Google+ を閉鎖に追いやったもの

The breach that killed Google+ wasn’t a breach at all https://t.co/k5aWwGMDB5 pic.twitter.com/3PyXcQPajb

— The Verge (@verge) October 9, 2018

Google+ が閉鎖される原因となった脆弱性について Google がしたことは何かに違反しているようなものではない

The Verge
Russell Brandom
Oct 9, 2018

数ヶ月に渡って Google は反感が増大することを避けようと努めてきたようだが、昨日になって、あまり使われていない Google+ のネットワークがバグによって約50万人の個人情報を危険に晒していたことが報じられた。Google は今年の３月、ケンブリッジ・アナリティカの事件が話題として盛り上がっていた頃にこのバグを発見し修正していた。しかし今になってこのニュースがついに報じられたことで Google の損害は広がっている。一般向けの Google+ は閉鎖されることが決まり、ドイツとアメリカのプライバシー規制当局は法的措置の可能性を探っている。そして、元 SEC（アメリカ証券取引委員会）の局員が Google が間違いを犯してきた可能性について議論を公にしている。

一連の話題の中では脆弱性そのものは比較的小さなことだと考えられている。この問題の核心は特定の開発者用 API が非公開情報を利用することができたことにある。しかし、プライベートなデータが実際に使われたという決定的な証拠はなく、もともと少ないユーザーのうちどの程度のユーザーに非公開情報が見られる可能性があったのかもはっきりしていない。当該 API は理論上は要求を出せば誰でもアクセスすることができた。しかし、実際にアクセスを要求したのは432人だけ（繰り返すがこれは Google+ である）だったという。この小さな数字を見れば、そのうちの誰も不正な利用はしなかった、という話には説得力がある。

Google にとって更に大きな問題は、犯罪になることではなく隠蔽したことだ。脆弱性は３月に修正されているにも関わらず、Google はウォール・ストリート・ジャーナルがその脆弱性についてのメモを入手するまで７ヶ月間公開しなかった。Google はそれが失敗だったことをわかっているようで、Google+ 全体を取り下げるのもそれが理由だろう。しかし、実際に何が間違いを引き起こしたのかというところに混乱があり、そして、この種のプライバシーについての失態が起きた時にテクノロジー企業がどう向き合うかという更に深い問題にも混乱が生じている。

事実を切り分けて考えてみると、Google は法的には逃げ切っている。情報漏洩を報告することについての法律はたくさん存在する（これは GDPR 施行以前の話だが各国レベルで法律が存在する）、しかし、今回 Google+ に起こったことは厳密には情報漏洩ではない。こうした法律は権限なくユーザー情報にアクセスされることを想定したもので、誰かがクレジットカード番号や電話番号等を盗み見た場合に、ユーザーがそのことを知る権利を確保している。しかし、今回の Google の件は開発者にデータが利用できる状態だったことが発見されたというだけで、実際にデータが抜き取られたわけではない。明確なデータ盗用が存在しない以上、Google に法的な報告義務は生じない。弁護士が懸念していた通り、これは情報漏洩ではなく影で修正する対応で十分な事例だった。

常に完全に納得できる話ではないが、この種の脆弱性を公開することには反対意見がある。あらゆるシステムには脆弱性が存在するので、セキュリティを確保するための唯一の正しい戦略は常にそれらを見つけて修正し続けることである。つまり、最も安全なソフトウェアというのは、外部からはそう見えなかったとしても、脆弱性を発見し続け修正し続けているものということになる。企業に脆弱性をいちいち公表するように要求することは、利用者を最も適切に保護している製品を罰することになり、逆向きのインセンティブを与えてしまう可能性がある。

（ Google は未検出の脆弱性を発見するチームであるプロジェクト・ゼロを使って他社の脆弱性を突然明らかにすることをしてきた。このことは Google に対する批判者が明らかな偽善行為だと飛びつく要素になっている。しかし、プロジェクト・ゼロのメンバーは第三者が報告することは根本的に異なる行為だと説明する。脆弱性を指摘することで修正を促すことと共に、報告者が報酬として所謂ホワイトハッカーとしての評判を築くことになるという）

こうした論理は、ソーシャルメディアやプライバシーの問題に於いてよりも、ソフトウェアのバグについてのケースで理に適うものだ。しかし、これはサイバーセキュリティの世界では受け入れられている知恵であり、この論理から脆弱性を隠しておこうとした Google の考えが導き出されると言っても過言ではない。

しかし、Facebook がプライバシーの問題で栄光から失墜してしまって以降、法律上とサイバーセキュリティ上の議論は要点を外してしまっているように見える。テクノロジー企業と利用者との間の関係はこれまでになく不安定なものになっていて、今回のようなケースはその関係をさらに薄弱なものにする。今回の懸念は情報の漏洩というよりは信頼の漏洩と言える。何かを間違って Google は誰にも報告をしなかった。ウォール・ストリート・ジャーナルが伝えなければ現在でも明らかになっていなかっただろう。この状況では Google は不快で答えようのない質問を受けることは避けられない「他に何を隠しているのですか？」

今回のことで、Google が実際に反発を受けることになるかどうかを言うのはまだ時期尚早だが、敢えて言うなら、影響を受ける利用者の数は少なく、Google+ の相対的な重要性の低さを考えても大きな反発を受ける可能性は低い。しかし、今回の脆弱性が重大なものでなかったとしても、今回のような失態は利用者に本当の脅威をもたらすものであり、利用者が信頼する企業も危険に晒されることになる。これを何と呼ぶのか（バグ、違反、脆弱性）で混乱していると、プライバシーの問題が起きた時に企業は利用者に何を負っているのか、私たちはプライバシーをどの程度管理できているのか、という更に深い混乱を覆い隠すことになってしまう。これらは現代のテクノロジーの時代に於いて極めて重要な疑問であり、業界全体が未だに答えを探し求めている。