ハクソク

世界を動かす技術を、日本語で。

TikTokはエンドツーエンド暗号化を導入しないと発表、ユーザーの安全性が低下すると主張

45日前原文(www.bbc.com)

概要

  • TikTokは**エンドツーエンド暗号化(E2EE)**を導入しない方針を発表
  • 競合他社はE2EEを採用し、ユーザープライバシーを重視
  • TikTokはユーザーの安全性を理由にE2EEを避ける
  • 英国などの子ども保護団体はTikTokの決定を支持
  • 一方で、グローバルなプライバシー基準とのズレも指摘

TikTokのDMにおけるエンドツーエンド暗号化不採用の方針

  • TikTokは**エンドツーエンド暗号化(E2EE)**を導入しない決定
  • E2EEは送信者と受信者のみがメッセージ内容を閲覧可能にする技術
  • FacebookやInstagram、Messenger、X(旧Twitter)などはE2EEを推進
  • TikTokは「ユーザーの安全性が最優先」としてE2EEを回避
  • 特に若年層ユーザーの保護を重視する姿勢
  • TikTokは「警察や安全チームが必要時にDMを確認できなくなる」と説明
  • 英国ロンドンのオフィスでBBCに方針を説明
  • この決定は競合との差別化を意図したもの

プライバシーと安全性の対立

  • E2EEはプライバシー専門家から「最も安全な通信手段」と評価
  • しかし有害コンテンツや犯罪の検出が困難になる懸念も
  • TikTokは従来型の標準暗号化を採用
  • 権限を持つ従業員のみが特定状況下でDMを確認可能
    • 例:法執行機関からの正式な要請
    • 例:ユーザーからの有害行為報告

業界・専門家・団体の反応

  • **NSPCC(英国子ども保護団体)**はTikTokの判断を支持
  • **IWF(インターネット監視財団)**も「安全性重視の先例」と評価
  • 一方でグローバルなプライバシー期待との乖離を指摘する声
  • Surrey大学のAlan Woodward教授は「中国の影響」を示唆
  • E2EEは中国国内でほぼ禁止されている現状
  • 業界アナリストは「TikTokは積極的な安全性重視をアピール」と分析
  • ただし「所有権やプライバシー懸念が強まる可能性」も指摘

他プラットフォームのE2EE採用状況

  • Signal、WhatsApp、Facebook Messenger、iMessage、Google MessagesはデフォルトでE2EE採用
  • InstagramはDMのE2EEを順次デフォルト化中
  • **X(旧Twitter)**はE2EE類似だが完全ではないとの批判
  • TelegramはオプションでE2EE利用可能
  • Snapchatは写真・動画のDMにE2EE適用、今後テキストも拡大予定
  • Discordは音声・ビデオ通話のE2EE導入を発表

まとめ:TikTokの選択と今後の論点

  • TikTokは**「プライバシー絶対主義」より「積極的な安全性」**を優先
  • 子どもや若年層のリスク対策としての正当性を強調
  • 一方で、プライバシー保護の国際基準とのギャップが拡大
  • 規制当局や利用者の信頼確保が今後の課題

Hackerたちの意見

これってティーン向けのプラットフォームには合ってる気がするな。あと、TikTokがちゃんとE2E暗号化を実装するとは思えないし、クライアントに何をこっそり入れてるか分からないしね。
アメリカの主要なプラットフォームが「本物」のE2E暗号化を持ってるとは思えないな。今やほとんどがPRISMの一部だろうし、政府の監視を可能にする義務と矛盾するからね。だから、違うのは嘘をつかないことだけ。でも、他のプラットフォームもPRISMの一部だったことを否定する時みたいに、半分真実を言って意図的に誤解させてると思う。「我々は完全なE2E暗号化を提供しています【要求に応じて再生成可能な決定論的に生成された鍵を使用】。」
ティーンと大人の両方をターゲットにしてないアプリってあるの?YouTube、Twitter、Bluesky、WhatsApp?ソーシャル要素のあるアプリは全部ティーンが使うよ。で、TikTokは「ティーンだけのもの」でも「特にティーンを狙ったもの」でもない。今やみんな使ってるし、コンテンツを作ってるよ。
そもそも、プライベートなコミュニケーションにTikTokを使う理由って何?ほとんどが公開の短い動画をシェアするためのプラットフォームじゃん。
18歳の子がちゃんとした暗号化やコミュニケーションの安全性について理解してると思ってるの?そんなこと絶対ないよ。若者に人気のソーシャルネットワークにくっついてるコミュニケーションチャンネルなんだから、そりゃ使うよね。めちゃくちゃ便利だし。
TikTokでDMを送ったことがない人が言ってるね。
それは子供たちのソーシャルネットワークだよ、君はただ年を取っただけ。
最初は友達と動画を送り合うところから始まるんだよね。それから同じアプリでチャットするようになる。確かに他のアプリよりセキュリティは弱いけど、たくさんのチャットにはあんまり関係ないかな。
それだけじゃないよ。
ちょっと話がそれるかもしれないけど、子供の安全に関して言うと…年齢確認についてみんなが視野が狭いのに驚いてる。年齢確認は禁止されるべきだけど、今やほとんどのオンラインサービスが年齢を聞いてそれに応じて行動してるのを無視してるよね:Twitter、YouTube、Google全般、どんなオンラインマーケットプレイスも。彼らはすでにユーザーのデータをたくさん持ってて、そのグループに合わせてアルゴリズムを不透明に最適化してる。だから、年齢確認は撤廃されるべきだし、これらの企業がやってるデータマイニングやアルゴリズムの不透明な調整も同様に。子供たちのDMについて心配してるのに、企業が何を提供してるか、そして彼らのデータで何をしてるかには無関心なのが不思議だよ。
子供のDMを監視するのは親の責任であって、巨大企業の仕事じゃないよ。親が子供のPCにキーロガーやスクリーンレコーダーをインストールしたいなら、それは親の判断だ。でも、Googleがそれをするのはダメだし、他の誰も、たぶん仕事用のデバイスを提供してる雇用主以外は無理だよ。
> 年齢確認は禁止すべきだって?なんで? > 彼らはすでにユーザーのデータをたくさん持ってるし、年齢を確認する方法はいろいろあるよ(「検証可能な資格情報」を見てみて)。データを渡さずに「年齢が十分か」を確認できる方法があるんだ。
> 子供のDMについて心配してる人がいるけど、企業が何をしてるかやデータをどう扱ってるかには心配してないって?そんなのありえない。両方に無関心な神話のような人たちはどこにいるんだろう?
誕生日を1970年とかに設定するのは常識だと思ってたんだけど。
素晴らしいね。政府がずっと言ってきたE2EEが子供に危険だっていう主張を再包装してる感じ。
子供は監視国家を築くための道具としてはあまりにも効果的すぎる。アルコールや運転免許みたいに、子供がオープンなコンピュータを持つのをずっと前に禁止すべきだったんだよ。代わりに、特別なデバイスを持たせて、オンラインサービスとやり取りする時には「未成年」フラグが付くようにすればいい。大人は普通に使えるしね。子供の自由をすでにかなり制限してるから、これには前例がたくさんあるよ。オプションとして、18歳になったらデバイスをアンロックするサービスポイントを提供して、E-wasteを避けることもできる。そうすれば、IDを提供するのは販売時だけで、ハードウェア自体にくっつけて、地球上のすべてのSaaSに送る必要がなくなる。
結局、近所の人たちがその主張を受け入れなきゃいけないんだよね。この主張が勝つ理由は、フレーミングが難しいからじゃなくて、近所の人たちの価値観に繋がるからなんだよ。人々に、これが彼らの価値観じゃないって納得させようとするのは、逆流するようなもんだよ。
解決策はシンプルだよ:子供のソーシャルメディアへのアクセスを制限して、その議論を無効にしちゃえばいい。ウィンウィンだね。
なんで子供の安全システムが年齢確認を必要とするのか理解できない。スマホに「子供」フラグをすべてのアプリやウェブサイトに送る単一の設定を作ればいいじゃん。それに応じて反応すればいいんだから。ブラウザが変更されたり改造されたりしないようにすれば、大丈夫だと思うよ。
TikTokは政府みたいなもんだよ、実質的に。
TikTokは政府の監視のためのフロントみたいなもんだから、彼らの立場がこうなるのは驚くことじゃないよね。
DMはリアルなプライベートな会話に似てるよね。だから、すべてのDM機能にはE2EE(エンドツーエンド暗号化)が必要だと思う。プラットフォームがプライベートな会話を提供しないのは全然いいけど、その場合はDM機能を完全に廃止して、すべてのメッセージを公開にすればいいんじゃないかな。プライベートな会話は、確かに全ての年齢層向けではないし、親が個別にアクセスを許可できるようにすべきだよね。
でもさ、もうすぐTikTokは親が子供のDMを監視できるようにするらしいよ。親たちはこれを喜ぶだろうね。
プライバシーが保証される合理的な法制度は作れるけど、それにはエンドツーエンドの暗号化は必要ないんだよね。これは本当に別の問題なんだ。
どうでもいいことだけど、ウェブベースの暗号化はいつも詐欺みたいなもんだよね。
ネイティブアプリだよ、何言ってるの?
> サーバーの運営者が悪意を持っていたら、クライアントサイドのJavaScriptを変えちゃうこともできる。OSのアップデートやブラウザのアップデート、OSやブラウザが使っている依存関係と同じだよ。それに、キーロガーみたいな悪意のあるソフトウェアを実行すれば、もう危険にさらされてる。だから、その議論はE2E(ウェブベースでも)を詐欺だって言ってるわけじゃない。ブラウザは失敗するポイントが多いだけなんだ。
同意するけど、この記事で見落とされてる重要なポイントはデータの脆弱性だよ。E2EEだと、会社のデータベースは外部の攻撃者には無意味になる。FacebookやGoogle、TikTokみたいな会社には、会社自体が信頼できないことが心配だし、他の会社には脆弱性があることが心配だよ。
ドアロックが世界を自由じゃなくしてるのと同じだね!
まあ、TikTokは使わない方がいいかもね。大人が子供向けのプラットフォームを使ってるなんて驚きだわ。
中国のスパイウェアアプリがE2EEをやらないって?信じられないことを読んでるわ。
もうあんまり中国っぽくないね。少なくともアメリカでは。