いくらデータ抜かれるぞと呼びかけても、使う人は使うだろうし…。
中国へのデータ漏洩を不安視し、議会が使用する政治関連端末や教育機関でのTikTokアプリ使用禁止が始まっているアメリカ。今年に入って、TikTok CEOが米議会の公聴会で初めて証言。一部ではアプリ利用継続を主張する抗議運動も起きています。
モンタナ州では、アメリカで初となるTikTok禁止法が州議会で可決し、一般人に向けてもTikTok禁止が現実味を帯びてきた今日このごろ。
世界的に人気のアプリだけに、利用禁止に不安を覚える一般ユーザーも少なくないでしょう。が、いざ禁止するとなれば、どういう対処がとられる可能性があるのでしょう。また実際に禁止することはできるのでしょうか
以下、The Conversationに寄稿されていた、サイバーセキュリティ研究者Robert Olson氏の解説です。
アメリカのデータが流出する可能性があるとして注意すべきと言われるのは、何もTikTokが初めてではない。
が、TikTokが、プライバシーや安全上の理由で米政府が禁止を提案している初めての人気アプリであることは確かである。
現在のところ、TikTokについては禁止されるべきか否かが焦点となって議論されている。
実際にTikTokを禁止できるのかという議論はあまり成されておらず、TikTok禁止によって、ユーザーが禁止を突破してまで使うことによるサイバーセキュリティ上の懸念については、ほぼ議論なしといっていいだろう。
サイバーセキュリティ研究者として、TikTok禁止で起こり得るリスクについてここで語ろうと思う。どういう禁止の形を採るかによって、リスクは変わってくる。
TikTokをネットワーク上でブロックする
TkTok所有と思われるアドレスへのトラフィックをフィルタリングして、TikTokへのアクセスをブロックすることは可能である。
が、実際にやるのは難しいだろう。サーバーアドレスは変えられるし、いたちごっこになるのは目に見えている。
さらに、この手のアクセスブロックはVPNを使えば突破されてしまう。VPNは、アメリカ国内の端末と他国のサーバーの間のトラフィックのシールドとして使うことができる。
一時期、公共WiFiを使用するときにVPNを使うといいとよくいわれたが(現在は推奨されておらず)、最近では居住国で使えないストリーミングサービスを利用するのにはVPNを使えばいいというのはすでに常識。TikTokを禁止したところで、使いたい人はVPNで突破するだけだ。
TikTok禁止には、DNSシンクホールを活用する手もある。
DNS (Domain Name System)とは、例えるならインターネットの電話帳のようなネットワークのプロトコルだ。
サーバにアクセスするにはそのサーバのIPアドレスが必要であり、DNSはこのアドレスを人間でも覚えやすいドメイン名(例えばwww.google.com)と対応付けて管理する。
DNSシンクホールは、この対応付けをストップさせること。目的のサーバへのアクセスを直接的にブロックするわけではなく、そのサーバのアドレスを検索できないようにするのだ。電話帳の例えでいうなら、特定個人の名前と連絡先を電話帳から削除してしまうということ。
DNSシンクホールは、マルウェアや不要広告のブロックに使用されているが、TikTok禁止にも活用できるだろう。
ただ、これを利用するには、探しているもの(この場合TikTok)がシンクホールに設定されたDNSサーバに限定される必要がある。ユーザーが使用しているコンピューターが、デフォルトで使うほぼすべてのDNSサーバーをカバーしなくてはならない。
が、これには問題がある。誰でも簡単にDNS設定を変えてしまえるからだ。
DNSパブリックサーバーはたくさんあるので、今使っているものから変更さえすれば突破できてしまう。
DNSサーバーは、ネットプロバイダーなどが運用している場合が多い。となると、DNSシンクホールでTikTokを禁止しようと思えば、ユーザーがTikTokにアクセスできるDNSサーバーを簡単には見つけられないようにするためび大規模な企業協力が必要となる。
また、アクセスできる代替DNSサーバーをユーザーが探すこと自体にリスクが潜んでいる。DNSサーバーが一般的ではない拡張子「DNSSEC」を使っていない限り、DNSのレスポンスの安全性を確認することはできない。
悪意あるDNSサーバーに当たれば、犯罪関連のIPアドレスで返されてしまう可能性もある。となると、DNSシンクホールによるTikTok禁止は、ユーザーをデータ流出のさらなる危機にさらすきっかけとなってしまいかねない。
TikTokアプリを禁止する
TikTok禁止の別の手段として、モバイルアプリを禁止するというやり方がある。
禁止するのはあくまでもアプリなので、ウェブ版は引き続き利用することができる。ただ、アプリがなくなればサービスを利用する人、利用頻度は間違いなく減少するだろう。
アプリを禁止することで、ユーザーが意図しないところで、モバイル端末が接続する他のシステムにアクセスされてしまうという懸念に対応することもできる。現在導入されている一部のTikTok禁止は、これを狙ったものも多い。
TikTokアプリの排除は、iOS/Androidのアプリストア、つまりAppleとGoogleに掛け合うことで実現できるだろう。
が、それだけでは目標達成とは言い難い。なぜなら、iOS/Android共に、公式アプリストア以外からもアプリをインストールすることができるからだ。これをサイドローディング、サイドロードという。
ただ、サイドロードには安全性のリスクが付いてまわる。公式ストアからアプリをダウンロードすれば、(完璧でないにしろ)一定の安全性は(AppleやGoogleのアプリポリシーを介して)確保されているが、サイドロードにおけるインストールはユーザーの自己責任となるからだ。
さらに、アプリストアからTikTokアプリ削除したとして、すでにインストール済みの人々はどうなるのだろう。
AppleもGoogleも、ユーザーの端末にあるアプリを削除する術はある。これはセキュリティにおいて重要な機能であり、少なくともAnroid端末ではサイドロードされたマルウェアを削除することもできる。
一方、これに対抗するため、ユーザーがこのコントロール機能をオフにしてしまう可能性もあり、そうなると端末自体のセキュリティが低下してしまう。
TikTokをどうしても使いたいユーザーが採る行動として、端末のJailbreak(脱獄)も予想される。
これはさらなる端末セキュリティ低下が懸念される。iOS端末における脱獄は、OS上のあらゆるセキュリティ制限を突破することを意味する。Android端末においては、トップレベルのセキュリティアクセスを許可することを意味し、OSそのものに変更を加えることができてしまう。
もちろん、Apple、Google共に脱獄は推奨しておらず、脱獄端末は保証の対象外となる。
TikTok禁止とセキュリティを天秤にかけて
TikTok禁止は、技術的な実行力・強制力があるとは考えにくいというのが私の見方である。
あの中国でさえ、コンテンツのフィルタリングには苦労しているのだ。だからこそ、禁止を突破することへの重大な罰則が、法案には盛り込まれているのだろう。
例えその罰則が一般的なTikTokユーザーに対するものではないにしても、このセイバーセキュリティ向上を目的としたTikTok禁止法案が、ユーザーをデジタルリスクの高い行動へと走らせる要因になってしまうことを、私は危惧しているのだ。