アップルが今年8月、児童の性的虐待コンテンツ(児童ポルノ画像)の拡散を防止する複数の新機能の詳細をは明らかにしたとき、すぐに暗号学者からプライヴァシー保護の活動家、はてはエドワード・スノーデンまでが批判の声を上げた。こうした反発が起きたのは、性的虐待コンテンツがないかどうか「iCloud」の写真をスキャンして調べるだけでなく、ユーザーの「iPhone」や「iPad」でも児童の性的虐待コンテンツに一致するものがないかチェックするという決定によるところが大きかった。

「アップルが「児童への性的虐待」の画像検出を“延期”したことの意味」の写真・リンク付きの記事はこちら

そして抗議の声が数週間にわたって続き、アップルは引き下がった。少なくともいまのところはである。

「わたしたちは先月、コミュニケーションツールを利用して誘ったり搾取したりする人々から児童を守り、児童の性的虐待コンテンツの拡散を抑制するための機能の計画を発表しました」と、アップルは9月3日(米国時間)にコメントを出している。「顧客や権利保護団体、研究者の方々などからのフィードバックに基づき、わたしたちは児童の安全を確保するための極めて重要な機能をリリースする前に、今後さらに数カ月かけて意見を収集し、機能を改善することを決定しました」

どのようなかたちで改善されるのか、意見収集がどのように機能するのかについて、アップルはこれ以上の指針は示していない。それでもプライヴァシー保護の活動家やセキュリティ研究者らは、計画がいったん停止したことについて、慎重な姿勢を保ちながらも楽観的に捉えている。

「アップルは賢明な行動をとったと思います」と、フェイスブックの元セキュリティ責任者でサイバーセキュリティコンサルティング会社Krebs Stamos Groupの共同創業者のアレックス・ステイモスは指摘する。「この問題に関しては信じられないほど複雑なトレードオフがあり、さまざまな意見に耳を傾けることなくしてアップルが最善の解決策を導き出すことは不可能だったのです」

政治的に困難な課題

児童の性的虐待コンテンツをスキャンするシステムは、虐待画像であることがすでにわかっている画像の暗号化された「ハッシュ」(デジタル署名のようなもの)を生成し、膨大な量のデータを調べて一致するものを探す。多くの企業がすでに何らかのかたちでこの仕組みを導入しており、アップルの「iCloudメール」もそのひとつだ。ところが、アップルはiCloudの写真にもこのスキャン機能を導入する計画のなかで、ユーザーがiCloudのアカウントをもっていれば、そのユーザーのデヴァイスでもハッシュをチェックするステップを追加することを提案した。

既知の児童の性的虐待コンテンツのハッシュ(全米行方不明・被搾取児童センターが提供する)とユーザーのスマートフォンの画像を比較できる機能を導入するという計画は、このツールがいつかほかの用途に使われるのではないかという懸念をたちまち生じさせた。

「アップルは、すべての人のスマートフォンに児童の性的虐待コンテンツをスキャンする機能を搭載させることになります。政府はこれを監視ツールに転用し、スマートフォン上のほかの情報もアップルに探させることができます。実際そうするでしょうね」と、スタンフォード大学インターネット観測所研究員のリアーナ・プフェッファーコルンは言う。

これまでアップルは、iOSデヴァイスのロックを当局が解除して暗号を解読できるようにするツールを構築してほしいという米国政府からのたび重なる要請に抵抗してきた。しかし、アップルは顧客のデータが国有のサーヴァー上にある中国のような国々に対して譲歩もしてきた。世界中の議員がより幅広く暗号化を阻止しようとする動きを活発化させている時期に、児童の性的虐待コンテンツのツールの導入はとりわけ困難に感じられたのである。

「これが政治的に難しい課題であるとアップルが感じていることは明らかです。『アップルは常に政府の圧力を拒む』という立場を維持することが、いかに不可能であるのかを示していると思います」と、ジョンズ・ホプキンス大学の暗号学者のマシュー・グリーンは言う。「スキャンしなければならないとアップルが感じるなら、アップルのサーヴァー上の暗号化されていないファイルをスキャンすべきなのです」

これはフェイスブックなど他社が手がけている標準的な手法である。実際にフェイスブックは、児童の性的虐待コンテンツだけでなく、テロ関連などの許可されていないコンテンツを定期的にスキャンしている。グリーンはまた、アップルはiCloudのストレージをエンドツーエンドで暗号化し、たとえ閲覧したくても画像を閲覧できないようにすべきだと提案する。

「誤検出」の危険性

アップルの計画を巡る論争は技術的なものでもあった。2枚の画像が一致していないにもかかわらず、誤って一致していると判断してしまう誤検出を、ハッシュのアルゴリズムが生み出す可能性があるからだ。「コリジョン(衝突)」と呼ばれるこうしたエラーは、対象が児童の性的虐待コンテンツであるだけに、とりわけ気がかりになる。

実際にアップルが今回の計画を発表してからまもなく、研究者たちはアップルが使用を予定していたiOSのハッシュ照合アルゴリズム「NeuralHash」にコリジョンを発見し始めた。そのときアップルは、研究用のNeuralHashのヴァージョンは今回の構想で使われるものとまったく同じではなく、システムは正確であると主張していた。

セキュリティ企業MetaCertの創業者で最高経営責任者(CEO)のポール・ウォルシュは、コリジョンは実際には影響をもたらさないかもしれないと指摘する。アップルのシステムでは30個のハッシュが一致して初めて警告があり、警告があれば人間のレヴュアーが児童の性的虐待コンテンツなのか誤検出なのかを見極めることができるからだ。

批判する人々を満足させるために、アップルが具体的にどのような変更を加えられるのかは現時点では不透明である。グリーンとプフェッファーコルンは、ともにスキャンの対象をユーザーのデヴァイスではなく、iCloudの共有アルバムに限定することもできるはずだと指摘する。Krebs Stamos Groupのステイモスは、テストされていない技術については特に、研究者のコミュニティを最初から十分に組み込むことの重要性をNeuralHashの問題が改めて浮き彫りにしたと言う。

“一時停止”の意味

一方で、この計画をアップルが恒久的に停止すべきという立場を崩さない人々もいる。「写真とメッセージを端末上でスキャンするというアップルの計画は、これまでにテック企業が提案した計画のなかで最も危険なものです」と、デジタル権の擁護団体「Fight for the Future」の副代表のエヴァン・グリアーは言う。

「反発を受けて、この無謀で危険な監視計画をアップルが延期せざるを得なくなったことには勇気づけられます。でも、現実にはアップルが提案していることを安全に実行する方法は存在しません。アップルはこの計画を完全に放棄する必要があります」

とはいえ、アップルが計画を先送りにしたことは、通常は譲歩しようとしない企業が示した大きな譲歩ではある。「率直に言って驚いています」と、プフェッファーコルンは言う。「計画を完全に断念すると発表することはアップルにとって難しいでしょうが、“一時停止”のボタンを押すことにも大きな意味があります」

※『WIRED』によるアップルの関連記事はこちら。