チャット・コントロール」が暗号化を脅かす理由

CSA規制の核心は、「アップロード・モデレーション」、つまりクライアントサイド・スキャンの実装である。アップロード・モデレーションは、実際には、この危険な法律に対する絶え間ない国民の抵抗を止めるためのEUの政治家による婉曲表現に過ぎない。クライアントサイド・スキャンが法律で義務づけられれば、暗号化が行われる前にクライアント上で違法なコンテンツがないか通信をスキャンし、疑わしいコンテンツを当局に送信するよう技術企業に求めることになる。ハンガリー議長国は、これはエンド・ツー・エンドの暗号化と共存できると主張しているが、根本的に間違っている。

エンド・ツー・エンドの暗号化は、送信者と受信者のみがメッセージを読めるようにするものだ。しかし、クライアント・サイド・スキャンでは、暗号化される前にメッセージがスキャンされ、暗号化の目的そのものが失われる。これは事実上、暗号化の弱体化を義務付けるものであり、ヨーロッパのデジタル・レジリエンスにとって非常に危険なことだ。現状では、エンド・ツー・エンドの暗号化のセキュリティを維持しながら、CSA提案のコンテンツ検出の要求を満たす技術的解決策はありません。

なぜこれまで以上に重要なのか

したがって、現行のCSA提案は、デジタル・セキュリティとプライバシーに憂慮すべき新たなリスクを導入することになる。暗号化されたメッセージのスキャンを義務付けることで、この提案はユーザーを多くの新しい脆弱性にさらすことになります。

• 悪意のある攻撃者は、暗号化される前にデータを盗む:クライアント側のスキャンは、ハッカーがシステムの脆弱性を悪用し、暗号化される前にプライベートな機密データにアクセスする機会を作る。
• 分散型サービス拒否（DDoS）攻撃:システムが複雑化すればするほど、障害が発生するポイントは増えていきます。クライアントサイドスキャンを実装することで、サービスプロバイダは DDoS 攻撃を受けやすくなり、可用性が損なわれる可能性がある。
• CSAMシステムの操作:違法コンテンツの検出に使用されるシステムが操作され、冤罪や欠陥のある検出メカニズムが犯罪に悪用される可能性がある。
• リバースエンジニアリング:スキャン・ソフトウェアがハッカーや国家権力者によってリバース・エンジニアリングされ、セキュリティ保護を迂回し、システム全体が不正アクセスにさらされる可能性がある。
• 国家による悪用:例えば、中国の国家ハッカーのような洗練されたアクターが、マイクロソフトを攻撃する際に、合法的な監視のために設計されたシステムのバックドアをどのように悪用するか、すでに見てきた。暗号化を弱めたり、スキャニングの仕組みを導入したりすることは、悪意のある行為者に国家安全保障を侵害する新たな機会を提供することになる。

クライアントサイドのスキャンが電子メールやチャットサービスの法的要件となれば、こうしたリスクはさらに高まる。実際、提案されているEUのCSA規制は、オンライン上のすべての人のセキュリティを高めるどころか、低下させるものだ。

中国が合法的な盗聴でAT&Tをハッキング

ウォール・ストリート・ジャーナル紙が報じたように、中国の国家権力者に関連する最近のサイバー攻撃は、米国のブロードバンド・ネットワーク、特に合法的な盗聴に使われるネットワークの脆弱性を暴露した。このハッキングでは、中国の攻撃者はベライゾン・コミュニケーションズ、AT&T、ルーメン・テクノロジーズのネットワーク・インフラに数ヶ月間アクセスしていた。攻撃者は、これらの企業がアメリカ当局からの合法的な要請に協力するために使用していたのとまったく同じアクセスポイントを悪用した。

今回のように、公共の安全を確保するためのシステムが破られる可能性があるとすれば、EU市民向けの暗号化にも同様の弱点が導入されることになり、悲惨なことになる。

この攻撃は、オランダの諜報機関によって強調された、弾力性を維持するためにシステムを可能な限り安全に保つ必要がある理由を例証している。

ウォール・ストリート・ジャーナル紙によると、米政府高官も同じ意見で、中国は経済だけでなく国家の安全保障にも重大なリスクをもたらしている。サイバーセキュリティー・インフラ・セキュリティー・エージェンシーの元エグゼクティブ・ディレクターで、現在はセンチネルワンのバイス・プレジデントであるブランドン・ウェールズ氏は、ウォール・ストリート・ジャーナル紙に次のように語っている:

「この件がどれほど悪質なのか解明するには時間がかかるだろうが、その間にPRC（中華人民共和国）がいかにサイバーゲームを強化してきたかを示す、長い一連の警鐘の中で最も重要なものだ。企業や政府がこれまで真剣に取り組んでいなかったのであれば、今こそ真剣に取り組む必要がある。

当局のために暗号化された通信のバックドアを許してはならない。バックドアはバックドアであり、国家の攻撃者から守ることはできない。暗号化は強力でなければならない

オランダの反対を転換点に

オランダの諜報機関はクライアント側スキャンに反対している。

これは、先週のCSA規制に関する投票が、オランダの反対により急遽延期されたことからも明らかです。

オランダは次のように明言している（オランダのソース）:

「すべての携帯電話にスキャン・アプリケーションを導入し、関連する管理システムのインフラを構築することは、極めて大規模で複雑なシステムを構築することになる。この複雑なシステムは、それによって大量の携帯端末とその中の個人データにアクセスすることになる。この結果、最終的にAIVDは、デジタルの回復力に対するリスクが大きすぎると判断している。“

上記のコメントは誰が言ったわけでもなく、影響力のあるオランダの諜報 機関によるものである。つまり、“エンド・ツー・エンドの暗号化通信のプロバイダーに検知命令を適用することは、我々のデジタル回復力にとってセキュリティ・リスクが大きすぎる “という のだ。

ハンガリーは阻止しなければならない

暗号化を危うくする危険性は明らかだ。しかし、欧州裁判所がChat Controlで提案されたクライアント側スキャンを違法と宣言したにもかかわらず、ハンガリーは、その危険性を強調する証拠の増加を無視して、この深く欠陥のある解決策を推し進め続けている。驚くべきことに、チャット・コントロールへの批判が続く一方で、チャット・コントロールに反対する声は弱まっている。オランダ、ドイツ、ポーランドなどの主要加盟国は強い抵抗を示しているが、ハンガリーは支持を集め続けている。

スペイン、ギリシャ、アイルランドなどの賛成国は、暗号化を弱めることの長期的な影響を過小評価している可能性がある。

現在の加盟国の立場は以下の通り:

• 反対 反対:ポーランド、ドイツ、オランダ、ルクセンブルク、オーストリア、エストニア、スロベニア。

• 慎重:チェコ、イタリア、スウェーデン、フィンランドは、さらなる技術的改良の必要性を表明している。

• 賛成:スペイン、ギリシャ、アイルランド、デンマーク、クロアチア、キプロス、マルタ、リトアニア、ラトビア、ルーマニア。

さらなる反対が必要

チャットコントロールに対する反対派が減少していることは心配である。しかし、CSA提案への支持は高まっているかもしれないが、反対する理由はかつてないほど明確になっている。短期的な目標を達成するために暗号化を弱めることは、すべてのヨーロッパ人にとって長期的なセキュリティ・リスクをもたらす。私たちの通信の完全性、個人データの安全性、そして何百万もの人々のプライバシーが危機に瀕している。

EUは、暗号化を損なうことなく、オンライン上の危害と闘うより良い方法があることを認識しなければならない。法執行機関は、ハイテク企業に負担を強いてサービスのセキュリティを弱めるのではなく、より安全な代替手段を用いて児童性的虐待資料（CSAM）に取り組むことができるし、そうすべきである。

強力な暗号化のための戦いは続く

暗号化はデジタル・セキュリティの基幹である。暗号化は、犯罪利用から個人を保護し、個人的な通信のプライバシーを保証し、国家安全保障を守る。ひとたび暗号化が弱体化すれば、サイバー犯罪者であれ、敵対的な外国政府であれ、その欠陥を発見し、悪用するためのリソースを持つ誰にでも悪用されやすくなる。

ハンガリーのチャット・コントロールの推進は失敗しなければならない。 この提案を野放しにしておくには、利害関係があまりにも大きすぎる。

欧州市民は、プライバシー、安全性、セキュリティを守るために、妥協のない強力な暗号化を必要としている。そして私たちTutaは、あなたの暗号化の権利のために戦い続けます！