ハクソク

世界を動かす技術を、日本語で。

イラン、国民に「WhatsApp」をデバイスから削除するよう要請

342日前原文(apnews.com)

概要

  • イラン国営テレビがWhatsAppの削除を呼びかけ
  • WhatsAppはイスラエルへの情報提供を否定
  • エンドツーエンド暗号化による通信保護
  • メタデータやデータ主権の懸念指摘
  • イラン国内でのSNS規制と利用状況

イラン国営テレビによるWhatsApp削除要請とその背景

  • イラン国営テレビ が、 WhatsApp の削除を国民に呼びかけ
  • 理由は「 ユーザー情報がイスラエルに送信されている疑い」と主張
  • 具体的な証拠は提示されず、 根拠のない主張 とされる
  • WhatsApp 側は「このような虚偽報道がサービス遮断の口実にされることを懸念」と声明
  • イランでは過去にもSNSやメッセージアプリの アクセス規制 が実施された経緯

WhatsAppのセキュリティとプライバシーへの主張

  • WhatsApp は「 エンドツーエンド暗号化」を採用
    • メッセージ内容は 送信者と受信者のみが閲覧可能
    • サービス提供者や第三者が内容を読むことは不可能
  • 正確な位置情報の追跡や通信ログの保存は行っていない」と強調
  • 政府への情報一括提供も行っていない」と説明

メタデータとデータ主権の課題

  • Cornell Universityの Gregory Falco助教授 による指摘
    • WhatsAppのメタデータ (利用状況など)は暗号化されていない
    • メタデータ分析による 利用実態の把握 が可能
  • データ主権 の問題
    • 各国のデータが 国外サーバー に保存される場合が多い
    • 自国データは国内保管・処理が理想」という見解
    • グローバルなデータインフラへの信頼性低下 が背景

イラン国内でのWhatsApp利用状況と規制

  • Meta Platforms (FacebookやInstagramの親会社)がWhatsAppを運営
  • イランは過去に WhatsAppやGoogle Playを禁止
    • 2022年の抗議活動時にアクセス遮断
    • その後、 2023年末に規制が一部解除
  • 多くの国民が プロキシやVPNを利用してSNSへアクセス
  • WhatsAppは InstagramやTelegramと並ぶ人気メッセージアプリ として定着

今後の展望と課題

  • 政府によるSNS規制市民の情報アクセス権 の綱引き
  • セキュリティ技術の進化プライバシー保護 の重要性
  • グローバル企業と各国のデータ主権問題 の深刻化

Hackerたちの意見

主要なSNSやメッセージングプラットフォームはすべて危険にさらされていて、監視の道具になってるから、イラン政府の言ってることは間違ってないよね。

ソース:

イラクやガザなんて、イランの武装勢力や民兵、政府を倒すために必要なことに比べたら、全然大したことないよ。地形もアフガニスタンに似てるし、部族間のイスラム同盟は中央政府が失われても強いからね。2カ国以上にまたがる大きな山岳国境があって、特定のイスラム武装勢力には目をつぶる国もあるだろうし。みんな完全な空中優位や指導者の転覆のキャンペーンに飛びつきたがるけど、WhatsAppが体制を52人の処女から引き離すかもしれないって言っても、これはプロパガンダキャンペーンだってことを理解してほしい。この初期のプロパガンダは、国民を血に引き込むために同意を作り出すだけで、後には引けなくなるようにするためのものなんだ。私たちは騙されつつある。

間違ってはいないけど、特にMetaは国家の意向に対して特異に従順だよね。

メタの声明の言葉遊びが一番面白いと思う。「私たちはあなたの正確な位置を追跡していません。誰が誰にメッセージを送っているかのログも残していませんし、個人のメッセージを追跡することもありません」と付け加えた。「私たちは大量の情報をどの政府にも提供しません。」

彼らのポイントをよく読むと、一般的な位置を追跡して、グループメッセージをログに残し、政府からの要求に応じて特定の情報を提供しているように聞こえる。

これにはメタの協力なんて必要ないし、彼らは0クリックの0日脆弱性を使って、必要な人をターゲットにすることができるよ。

これも、「誰が誰にメッセージを送っているかのログ」

「誰が誰にメッセージを送っているかのログは取っていません」って言ってるけど、絶対に取ってるよね。じゃなきゃ、アプリを使ったときにメッセージが…ねぇ、どうして見れるの?

Re: 「誰が誰にメッセージを送っているかのログは取っていません」 https://faq.whatsapp.com/444002211197967/?locale=en_US から: > 通常のサービス提供の過程で、WhatsAppはメッセージが配信された後は保存しないし、配信されたメッセージの取引ログも保存しません。未配信のメッセージは30日後にサーバーから削除されます。WhatsAppのプライバシーポリシーに記載されているように、ユーザーの安全を守るため、違法行為を検出・調査・防止するため、法的手続きや政府の要請に応じるため、または利用規約やポリシーを施行するために、善意で必要だと信じる場合には、ユーザー情報を収集・使用・保存・共有することがあります。これには、あるユーザーが他のユーザーとどのようにやり取りしているかの情報も含まれるかもしれません。私たちはサービスのためにエンドツーエンドの暗号化を提供しており、常に有効になっています。エンドツーエンドの暗号化は、メッセージがWhatsAppや第三者に読まれないように保護されることを意味します。WhatsAppのセキュリティに関する追加情報はここで確認できます。特に「あるユーザーが他のユーザーとどのようにやり取りしているかの情報」という部分は、彼らが「誰が誰にメッセージを送っているかのログは取っていない」と言っていることと矛盾しているよね。

プッシュ通知はログに記録されて、人々のデータを取得するために使われてるんじゃないの?これ、1年以上前にニュースになってたよね: https://www.wired.com/story/apple-google-push-notification-s...

これはただの嘘だよ。俺はMetaで働いてた人を知ってるけど、彼らは政府のためにデータを大量にエクスポートするツールを作るチームを持ってた。どの政府がどのアクセスを持ってたのかは詳しく知らないけど(令状のためだけだったのか、どの国か、実際のテロリストとジャーナリストを迫害するラインは何だったのか)、確実に大量エクスポートはあったし、彼らが嘘をついてるってことは最悪の事態を想定せざるを得ないよ。

これは、ユーザーを追跡するためにAndroid上に秘密のローカルホストリスナーを作った会社だよ。プライベートモードでもウェブサイトを横断して追跡できるようにね。これを信じるなんて無理だ。彼らがすべてを高精度で追跡して、メッセージもMITMしてると考える方がずっと自然だよ。特に今は広告を挿入してるし。

なんか、同じ文を言うけど、毎回違う言葉に強調を置くゲームみたいだね。「私たちは誰がメッセージを送っているかのログを保持していません…」 「私たちは誰がメッセージを送っているかのログを『保持』していません…」 「私たちは『誰』がメッセージを送っているかのログを保持していません…」みたいな。

誰が何を言うかなんて気にする人いるの?彼らの過去の行動から判断すると、口が動いている時は嘘をついてるって言っても安全だよ。

イランの人でこれについてコメントできる人いる?WhatsAppについて市民はどう思ってるんだろう?

わからないけど、彼らには地元の代替手段があるみたい。イラン人は複数のサービスを連携させるブリッジプロトコルを持ってるよ: https://en.wikipedia.org/wiki/Message_Exchange_Bus

ここイランからだけど、ほとんどのイラン人はTelegramかWhatsAppを使ってる。今はどちらもブロックされていて、VPNを使わないと使えない状態なんだ(何年も前からブロックされてるけど、WhatsAppは数ヶ月前に解除されたのに、イスラエルの攻撃の後またブロックされた)。多くのイラン人は政権の言ってることを信じてないし、気にもしてないと思う。ただ、少数の政権支持者は気にしてるかもしれないけど、そもそもWhatsAppを使ってないだろうね。とはいえ、政権自体は本気でそう思ってるみたいで、高官が携帯電話などのインターネットに接続できる電子機器の使用を禁止されたってニュースもあったよ。

イランの政権がWhatsAppがイスラエルと情報を共有していることを心配しているって聞いて、驚いた。WhatsAppが情報を積極的に共有しているよりも、モサドがその情報を得るために0-dayの脆弱性を使っている可能性の方が高いと思う。

おそらく、イスラエルが煽っている革命の間にコミュニケーションのためのプラットフォームになることを心配しているんだろうね。

イランは2022年に政府に対する大規模抗議の際にWhatsAppとGoogle Playを禁止した つまり、イスラエルを恐れているというよりも、警察に傍受されない暗号化された通信チャネルを持つ一般市民を恐れているんだね。いろいろ説明がつく。

SMOに参加しているロシアの兵士たちは、WhatsAppで親戚とテキストや写真を交換した後、その情報が翌日にウクライナ軍の本部に届くと何度も報告している。写真付きでね。後で、その情報が兵士の親戚を嫌がらせするために使われることもある。別のメカニズム(例えば、Google Driveや他のマルウェア)かもしれないけど、2011年のスノーデンの暴露以降、NSAやCIAがハードウェアやファームウェアにバグを仕込んでいる世界では、確信を持つのは難しい。

多くの西洋のアプリにはバックドアがあると考える理由は十分あるし、イランのような国にアプリストアからバックドアが提供されている可能性もある。また、車の技術やカメラもそう。もし三文字の機関で働いていたら、ストリートのリアルタイム監視なんて夢のようだよ。普通は非常に難しいことだからね。数マイル離れた場所の最近の写真が欲しいと思ったことが何度もあるけど、360度の車載カメラがあれば人を追跡したり、数分前の変化を見たりできる。どうしてこれらの国はこれらの機能をブロックしたり、完全にオフにするように義務付けたりしないのか分からない。

多くの西洋のアプリにはバックドアがあるというのは、十分に信じる理由があるよね。このスレッドでよく聞く意見だ。俺の直感と実体験も、どこかでこれは本当だと思わせるけど、みんなはどうやって陰謀論と正当な推測を見分けてるの?

イスラエルはWhatsAppをインストールする必要すらない。IDFの8200部隊は、イランのほとんどの携帯電話をハッキングできるだろうし。もしできなくても、NSOグループみたいなスパイウェアを売ってる民間企業があるし。

イラン出身の同僚がいたんだけど、彼はすべてのコンピュータがファルシ語に翻訳された同じクラック版のWindows XPを使ってるって言ってた。簡単に悪用できるよね。

ここではWhatsAppがエンドツーエンド暗号化チャットをMITM(中間者攻撃)しているとか、その他の仮説について根拠のない推測がたくさんあるけど、実際に政府がアクセスする最も可能性の高いルートはオープンにあるんだよね。WhatsAppはユーザーにチャットをiCloudやGoogle Driveにバックアップするように強く促してる。これらのバックアップはデフォルトで暗号化されてない(少なくともMetaが知っているキーで暗号化されている)。ほとんどのユーザーはデフォルトのまま使ってるし。iMessageも全く同じ話で、「iCloudバックアップ」や「iMessage in the cloud」が有効になっていると、受信したメッセージはAppleにアップロードされるんだ。これもAppleがアクセスできるキーを使ってる。もちろん「高度なデータ保護」を有効にしない限り(これはデフォルトじゃない)。ユーザーはこれらのデフォルトから外れることもできるけど、会話が実際にプライベートになるためには、両方の当事者がそうする必要がある!でも、十分な動機があれば、Signalを使うこともできるしね。

セキュリティの観点から言えば、政府に関係する人たちは自分たちがコントロールできるものを使うべきだよね。これはどの国でも同じ。一般の人々、特に国のトップが嫌いな人たちにとっては、WhatsAppは素晴らしいツールだと思う。私は「西側」にいるからWhatsAppやMetaのことが心配だけど、イラン政府に対してMetaがユーザーのデータを提供するなんてあり得ないから…イラン人にとっては良い選択肢だよ。

みんなにそうなってほしいな。