ハクソク

世界を動かす技術を、日本語で。

プロトンメールがFBIに匿名の「ストップ・コップ・シティ」抗議者を特定する手助けをした

45日前原文(www.404media.co)

概要

Proton Mailがスイス当局に支払いデータを提供し、FBIがその情報を使ってStop Cop City運動の匿名アカウントを特定した事例。
Proton Mailはエンドツーエンド暗号化とスイスのプライバシー法に基づく運用を強調。
提供された情報はDefend the Atlanta Forest(DTAF)およびStop Cop City運動と関連。
運動はアトランタの警察訓練施設建設への抗議活動として発生。
60人以上への容疑は後に取り下げられた経緯。

Proton Mailが支払いデータをスイス当局に提供した事例

  • Proton Mailはエンドツーエンド暗号化とスイスのプライバシー法を強調するメールサービス
  • スイス当局に支払いデータを提供し、その情報がFBIによるStop Cop City運動の匿名アカウント特定に利用された事例
  • 対象アカウントはDefend the Atlanta Forest (DTAF)グループおよびStop Cop City運動に関連
  • Stop Cop City運動はアトランタのIntrenchment Creek Park隣接地に建設予定の警察訓練施設への抗議活動
  • 抗議活動には**放火・器物損壊・個人情報晒し(doxing)**などが含まれ、森林内キャンプや訴訟も実施
  • 当局の捜査後、60人以上への容疑が取り下げられた経緯

Proton Mailのプライバシーと第三者への情報提供

  • Proton Mailはエンドツーエンド暗号化によりメール内容自体は提供できない仕組み
  • ただし、スイス法に基づき支払い情報やログデータなど一部情報は当局要請で提供可能
  • 今回のケースで提供されたのは支払いデータであり、匿名性維持に影響
  • プライバシー重視を掲げるサービスでも、法的要請には一定の対応が必要となる現実

Stop Cop City運動の概要とその後

  • Stop Cop City運動は大規模な警察訓練センター建設反対を目的とした市民運動
  • DTAFグループを中心に、森林保護や市民権利擁護を訴える活動
  • 抗議手段としてキャンプ・訴訟・直接行動など多様な方法を展開
  • 当局による捜査・逮捕が行われたが、60人以上の容疑が後に取り下げられた事実

プライバシーサービス利用時の留意点

  • 匿名性やプライバシーを重視する場合でも、支払い情報などから個人特定が可能なリスク
  • サービス利用時は利用規約・法的対応方針を確認する重要性
  • 完全な匿名性を保つには、支払い方法や通信手段の工夫が求められる現実

Hackerたちの意見

> プロトンメールはエンドツーエンドの暗号化とスイスのプライバシー法に基づいていることを誇りに思っているが、第三者に提供できるデータの種類についての洞察を提供している。プロトンは、スイス政府を信用できないからサーバーをスイスの外に移転すると言ってなかったっけ?でも、今回は請求情報とクレジットカード情報が必要だったから、サーバーの場所は関係なかったのかな。
> エンドツーエンドの暗号化を誇りに思っている 彼らのエンドツーエンドの暗号化は無意味だよ。ほとんどの受信者は自分のアカウントプロバイダーを通じてプレーンテキストのメールを漏らしちゃうから。特定の状況下でしか機能しない(全員がそれを使っている場合)。彼らのマーケティングは、実際の安全なプライベートメールの意味を過大評価していると思う。
> プロトンは、スイス政府を信用できないからサーバーをスイスの外に移転すると言ってなかったっけ? 彼らはドイツに移転したいと言ってたけど、これに関してはもっと悪いと思う。
人々は絶対に理解しないだろうけど、プロトンはプライバシー重視のメールサーバーで、好き勝手できるダークウェブじゃない。プロトンはあなたのIPアドレスとデバイスIDにしかアクセスできないし、データにはアクセスできない。IPとデバイスIDがあれば、ISPを探すようにユーザーを簡単に追跡できる。悪いことしたいの?そんなサービスは使わない方がいいよ。皮肉なことに、この404メディアがこの情報を扱っている唯一の場所で、全部読むにはログインが必要なんだ。うーん、これは大きな赤信号だね!!
プロトンはオペレーションセキュリティじゃなくて、法律を守り、令状に従わなきゃいけない商業的なクリアウェブホストの中では一番いいだけ。メタデータを勝手に売ったり、広告技術のゴミに関わったりはしない。カギはGoogleに対するプロトンのようなもので、ウェブメール、カスタムドメイン、そこそこいいセキュリティ、スパム検出、しっかりした機能があって、個人情報も売られない。シンプルでクリーン、いい感じだし、彼らにお金を払うのも好き。彼らとビジネスするのは気分がいいし、最近はそんなことあんまりないからね。
404メディアは素晴らしい実績があって、信頼できるよ。「赤信号」が彼らに当てはまるって言うなら。
それが404メディアのアプローチなんだ。だから、僕は彼らの見出しだけを読むことにしてる。理論的には、トールを使ってビットコインでプロトンメールのアカウントを開設できるかもしれないけど(もうできないのかな?)。彼らを試したのはかなり前だから、今はどうか分からない。もう彼らを勧めない理由は、サブスクリプションを延長しなかったら(アカウントがダウングレードされると思って)、メールがロックされて、メールがランダムに保持されることになったから。支払いのためだけにログインできた。それが一つ目の赤信号で、二つ目はフランスの抗議者のIPアドレスログを共有したこと。E̶v̶e̶n̶ ̶t̶h̶o̶u̶g̶h̶ ̶a̶t̶ ̶t̶h̶e̶ ̶t̶i̶m̶e̶ ̶t̶h̶e̶y̶ ̶h̶a̶d̶ ̶a̶ ̶n̶o̶ ̶l̶o̶g̶s̶ ̶p̶o̶l̶i̶c̶y̶,̶ ̶i̶f̶ ̶I̶ ̶r̶e̶m̶e̶m̶b̶e̶r̶ ̶c̶o̶r̶r̶e̶c̶t̶l̶y̶.̶ ̶O̶r̶ ̶i̶f̶ ̶I̶ ̶d̶o̶n̶'̶t̶.̶
404メディアのログインゲートが赤信号だとは思わないな。彼らはお金を稼ぐ必要があるビジネスで、サブスクリプションの代わりが広告だとしたら、ユーザーの安全にとっては今よりずっと悪くなると思う。
こちらです: https://archive.ph/Zvw3O
> ProtonはあなたのIPアドレスとデバイスIDにしかアクセスできないので、データにはアクセスできません。私はProtonが好きです。Protonを使っています。ただ、Protonの問題は、ウェブブラウザを通じてメールにアクセスすると、ProtonMailがJSを使ってウェブアプリ内からメールを読むことを止めるものがないということです。この種の攻撃は、当局の命令で行われる可能性があります。だから、実際にはProtonはあなたのメールを読むことができるかもしれません(ウェブメールを使っている場合に限ります)。
> いたずらしたいの?そんなサービスは使わない方がいいよ。本当にそういうことがあったの? https://en.wikipedia.org/wiki/Stop_Cop_City
確かに、他のメールプロバイダーから来るメールや送るメールにはアクセスできるよ。だって、それらはエンドツーエンドで暗号化されてないからね。移送中だけ暗号化されている(それもオプションだし)。だから、送信時には平文を扱う必要があるんだ。Protonのこの点が本当に嫌いで、彼らは常に暗号化について語っているけど、彼らのSMTPサーバーで見たほとんどのメールは平文なんだ。だって、SMTPはそういうものだから。そして、相手のプロバイダーも同じ。彼らがあなたのメールボックスに入れた後は、再び復号化できないけど、私は常に一度の露出を機密性の喪失と考えるんだ。このことが当てはまらないメールは、PGPを使っている人(ああ、三人しかいないけど)やProtonを使っている人からのものだけだよ。私の見解では、このアキレス腱が彼らの保護のほとんどを無意味にしていると思う。でも、彼らはそれをSignalのメール版のように宣伝しているけど、実際には移送中に何を言っているか見えないんだよね。そして、技術に詳しくない人はその違いを全く理解していない。追記: この問題に対する技術的解決策がないことをProtonを責めているわけじゃないよ。相互運用性が解決不可能な問題にしているからね。でも、彼らのマーケティングには文句を言いたい。
> Protonはプライバシー重視のメールサーバーで、好き勝手できるダークウェブじゃないよ。どうしても何かしたいなら、自分でSMTPサーバーを立ててみたら?
最近、404 Mediaが本当にやばいことになってるね。チームに感謝!
2021年にProtonMailがユーザーデータを法執行機関に提供したことが明らかになった後、誰も驚かないはずだよね。
> 2021年にProtonMailがユーザーデータを法執行機関に提供したことが明らかになった後。そんなことを考える必要すらないよ。令状は、彼らがただ無視できるような強い言葉の手紙じゃないからね。法律なんだ。だから、警察が令状を取得できるなら、あなたのデータも取得できると思っておくべきだよ。法律を守らない人(犯罪者)にとっても、あなたを密告しない保証はないからね。
あなたのメールアカウントに関するすべての情報、包括的な内容、メタデータ、全ての支払い詳細を日常的に提供している他のメールプロバイダーについての話はどこにあるの?Protonは匿名支払いを受け入れる数少ないサービスの一つで、暗号化された内容を平文で提供することはできないんだ。でも、自分自身からは守ってくれないよ。
匿名での支払いを受け付けてるの?アカウントが必要だって思ってたんだけど…
Protonは、YouTubeの動画で著作権のある曲をうっかり歌ったからって、メールをロックしないんだよね。だから使ってるんだ、メールの海賊版みたいだからじゃなくて。
> Protonは、YouTubeの動画で著作権のある曲をうっかり歌ったからって、メールをロックしないんだよね。具体的な話があるの?リンクを教えてくれない?その件については争うつもりはないけど、その特定のケースは聞いたことがないんだ。
まあ、驚かないよね。思想犯罪の罰を受けたくないなら、どんどん厳しくなってるオンラインでの異議を唱えるのが難しくなってる。信じない?LinuxのVMをセットアップして、Mullvad VPNをキルスイッチ付きで使って、Torブラウザを走らせてみて。TutaMailのアカウントが取れるかもしれないけど、それには短期間で消えるバックアップメールが必要(らしい)で、さらにそのTutaMailアカウントをバックアップとして使うProtonアカウントも必要なんだ。でも、プライバシー重視の「匿名」サービスは、何らかの形での確認が必要なんだよね。それに、もしソーシャルメディアがTorの出口ノードからのサインアップをブロックしてなければ、すぐにシャドウバンされる。メールのチェックもできない人たちが私たちを監視したり、税金を盗んだり、私たちが作った技術を歪めたり、無差別に無実の人を殺したりするための技術を使えるようにしているエンジニアの数に本当にイライラしてる。私たちは貪欲な足を引っ張るコミュニティで、ほんとがっかりだよ。
基本的にはTorブラウザとProtonを使ってる(使い捨てのメールアドレスで確認したやつね)けど、私には十分安全だと思ってる。よく使ってるよ…
> 大量のエンジニアにイライラしてる それで、私たちのプライバシーを守る法律に投票したのはあなた?ソフトウェアエンジニアには倫理基準が必要だって言ってるコメントにアップボートしたのはあなた?私たちが団結して自分たちを守るためにソフトウェアに労働組合が必要だって言ってる投稿をダウンボートしたのはあなた?それとも、私たちのように「そんなのいらない、もっとお金が稼げるから」って貪欲だったの?お金を追い求めることが私たちをここまで連れてきたんだ、しかもこれからどんどん悪化するばかりだよ。
>「オンラインで異議を唱えるのがますます難しくなっている。」もしよければ、実際の例や仮の例を教えてほしいな。AIに関する懸念についていくつかコメントしたんだけど、敵対的な反応に驚いてる。私の研究は、あなたの言うことに合致する中心的な懸念を持ってるんだけど、他の人たちが何を感じているのかとはズレてる気がする。もし気が進まなければ無視しても大丈夫だよ。
バイデン政権の時、ワクチンについて話してた人たちがネットから追い出されたり、生活を奪われたりしてたのに、君はどこにいたの?アマゾンやグーグルの熱心な連中によってパーラーが体系的にネットから排除されてたのに??こういうことは、すべての言論を守らない限り止まらないよ。
Protonユーザーとして、完全に匿名ではないことはわかってる。VPN、暗号化されたパスワードストレージ、広告や他の目的でスキャンされないメールが得られるから、サービスのバンドルにお金を払ってるんだ。プライバシーと匿名性はグラデーションだよ。もし政府の脅威から本当にオペレーションセキュリティが必要なら、サービスにクレジットカードを結びつけることはしないね。
なんで有料壁があって、アンチエイジングの詐欺広告もあるの?どっちかにしろよ。そんな広告を売ってるってことは、このサイトは絶対にサブスクリプションの価値がないってことだよね。