デジタル権利団体EFF、「Google Chrome」の「Web Environment Integrity(WEI)」に異議 何が問題?:「ユーザーの自律性が最優先されるべき」
Googleの技術者が「Google Chrome」ブラウザへの搭載を提案している「Web Environment Integrity(WEI)」という機能に対し、Electronic Frontier Foundation(EFF)が異議を表明した。
米国のデジタル権利団体「Electronic Frontier Foundation(EFF)」は2023年8月7日(米国時間)、Googleの技術者が「Google Chrome」ブラウザへの搭載を提案している「Web Environment Integrity(WEI)」という機能について、異議を表明するブログ記事を公開した。
EFFはブログ記事の冒頭で、次のように述べている。「GoogleがChromeに追加しようとしているWEIは、ユーザーが使用するOSや他のソフトウェアに関する情報を、改変できない形で送信し、Webサイトと共有するものだ。Googleは、WEIによって広告詐欺を減らせるとしている。だが実際には、これにより、自分のコンピュータに対するユーザーのコントロールできる能力は低下する。“承認された”OSやブラウザを使っていないユーザーのアクセスを、全てブロックするWebサイトも出てくるだろう。また、新しいブラウザの参入障壁も高くなる。Googleの従業員も、WEIに関する非公式な説明の中で、これを認めている」
WEIとはどのようなものなのか
ブラウザがWebサーバに接続すると、デバイスとブラウザに関する情報が自動的に送信され、サーバはそれらを使って、ユーザーに合わせたサービスの提供やユーザーの追跡などを行う。ブラウザから送られる情報は、ユーザーがブラウザの設定や、プラグイン、プライバシーツールなどを利用して管理できる。自分に関する正確な情報を送ることもできるが、送らなくても、あるいはいい加減な情報を送っても問題ない。
だが、WEIは「サーバがデバイスにリモート認証を要求し、その要求がデバイスのセキュアなエンクレーブ(製造者の許可がなければ変更できないように設計され、安全性が強化されたサブシステム)またはTPM(トラステッドプラットフォームモジュール。セキュリティプロセッサとして機能する)に中継され、これらが、デバイスに関する信頼性の高い、暗号署名された記述を返す」ようにする技術的な提案だ。
データを送信しない選択もできるが、データを送信する場合はデバイスとそのソフトウェアに関する記述を、ユーザーが変更またはランダム化して送信できない。
Google技術者が挙げるWEIのメリット
EFFは、Googleの技術者が挙げるWEIのメリット例を、次のように引用している。
- サイト運営者が、サービスをオートパイロット(自動操縦)で使用しているbotを区別できる。これは広告詐欺の減少や、ひいてはパブリッシャーの売り上げ増加につながる。パブリッシャーは増えた収益をコンテンツの充実に振り向けることができる
- MITM(Man-In-The-Middle、中間者)攻撃の阻止に役立つ
- 改変したバージョンのゲームを遊んでいるゲーマーや、不正なチートを使用しているゲーマーを排除できる
- サイト運営者がブラウザ自動化ツールを検知、ブロックでき、偽レビューの投稿やbotアカウントの大量作成といった不正行為を防止できる
EFFは、こうしたメリットは現実的なものであり、ユーザーにも恩恵があるが、基本的には、これらのメリットを享受するのは、商用サービスの所有者だと指摘している。
WEIのリスク
一方でEFFは、GitHubで公開されているWEIの説明の中でGoogle技術者も認めているように、「Webサイト運営者がWEIを用いて、気に入らないブラウザやOS、あるいは自らが満足するようにWEIを実装していないブラウザやOSを使っているユーザーを、締め出す可能性がある」と述べている。
そして、「WEIを提案している技術者は、WEIが善良な目的にのみ使われることを望んでいる。ブラウザをブロックしたり、個人情報を非公開にしたいユーザーを排除するためにWEIを使用することを、明確に非難している」と、Google技術者の善意を認めながらも、WEIの導入には、「ユーザーが自分のニーズに合うようにデバイスを構成する権利を攻撃するために、企業がWEIを使用するという完全に予見可能なリスクが伴う」と述べている。
企業の問題よりもユーザーの決定権が重要
「WEIは作るべきではない。作られたとしても、使用すべきではない」とEFFは強調し、WEIで実現されるようなリモート認証は、「オープンなWebプラットフォームにはふさわしくない。あなたのコンピュータのボスはあなたであり、あなたのコンピュータとそのソフトウェアについて、あなたのコンピュータが他の人にどのような情報を提供するかは、あなたが最終的な決定権を持つべきだ」と主張している。
さらにEFFは、広告詐欺や、チートを使うゲーマー、botに悩まされている企業には同情するが、企業の問題は、ユーザーの自律性ほど重要ではなく、こうした問題への対処が、自分のデバイスをコントロールする権利よりも優先されてはならないと述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Chromeが重い原因となっているプロセスをタスクマネージャで調べる
Google Chromeが重く感じるような場合は「Chromeタスクマネージャ」を使って、その原因を調べてみましょう。あまり利用していない拡張機能が多くのメモリやCPUを消費している場合、その拡張機能を無効化すればChromeを軽快にできます。
パッチ未適用をなくしたい 世界規模でセキュリティを向上させる団体「Network Resilience Coalition」発足
フォーティネットジャパンは、ネットワーキング、サービスプロバイダー、サイバーセキュリティ業界の各社が参加する「Network Resilience Coalition」を発足させたと発表した。ネットワークのハードウェアとソフトウェアの耐障害性を世界規模で向上させることが目的だ。
Zoom「顧客の同意なしに、AIモデルのトレーニングに顧客コンテンツを使用することはない」と発表
Zoomの最高プロダクト責任者が「Zoomの利用規約は、同意なくユーザーコンテンツをAIトレーニングに利用できる」という技術系情報サイトの懸念、議論に対して「Zoomのサービス規約と業務慣行はAI機能にどのように適用されるか」と題したブログ記事を公開した。