Apple が CSAM スキャンを実行する計画を断念したことを明らかにしてから約 9 か月後、同社はついに、当時多くの人が指摘していた欠陥を認めました。

同社はWiredへの声明で、児童性的虐待素材（CSAM）のデバイススキャンを行わないことにした理由を説明した。

AppleのCSAMスキャン問題の歴史

AppleのCSAMスキャン計画については、同社が2021年8月に発表する直前に漏洩されたときに初めて知った。暗号とセキュリティの専門家であるマシュー・グリーン氏は、その計画についてツイートし、それは悪い考えだと述べた。

Appleが明日、CSAMスキャン用のクライアント側ツールをリリースするという情報を複数の人から個別に確認しました。これは本当にまずいアイデアです。

このリークには、Apple が誤検知に対して講じている保護策の詳細は含まれていなかったため、発表前に 4 つの懸念が提起された。

セキュリティ専門家は発表後も懸念を表明し続け、Appleの従業員の多くも同様の懸念を表明した。Appleは公式・非公式を問わず対応し、機能の展開計画を一時停止したことを発表した。

その後、事態は非常に長い間静まり返り、最終的に同社が計画を断念したと発表したまでに1年以上が経過した。

CSAMスキャンの最大の欠陥

Apple は提起された懸念のいくつかには対処したが、最大の問題である権威主義的な政府によるこの機能の悪用の可能性については対処しなかった。

当時指摘したように、デジタル指紋は CSAMだけでなく、あらゆる 種類の資料に対して作成可能です。権威主義的な政府が政治キャンペーンのポスターなどの画像をデータベースに追加することを阻止することはできません。

重大犯罪者を標的に設計されたツールは、政府やその政策に反対する者を容易に検知するために転用できる可能性がある。政府から指紋データベースを受け取ることになるAppleは、知らず知らずのうちに政治活動家への弾圧、あるいはそれ以上の悪質な行為を助長することになるだろう。

Appleはこのような行為を決して許可しないと主張しましたが、その約束はAppleが法的に拒否する自由を持つことを前提としており、それは到底あり得ません。例えば中国では、AppleはVPN、ニュース、その他のアプリを削除し、中国国民のiCloudデータを政府系企業が所有するサーバーに保存することを法的に義務付けられています。 

政府提供の「CSAM画像」データベース（批評家や抗議者が使用した資料と一致するものも含む）の処理に関する将来の要件にAppleが従わないと約束することは現実的に不可能だった。同社は中国などの国での行動を弁明する際にしばしば述べているように、Appleは事業を展開する各国の法律を遵守している。

アップルはこの問題を認めた

AppleはWiredへの声明で、このことを認めた。

Appleのユーザープライバシーと子供の安全担当ディレクターであるErik Neuenschwander氏は次のように書いている[…]

「これは[…]、意図しない結果を招く危険な状況を引き起こす可能性があります。例えば、ある種類のコンテンツをスキャンするだけで、大量の監視が可能になり、他の暗号化メッセージングシステムも様々な種類のコンテンツで検索したいという欲求が生じる可能性があります。」

9to5Macの見解

我々は以前、この大混乱は完全に予測可能であり、もしAppleがそもそもこれをやりたかったのであれば、別のアプローチを取るべきだったと主張した。

皮肉なことに、Appleにとって最善の策は、実際には透明性とプライバシーは劣るものの、物議を醸すことも少ない方法だったはずです。つまり、iCloud上の写真をCSAMハッシュでスキャンするのです。そして、そのことをiCloudのプライバシーポリシーに明記するだけです（すべてのクラウドサービスがこれを行っていることを念頭に置いて）。

他の誰もがそうしているので、そしてセキュリティ専門家が iCloud がプライベートではないことをすでに 知っているので、その方が議論の余地は少ないでしょう 。Apple がエンドツーエンドの暗号化を使用していないという事実は、同社が鍵を握っていることをわれわれがすでに知っていたこと、そして同社が裁判所命令を受け取って iCloud データを引き渡すことで法執行機関に協力していることがわれわれがすでに知っていたことを意味します。

もしこれをやり始めていたら、ほとんどのセキュリティ専門家はただ肩をすくめるだけだっただろう（特に目新しいことはない）し、主流メディアの注目を浴びることもなかっただろうと思う。

長期的にはうまくいかない可能性もあることは承知していましたが、そうすることで別のアプローチの計画をより明確に説明する機会が得られたはずです。しかし、少なくとも会社は、私たちの多くがずっと言っていたことをようやく認めてくれました。

otwish.com を Google ニュース フィードに追加します。