世界を動かす技術を、日本語で。

プロトンメール、サイバーセキュリティ機関の要請でジャーナリストのアカウントを停止

2025年9月13日原文(theintercept.com)

概要

  • Proton Mailが韓国政府システムのセキュリティ侵害を報道したジャーナリストのアカウントを一時停止
  • 公的な批判を受け、数週間後にアカウントは復旧
  • ジャーナリストや編集者は停止理由の説明を要求
  • Protonの対応や説明不足に対する不信感の拡大
  • 今後のジャーナリストや内部告発者への影響懸念

Proton Mailによるジャーナリストアカウントの一時停止事件

  • Proton(Proton Mail運営会社)は「 中立かつ安全な個人データの避難所」を自称
  • 2023年8月、 韓国政府のサイバー攻撃報道 を行っていたジャーナリスト2名のProton Mailアカウントが、 不特定のサイバーセキュリティ機関からの通報 により停止
  • 停止されたアカウントは、 Phrack 誌の責任ある情報開示(responsible disclosure)用に作成されたもの
  • ジャーナリストは 韓国外務省、DCC、KISA、KrCERT/CC など関係機関に脆弱性を通知
  • KrCERTからは 感謝の返信 を受領

アカウント停止の経緯とProtonの対応

  • 停止理由は「 ポリシー違反の可能性」のみで詳細不明
  • Protonの Abuse Team は「 悪意ある利用」があったアカウントと関連があるため停止したと説明
  • 停止解除には アピールフォーム の提出が必要
  • 編集部や関係者からの問い合わせに Protonは一切返信せず
  • Phrack編集部が SNSで問題を公表、大きな話題に発展
  • Proton公式アカウントは「 CERTからの警告でアカウント群を停止した」と説明
    • どのCERTからかは 非公開
    • ジャーナリストを支持する が、誤って正当な活動が巻き込まれる場合がある」とコメント

ジャーナリズムとセキュリティサービスの課題

  • Freedom of the Press Foundationの Martin Shelton は「 Protonは本来このような事態を避けるために選ばれている」と指摘
  • アカウント停止が 報道活動や責任ある情報開示の妨害 となる実態
  • Protonはバイラル化する前に個別に説明・対応すべき」との声
  • The Intercept、Boston Globe、Tampa Bay Times等も Proton Mailを情報提供窓口として利用
  • 今回の対応で ジャーナリストや内部告発者の信頼低下

事件後の影響と今後の懸念

  • アカウント停止により 取材対応や情報開示活動が一時停止
  • ProtonやCEOの Andy Yen も復旧理由や経緯を明示せず
  • Phrack編集部は「 今後、裁判所命令や明確な違反がない限りアカウント停止しないという保証が必要」と主張
  • ジャーナリズムや内部告発活動への 萎縮効果と不透明性への懸念

CERT(Computer Emergency Response Team)について

  • CERTは サイバーセキュリティ専門機関
    • 世界70カ国以上に存在し、分野別に複数設置される場合も
    • 政府系・民間系の両方が存在
    • 報告された脅威やインシデントへの 迅速な対応 が求められる
  • 米国の例: Cybersecurity and Infrastructure Agency(CISA)
    • 近年一部機能縮小

この事件は、 セキュリティサービスの透明性と説明責任、そして 報道の自由と安全な情報開示の確保 という現代の重要課題を浮き彫りにする事例。

Hackerたちの意見

プロトンってここで勝てるのかな?明らかな解決策は「裁判命令がない限りアカウントを削除しない」ってことだけど、そうするとプロトンメールが麻薬密売人や児童ポルノ業者、ドックスラー、サイバー犯罪者の巣窟だって暴露される記事が出てくるだろうね。

明らかな解決策は「裁判所の命令がない限り、削除しない」ってことなんだけど、そうするとプロトンメールが麻薬密売人や児童性愛者、ドックスやサイバー犯罪者の巣窟だっていう暴露記事が出てくるだろうね。合理的なポリシーについて文句を言う可能性のある記事を気にしてサービスを悪化させるのはクレイジーだと思う。プロトンメールがそういうことを言われたことがないわけじゃないし(ハニーポットだとかプライバシーが足りないっていう accusations もあるし)。ユーザーのために誠実さを持って戦う方が、非合理的な意見を持つ人たちのクリックベイト記事を避けるために妥協するよりもいいよ。

いや、今は協力してるし、たまに悪い報道も出るよ。実際に彼らが主張していることをやっても何も変わらない。今の立場はただの言い訳だね。

そうだね。ほとんどのCERTリクエストは妥当で良いもので、対応すべきだけど、手動チェックは必要だと思う。特に異議申し立てがあった場合はね。明らかにセキュリティ報告の内容の場合は特に。どちらの極端も間違ってる - CERTを無視しちゃダメだし、無条件に従うのもダメ。多くの合理的な中間点を見つけるべきだよ。

プロトンの沈黙は、彼らにとって不利にしか解釈できないよ。これはあまり賢くないし、みんなが彼らを疑う原因になる。安全で妥協のないサービスのアイデアは好きだけど、今のプロトンはそうでもない気がする。

Ladar LevisonとLavabitは、約10年前に信頼を得たよね。残念ながら、今のhttps://lavabit.com/は「現在、新しいユーザーを受け付けていません。メールサービスはオンラインのままですが、ウェブサイトのコードを改善中です。」って言ってるだけ。

X/Twitterでこれを追ってるけど、最もひどい点の一つは、Phrackがプロトンに何度もプライベートで連絡したのに、プロトンが無視したことだと思う。Phrackが公にした後、彼らがバイラルになった投稿をした時だけ、プロトンは彼らと関わりを持ってアカウントを復活させたみたい。さらに、あるライターがプロトンに異議申し立てをしたけど、プロトンはその申し立てを却下したんだ。だから、事件を手動で調査してアカウントを復活させることを拒否したけど、これがX/Twitterで注目を集めてからようやく復活させた。だから、誤解しないでほしいけど、プロトンはCERTからの苦情があった後にアカウントを無効にしただけじゃなくて、SNSで注目されるまで何も手を打たなかったんだ。

Phrackがプロトンに何度もプライベートで連絡したのに、プロトンが無視した。リンク先のRedditの投稿によると、プロトンはこう言ってる: https://news.ycombinator.com/item?id=45227356 「Phrackが私たちの法務チームに8回連絡したという主張については、事実ではありません。私たちの法務チームの受信ボックスには、2通のメールしか届いておらず、最後のメールは9月6日に48時間の期限付きで来ました。これは、プロトンの規模の会社にとって非現実的です。特に、そのメッセージが土曜日に法務チームの受信ボックスに送信されたため、適切なカスタマーサポートチャネルを通じて送信されたわけではありません。」

Redditの熱心なファンたちが、これは明らかにそうだっていうのに、必死に擁護したり言い訳したりしてるのが笑える。

ポジティブな点としては、今の時代、ソーシャルメディアでのリーチが問題を解決することができるってことだね。

プロトンは、あなたが本物の人間である証拠を一切求めないからね。これに関して彼らを攻撃するつもりはないけど、プライバシー重視のツールは必要だと思う。ただ、数秒で数百のプロトンメールアドレスを作れたのはちょっと怖かった。世界中でスパムブロックリストに載ってないのが不思議だよ。彼らのキャプチャは子供でも解けるレベルで、スクリプトが簡単に突破できちゃう。もう少しスパム対策を強化して、こういうケースに迅速に対処できるなら、モデレーションを大幅に減らしてもいいと思う。

思い切って言っちゃうけど、アメリカのサイバーセキュリティ機関だと思う。ProtonのCEOは今のアメリカの政権が好きみたいだし、今は従って後で質問するっていう流れになるんじゃないかな。1. 公式のProtonアカウントから削除されたRedditのコメントによると、共和党を持ち上げてたから、Proton全体を代表して話してたんだと思う。https://theintercept.com/2025/01/28/proton-mail-andy-yen-tru.... CEOの怪しい公の発言以外に証拠はないけど、Protonが21世紀のCrypto AGだったとしても驚かないな。

Hacker Newsで議論の続きを見る