ハクソク

世界を動かす技術を、日本語で。

Discord、ピーター・ティールとの関係が明らかになった後、年齢確認企業との距離を置く

100日前原文(kotaku.com)

概要

  • UKのオンライン安全法(OSA) により主要デジタルプラットフォームが年齢確認を強化
  • Discordの年齢確認システム の脆弱性と情報漏洩問題
  • Persona社 による新たな年齢確認導入とその論争
  • Personaの 投資家Peter Thiel や監視企業Palantirとの関係
  • Discordの今後の方針とユーザーの懸念

Discordの年齢確認強化とその背景

  • 2023年7月、イギリスの Online Safety Act(OSA) 施行により、主要デジタルプラットフォームに未成年者の有害コンテンツ接触防止義務
  • Reddit、Spotify、X などが、顔認証や政府発行ID提出など 厳格な年齢確認 を実施
  • Discord は年齢確認システムが 簡単に突破可能 で、約7万人分のID情報流出事件も発生
  • Discordが グローバルで年齢確認強化 を計画

Persona社の導入と論争

  • Discordが年齢確認に 第三者サービスPersona を一部導入
    • Persona は2018年創業、本人確認や不正防止技術を開発
    • OSA施行後、RedditやRoblox でも導入実績
  • Personaの主要投資家は Founders Fund
    • Founders Fund はSpaceX、AirBNB、OpenAIなどへも初期投資
    • Peter Thiel が関与、Palantir共同創業者

Peter ThielとPalantirの関係

  • Peter Thiel はPayPal共同創業者であり、現在は Palantir との関わりが強い
  • Palantir はデジタル監視・情報解析を専門とし、米政府機関ICEのための監視ツール ELITE を開発
  • 最近の Epsteinメール流出 でもThielとEpsteinのやりとりが判明
  • Founders Fund がPersonaへの巨額投資を実施

Discordユーザーの懸念と今後の方針

  • 個人情報収集とプライバシー への不安
    • Discordは年齢確認拡大方針を明確にせず
    • 既存データから年齢推定 する可能性も示唆
    • Persona経由での情報は 7日間のみ保存 と公式発表
  • Discordは「 限定テスト」と説明し、既に終了したとコメント
  • 今後の技術運用やプライバシー保護の詳細は未定

まとめ

  • Discordの年齢確認強化 は、ユーザーのプライバシーと情報管理に新たな課題
  • PersonaやPeter Thielの関与 が、さらなる論争と不信感を招く要因
  • 今後の運用方針やユーザー保護策に注目

Hackerたちの意見

特に、これによってDiscordは最初の発表で嘘をついたことになるよね。最初は「すべての処理はデバイス上で行われる」って言ってたけど、今回の「実験」に巻き込まれたユーザーには当てはまらないんだ。

Argento DragoneがKotakuのコメントで言ってたけど、「顔認証はデバイス上でID確認に使われて、その後すぐに削除される」って。「すぐにっていうのは、k-IDに送ってるってことだよ。彼らがそうしてるって言ってた。」 「それは、彼らが実際の確認を行うためにPersonaと提携してるってこと。」 「Personaは『すぐに』っていうのは『7日後』って意味だって明言してる。」 「そして、Palantirとの関係を考えると、多分大丈夫だよ。俺たちを信じてるよね?」

Discordを擁護するつもりはないけど、それは違うよ。その発表では、すべての処理がデバイス上で行われるとは言ってない。顔認証を使うときだけだって。> 「顔年齢推定のためのビデオセルフィーはユーザーのデバイスから出ない」> 「顔認証はあなたのデバイスから出ない。Discordや私たちのベンダーパートナーには届かない。」その一方で、アップロードされたIDは「パートナー」に送信されることも明確にしてる。> 「迅速な削除:私たちのベンダーパートナーに提出された身分証明書はすぐに削除される—ほとんどの場合、年齢確認の後すぐに。」

記事のタイトルは、こっちよりずっと分かりやすかったよね。「Discord、Palantirのピーター・ティールとの関係を断つ」って。なんで変更したのか分からないけど、意味が全然変わるよ。

HNに投稿するにはタイトルが長すぎると思う。

俺は、いくつかのプロジェクトについていくために、渋々Discordを使ってたんだけど、何度も自動でバンされて諦めたこともあった。アルゴリズムが壊れてて、IPアドレスや電話番号に基づいてバンされてたんだ。開発者に連絡して手動で直してもらったけど、もう二度とDiscordを使う気にはならないよ。このクソみたいな状況の後は、IRCとSignalグループに戻るつもり。

「Discordがピーター・ティールのPalantir年齢確認会社から距離を置く」って言っても、まだビジネスを続けてるなら全然意味がないよ。Discordは本当にひどい方法でこの問題に対処してるから、今さら何を言われても信じられない。もし分離があったとしても、また別のティール関連の会社と仲良くなるだろうし、熱が冷めたらすぐに戻ると思ってる。

ピンポンピンポン。時間の問題だよ、これはニュースサイクルが次に移るまでのダメージコントロールに過ぎない。

記事で提案されているようにシンプソンズの引用を使うなら、Discordが年齢確認の「第三者プロバイダー」を選ぶのは、まるで通りにいろんなバンを停めているみたいだね。そのうちの一台がIDをちゃんと削除しなくて漏れちゃった。今、ピーター・ティールの年齢確認トラックが通りに2週間も停まってる。ピザを配達するのにどれくらいかかるの?フラワーズ・バイ・アイリーンのバンに替えた方がいいんじゃない?誰かその会社を作って売ろうとしない?年齢確認を真剣に考えてるって言ってる大手テック企業が、明らかに審査もせずにいろんな下請けにその部分を外注してるなんて、ほんと驚きだよ。Discordはプラットフォームとして好きだし、自分と友達のためにサブスクリプションも取ったけど、誰がそれを動かしてるのか全然わからない。

DiscordがPersonaを使ってることに気づいた!これ、LinkedInでも認証に使われてるんだよね。

実際のリスクは、Discordで送信されたすべてのメッセージがPalantirに届いて、あなたのIDのコピーが送られることだよ。これはどのユーザーも受け入れるべきリスクじゃない。Discordは一度ユーザーを騙したんだから、もう二度と騙さないとは信じられない。

それに、Discordを使う人がこんなに多いから、他のデータフィードと関連付けるのにめっちゃ役立つと思う。Discordの活動自体よりも、そっちの方が価値があるかもしれないね。

誰もそれを信じてないよ。

デバイス上で年齢確認をローカルにやっちゃダメなの?ちょっとしたWASMで小さなAIモデルを動かして、顔とIDをスキャンするだけでいいのに。バイパスされるのは簡単だろうけど、それは関係ないよ。子供を止めたいだけなんだから、技術的スキルのある大人じゃなくてさ。

年齢確認の問題じゃなくて、コントロールとデジタルIDの問題なんだよね。

顔のスキャンって、100%の精度でできるの?

ブラウザが年齢を発信して、サイトがそれをチェックしてブロックすることもできるし、親がペアレンタルコントロールで管理することもできる。でもそれじゃ面白くないよね。子供のコントロールを確実にできない(悪い)、マネタイズ(もっと悪い)、政府と共有しない(今の政権下では最悪)。

彼らは子供を止めようとしているわけじゃなくて、大人でも子供でも誰でも情報を確認して集めようとしてるんだよ。

k-idはEpic Gamesが運営していて、Discordが使っている年齢確認会社の一つなんだけど、君が提案したようなことはすでにやってるよ。もちろん、俺たちのお気に入りのインフォセックTwitterの若者たちはもう解析済みだよ。https://github.com/xyzeva/k-id-age-verifier

子供たちは4chanやChatGPTにアクセスできるからね。カメラがオンになっていることを示すLEDを無効にするためにmacOSのカーネルドライバーをハッキングするのは、子供たちには難しい技術のはずだけど、実際に起こったし、子供たちが他の子供たちに対して悪用したんだよね。

若い世代は技術的にめちゃくちゃスキルが高いことを忘れないで!それに、時間もたっぷりあるしね!でも、君はいい方向に進んでるよ。解決策としては、こんな感じかな:1. ブラウザが第三者サービスを通じて一回限りの年齢確認を行う。ただし、どのサイトにアクセスするかの詳細は開示しない。2. ブラウザがその年齢を、そのサービスによって署名して保存する。3. サイトがそれを要求したら、ブラウザがその署名された年齢を渡す。サイトは、信頼できる権威の公開鍵で有効な署名かどうかを確認するだけでいい。ブラウザはこの例でパランティアを使うこともできるけど、ユーザーが何にアクセスしているかのデータは一切得られないよ。

やらない方が簡単だよね。

でも、その場合はハードウェアの認証が必要になるし、もちろんLinuxは除外されるだろうね。なんでかって?それが理由さ。

年齢確認をどこに外注しようが、そんなの気にしないよ。どうせ私のIDスキャンや顔を保持する権利なんてないし。だって、120%の確率で公のS3バケットに流出するから。

だって、120%の確率で公のS3バケットに流出するから。もう流出しちゃったよ:https://www.bbc.com/news/articles/c8jmzd972leo

それが俺も気になるところだよ。すごく簡単に感じる。ソースデータを保存しなければいいだけなのに。彼らは大抵、保存してないとか、すぐに削除されるとか、全然ディスクに保存されないとか言うけど、いつも嘘だよね。保存しなければ攻撃の隙間もないし。プレーンテキストのパスワードも同じ。最近見たパスワード漏洩攻撃の数は0だよ(もちろん、まだあるとは思うけど)。保存されたIDや個人情報の確認は数え切れないほどある。

彼らは様子を見てたんだ。再びやってくるよ。これまで何度も見てきたからね。その膨れ上がったソフトウェアを使っているなら、そろそろ移動する時だよ。

それはネットワークなんだ。君は移動できるかもしれないけど、コミュニティはどうなる?俺たちはネットワーク効果に完全に支配されてる。みんなが嫌ってるのに、他の人たちも使い続けているから、結局自分も使い続けているものってどれくらいある?ネットワーク効果のドラゴンを倒すことができれば、21世紀の人間の力を高める大きな勝利になるだろうね。