Appleの中国関連の論争はまだ終わっていないようだ。iOS 13のSafariが、閲覧データを中国の巨大コングロマリットであるTencentに送信しているようだ。Tencentは、QQ、WeChat、Qzoneといった中国最大のデジタルプラットフォームを所有している。Tencentは、中国政府が国民のインターネット上での閲覧や交流を厳しく管理するのを支援していることでも知られている。
問題となっている機能は、Safariの「詐欺ウェブサイト警告」です。一見すると、フィッシング詐欺によく使われる悪質なウェブサイトからユーザーを守るための機能なので、一見良いように思えます。実際、Appleは長らくGoogleのセーフブラウジング技術を採用しています。これは、ユーザーが悪質と判断されたURLにアクセスしようとすると、そのサイトにアクセスしないよう警告するポップアップが表示されるというものです。iOS 13の主な変更点は、「Safariとプライバシー」の細則に、「ウェブサイトにアクセスする前に、Safariはウェブサイトのアドレスから計算された情報をGoogleセーフブラウジングとTencentセーフブラウジングに送信し、ウェブサイトが詐欺サイトかどうか確認することがあります。これらのセーフブラウジングプロバイダは、ユーザーのIPアドレスも記録する場合があります」と記載されたことです。
https://[削除されたリンク]/5-things-to-know-about-tencent-the-chinese-internet-gi-1820767339
当初、中国以外のユーザーのデータがテンセントに送信されているかどうかは明らかではなかったが、その後、Appleは声明の中で、中国本土のユーザーにのみ影響があると明らかにした。
Appleの広報担当者はGizmodoへのメールで、「AppleはSafariの詐欺ウェブサイト警告機能によってユーザーのプライバシーとデータを保護しています。これは、悪質なウェブサイトにフラグを立てるセキュリティ機能です。この機能を有効にすると、SafariはウェブサイトのURLを既知のウェブサイトのリストと照合し、ユーザーがアクセスしたURLがフィッシングなどの詐欺行為の疑いがある場合に警告を表示します」と述べています。「この機能を実現するために、SafariはGoogleから悪質なウェブサイトのリストを受け取り、リージョンコードが中国本土に設定されているデバイスの場合はTencentからリストを受け取ります。」
それは正当なように思えますが、セーフブラウジングは完全にプライベートではありません。ジョンズホプキンス大学のマシュー・グリーン教授は、アップデートに関するブログで、Googleの技術の最初のイテレーションは「プライバシーの悪夢」だったと指摘しました。当初、Googleのサーバーは基本的に、ユーザーが訪問したサイトのURL全体とIPアドレスを受け取っていました。これに気づいたGoogleは、セーフブラウジング技術の仕組みを変更し、部分的なハッシュを実装してある程度のプライバシーを確保しました。しかし、Googleサーバーは依然としてユーザーのIPアドレスやその他の識別情報を参照しています。グリーン氏によると、一般的なユーザーは数千のURLにアクセスするため、悪意のあるプロバイダーはユーザーの匿名性を解除することができ、「プロバイダーが悪意を持っており、リクエストを関連付けることができると仮定した場合、ユーザーは徐々に閲覧履歴の詳細をプロバイダーに漏らす」ことになります。
テンセントの話に戻りますが、前述の通り、テンセントは中国で人気のインターネットプラットフォームを数多く所有しています。そのため、オンラインコンテンツの検閲に積極的に関与しています。テンセントが所有するメッセージングアプリ「WeChat」は、プライベートな会話をリアルタイムで自動的に検閲し、画像にもフィルタリングをかけています。今年初めには、テンセントのQQブラウザなどが、開発者が職場の不満を吐露するGitHubページへのアクセスをブロックしていることが判明しました。また、テンセントが中国共産党のために「愛国的な」ビデオゲームを開発するとの報道もあります。Appleの警告では、詐欺ウェブサイトの警告機能によってユーザーのIPアドレスがテンセントに送信されることを認めており、ユーザーは、政府から匿名化解除の要請があったとしても、テンセントがそれに屈しないことを信じるしかありません。検閲に関して中国政府の圧力に屈してきた歴史を考えると、これは心強いものではありません。
AppleはGizmodoに対し、この機能はユーザーがアクセスしたURLの正確な情報をプロバイダーと共有することは決してないと説明しました。Safariは、悪質なサイトに適用されるURLプレフィックスハッシュのリストを定期的に受信します。このリストがユーザーがアクセスしようとしているサイトのハッシュと一致する場合、Safariはプロバイダーに対し、同じハッシュプレフィックスを持つ悪質なURLの完全なリストを要求します。ユーザーのURLがリストのいずれかに一致する場合、危険なサイトにアクセスしていることを示す警告が表示されます。これらのチェックはすべてデバイス上で行われるため、プロバイダーはユーザーがアクセスした実際のURLを受け取ることはありません。ただし、Safariはセーフブラウジングプロバイダーと直接通信するため、プロバイダーはユーザーのIPアドレスを取得します。
これは、Appleが中国政府の要求に屈したと報じられている中での出来事です。先週、Appleは香港の民主化デモ参加者が使用していたスマートフォンアプリを削除しました。AppleのCEO、ティム・クック氏はその後、この決定を改めて強調し、クック氏の主張の正当性に疑問を呈する声もあるものの、書簡の中でアプリは「香港法に違反している」と述べました。同様に、BuzzFeed Newsの報道によると、Appleは一部のApple TV+番組開発者に対し、「中国を悪く描写しないよう」指示したとのことです。
セーフブラウジングには確かに利点がありますが、このニュースに不安を感じる場合は、「設定」>「Safari」>「詐欺サイトの警告」に移動して、Safari の機能をオフにすることができます。
