セキュアメッセージングアプリには自己破壊ボタンを!

次の記事

アップル製品の将来を占う新しいアプリ開発環境「SwiftUI」

暗号化通信アプリの存在感が高まることで、多くのコミュニティがより安全で強力なものになる。しかし、物理的なデバイスの差し押さえや政府による強制の可能性も高まっている。このことこそ、そうしたアプリのすべてが、自分と相手を守るために自己破壊モードを備えているべき理由だ。

SignalやWhatsApp(オプションをオンにしていた場合)のようなアプリが提供する、エンドツーエンドの暗号化は、政府やその他の悪意ある第三者から、通信中にメッセージが読み取られることを防止するのに役立つ。しかし、ほとんどすべてのサイバーセキュリティの問題と同様に、デバイスまたはユーザー、あるいはその両方への物理的なアクセスは、状況を大きく変えてしまう。

例えば、自分の電話のロックを解除して、自分のフォロワーやその他のメッセージデータを警察に開示しなければならなかったこの香港市民のケースを取り上げてみよう。例えば、ある人物が禁止命令に反してだれかを密かにサイバーストーキングしているかどうかを知るために、裁判所の命令でそうした開示を行わせることはあるだろう。だが政治的反対派を一網打尽にするために行うことはまったく別の話だ。

この抗議者はTelegramの中でフォロワー数の多いチャンネルを運営していた。それは抗議活動を組織するためのSlackの部屋、あるいはFacebookのグループ、あるいはその他のものと同じくらい簡単に運営することができるものだ。だがもしそのコンテンツや連絡先が警察に開示されるような事があったとしたら、抑圧的な政府機関からの脅威に晒されているグループにとっては、災難以外の何物でもないだろう。

自分が警察に話す内容を、正確に選ぶことができるべきであるように、自分の電話が警察に話すべき内容もまた、正確に選べるようになっているべきだ。セキュアメッセージングアプリはこの機能の先駆けとなるべきなのだ。

すでにいくつかの専用の「パニックボタン」タイプのアプリが存在しており、またApple(アップル)は思慮深く「緊急モード」(電源ボタンを素早く5回押すと緊急モードに移行する)を開発し、生体認証ではロックが解除されないようにした上で、一定時間内にアンロックされないと内容が消えてしまうようにした。これは、携帯電話を盗もうとする「Apple pickers」に対抗したり、国境や警察で顔認証で電話のロックを解除されて、所有権を明かすことになりたくない場合などに有効だ。

【関連記事】
iPhoneやiPadを安全に使用するための5つの設定

これらは便利だし、もっともっと似たようなものが必要だ。しかしセキュアメッセージングアプリは特別な存在だ。それは一体何をすべきだろうか?

時間があってインターネットアクセスも行えるという余裕のあるシナリオは、実のところあまり重要なものではない。この場合自分のアカウントとデータは自由意志でいつでも削除することができる。なんとかしなければならないのは、プレッシャーの下で自分のアカウントを削除することだ。

次に考えられるシナリオは、おそらくアカウントを削除するかさもなくば保護するまでに、数秒もしくはせいぜい1分程しかないという場合だ。Signalはこうした状況への対応に優れている。削除オプションはオプション画面の正面中央にあり、何の入力を行う必要もない。WhatsAppとTelegramでは電話番号を入力する必要があるが、これは理想的なやりかたではない。正しく入力できなければデータが残ったままになってしまう。

左のSignalはそのまま削除可能、右のWhatsAppとTelegramの場合は電話番号を入力する必要がある

当然のことながら、これらのアプリが、ユーザーに誤って不可逆的に自分のアカウントを削除しないようにさせることも重要だ。しかしおそらくその折衷的な方法もあるだろう。そこでは事前に設定した時間の間一時的なロックを行い、その間に手動でロック解除を行わなければ削除を行うというものだ。Telegramには自己破壊的なアカウントがあるが、削除のために設定できる最短期間は1ヵ月だ。

本当に改善を必要としているのは、自分の電話がもはや自分の制御下にないときの緊急削除方法だ。これに該当するのは、警察によるデバイスの差し押さえ、またはおそらく逮捕された後に電話のロックを解除するように強制されるケースなどだ。いずれにせよ、ユーザーが、通常の方法以外で自分のアカウントを削除するためのオプションが必要である。

うまくいくかもしれないオプションをいくつか挙げておこう。

  • 信頼できるリモート削除
    選択済みの連絡先が、ワンタイムコードまたは他の方法を使って、お互いのアカウントやチャットを遠隔消去できるようにする。何の質問も行わず、何の通知も行わない。これを使うことで、例えばあなたが逮捕されたことを知っている友人が、あなたのデバイスから機密データをリモートで削除することができる。
  • 自己破壊タイマー
    Telegramの機能と似ているが、より優れたやりかただ。抗議集会に参加したり、追加の審査や尋問のために「ランダムに」選択された場合に備えて、アプリに対してある一定時間後(おそらく最短1分刻みで)あるいは1日の指定した時刻に、自分自身を削除するように指示できるようにする。必要に応じていつでも取り消すことや、合図することで5分間タイマーを停止させることができる。
  • 特殊PIN
    通常のロック解除PINに加えて、ユーザーは入力時にさまざまなユーザー選択可能な効果を持たせることのできる特殊PIN(原文では「Poison PIN」で直訳するなら「毒PIN」)を設定できる。例えば、特定のアプリを削除したり、連絡先を消去したり、事前に作成したメッセージを送信したり、デバイスのロックを解除したり、一時的に完全ロックしたりできる。
  • カスタマイズ可能なパニックボタン
    アップルの緊急モードは素晴らしいが、もし上記の「特殊PIN」のような条件をつけることができれば素晴らしい。しかし、できることがとにかくそのボタンを叩くことだけという場合もある。

明らかに、これらは災難と虐待への新たな道も切り拓く。それこそが、その機能が注意深く説明され、おそらく初期状態としては「上級設定」のようなものの中に隠されておく必要がある理由だ。しかし全体としては、それらが利用可能になることで、私たちはより安全になると思う。

最終的には、これらの役割は専用のアプリやそれらが動作するオペレーティングシステムの開発者によって提供されることになるかもしれないが、最も先進的なセキュリティを提供するアプリケーションたちがまずこの分野で手本を示すことは理にかなった話だろう。

画像クレジット:Eduard Lysenko / Getty Images

[原文へ]

(翻訳:sako)