ハクソク

世界を動かす技術を、日本語で。

バーナーフォン入門

278日前原文(rebeccawilliams.info)

概要

  • Brooklyn Public Library 主催による Burner Phone 101 ワークショップの要点まとめ
  • リスクモデル やプライバシー保護のスマホ活用法、バーナーフォンの選択肢を解説
  • 秘密の目標 やアンチゴールを設定し、安全な学びの場を構築
  • スマホ・バーナーフォン・ノーフォン の使い分けと実践的なプライバシー対策を紹介
  • 質疑応答 やライブ設定で参加者同士の知見共有を重視

Burner Phone 101ワークショップ概要

  • 開催日・場所 :2025年8月、Brooklyn Public Library
  • 主な目的 :バーナーフォンの基礎知識習得と楽しさの体験
  • 秘密の目標 :バーナーフォンの限界認識、デジタルプライバシー全般への応用、自信を持って他者に伝える力の養成
  • アンチゴール :個人情報や悪用を助長する知識の共有を避ける安全設計
  • 参加者主体 のリソース共有・意見交換

リスクの可視化とリスクモデル

  • リスクモデル の基礎:守りたいもの、脅威となる相手、失敗時の影響を明確化
  • 具体的なシナリオ :抗議参加、ICEレイド、ハラスメント対策、自己制御(スマホ依存)など
  • 自分だけでなく、ネットワーク内の他者へのリスクも考慮

スマホのリスクとプライバシー対策

  • スマホ固有のリスク :IMSI(SIM)、IMEI(端末)での追跡、匿名化の困難
  • 収集されるデータの分類
    • アイデンティティ&金融情報 :支払い、契約、電話番号、デジタルID
    • 位置情報&移動履歴 :GPS、Wi-Fi、Bluetooth、セルタワー
    • 通信&ソーシャルグラフ :通話、SMS、連絡先
    • コンテンツ&ストレージ :アカウント、アプリ、写真、バックアップ
  • 全スマホ共通のプライバシー対策
    • OS・デバイスの最新化
    • 強力なPIN(生体認証は推奨せず)
    • クラウドバックアップ無効化/暗号化バックアップ利用
    • Signalインストール
    • アプリ権限の厳格管理(マイク・カメラ・位置情報は必要時のみ許可)
    • 無線(GPS/Wi-Fi/Bluetooth)は必要時以外OFF
    • 最小限の機密データのみ保存
  • Android特有の対策
    • Googleロケーション履歴・広告パーソナライズ無効化
    • Chromeの代わりにFirefoxやBrave利用
    • Gemini/Google Assistant制限
    • F-DroidやGrapheneOS、CalyxOSの検討
  • iPhone特有の対策
    • 「Appにトラッキングしないように依頼」有効化
    • Siri・Apple Intelligence制限
    • 10回パスコード失敗でデータ消去
    • 高リスク時はLockdown Mode(iOS 16+)

バーナーフォンの選択肢と運用

  • バーナーフォンの主なタイプ
    • プリペイド端末や再利用端末:安価・柔軟だがタワー追跡やフォレンジックに弱い
    • SIMローテーション:IMSIは変わるがIMEIは固定
    • ミニマル(ガラケー)端末:アプリ少なく暗号化不可、SNS利用制限
    • デバイス偽装:VoIP番号、VPN、ホットスポットなどで識別子を隠すがメタデータは残る
  • ユニバーサルなバーナーフォン設定手順
    • 端末・SIMは現金購入
    • キャリアや店員に個人情報を伝えずアクティベート
    • 公共Wi-Fiで初期設定
    • 個人アカウントや連絡先のインポート禁止
    • 上記スマホ対策も併用し、無線・権限・写真は極力制限
    • SIMは物理/PGPPでローテーション(キャリアeSIMは履歴が残る)
    • 端末は使い捨て運用
  • 重要な教訓
    • IMSI/IMEIで完全匿名は難しい
    • 自分のリスクに合った運用が最重要
    • 「持たない」選択が最強の場合も

ノーフォン戦略と実践

  • ノーフォンが有効な場面
    • 位置情報が証拠化される恐れ
    • 押収リスクが高い状況
    • 所有履歴自体が危険な場合
  • ノーフォン実践例
    • 紙の地図・メモ利用
    • 事前の集合場所設定
    • Wi-Fi専用端末や共同利用端末の活用
  • 物理的対策
    • Faradayバッグ:一時的な電波遮断
    • 機内モード:一部通信のみ遮断
    • 電源OFF:最も強力な遮断(ただし存在が逆に疑念を生む場合も)
    • 空港・国境では端末の中身を最小限に整理

Q&A・ライブ設定・今後の学び

  • 質疑応答・ライブ設定 でプリペイド設定、スマホのプライバシー調整を実践
  • 参加者同士の知見共有 ・今後の改善アイデア募集
  • ワークショップ資料 :全体のプレゼンテーションはリンク先で閲覧可能
  • ガイド改善案 :メールでフィードバックを受付中

補足リソースや質問があればご連絡ください。

Hackerたちの意見

空港(あと多分駅でも)にいると、搭乗券の情報と一緒にIMEIを照合してる気がするんだよね。イギリスでは、警察が名前を忘れちゃった中継塔を使って、できるだけ多くのデータを集めてるらしいよ。

あなたが考えてるのはスティングレイだね。https://en.wikipedia.org/wiki/Stingray_phone_tracker

多くの国では、モバイルサービスをアクティベートするのに有効な政府発行のIDが必要だから、バーナーはあんまり存在しないんだよね。ピクセルを買って、グラフェン化して、ホームレスの人にプリペイドのデータ専用SIMをアクティベートしてもらうとか、現金でバウチャーを使ってチャージするっていうのは、かなり手間がかかるけど。

ハードウェアを追跡すればいいんじゃないかな。普通に数日使えば、その電話の所有者が99%の確率であなただってわかると思うよ。

これは非常に間違ってる。ドイツでは、大都市の怪しいキオスクに行けば、アラビア人やパキスタン人の名前で登録されたプリアクティベート済みのSIMカードを現金で買えるよ。完全に追跡不可能だし、CCTVに気をつければ大丈夫。

サイレントリンクのeSIMは、どの国やネットワークでも電話を使えるようにするのに結構いいよ。私はプライバシーのためじゃなくて、電話のカバレッジを良くするために使ってるけど、かなりうまくいってる。IDもいらないし、暗号通貨で支払える - BTCやモネロとかね。(https://silent.link/)私の場合、イギリスではo2を使ってるけど、信号がない死角にいるときは、SIMの設定を変えてEEとかに接続できるんだ。

政府発行のIDについてはその通りだけど、アクティベートのポータルでは、正しいフォーマットさえあれば、どんな番号でも受け付けることが多いんだよね。有効かどうかは関係なく。自己アクティベーションができて、5回失敗するとロックされるし、SIMカードコードを使って(SMSじゃなくて、SIMカード上のプログラムとやり取りする感じ)できるんだ。

アマゾンで買ったSIMが、中国で接続できるだけじゃなくて、グレートファイアウォールも突破できたのには驚いた。こういう旅行用SIMは、政府の規制をどうやって回避してるんだろうね。

ホームレスにとっては、めっちゃいいビジネスモデルだね。

GrapheneOSはそれにどう役立つの?

一つ気をつけるべきことは、「本物の電話」と「バーナー電話」を同時に持たないことだね(または同じ場所に置かないこと)。電源が入ってると、「あれ、この2つの電話はいつも一緒にアクティベートされてる」とか、「この電話がオフになる直前に、こっちの電話がオンになる」って簡単にわかっちゃうから。とはいえ、他にも身元を特定する方法はいくつかあると思うけど。デバイスの識別子を追跡して、近くの公共カメラを調べるとかね。

地元の人と連絡を取りたいけど、追跡されたくないなら、LoRaハードウェアを使ったMeshCoreソフトウェアがいいかも。これ、テキスト専用で完全オフラインだよ。https://lilygo.cc/en-ca/products/t-lora-pager

これめっちゃ楽しそうだね!どれくらいの範囲が取れるの?

やった!こういうのを作りたかったんだ。けど、ファームウェアがオープンソースじゃないと、セキュアな用途には信頼できないな。でも、これは開発キットっぽいから、好きなことができそう。

ただし、あなたのメッセージはメッシュネットワーク上の全員に送信されるよ。

これをする必要があるなら、まずはなぜそれが必要なのかを考えて、アプローチを脅威モデルに合わせて調整してね。最近の重要な証拠は、対面での会議やデッドドロップ、その他のロー・テク手段が追跡を避ける方法だってこと。何かの無線送信機をオンにするのは、空に大きな懐中電灯を点けるようなもんだよ。あまり一般的でないものをオンにするのはもっと悪い。普通の人は携帯電話を持って使ってるからね。LoRaデバイスを使ってる人は少ないし、LoRaデバイスだけを使ってる人はどんなデータセットでも目立っちゃうよ。

それか、ただのアマチュア無線(匿名ではないけど)。

EFFで働いてたときに、「携帯電話の追跡可能性は不幸な事故で、それを直すべきだ」というテーマでいくつかエッセイを書き始めたんだけど、結局完成しなかった。これは基本的に、ルーティングの要件(特に着信電話を受けるため)と、課金の要件(人々に接続料金を払わせるため)、さらにデバイスがどの基地局に接続されているか、どの基地局がそのデバイスを見えているかという実証的な要件が組み合わさったものから来てる。これらのデータを集約すると、ほとんどすべての人がほぼすべての時間にどこにいたかの(地理的に中程度の解像度の)完全な履歴がわかるし、彼らの習慣や、どの人とよく一緒に過ごしていたかのパターンもわかる。すべてのデータを収集する必要はなくて、異なるプロトコル層を導入することで分散させることができる。例えば、モバイル会社にデータ接続の料金を払うけど、特定の場所や時間にどの加入者が接続したかを知られないように暗号的なブラインディングメカニズムを使うことができる。これらのブラインディングメカニズムはSIMカードの中に実装できるから、SIMカードの役割は「私はキャリアXの現在の支払い加入者のSIMカードです」と暗号的に証明することであって、「私はSIMカード番号42d1b5c0です」ではない。デバイスのハードウェアIDを一時的なものにすることもできるし、実際のメッセージングや通話サービスは、電話会社ではない人たちが提供する「オーバー・ザ・トップ」であるべきだ。これらの分散はプライバシーの観点からは明らかな改善で、企業がサービスを提供するために必要のない情報を知ることを防ぐことができる。一方で、私たちの住んでいる世界では、政府がハードウェアアドレスを変更することに法的制限をかけたり、サービスを確立するために法的IDを要求したりして、携帯電話を追跡しにくくしようとしているのが見える。もし追加の暗号的な間接層がSIMに導入されて、キャリアがネットワーク登録や特定のデータ使用に永久的な識別子をリンクできないようにすることが発明されたら、いくつかの場所では禁止されるだろうと思う。これは避けられないことではない。これについて考えさせられたのは、企業が商業目的でデバイスのWi-Fi MACアドレスを追跡していたという小さなスキャンダルがあったから。ある業界が、人々を認識して同じデバイスが存在することを基に商業的なプロフィールを構築しようとしていた。実際、その時はWi-Fiに接続しなくても、典型的なWi-Fi対応モバイルデバイスがMACアドレスを含むブロードキャストWi-Fiプローブパケットを送信していたから。だからAppleは「これはMACアドレスの悪用だ。MACアドレスは同時にLANにいるデバイスを区別するために存在するもので、ネットワーク管理者が特定のデバイスに永久的なIPアドレスを割り当てるために使うものだ」と言って、iPhoneがいくつかの目的でWi-Fi MACアドレスをランダム化するようにした。GSMネットワークについても同じように考えられる。「これらの識別子は特定のプロトコルの理由で存在するもので、デバイスやユーザーの追跡に使うのは技術的に軽減すべき悪用だ」。

すごい論理だね。これを実現するためのインセンティブをうまく調整する方法を考えたことある?あまり考えてないから分からないけど、これは「賢い善意のエンジニアが新しい基準を作る必要がある」問題なのか、「企業の欲望を利用する必要がある」問題なのか、他の何かなのか。

この記事には感謝だね。1. 脅威モデリングから始まってる(とは言わないけど);2. あなたのOPSECはあなた自身だけでなく、あなたに繋がる人にも影響するって言ってる;3. もしかしたらデバイスは家に置いておいた方がいいかも(基本的に監視機械を自分で払ってるようなもんだから)。(もっと一般的な記事の形式は、文脈を考えずにセキュリティやプライバシーの対策を山のように並べることが多いけど、それじゃ期待値を正しく設定できないし、あまり役に立たないし、逆効果になることもある。)

現金で電話とサービスを購入する オーストラリアでは、ステップ1がすでに難しいんだ。これをするには、個人情報と身分証明書を渡さなきゃいけない。2010年代には、SIMカードが売られているものは全部そうだったからね。だから「ステップ0」は「ルールを守らない小売店を探す」だった。そういう店は、手頃な価格で携帯電話やSIMカードを売っていて、いろんな面白いキャラクターが集まってたんだ。

eSIMがプライバシーを侵害する?それは最悪だね。Apple、Samsung、GoogleがSIMスロットを3.5mmヘッドフォンジャックのように廃止するのはいつになるんだろう?

現金で電話とサービスを購入する 映画では、誰でもトレンチコートを着て店に入って、すぐに使えるバーナーフォンを手に入れられるように見えるよね。サービスの部分は分かるけど(プリペイドSIMは現金で買えるから)。電話はどうするの?

電話の購入は多くの場所で簡単だよ。俺はサンフランシスコの小さな店で現金で電話とSIMカードを買ったことがあるんだけど、SIMのためにちょっとした情報を求められた。でも、身分証明書は全然見られなかったから、注文用紙には好きなことを書いてもよかったんだ。電話にはその情報は必要ないって言われたよ。

国際的にIDなしで買えるSIMってある?ここではIDが必要なんだ。

メキシコでは、7-11やOxxoみたいなコンビニで現金でプリペイドSIMカードが買えるし、身分証明書もいらないよ。