マリクのマイクロソフトへのログインが突然できなくなった理由。

tl;dr:ビッグテックにあなたのデータを任せてはいけない。Tutanotaのように、データを暗号化し、プライバシーを尊重するサービスを選びましょう。

マイクロソフトのログインがブロックされる

ドイツのハイテクサイトHeiseが報じたように、Malikは突然Microsoftアカウントにログインできなくなり、その理由もわからなくなりました。

さらに悪いことにマイクロソフトの推奨通り、彼はすべてのデータをBitlockerで暗号化し、暗号化キーをローカルではなく、マイクロソフトに保存していたのです。マイクロソフトによると、これはセキュリティを高めるための最良の選択だったそうです。しかし、この決定により、彼は自分のデータへのアクセスがゼロになりました。マイクロソフトのアカウントにアクセスできなかったので、データを復号化するのに必要な鍵にもアクセスできなかったのです。

Microsoft Authenticatorで生成した2要素目のOTPキーにアクセスできなくなったため、他のログインもできなくなったのです。

ビッグテックと自動スキャン

この問題は、自動スキャンによって引き起こされました。自動スキャンは犯罪的なコンテンツを探し、マリクのマイクロソフト・アカウントに不正使用のフラグを立てました。このような事件は珍しいことではありません。

同じようなケースは、Covid 19のロックダウン中に、息子の裸の写真を遠隔診断のために医師に送ったために、Googleアカウント全体をブロックされたGmailユーザーにも起こりました：メール、カレンダー、写真、ログイン、すべてが一挙に失われました。

マイクロソフトやグーグルのような大手ハイテク企業は、警告なしにユーザーアカウントをブロックすることで知られるようになりました。マイクロソフトやグーグルは、自動スキャンを利用して、児童の裸の写真など、児童への性的虐待と解釈される可能性のある犯罪的なコンテンツに警告を発しています。

児童性的虐待を防止または検出するために、Microsoft、Google、Metaなど、多くのプラットフォームがユーザーのコンテンツをスキャンしています。 これらのプラットフォームは、アルゴリズムと機械学習を用いて、すでに知られている画像を見つけ、また新しい画像を検出します。ビッグテック企業は、発見した画像をNCMEC（National Center for Missing and Exploited Children）に送り、そこでデータベースと照合する。NCMECは、疑いのあるケースを国際的な法執行機関にも転送する。

しかし、自動スキャンは常に正しいとは限らないため、マイクロソフトやグーグルへのログインも誤ってブロックしてしまう。

被害に遭った人々にとって最大の問題は、デジタル・アイデンティティのすべてをオンライン・サービスに依存していることで、アカウントが失われれば、アイデンティティも失われる。

少なくとも、Heiseが報告するMalikの場合はそうでした。

「OneDriveのデータはまだ残っていますが、マリク（ここでは本人の希望により本名で呼びません）はもうアクセスできません。そのため、13年間の写真、現在進行中のコンピュータサイエンスの研究のためのすべての作業と研究、IT業界で学生アシスタントとして働くための文書、OneDriveの「安全な金庫」に保存されている機密文書が、少なくとも今のところ失われています。マイクロソフトはマリクをXboxのライブラリにも入れてくれず、彼は1000ユーロ以上のゲームのことを忘れることができます。Office 365の400ユーロのファミリーライセンスは言うまでもないが、これはもう使い物にならない。"

"ブロックされる少し前に、MalikはMicrosoftアカウント経由でOneDriveの写真コレクションを整理しましたが、それ以外は特に何も起こりませんでした。しかし、マイクロソフトはブロックを次のように正当化している。「マイクロソフトのサービス契約に違反する行為を検出しました」 この意味のない文章の背後に、児童ポルノの配布の疑いがあることをマリクは知る由もない。彼は途方に暮れている。“

マイクロソフトだけでなく、グーグルやアマゾン、アップルでも同様の事件が知られるようになった。マイクロソフトに限らず、グーグル、アマゾン、アップルなどでも同様の事件が起きている。

これらの大企業は、顧客からの問い合わせを非常に困難にしています。また、たとえ連絡が取れたとしても、あなたが違法なことはしておらず、アカウントのロックを解除するよう説得するのは、不可能ではないにせよ、本当に面倒なことです。

ブロックされたGoogleアカウントに関するNew York Timesの報道で、法学者のMs Hessickはこう推測しています。

「Googleの立場からすれば、こうした人々のサービス利用を拒否する方が簡単なのです。そうでなければ、同社は “子供に対する適切な行動とは何か”、そして “写真を撮るのが適切かどうか “という、より難しい問題を解決しなければならないからです」。

今回のケースでは、アカウントがブロックされた男性がGoogleに無実であることを証明した後も、アカウントがロックされたままだったため、Googleによる特に厳しい判断が下された。彼は、息子の裸の写真を医師に送ったことは「児童虐待や搾取には当たらない」と当局が判断したとする警察の報告書まで持っていた。

にもかかわらず、Googleはそのアカウントのブロックを解除しなかった。そして、そのアカウントは、不活性化のために永久に削除された。

プロセスは合法

MicrosoftやGoogleなどがユーザーのログインをブロックするプロセスは、完全に合法である。アカウントのブロックは、児童ポルノの配布などの「重要な理由」があって初めて行われるものであり、ブロックは即時かつ恒久的に行うことができる。オンラインサービス側からの正当な疑いがあれば、たとえその疑いが誤りであったとしても、それで十分なのだ。

マリクの場合、マイクロソフトのOneDriveに児童ポルノを保存した疑いがあるとして、マイクロソフトのログインがブロックされた。マリクによると、その写真は彼の甥がビーチで裸で遊んでいる様子を写したもので、害のないものだったそうです。

彼のスマートフォンで撮影した写真をOneDriveにアップロードしたところ、MisrosoftのCSAMスキャンで犯罪の可能性があるコンテンツとしてフラグが立ったのです。

マリクがマイクロソフトのサポートに連絡し、この問題を説明すると、“マイクロソフトは、マイクロソフトサービス契約への重大な違反のため、アカウントへのアクセスを無効化しました “という答えが返ってきただけだった。

ブロックに対する争い

Heiseの記事で、弁護士のSebastian Laoutoumai氏とOliver Löffel氏は、理由なくオンラインサービスへのログインをブロックされた人は、直ちにそのブロックに異議を申し立て、当該サービスに対して警告を発するべきだと勧めています。もしサービスが「応答しない、または要求通りに応答しない」場合、ドイツでアカウントのブロックに対する差止命令を申請することができます。「これにより、オンラインサービスは、最大25万ユーロの罰金の脅威のもと、特定の理由または理由を示さずにアカウントをブロックすることを禁止されます」。

マリクに何が起こったのか？

マリクのケースはTh警察によって捜査され、児童ポルノ画像の共有という容疑は取り下げられた。

しかし、彼のマイクロソフトアカウントはブロックされたままです。

データはローカルに保管し、サービスには対価を支払う

多くのGoogleユーザーが、ログインがブロックされたアカウントを再びロック解除することがいかに難しいか、あるいは不可能であるかを報告しています（1、2、3）。

ここで紹介するマイクロソフトとグーグルのユーザーがログインできなくなった2つの例は、ビッグテックにとって、自動スキャンに基づくアカウントのブロックという行為がいかに「簡単」であるかを示しています。したがって、マイクロソフトやグーグルを唯一のバックアップやオリジナルのストレージとして使用しないことをお勧めします。

貴重なデータは常にローカルにバックアップしておくべきです。また、オンラインサービスでは、直接のサポートが有料会員に限定されることが多いので、有料会員になることをお勧めします。ログイン情報を紛失した場合、サポートへの迅速なアクセスは非常に重要です。