ハクソク

世界を動かす技術を、日本語で。

プロトンメール、サイバーセキュリティ機関の要請でジャーナリストのアカウントを停止

255日前原文(theintercept.com)

概要

  • Proton Mailが韓国政府システムのセキュリティ侵害を報道したジャーナリストのアカウントを一時停止
  • 公的な批判を受け、数週間後にアカウントは復旧
  • ジャーナリストや編集者は停止理由の説明を要求
  • Protonの対応や説明不足に対する不信感の拡大
  • 今後のジャーナリストや内部告発者への影響懸念

Proton Mailによるジャーナリストアカウントの一時停止事件

  • Proton(Proton Mail運営会社)は「 中立かつ安全な個人データの避難所」を自称
  • 2023年8月、 韓国政府のサイバー攻撃報道 を行っていたジャーナリスト2名のProton Mailアカウントが、 不特定のサイバーセキュリティ機関からの通報 により停止
  • 停止されたアカウントは、 Phrack 誌の責任ある情報開示(responsible disclosure)用に作成されたもの
  • ジャーナリストは 韓国外務省、DCC、KISA、KrCERT/CC など関係機関に脆弱性を通知
  • KrCERTからは 感謝の返信 を受領

アカウント停止の経緯とProtonの対応

  • 停止理由は「 ポリシー違反の可能性」のみで詳細不明
  • Protonの Abuse Team は「 悪意ある利用」があったアカウントと関連があるため停止したと説明
  • 停止解除には アピールフォーム の提出が必要
  • 編集部や関係者からの問い合わせに Protonは一切返信せず
  • Phrack編集部が SNSで問題を公表、大きな話題に発展
  • Proton公式アカウントは「 CERTからの警告でアカウント群を停止した」と説明
    • どのCERTからかは 非公開
    • ジャーナリストを支持する が、誤って正当な活動が巻き込まれる場合がある」とコメント

ジャーナリズムとセキュリティサービスの課題

  • Freedom of the Press Foundationの Martin Shelton は「 Protonは本来このような事態を避けるために選ばれている」と指摘
  • アカウント停止が 報道活動や責任ある情報開示の妨害 となる実態
  • Protonはバイラル化する前に個別に説明・対応すべき」との声
  • The Intercept、Boston Globe、Tampa Bay Times等も Proton Mailを情報提供窓口として利用
  • 今回の対応で ジャーナリストや内部告発者の信頼低下

事件後の影響と今後の懸念

  • アカウント停止により 取材対応や情報開示活動が一時停止
  • ProtonやCEOの Andy Yen も復旧理由や経緯を明示せず
  • Phrack編集部は「 今後、裁判所命令や明確な違反がない限りアカウント停止しないという保証が必要」と主張
  • ジャーナリズムや内部告発活動への 萎縮効果と不透明性への懸念

CERT(Computer Emergency Response Team)について

  • CERTは サイバーセキュリティ専門機関
    • 世界70カ国以上に存在し、分野別に複数設置される場合も
    • 政府系・民間系の両方が存在
    • 報告された脅威やインシデントへの 迅速な対応 が求められる
  • 米国の例: Cybersecurity and Infrastructure Agency(CISA)
    • 近年一部機能縮小

この事件は、 セキュリティサービスの透明性と説明責任、そして 報道の自由と安全な情報開示の確保 という現代の重要課題を浮き彫りにする事例。

Hackerたちの意見

プロトンってここで勝てるのかな?明らかな解決策は「裁判命令がない限りアカウントを削除しない」ってことだけど、そうするとプロトンメールが麻薬密売人や児童ポルノ業者、ドックスラー、サイバー犯罪者の巣窟だって暴露される記事が出てくるだろうね。

明らかな解決策は「裁判所の命令がない限り、削除しない」ってことなんだけど、そうするとプロトンメールが麻薬密売人や児童性愛者、ドックスやサイバー犯罪者の巣窟だっていう暴露記事が出てくるだろうね。合理的なポリシーについて文句を言う可能性のある記事を気にしてサービスを悪化させるのはクレイジーだと思う。プロトンメールがそういうことを言われたことがないわけじゃないし(ハニーポットだとかプライバシーが足りないっていう accusations もあるし)。ユーザーのために誠実さを持って戦う方が、非合理的な意見を持つ人たちのクリックベイト記事を避けるために妥協するよりもいいよ。

いや、今は協力してるし、たまに悪い報道も出るよ。実際に彼らが主張していることをやっても何も変わらない。今の立場はただの言い訳だね。

そうだね。ほとんどのCERTリクエストは妥当で良いもので、対応すべきだけど、手動チェックは必要だと思う。特に異議申し立てがあった場合はね。明らかにセキュリティ報告の内容の場合は特に。どちらの極端も間違ってる - CERTを無視しちゃダメだし、無条件に従うのもダメ。多くの合理的な中間点を見つけるべきだよ。

プロトンの沈黙は、彼らにとって不利にしか解釈できないよ。これはあまり賢くないし、みんなが彼らを疑う原因になる。安全で妥協のないサービスのアイデアは好きだけど、今のプロトンはそうでもない気がする。

Ladar LevisonとLavabitは、約10年前に信頼を得たよね。残念ながら、今のhttps://lavabit.com/は「現在、新しいユーザーを受け付けていません。メールサービスはオンラインのままですが、ウェブサイトのコードを改善中です。」って言ってるだけ。

X/Twitterでこれを追ってるけど、最もひどい点の一つは、Phrackがプロトンに何度もプライベートで連絡したのに、プロトンが無視したことだと思う。Phrackが公にした後、彼らがバイラルになった投稿をした時だけ、プロトンは彼らと関わりを持ってアカウントを復活させたみたい。さらに、あるライターがプロトンに異議申し立てをしたけど、プロトンはその申し立てを却下したんだ。だから、事件を手動で調査してアカウントを復活させることを拒否したけど、これがX/Twitterで注目を集めてからようやく復活させた。だから、誤解しないでほしいけど、プロトンはCERTからの苦情があった後にアカウントを無効にしただけじゃなくて、SNSで注目されるまで何も手を打たなかったんだ。

Phrackがプロトンに何度もプライベートで連絡したのに、プロトンが無視した。リンク先のRedditの投稿によると、プロトンはこう言ってる: https://news.ycombinator.com/item?id=45227356 「Phrackが私たちの法務チームに8回連絡したという主張については、事実ではありません。私たちの法務チームの受信ボックスには、2通のメールしか届いておらず、最後のメールは9月6日に48時間の期限付きで来ました。これは、プロトンの規模の会社にとって非現実的です。特に、そのメッセージが土曜日に法務チームの受信ボックスに送信されたため、適切なカスタマーサポートチャネルを通じて送信されたわけではありません。」

Redditの熱心なファンたちが、これは明らかにそうだっていうのに、必死に擁護したり言い訳したりしてるのが笑える。

ポジティブな点としては、今の時代、ソーシャルメディアでのリーチが問題を解決することができるってことだね。

プロトンは、あなたが本物の人間である証拠を一切求めないからね。これに関して彼らを攻撃するつもりはないけど、プライバシー重視のツールは必要だと思う。ただ、数秒で数百のプロトンメールアドレスを作れたのはちょっと怖かった。世界中でスパムブロックリストに載ってないのが不思議だよ。彼らのキャプチャは子供でも解けるレベルで、スクリプトが簡単に突破できちゃう。もう少しスパム対策を強化して、こういうケースに迅速に対処できるなら、モデレーションを大幅に減らしてもいいと思う。

思い切って言っちゃうけど、アメリカのサイバーセキュリティ機関だと思う。ProtonのCEOは今のアメリカの政権が好きみたいだし、今は従って後で質問するっていう流れになるんじゃないかな。1. 公式のProtonアカウントから削除されたRedditのコメントによると、共和党を持ち上げてたから、Proton全体を代表して話してたんだと思う。https://theintercept.com/2025/01/28/proton-mail-andy-yen-tru.... CEOの怪しい公の発言以外に証拠はないけど、Protonが21世紀のCrypto AGだったとしても驚かないな。

プロトンからのRedditの反応: https://www.reddit.com/r/ProtonMail/comments/1nd1nrc/comment... 初期のCERTとの連絡について、詳しい情報があれば教えてほしいな。

2018年からプロトンの有料サブスクを使ってたけど、最近サブスクリプションをキャンセルした(11月に終了)。彼らのサービスのバグや不具合にうんざりしちゃったんだ。メールホスティングやVPNのおすすめある?Fastmailやmailbox.orgがいいって聞くけど(最近mailboxにリブランドしてサービスを一新したみたい)。それと、SimpleLoginのエイリアスサービスをヘビーユーザーしてるんだけど、これらのアカウントを新しいプロバイダーに簡単に移行する方法ないかな?すべてのアカウントを手動で新しいメールに変更するのは辛そう。

今はファストメールとムルヴァドを使ってる。どちらもかなりうまく動いてるし、値段も手ごろだよ。冒険心があるなら、自分でVPSにホスティングすることもできるしね。

彼らの提供するサービスの常時バグや不具合 これは聞いたことがなかったな(長い間有料ユーザーだったけど)。私の知る限り、バグには遭遇したことがないよ。ただ、フォトストレージをリリースしたときに、ちゃんとした検索機能がなかったのは嫌だったな。

ファストメールはいいよ。UXには少し制限があるけど、技術的にはすべてがうまく動いてるし、サクサクだよ。ダウンタイムもほとんどないし、カレンダーや連絡先、サードパーティのサイトやサービスとの統合がすごく気に入ってる。カスタムドメインや複数ユーザーに関してはあまり機能やお得なプランはないけど、自分用なら全然問題ないよ。編集:彼らがアプリとウェブインターフェースのオフラインサポートをついにオンにしたから、私の唯一の不満が解消された。ファストメールを選んでみて。VPNは何をしたいの?プライバシー重視ならエストニアのVPSを借りるといいよ。リモートで作業する間に安全なトンネルが欲しいだけなら、家にワイヤーガードとダイナミックDNSを使ったWiFiアクセスポイントを設置すればいい(無料だし、たぶんもっと帯域幅もあるし)。

この9年前の問題、メールボックスに悪い印象を与えたわ… https://userforum-en.mailbox.org/topic/anti-spoofing-for-cus...

数年前にFastmailに移ったんだけど、特に不満はないし、また同じことをすると思う。でも、失敗を経験してないから、Fastmailが失敗をどう扱うかは知らないんだよね。それが会社の本当の評価基準だと思う。

私はZohoを4年以上使ってるけど、すごく良いよ。パートナーのメールもここで管理してる。ドメインごとの料金がないから、12個くらいのドメインを持てるのが決め手だった。ウェブアプリもiOSのメールアプリも設定の自由度が高いし、サービスも速くて安定してる。UIはほとんど変わらないから、予測可能で使いやすい。

同じようなケースだけど、最近@mozmailからSimpleLoginに移行したんだ。これが正しい選択だったのか気になってる。自分のドメインを使うと移行の問題が解決するって聞いたけど、ドメインを見ただけでメールが特定されやすくなるよね。MozmailやSimpleLoginの後に適した代替候補って何だろう?SimpleLoginに移った理由の一つは、メールの送信を始められないから、サポートに連絡するのが難しかったこと。あと、MozmailはAmazon SESを使ってるし。

メールホスティングなら、Posteo.de(カスタムドメインはないけど)、mailbox.org、runbox.com、mailfence、migadu、cranemailをチェックしてみて。これらはFastmailよりも安くて、ずっと手頃だよ。どれもIMAPをサポートしてるから、メールを他の場所に移したり(簡単にバックアップしたり、ローカルコピーを持ったり)できるよ。

Fastmailのユーザーなんだけど、カスタマーサポートはほんとに最悪。でも、メール自体は結構しっかりしてるよ。「スーツ」っていうオプションは絶対に使わない方がいい。リブランドや「リニューアル」って言っても、ロゴと色が変わっただけで、内部は昔のOXのままだし :D ウェブメールもあんまり使いたくないかも(俺のメール使用の99.9999%はIMAPクライアント経由だから)。それ以外は大丈夫だよ。Fastmailは、価格とサービス内容が自分に合ってれば結構いいと思う。Runboxもチェックしてみて、ほんとに良いよ。シンプルなログインの代替案としてaddy.ioもあるし、FastmailとMailbox(30日経つと自動で削除されるけど、触れば大丈夫 :D)も使い捨てメールを提供してるよ。Runboxについてはよく知らないけど。

FastmailにはjmapっていうオープンソースのAPIがあるんだ。多分、Fastmailのマスクされたメールに変換するための何かを見つけたり、自分で書いたりできると思う。ローカルのLLMと連携してメールを読み取って処理するのに、約1時間で設定できたよ。Fastmailは好きだな。ゆっくり進んで、壊さないっていう考え方があって、俺のメールに合ってると思う。

PSA: プロトンは「未使用」のアカウントを1年後に削除するんだけど、「未使用」の定義が曖昧で、メールを受信するけど送信しないのは「未使用」と見なされるから、iCloudアカウントが復元不可能な状態になっちゃった。アカウントのオフボーディングにかなりの時間を取られそう。

まだあの古い怪しい請求方法使ってるの?クーポンで「クレジット」をもらってプランをアップグレードできるんだけど、それが終わると自動的にサブスクされて、アカウントの請求がマイナスになるんだよね。それを払わないとアカウントがロックされる。昔にそれが起こって以来、プロトンは使ってないよ。

受信はするけど送信はしないメールを「未使用」とする不透明な定義 "年に一度でもログインしてサービスを使えばアクティブと見なされます。年に一度でも、ウェブ、デスクトップ、モバイルアプリのいずれかのプロトンサービスにログインするだけで十分です。" https://proton.me/support/inactive-accounts>

これって有料アカウントにも適用されるの?5年分前払いして、3年間海で迷子になったら、プロトンがまだ使えると思っていいの?

プロトンは、一定期間ログインしていないアカウントを削除するって発表した時に、私の「ユーザー第一のメールプラットフォーム」リストからトップを外れた。メールやメッセージ、電話、コミュニケーションプロバイダーが、必要な限りオープンなラインを維持してくれないなら、使う気にはならない。1年でも2年でも20年でも、信頼できないなら無理だよね。もしそのサービスを提供するためにお金が必要なら、プライバシーを守る支払い方法を受け入れるべきだけど、それでも多分使わないと思う。プロトンは、VPNサービスとビジネスサービスで無料アカウントの維持費を賄ってたのに、削除ポリシーを発表することで何年もの信頼を壊す選択をしたのは、もうユーザーよりビジネスを優先してるってことだと思う。無理なことは言ってないよ。アクティビティがない無料アカウントを維持したくないなら、ストレージの制限を設けるのは一つの考えだけど、ストレージ使用量で制限を分けてないのが問題。数メガバイトのストレージを使ってる無料アカウントがあって、数年ごとにやり取りする政府サービス用のメールアドレスとかだと、毎年ログインするっていう無意味な作業を忘れたら、プロトンは何も言わずに削除しちゃう。リカバリー用のメールアドレスを登録してたら、リマインダーが来るかもしれないけど、それだとプライバシーを守るメールサービスに登録する意味がなくなっちゃうし、そもそもそれが本当にプライバシーを守るサービスなのか疑問だよね。(関連ニュースとして、Google Voiceで数ヶ月ごとに自分にメッセージを送らないと、重要なサービスの2FA用に使ってる番号が削除されちゃう…しかも、これは10年前から4ドルのクレジットが入ってるアカウントなんだよね…)

一定期間ログインしていないアカウントを削除する 具体的には1年だよ: https://proton.me/support/inactive-accounts

会社の真の価値は、私たちが彼らとコミュニケーションできる能力で測れると思う。公の怒りの後でしかコミュニケーションできないなら、その会社はどういうことなんだろう?ちょっと真面目な質問なんだけど、プロトンメールはメールサービスを提供する会社の中で、最もマシな選択なの?私は自分でメールをホスティングしてるし、死ぬまで続けるつもり。けど、他の人が会社に頼る必要があるなら、プロトンメールは最もマシな選択なの?これが評価に影響するのかな?他の人の意見が気になるな。

あなたのスタックは何?これを読んで、セルフホスティングが急に魅力的に感じてきた。

あなたの質問に答えると、私の限られた経験から言うと、いいえ。FastmailやRunbox(試したことあり)、Purelymail(1、2人で運営)、Mailbox(サポートはクソだけど、設定はしっかりしてる;私は顧客)、Migadu(いい名前だけど使ったことはない)、Tuta(なんか微妙な感じ;Protonと同じくIMAP/POPを許可してない - Protonはちょっとしたサーカスで許可してる)、MXRouteはLETフォーラムで評判がいい。メールサービスだけならZohoもあるけど(でもZohoを使う理由はコストか、ただの中指を立てるためだね :D)…他にもたくさん選択肢があるよ。PS. セルフホスティングのメールについてだけど、VPSでシードボックスをちゃんとホスティングできてないから、メールを試すべきじゃないと思ってる :)

確か、Protonの無料プランではIMAPアクセスすらないよね。私にとっては、それが致命的。プライバシーの主張もほとんどがマーケティングで、三文字の機関に接触されたときにProtonが実際に何をしているのかを確認するのは基本的に不可能。隠したいことがあったら、そもそもメールを使わないし、メールプロトコルは通信の秘密を考慮して設計されてないからね。それなら、Signalの方がずっと良さそうだし、もしくはセルフホスティングの暗号化されたMatrixルームかな。

ここにたくさんのコメントがあって心配だし驚いてる。いつも読んでる内容とは逆に、誰も深く掘り下げたり、証拠を批判的に見たりしてないみたい。 ad hominemや暗示が多すぎる。これってブリゲーディングに見える。政府がプロトンメールに対抗する唯一の方法は、疑念を広めることだからね。だから、プロトンの強い支持者であり続けることを再確認したよ。