私たちの日常生活はますますオンラインで行われ、スマートフォンのような単一のデバイスによってますます促進されています。確かに便利なこともあります。ニュースを即座に知ることができ、自宅からのショッピング、電話やメールがすべて一つのデバイスで行えることです。しかし、私たちの個人情報と集団的なプライバシーが私たちの鼻先でどのように侵害されているかについては、簡単には見えないかもしれません。これは個人情報をオンラインで共有する問題だけではなく、オンラインで何かを行うこと自体がデータの痕跡を残し、それが収集されて利用されることです。私たちはおそらく、私たちのプライバシーがどれほど侵害されているかを完全には知ることはないでしょう。
私たちがオンラインで行うことがプライベートであるべきだと期待するのは自然なことです。ウェブを閲覧し、愛する人にメールを送り、購入を行うとき、これらのことが図書館に行ったり、手紙を郵送したり、店で何かを買うことと何が違うのでしょうか?オフラインの生活では、誰かが私たちの郵便を開けたり、招かれずに家に来たり、町中で私たちの動きを追跡したりすれば、私たちは当然警戒するでしょう。
この記事では、インターネットプライバシーの進化する概念、それがなぜ重要であるか、そしてオンラインプライバシーに対する主な脅威について説明します。すべての人がインターネット上のプライバシーを守るために積極的な役割を果たすために、Nymは公衆ウェブを利用する際に使用するべき重要な実践とツールに関するガイドを提供します。
インターネットプライバシーとは何か?
「インターネットプライバシー」を定義することは実際には非常に難しく、プライバシー理論家や活動家の間でも激しく議論されています。インターネットのデビュー当初、インターネットプライバシーはそれほど大きな懸念ではありませんでした。当時、「セキュリティ」の問題が優先されていました。インターネットがより広範囲に、公共に利用されるようになった1990年代になって初めて、ユーザーデータの収集の機会が警告の赤信号を灯し始めました。そして疑問が湧き上がりました:
公共のウェブを通過するまたはそこで発生する情報や活動はどのような種類のものが「プライベート」と見なされるべきか?
私たちが個人情報を共有するウェブ企業は、保存しているデータを保護する責任をどれだけ負うべきか?
ウェブサービスはどのような情報を第三者と共有でき、どのような情報を共有してはならないのか?
ある意味では、これらの質問は規制または法的な回答を求めています。しかし、私たちが見るように、これらの質問はユーザー側での即時の自己保護の実践も必要とします。
インターネットプライバシー:法的取り組み
インターネットプライバシーの一つの定義は、法的および管轄的なものです。多くの政府の憲法は、物理的な通信の改ざんや住居侵入から個人のプライバシーを守る一定の権利を保証しています。しかし、ワールドワイドウェブの基盤には、私たちがオンラインで行うことのプライバシーを考慮するような統治機関は存在しませんでした。現在でもそれらは比較的新しく、まだ形成中です。
過去10年間で、インターネットプライバシーは徐々に公共および法的な関心のレベルに達し、政府はそれを市民の基本的な権利として認識し、保護するために取り組むことを求めています。ヨーロッパ連合の一般データ保護規則(GDPR)のような最近の立法は、これまでで最も強力な政府のプライバシー保護法であり、確かに重要な一歩前進です。
残念ながら、GDPRのようなものは地域的な管轄権しか持っていませんが、インターネットはグローバルです。最終的には異なる国々がインターネットプライバシーに関する独自の方針を持っているか、全く持っていないかであり、地域のインターネットサービスプロバイダー(ISP)に特定の保護を実施することができるかどうかや意欲が異なります。オンラインプライバシーと自由に対して、いくつかの政府は市民の監視プログラムに積極的に関与し、ウェブアクセスとコンテンツをブロックする検閲制限を強制し、仮想プライベートネットワーク(VPN)などのプライバシーツールをブラックリストに載せています。
オンラインデータの種類
オンラインプライバシーに関するデータには、一般的に2つの法的分類があります。以下のメタデータと主要なプライバシー脅威のセクションで見るように、それらの違いは重要ですが不十分でもあります。
-
個人データ(PD)、または個人識別情報(personal identifying information)。PDは、自宅の住所やクレジットカード番号など、自然人を直接識別できる個人情報を指します。これには、年齢、人種、政治的な所属など、個人として特定できるまたはリンクできる属性も含まれます。
-
非個人データ(NPD)、または非個人識別情報(non-personal identifying information)。NPDは、最初から個人参照がないデータ(天気データなど)または仮名化または不可逆的に匿名化されたPDであり、個人にリンクできないデータです。たとえば、オンライン掲示板に仮名で投稿する場合、その投稿の内容は技術的にはNPDです。また、IPアドレスをデータセットから削除した後の特定のウェブサイトへのユーザートラフィックデータを公表する統計分析の場合、その結果はNPDです。
PDとNPDの違いが中立的または個人的に明らかになるかどうかを理解するために、基本的な例を考えてみましょう。たとえば、空港の駐車場に駐車されているすべての種類の車のリストを作成する人を想像してみてください。これには、車のメーカー、モデル、色、状態などのデータカテゴリが含まれます。データセットは詳細ですが、ほとんどの情報はNPDになります。おそらく誰のプライバシーも危険にさらされることはないでしょう。逆に、各車のデータに対応するナンバープレート番号が含まれている場合、それはPDが含まれており、車の所有者に個人的にリンクできるだけでなく、彼らの運転の好み、推定収入、さらには旅行記録などを分析するために使用することができます。
最終的に、PDはインターネットユーザーを悪用するための容易で主要なターゲットです。これは、私たちの身元(アイデンティティ盗難)、財務(盗難)、個人データ(身代金または悪用)を最も直接的に悪用する最も簡単な手段であるためです。しかし、PDはセンシティブ情報の内容(クレジットカード番号、自宅の住所、電話番号、医療記録)に限定されません。また、PDは私たちがオンラインで追跡される唯一の方法でもありません。問題は今やはるかに大きく、法的に不明確です。
メタデータ漏洩の問題
現在、私たちのコミュニケーションの内容(そして多くのPD)はエンドツーエンドの暗号化が標準となっているため、ほとんど保護されています。しかし、AIの時代において、オンライントラフィックを暗号化するだけでは不十分です。これは、私たちのメタデータを収集、分析、販売する高度なシステムが存在し、通常私たちの知らないうちに、または疑わしい同意慣行(または全く同意しない慣行)で行われているためです。
メタデータ(https://qiita.com/pseudonym2/items/1254c1fe613981325706 )は技術的にはデータに関するデータを意味し、コミュニケーションの場合はメッセージに関する情報を指します。これには、IPアドレス(どのデバイスがどのオンラインサービスに接続しているか)、タイムスタンプ(メッセージが送信された時間または接続が確立された時間)、持続時間(接続が持続した時間)、頻度(接続または連絡が行われた頻度)などの情報が含まれます。したがって、実際のメッセージを読むことができなくても、オンラインで何をしているのかについて多くの情報がトラフィックから漏れています(暗号化の外部にアクセス可能な意味で)。
メタデータは、オンラインプライバシー保護を目的としたほとんどの法規制に関して曖昧な地位にあります。一方では、それは明確な個人識別情報を持たないため、正確にはPDではなく、したがって個々のユーザーに簡単にリンクできません。他方では、それは正確にはNPDではありません。なぜなら、AIシステムによるデータ分析は、大規模なメタデータセットから非常に個人的な情報を推測できるからです:閲覧履歴、政治的信条、さらには医療条件など。ISPやVPNから得られた追加情報を使用して、複雑なトラフィック分析と監視プログラムは、メタデータを使用して個々のユーザーに直接導くことさえできます。
インターネット上のプライバシーに対する主な脅威は何か?
オンラインでのプライバシーが、私たちが何かをクリックした瞬間から私たちの手の届かないところにある場合、私たちはどのようにして自分のプライバシーをコントロールできるのでしょうか?インターネット企業のプライバシー保護の取り組みが、彼ら自身のデータの利用や第三者への販売を防ぐことができるでしょうか?さらに、政府や法執行機関がこれらの企業が共有する大量のユーザーデータにアクセスすることを防ぐことができるでしょうか?そして、それらのデータストレージシステムはどれほど安全でしょうか?
残念ながら、私たちのプライバシーをオンラインで守ることは、私たちを追跡するために絶えず働いている多くの可能な敵との多方面の戦いです(https://qiita.com/pseudonym2/items/9c892eac2ecbdb535168 )。ここでは、注目すべき主な脅威をいくつか紹介します:
サイバー犯罪とハッキング
サイバー犯罪(Cyber crime)は、個人、グループ、企業にとって世界中で最大の脅威の一つであり、あなたの生活、財務、個人の安全、精神的な健康に直接影響を与えます。ハッカーやサイバー犯罪者は単にスキルのある個人ではなく、組織犯罪の技術的なリソースと財務を持つチームでもあります。個人データ(クレジットカード記録、身分証明書、住所、医療記録)にアクセスすると、サイバー盗難による資産と身元の盗難、およびオンラインでのあなたのなりすましに非常に効果的です。
サイバー犯罪とハッキングは、多くの異なる手段で行われます(https://qiita.com/pseudonym2/items/634ad47a82a0b159c7fb )。ハッカーはデータを転送中に傍受しようとしたり、デバイスに直接アクセスしようとしたり、ウェブサイト、VPN、または機関のデータベースから個人情報を盗み取ったりすることができます。さらに、彼らはあなたのオンライン活動を悪用するために高度な追跡技術を使用することもあります。
インターネットトラッキング
私たちが行うすべてのことはオンラインで追跡および監視されています(https://qiita.com/pseudonym2/items/9c892eac2ecbdb535168 )。インターネット監視は現在どこにでも存在します。訪れるウェブサイトや使用するサービスごとに、何らかの形で私たちを追跡しています。これは機能性のためのものであることもありますが、他の商業サービスはターゲットマーケティングのためにユーザーデータを収集および分析しています。この大量のデータ収集は、私たちの名前が付いていなくても無害ではありません。
これらの広範なユーザートラフィックの収集システム(行動、トレンド、好み、購入などに関する)は、第三者(データブローカーや監視機関など)によって求められています。これにより、匿名のシステムがオンラインでの私たちの行動を通じて私たちをますます理解するようになります。もちろん、これは私たちが欲しいと予測される製品を売り込むことから始まります。しかし、AIアルゴリズムが私たちのイデオロギー的な傾向や脆弱性を特定する情報に基づいて、私たちに政治的なアイデアや理論、情報をターゲットにすることまで行きます。受け取る情報がどれほど誤っていてもです。
最後に、オンライン追跡は大規模で全方位的な機関(政府や大手テクノロジー企業など)の実践だけではありません。個々のレベルでも行われています。多くの人々は、オンラインストーカー、個人コンテンツの悪用、嫌がらせ、復讐(例:元パートナーによる)などの問題に苦しみ続けています。オンラインでプライベートになることは、しばしば物理的および感情的な健康を直接保護する方法でもあります。
大量監視(mass surveillance)
ウェブサイトやサービスの広範な追跡作業に加えて、私たちのデータは大量監視の対象にもなっています。政府はグローバルにウェブユーザーをトラッキングするために活動していることが明らかにされています。たとえば、アメリカ合衆国では、インテリジェンス機関が主要な通信会社を通じて、またGoogleやFacebookなどの主要テクノロジー企業のデータベースを通じて、ユーザーの通信に対して例外的なアクセスを得ることが含まれています。これらの大量監視の取り組みは、世界中の多くの同盟国およびインテリジェンス機関と協力して行われています。
したがって、特定のウェブサービス(ソーシャルメディアプラットフォームや主流のVPNなど)を信頼したとしても、何も間違っていないにもかかわらず、データが政府の手に渡るリスクは常にあります。
インターネットプライバシーを守るために避けるべきこと
オンラインでのプライバシーを守る第一段階は、脆弱性を減らすことです。政府や規制機関がインターネットプライバシーを確保するのを待つだけではいけません。すべてのユーザーが自分自身で対策を講じる必要があります。ここでは、オンラインでのプライバシーをより良く守るために避けるべき具体的なことと実践をいくつか紹介します:
複数のアカウントで同じ資格情報を使用する
パスワードとログインIDがハッカーやサイバー犯罪者に1つのウェブサーバーのデータベースから漏洩した場合、同じログイン資格情報を使用している他のオンラインアカウントも危険にさらされる可能性があります。アカウント間でパスワードを変えるようにしましょう。パスワードマネージャーはこれを整理し、保護するのに役立ちます。
ウェブサイトにログインしたままにする
長期間にわたってウェブサイトにログインしたままにすると、ブラウザにインストールされたクッキーが資格情報や閲覧履歴に関連する情報を含むデータを保存します。これにより、セッションスニッフィングや、攻撃者がアカウントにアクセスしてオンラインであなたになりすますセッションハイジャッキングなどのサイバー攻撃のリスクが高まります。さらに、デバイスが紛失した場合、泥棒がアカウントにアクセスすることができます。ログインしたままの時間が長いほど、リスクは高くなります。
利用規約を盲目的に受け入れる
サイトやアプリを使用し始める際に通常自動的に受け入れる契約書の詳細を読むのは難しいです。実際、それを行うのは非常に非現実的で時間がかかるでしょう。しかし、これらの利用規約には、企業がデータを第三者と共有することを許可する条項が含まれていることがよくあります。ユーザーは、ドキュメントを受け入れることでデータの使用を法的に認可し、受け入れないとプラットフォームへのアクセスが完全にブロックされるというジレンマに直面します。可能であれば、ユーザーデータの追跡や共有を求めず、事実上読めない非倫理的な契約書にプライバシー侵害の条項を隠さない同等のサービスを探してみてください。
疑わしい添付ファイルを開くまたは悪意のあるファイルをダウンロードする
オンラインハッキングやサイバー犯罪の最大の発生源の一つは、フィッシング攻撃やマルウェアの使用です。フィッシング攻撃は、信頼できるサービスや人物の形式で偽装された電子メールが、ユーザーにリンクをクリックさせたり、偽のページに個人情報を入力させたりする場合に発生します。これにより、ハッカーやサイバー犯罪者がアカウントにアクセスできるようになります。リンクをクリックしたり、コンピュータにファイルをダウンロードすることも、マルウェアをインストールしてデバイスに直接アクセスさせる手段となります。
オンラインプライバシーを保護するための具体的なヒント
ユーザーがオンラインでのプライバシーとセキュリティをより良く保護するためにできることはたくさんあります。ここでは、Nymが提案する主要な実践の一部を紹介します:
ウェブブラウザを保護する
ユーザーがより安全でプライベートなウェブブラウジングを行うために手動でウェブブラウザを保護する方法はたくさんあります。最初の方法は、ブラウザを最新の状態に保つことです:アップデートは、ブラウザが新しいセキュリティ脅威を検出するのに役立ちます。追加の手順として、広告やマルウェア対策のプラグインをインストールし、「追跡しない」機能が利用可能であれば有効にし、クッキーを制限または定期的にクリアし、不必要なプラグインを無効にする(トラフィックを記録している可能性がある)などがあります。これらの複数の手順は、プライバシー保護で知られるウェブブラウザを選択することで迅速化できます。
VPNを使用する
VPNはオンライントラフィックを暗号化し、別のサーバーを経由してルーティングすることで、個人のIPアドレスを公開ウェブに到達する前にマスキングします。新しい分散型VPN(https://qiita.com/pseudonym2/items/9d45bf63ddfd17edd0ae )は、マルチサーバールーティング、リンク不可能なアーキテクチャ、および高度な暗号化プロトコルを使用することで、従来のVPNよりもユーザーのプライバシーをより強力に保護します。
ソフトウェアを最新の状態に保つ
デバイスやアプリのソフトウェアアップデートには、新しいセキュリティ機能(既知の脅威、悪意のあるアドレスやサイト、マルウェアの更新ログなど)が含まれることがよくあります。
ウイルス対策プログラムをインストールし、ファイアウォールを有効にする
使用しているオペレーティングシステムによっては、ウイルス対策ソフトウェアは、ウイルスやマルウェア攻撃からシステムを保護し、個人情報の漏洩を防ぐのに役立ちます。ファイアウォールは、デバイスに出入りする情報を制限し、特定のソース(例えば、既知の広告サーバーなど)からの接続を防ぐこともできます。
クッキーを削除し、クッキーリクエストを拒否する
クッキーは、ウェブサイトによってブラウザにインストールされるデータの一部です。クッキーは、複数のセッションにわたって活動を追跡するために使用されます。たとえば、ログイン資格情報を記憶し、広告やコンテンツをユーザーに合わせるためです。ブラウザを通じてクッキーを手動で削除することで追跡を回避できますが、高度なクッキー(エバークッキー(evercookies)やゾンビクッキー(zombie cookies)など)はクリア後も持続し、復活することができることをユーザーは知っておくべきです。ウェブサービスがクッキーを受け入れるよう求める場合(通常「必須」または「非必須」なものとして)、リクエストを拒否することができます。
Google、Facebookなどの設定を調整する
これらの大手テクノロジープラットフォームには、現在ユーザーのプライバシーをカスタマイズできる設定が含まれており、収集されるデータの種類をある程度制御することができます。これにより、データ追跡のリスクが軽減される場合がありますが、問題の解決にはなりません。
安全で信頼できるウェブサイトを使用する
HTTPSは公開ウェブの暗号化プロトコルです。多くのサイトやサービスは、プラットフォームへのアクセス中にユーザーの活動内容をエンドツーエンドで保護しています。訪問するウェブサイトが安全であることを確認するには、ブラウザのURLの横にあるロックのロゴをチェックしてください。VPNを使用することで、アクセスするものに関係なく常にデータが暗号化され、ほとんどの場合データが二重に暗号化されます。
オンラインコミュニケーションを保護する
エンドツーエンドで暗号化されたメッセージングプラットフォームを使用し、非常にセンシティブなコミュニケーションには分散型VPNを優先的に使用することを確認してください。
オンラインでファイルを安全に共有する
オンラインでファイルを共有する方法は非常に重要です。送信内容が簡単に傍受され読まれることができないように、すべての接続が暗号化されていることを確認してください。知らない相手からのファイルは絶対に開かず、知っている相手とだけファイルを共有してください。
多要素認証(MFA)を使用する
MFAは、サービスにアクセスする前に他のデバイスで資格情報を確認するプロセスです。たとえば、コンピュータからメールアカウントにサインインする場合、2FAは、1つのデバイスでサービスにサインインしながら、別のデバイス(携帯電話など)でコードを受信する必要があるかもしれません。これにより、VPNや新しいブラウザを使用している場合や、誰かが自分のデバイスからアカウントにログインしようとしている場合などに、サービスが本当に自分であることを確認できます。
オンラインプライバシーの未来
おそらく、人々がオンラインでのプライバシーを必要とするのは、法律を破っているから、または隠すべきものがあるからだという一般的な誤解があります。しかし、これは誤った仮定です。世界中のすべての人のデータが体系的に収集され、監視され、悪用されているため、自己防衛のプライバシー対策を採用する必要があります。これらは、オンライン追跡とプライバシー技術の共進化に伴い、今後も継続的に取り組むべき課題です。幸いにも、見てきたように、私たち全員がオンラインで自分を守るためにできる具体的なことはたくさんあります。
NymVPNは、この闘いにおける重要なツールの1つを提供します。ユーザーのすべてのオンライントラフィックを最大限に匿名化するためにmixnet(https://qiita.com/pseudonym2/items/e68ccf9b65bf8e98e380 )上に構築されたVPNです。Nymの2ホップdVPNモードや非常にセンシティブなトラフィック用の無類の5ホップミックスネットモードを使用することで、ユーザーは中央集権型VPNサービスによるセキュリティリスクを回避できます。この選択により、堅牢な保護が必要なトラフィックと、高速が必要なあまりセンシティブでない活動(ゲームなど)をカスタム構成することができます。
これらの個人的な実践に加えて、私たちはウェブユーザーとして直面するグローバルな課題と脅威に対する意識を高めることも試みるべきです。政府に対して、市民をサイバー犯罪から守るだけでなく、無実の人々のプライバシーを侵害する大量監視プログラムを停止するよう圧力をかけるべきです。
参考リンク
- Nym公式サイト
- Nymのミキシングネットワーク - Wikipedia
- Nymホワイトペーパー
- 分散型VPN と中央集権型VPN:違いの全て
- ミックスネットとは何か? VPNによる比類なきオンラインプライバシー
- Sphinx暗号-Nymを支える匿名データフォーマット
- ココナッツ認証(Coconut Credentials)とは?- プライバシーを保護するゼロ知識証明技術