テクノロジーメーカーは、家庭内で起きている監視といった製品の悪用に対抗するために何ができるのだろうか。そして、その製造を担う立場として何をすべきだろうか。これら製品が悪用されるケースを参照しながら、求められる対策について考えていく。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
どの統計を見ても、心配になるほど多くの女性や男性が人生で親しいパートナーから暴力やハラスメントを経験していることがわかる。懸念されるのは、被害者を監視し脅迫するためのツールとしてテクノロジー製品がかつてないほど多く使用されており、ソーシャルメディア、スマートフォン、そしてスマートホームデバイスがその代表的なツールとして知られている。こうした流れは、テクノロジーの開発方法や実施方法が変わらない限り、解決は見込めないだろう。
私(Lysa Myers)が2013年にESET社へ入社して寄稿した初期の記事のひとつに、DV被害者がどのように自分を守ることができるかということを扱ったものがある。この記事を執筆する以前、私は友人が妻や夫の監視から逃れる方法を支援していたが、テクノロジーに詳しい加害者に対抗することがどれほど困難な事態なのか、調査してみるまでわからなかった。
その記事の内容は多くの人に、この問題が非常に深刻であるという認識を植え付け、最新の情報へのアップデートをリクエストされた記事のひとつでもあった。まぎれもなく、この問題はマルウェア対策のベンダーを含め、多数の人々の多大な努力なしでは改善の余地が見込めない問題である。
この問題における課題は法律の未整備が続いていること
テクノロジーメーカーが製品の悪用を防止するための設計ができていないことはもちろん、問題の大半はテクノロジーに法令が追い付いていないことであり、ハラスメントへの対処を極めて困難にしている。そのため、被害者はこのような問題に対処することが難しく、問題がさらに山積するような悪循環を招いている。
ストーキングやDVに対抗する法律は整備されているとはとてもいえない状況にある。まず、法律制定のプロセスで時間を要し、施行までたどり着くものはほんの一握りに過ぎない。要するに、デジタルテクノロジーを用いた犯罪を取り締まる法律はほぼ存在しないと言えるほどである。数少ない法律を適用する場合でも、まったくといっていいほどインターネット上の犯罪を追跡できる能力を持ち合わせていない。
法律上では問題ないものの、ひとたび悪用されれば、他人への嫌がらせやストーキングなどに使われるデバイスやサービスは数多くある。これらのベンダーやサービス提供者はそのような行為に利用された事実と積極的に向き合おうとしていない。従業員や子どもの追跡を用途とし、法的に問題ないとされる範囲内で監視可能な製品のベンダーは、製品が本来の用途を超え、配偶者を合意なく監視する、といった目的に転用される可能性があっても、態度を曖昧にし、その責任と向き合うようなことはない。
法的にグレーな領域が存在することで、被害者保護を訴える団体は無力感を感じざるを得ない状況に置かれている。製品が法律上問題ないとされた場合、違法とまでは言わずとも、極めて非倫理的とされるような方法で使用されていても、この製品に法的に抗うのは難しい状況なのだ。
家庭用品すら武器になるという前提に立つ必要性
ここ10年の間に空港で保安チェックを受けたことがあれば、時として困惑するような機内持ち込み禁止の手荷物リストを目にしたことがあるだろう。武器となる銃やナイフは明らかに持込禁止であるが、それ以外にもスポーツ器具、手工具、編針などの手芸道具、さらには多量の液体などもほとんどの航空会社で禁止されている。
航空機の利用に関しては、日常生活において99%安全だと考えられるものでも、潜在的に危険性があるものの利用を制限するという非常に厳しい方針に人々は基本的に納得している。ほとんどの人は、人を傷つけることや違法な目的でドライバーを使用することはないだろう。しかし、高度35,000フィートで一定数の人が金属の箱に閉じ込められる状況下では、その悪用された際のリスクが非常に高いとみなされ、フライト中はドライバーの利用を制限しようという総意が成り立つのである。ただし、このようなケースを除きほとんどの場合、ドライバーは規制の対象外であり、規制すべきなどと主張する人もほとんどいないだろう。
空港は、特殊な基盤を確立し、高度なセキュリティを適用することが可能であり、通常は無害と考えられるものでさえ排除することができる。しかし、空港から一歩でも外に出ると、従来型の武器だけでなく、武器としても使用可能なツールから自らを守る手段を講じる必要が出てくるのだ。
多くの人にとって、人生の大部分において適切な注意とは、手工具やスポーツ器具の存在を心配することではなく、一般的な武器に注意を払うことであろう。しかしながら、ハラスメントやDV被害の真っただ中にいる人にとっては、通常の家庭用製品が武器として使用される可能性を考えなくてはならない。
「過保護」なレベルで防御力を高める
マルウェア対策のベンダーは、その製品が一般的な脅威の状況に追い込まれている人々だけでなく、脅威が迫っている状況に置かれている人にも使用されているという非常に興味深い立ち位置にある。ほとんどの人は悪用目的で使用されるデバイス上のわずかなコードへの警告を、面倒だと感じてスルーする。例えば自らの周囲にドライバー、フライパン、野球のバットなどが存在することで、その都度警告を受けるとすれば、途方もないほどの警告を受け取ることになるだろう。
状況にもよるが、シビアに注意が求められる場合、これらの警告は当然のこととなる。セキュリティ製品のベンダーは、各企業の顧客に合わせ、適切な注意レベルを決定する必要がある。
一般的にその決定は、製品固有の機能または目的にもとづくだけでなく、顧客からのフィードバックを受けておこなわれる。各企業は、警告が多すぎるせいでユーザーが辟易することなく、最適な保護を維持できるように妥協点を見出す。また、時間とともに製品の機能や回避すべき脅威が変わるにつれ、その妥協点も必然的に変わっていくことになる。
多くのセキュリティ企業が講じる手段のひとつは、製品に対する一定のカスタマイズである。デフォルトの保護レベルは大多数の顧客にとって適切となるべきものであり、状況により異なる保護レベルが必要となれば個別に設定を変更し保護を強めたり、弱めたりする、といった対応がなされるべきである。
DVやストーキングなど必要以上の注意が求められる状況では、可能な限りシステムへのアクセスを制限しておくのが賢明である。つまり、セキュリティソフトウェアを最も「パラノイド(過保護)」な設定にすることである。
そしてマルウェア対策ソフトでは、潜在的に安全でない、または好ましくないアプリケーションに対しスキャンを有効にする、あるいは脅威を与える懸念があるファイルの存在を知らせる高度な検知機能をONにしておくとよいだろう。さらに可能ならば、セキュリティベンダーのテクニカルサポートに連絡し、デバイスの設定を自分の状況に最も適したものに変更できるか聞いてみるといいだろう。
ストーキングやDVに関して非常に難しい点は、それらに気づくことないまま、事態が進行することだ。被害者は本当に危険なレベルに達するまで、自分がターゲットにされているとは気づかないかもしれない。顧客を保護できるバランスを保てるよう、テクノロジーメーカーは、このような点についても留意しておく必要があるのではないだろうか。
テクノロジーメーカーによる変化
極めて危険な状況にいる人々を有害なコードやデバイスから守るための変化は、ユーザー側だけに求められるものではない。テクノロジーメーカーもまたこのプロセスにおいて絶対的に重大な役割を担う。期待されることは、製品を悪用する人がもたらす危害を企業が完璧に防止することではなく、現段階における非常に高い悪用リスクを軽減することである。
携帯電話会社とスマートフォンメーカーは、番号をブロックして通話・メッセージ共に連絡を即座に、完全に、そして永久的に禁止できるようデバイスを改修すべきである。電子メール、インスタントメッセージ、そしてソーシャルネットワークサイトなどのウェブメディア、サービスなどにもこういった機能が求められる。もし使用しているプラットフォームを利用して誰かに連絡が取れるのであれば、そういったプラットフォームには特定の個人に対しこの機能を無効にする機能も備えておくべきだろう。
たとえこのような方法で遮断を試みていても、しつこい悪用者は、再度のアプローチを成し遂げるために新たなアカウントを作成するといった方法をとることもあり、完璧な解決策にはならない。詐欺防止保護を適用できるサービスプロバイダーは、多少なりともこの行為を制限できるようにしなければならない。
アプリストアでは、アプリに対しどのような行為が許されるのか具体的に示し、ステルスモードで作動するような、インストール後の検知が容易ではない製品を明確に禁止すべきである。特に家庭内虐待に関連する場合など、違法な行為に関連する検索を禁止すべきである。また、アプリ開発企業の規模を問わず、これらのポリシーは一貫して適用する必要がある。
デバイスやアプリのベンダーは、何か事が起きてから保護策を講じるのではなく、プライバシーやセキュリティを念頭に先回りして設計をおこなうべきだろう。こういった企業は、関連する連絡先情報を含め、セキュリティ問題が起きた際の連絡方法に関する指示に加え、プライバシーポリシーも誰もが見られるように整備すべきである。社内では、報告された問題に早急に対処できるよう、インシデントレスポンスの計画も策定しておくべきだろう。
求められる対策はこれだけにとどまらない。しかし、セキュリティベンダーは各自に課された役割を果たすべきである。デフォルト設定でどのようなスパイウェアやストーカーウェアが検知されるのかということだけでなく、高度な設定の場合、どの製品が検知されるのか一貫したポリシーを備えておく必要がある。さらに、脅威レベルが一般的な場合と異なる際に、より検知するための柔軟なオプション提供にはどういう方法を取るべきか模索し、開発に落とし込んでいくことが求められているといえよう。