書評:『フューチャー・クライム』(マーク・グッドマン)
この本は、犯罪の技術革新と技術的脆弱性における最新事例を並べるだけではなく、私たちを待ち受ける無数の脅威を打ち破るための道を提供する。(……)
以下を読み進めれば、自分の車、スマートフォン、掃除機も、今までとは同じには見えなくなるだろう。(p13)
テクノロジーについて私たちが思ってもみなかった穴があることの事例紹介と、近い将来なにが起こりうるか、そしてその対応策として私たちに何ができるかを本書は教えてくれる。
最先端科学技術とその悪用可能性についての総合カタログと言ってよいだろう。
知っている方にはお馴染みの、しかし恐ろしいWired記者が遭遇した有名なソーシャルハッキング事例で本書は幕を開ける。
ハッカーがマット・ホーナン記者についてまったく情報を持たない状態からスタートし、彼のTwitter、Apple、google、Amazon、オンライン銀行や証券会社のアカウントを乗っ取り、PCやスマホのデータをリモートで全削除するまでにかかる時間は30分かそこらであった。
そこからは怒涛の情報量である。
- 少なく見積もっても新しいコンピュータウイルスが毎日5万種生み出されている。
- アンチウイルスソフトが新種の脅威を探知できる確率は5%。
- 企業に対する侵入のうち平均して62%は探知まで少なくとも2ヶ月を要している。
- フィッシング詐欺から非友好的な探りに至るまで、米国の公共設備会社12社が日々、恒常的に、頻繁にサイバー攻撃を受けている。
- 2014年8月にロシアのハッキング集団は42万のウェブサイトから12億人分のユーザー名・パスワードなどの認証データを集めた。
- AppleのSiriに何かの問い合わせをするたび、その声の記録は少なくとも2年間分析され蓄積される。
- G社の提供するクラウドサービスの規約には下記の記述がある。「本サービスにユーザーがコンテンツをアップロード、提供、保存、送信、または受信すると、ユーザーは G社(および G社 と協働する第三者)に対して、そのコンテンツについて、使用、ホスト、保存、複製、変更、派生物の作成、(公衆)送信、出版、公演、上映、(公開)表示、および配布を行うための全世界的なライセンスを付与することになります」。G社とはもちろんgoogleである。
- Facebookのアンドロイドアプリをダウンロードすると、利用者はいちいち確認することなく「カメラで写真や動画を撮る」許可を同社に与えることに同意することになる。これも規約に記されている。
- 上記のような規約はサービス提供会社によっていつでも利用者に断りなく変更可能である(と規約に書いてある)。
- アンドロイドアプリの82%が利用者のオンラインでの活動を追跡していて、80%は位置情報を収集している。
- プロバイダ、クレジットカード会社、携帯電話会社、信用調査所、コンビニ、食料品店、そしてソーシャルネットワークからデータブローカー企業は膨大な個人情報を収集している。データブローカーたちはそのリストを欲しがる顧客に売りつける。たとえば認知症の老人、エイズ罹患者、DV被害者、レイプ被害者のリストが販売されたりオークションにかけられたりする。アメリカにはそのことを規制する法律がない。
- MITで行われた研究では、プロフィールをデータ分析することで78%の確率でその人がゲイであるか否かが判別できた。もちろん特定の国々で同性愛は死刑である。
- オンラインの活動やGPS情報などを利用することで、政府はいまや納税者一人あたり547ドル、1時間6.5セントで米国人一人ひとりをすべて追跡できる。
- 2010年以後googleのパスワードを変更していなければ、中国人民解放軍はそのパスワードを知っている。
- 2013年にはデータブローカーのエクスペリアン社が全アメリカ人の2/3近くの個人データを誤ってベトナムの組織犯罪者集団に売った。2億人のアメリカ人の「マイナンバー」が世界中の犯罪者に利用できる状態になっている。
- 2013年時点でgoogleストアのうち42,000件以上のアプリがスパイウェアやトロイの木馬プログラムを含んでいた。
- 米国国家安全保障局(NSA)は毎日17億件以上のメール、電話、SMSを傍受している。
- アングリーバードのアプリが利用者の位置や性的指向を開発元であるロヴィオ社に伝えていたことを知る者は少ないが、さらにそのデータはNSAに盗聴されている。
- 組織的サイバー犯罪集団は最新のまっとうな企業戦略、供給確保、世界的展開、ジャストインタイムの生産、消費者需要分析に長けた総合商社のような世界的組織となっている。このようなクライム・インク(Crime,Inc.)が少なくとも50はある。
- グーグルがインデックスをつけた「ググれる」ウェブの広さは19テラバイトだが、パスワードの入力、料金支払い、または専用ソフトによるアクセスを必要とするインデックスされないディープウェブには7,500テラバイトの情報がある。その深奥、Torといった暗号・匿名化ソフトによってしかアクセスできないダークネットでは次のような商品が流通している。海賊版コンテンツ、ドラッグ、偽造通貨、盗品、カード/アカウント、身元情報、信用書類、武器弾薬、殺し屋、児童ポルノ、人間やその臓器、レイプのライブストリーミング(もちろん児童を含む)。
以上は、本書が明かす驚くべき現実の事例のほんの一部である。
事例のうちいくつかは聞き覚えのあるものだったが、テクノロジーとそれに対する私たちの無防備さをここまで網羅的に集めたものを目にするのは初めてだった。
著者が米国人のため事例は米国のものが多くなっているが、状況は日本でも変わらない。セキュリティ意識がまだまだ低いこの国で本当にマイナンバーを導入してしまうのだろうかと恐ろしくなる。
google、Facebook、Twitter、Instagram、そしてその他の何百という企業がそのサービスを無料で提供できるのは何故なのだろうか?
フリーミアムモデルで考えれば「広告」と「有料のプレミアムサービス」がその答えなのだが、本書の意見は異なる。
それらのサービスは利用する人々に個人的データを明かさせ、それらのデータを整理、保存して広告業者・政府・第三者のデータ仲介業者に売っている。サービスが無料なのはあなたが製品だからだ、というのが本書の回答である。
各種IT企業のオンラインサービスに加え、日本で大きな領土をすでに築いているのが各種ポイントサービスである。零コンマ数パーセントの割引券を手に入れる代わりに、私たちは彼らに何を明け渡しているのだろうか?
(関連:忘れず外そうCCCへの個人情報提供。 | ditm.)
すでに現実となっている上記の事例に対し、本書の後半ではいま現実になろうとしているリスクを明らかにしていく。つまり人工臓器から自動車・家に至るまでのIoT、ドローンとロボット、3Dプリンタ、合成生物学とDNAハッキング、そしてAIである。
(関連:グーグルの囲碁AI「AlphaGo(アルファ碁)」は囲碁の謎をどのように解いたのか?(モンテカルロ法と… | ditm.)
人類に新しい可能性と豊かな世界をもたらしうるこれらの技術は、一方でいつでも悪に染まりうり、その影響範囲は指数関数的に増大してゆく。
指数関数的なテクノロジーの成長曲線を、線形の時間に生きる我々はなかなか理解できないし、何かが起こってから対応するのではすでに遅い。
これらの危機、リスク、脆弱性に備えるため、私たちには何ができるだろうか?
「完璧なセキュリティ」は達成できないし、またその必要もないと著者は述べる。たとえば、
- 作者不明のアプリケーションは実行しない
- OS、アプリケーションは最新版に自動更新するようにしておく
- 管理者権限を設定し、PCを普段使う際には一般ユーザーとしてログインする
これだけで標的型侵入の85%は防げる、という。
ほとんどの悪意ある攻撃は天才的ハッカーの技量によってではなく、私たちの側の不注意、怠惰、知識不足によって招かれた脆弱性を発端としている。風邪予防の方法は広く知られているのに、なぜコンピュータ"ウイルス"への対策を誰も知らないのだろうか。公衆衛生と疫学的なアプローチは、技術的脅威についても有用であると著者は述べる。
また、現実の製造物について求められている厳しい製造物基準について、データとプログラムによる製造物についても要求すべきだとする。電子PL法とでも呼ぶべきだろうか。「失敗したらやり直せばいい」、リーンスタートアップは長い間ウェブの美学であったが、開拓者たちの場であったウェブがすでに参加を余儀なくさせる公衆のインフラとなっている現在では、自己責任の倫理は場にふさわしいものではなくなっている。
