のフレンドだと偽り、やがてメールからソーシャルネットワークのプロフィールが分かる“逆電話帳”を蓄積していくのだ。

あるいは、単純に彼らのWebサイトをクロールするだけでもよい。ソーシャルネットワークのトラフィックは検索エンジンに依存しているから、そのほとんどに、各メンバの周知のURLや名前の名簿を載せた公開ページがあり、それをクローラがインデクシングする。”人物検索“のスタートアップに投資するミニ投資ブームがあったのは、そういうことがあちこちで行われていた証拠だが、でも彼らは自分がかき集めたアーカイブをあんまりよろしくないマーケターたちに売ったのだ。

ところで、公開されているWebページをインデクシングするだけなら悪事ではないが、オンラインのアイデンティティとサードパーティの広告用クッキーを、本物のクレジット記録や政府の記録、そのほかのデータベースと結びつける試みは、犯罪の可能性もある。そういう情報をすべて足し合わせても、Smith氏の匿名性が強化されるわけではない。Jeff Jonasは、データとデータをセマンティックに結びつけるだけで劇的に不確実性が崩壊することを証明して一(ひと)財産稼いだ。Spockの1億件のプロフィールに、Inteliusのそのほかの200億のデータポイントを組み合わせるとか、Winkの2億件のプロフィールとReunion MyLifeの3400万の会員情報と7億の記録をつきあわせる、などなどいろんな可能性がある。

ところで、データは一体誰のものか?

哲学の質問かもしれないが、私が知っている私の友だちの情報に対し、私はどんな権利を持っているのか? 会ったばかりの人から名刺をもらったら、たぶん私はそれを良心がとがめずにJigsawに売ることはできないだろう(彼らは、“そんなことはないよ”と1800万回言うだろうが)。でもそれが会社の同僚の名刺なら、見込み客探しや、雑誌の見本誌提供のための“お友だちをご紹介ください”に平気で使ってしまうだろう。それは、プライバシー侵害にあたるだろうか、それともスパムか?

ソーシャルネットワークは、この問題に関して、ユーザには何も決めさせなかった。方針の適用も恣意的なので、小さなスタートアップはそれを禁じられ、大企業のパートナーは見て見ぬ振りをしてもらえた。Power.comは法廷で終わり、そして法廷から放り出された。Plaxoは金を出す顧客がFacebookのメールアドレスをOCRしたり、LinkedInと同期化するのを助けられなくて苦労した。同社はLinkedInの厳格なToSについていろいろ言っているが、彼らに金を払う顧客すらそれを求めていたし、Comcastは彼らのAPIの登録ユーザにはならなかった。ユーザがLinkedInの自分のアドレス帳を手作業でダウンロードしても、そこには人びとの公開プロフィールページへのリンクはないのだ。

無能を許容してはいけない

ソーシャルネットワークがプライバシー劇場〔==見せかけだけのプライバシー保護〕をやっていると主張するのは、本物のプライバシー保護を提供しつつ、大量のPIIを処理している企業がWeb上にあまりに多いからだ。“悪い人たち”がWebメールサービスのケツを追って、パスワードをフィッシングしたりコンタクト情報を刈り入れたりしてない、とあなたはお思いか? eコマースのサイトが製品情報やリビューをアフィリエイトの軍団と共有するとき、あなたの購買履歴をリークしてないだろうか? RockYouがあなたのメールアドレスでなくオンラインバンキング(銀行利用)のユーザ名をあなたに尋ねたとして、どれだけ長くサイトを維持できるだろうか?

ソーシャルネットワークのサイトは(まだ)、インターネットの上でPIIを扱うにあたって、ほかの企業のような高度で先を見越した監視と強制力を示していない。ユーザはMySpaceでワームを見るし、Facebookウィルスに出会うが、Hotmailでは出会わない。Hotmailはクロスサイトスクリプティングの攻撃に対し防御しているからだ。ユーザはSlideにやってきたマルウェアを見つけるが、Wikipediaでは見つけない。Wikipediaはコンテンツをしつこくフィルタリングしているからだ。Twitterの上ではDDoS攻撃DNS攻撃にやられるが、Amazonは無事だ。Amazonは攻撃にリアルタイムで対応できるからだ(ほとんどの場合に)。にせのPayPalロゴとにせのFacebookページでは、素早く停止命令が来るのはどっちかな?

いくつかの個人的な会話から、最近のHadoopの急激な普及が、意外にも問題の一部ではないかという気がしてきた。前日のログファイルを分析して、性悪なクローラの動きパターンや、パートナーのアプリケーションからのアクティビティの怪しいバーストを見つけようとするのは、タイミング的に遅すぎて有効な対応はできない。ソーシャルネットワークは、ページをロードする時間にこだわるところが多いようだ(とくにあの偉大なFriendsterのメルトダウン以降)。でも大企業のITやネットワーキング、それにそのほかの優れたWebアーキテクトたちが経験しているトランザクション用のデータベースなどでは、ロード時間をとくに重視することはない。それにソーシャルネットワークの世界には、オンラインの金融機関のセキュリティを担当している人たちのような、専門家同士の協調と協力のためのネットワークがないのが怖い。つまり、複数のソーシャルネットワークにまたがってアイデンティティを関連づけしようとするようなプライバシーの脅威に対して、共同して立ち向かうことがまったくできないのではないか。

私の体験から言うと、ソーシャルネットワークのプライバシーポリシーに準拠したアプリケーションを世に出すのは時間とお金が相当にかかる。でも相手がプライバシー劇場でさえなければ、その投資も無駄ではないかもしれない。しかしどうしてもグレシャムの法則に支配されてしまい、いいやつはワルイやつ(スパム的アプリ、詐欺的アプリ、卑劣なアプリ、もっともらしいアプリ)に駆逐されてしまうのだ。

プライバシー劇場: まだまだその上演は続く…

もちろん、私は自分がいいやつだと思いたい。プライバシーの保護はユーザ(一般市民!)がその価値を認めるから、競争上も有利だと信じたい。しかしRockYouの言語道断のドジを見るまでは、それがおめでたい思いこみであることを自覚しなかった。

私が言いたいのは、大手ソーシャルネットワークのToSの強制をめぐるなさけない現状は、プライバシーが改善されたというフィーリングを与えるだけで、実際には何も改善されていないということだ。このことを、プライバシー劇場と呼ぶのだ。

しかしそれを、セキュリティ劇場の横に並べるのは釣り合わない。TSAは空港で子どもまで調べるが、でも少なくとも彼らのセキュリティ劇場は、合衆国の航空輸送システムに壊滅的なセキュリティの欠陥は(これまでは)なかったという事実を覆い隠してはいない。一方、大手ソーシャルネットワークのプライバシー劇場は、今実際に各所で行われている大規模なアイデンティティ窃盗やPIIの誤用から、われわれの目をそらさせている。

業界が政府の規制に先がけて自主規制を期待するのなら、こうしてほしい: RockYouのアプリケーションの使用を全パートナーに対して直ちに禁ずること。すべてのアプリケーションを公開監査にかけること。監査はLinkedInのToSの監査条項に準ずるものとし、結果を白日の下に公開すること。

厳しすぎるだろうか? でも、市場はもっと素早く厳しいだろう。細かいことにうるさい規制担当者が、手続きの適法性がどうの、有罪立証までは無罪だからあーだこーだと古くさいことを言ってる間に、市場の裁定が下る。APIに関する合意は、欲深な企業間の私的な取り決めにすぎないだと? エコシステムの全体が事実を知るためにはSequoia、Partech、DCM、Softbank、そしてRockYouの投資幹事会社全社の、投資対象アプリケーションを監査すべきなのだ。

それは、Marissa MayerがLeWebでのMike Arringtonのインタビューで言ったような、在宅勤務の詐欺アーチストをやっつけるための訴訟のようなものにはならないだろう。また、ユーザの金を盗んだわけではなく尊厳を盗んだだけだから、Scamville 2.0にもならない。最近のFacebookの集団訴訟の示談では、なんだかよく分からないプライバシー基金にわずか$9M(900万ドル)が積まれただけだから、マスコミが騒ぐ法廷闘争にもならない。FacebookのChief Privacy Officer(プライバシー担当最高役員)が州の検事総長に立候補しているぐらいだから、新聞の一面を飾る政治的事件にもならない。プライバシー劇場を排除するのはとても簡単だから、Googleの”don’t be evil”(悪を為すなかれ)のような深いテーマにもならない。ただ単純に、ToSを完全に強制実施し、他社のToSに従うだけだ。あるいは非現実的な期待をすべて捨てて、ユーザに自分のデータを取り戻させること!

(写真クレジット: Flickr/FaceMePLS).

[原文へ]
[米TechCrunch最新記事サムネイル集]

(翻訳:iwatani(a.k.a. hiwa))