サイバーセキュリティの専門家やプライバシー擁護団体は、エンドツーエンドの暗号化通信アプリ「Signal」を、真にプライベートなデジタル通信のゴールドスタンダードとして、ほぼ10年にわたり推奨してきました。しかし、このアプリを使用するには、皮肉なことに、テキストメッセージや通話の相手に特定の個人情報、つまり電話番号を公開する必要がありました。しかし、ついにそれが変わりつつあります。
Signalは本日、待望の機能セットをベータ版でリリースしました。同社はこれを「電話番号プライバシー」と呼んでいます。WIREDがテストしたこれらの機能は、ユーザーがアプリ上でコミュニケーションを取る際に電話番号を隠し、代わりにユーザー名を共有することで、より機密性を抑えた方法で互いに繋がれるように設計されています。つまり、Signalの他の連絡先に自分の電話番号を識別子として渡し、会話を始める際に相手に知らせるのではなく、選択したハンドルネームで自分を見つけられるように設定できるのです。あるいは、自分の電話番号を知っている人がSignal上で自分を見つけられないようにすることもできます。
電話番号に加えて、または電話番号の代わりに、Signal で他のユーザーがあなたを見つけられるように、固有のユーザー名を設定できるようになりました。
シグナル提供電話番号の使用は、Signalの設計に対する長年の批判の中でもおそらく最も根強いものだった。Signalの社長であるメレディス・ウィテカー氏は、今回の新しいプライバシー保護によってようやく解決策が見つかったと述べている。「私たちは、世界中の誰もが簡単に、誰とでもプライベートにつながることができるコミュニケーションアプリを作りたいのです。この『プライベート』という言葉は、太字で下線が引かれ、斜体で書かれているのです」とウィテカー氏はWIREDに語った。「ですから、Signalをハイリスクな環境で使用していて、『電話番号は非常にデリケートな情報なので、広く公開されるのは不安だ』と言う人たちの気持ちに、私たちは非常に共感しています」
新機能(現在はベータ版で、Signalは今後数週間のうちにより完成度の高いバージョンで展開する予定)では、Signalは3つの変更を加えました。1つはデフォルトでオンになり、残りの2つはオプトイン機能です。まず、デフォルトでは、誰かが既にその番号を電話のアドレス帳に保存していない限り、あなたの電話番号はSignalプロフィールに表示されなくなります。2つ目に、ユニークなユーザー名、またはユーザー名を含むQRコードを作成して、つながりたい人と共有できるようになりました。例えば私のユーザー名はAndy.01です。(誰かがあなたにメッセージを送信し始めると、少し紛らわしいのですが、そのユーザー名ではなく、あなたが選んだプロフィール名が表示されます。このプロフィール名は、Signalのこれまでのように、ユニークである必要はなく、やり取りしている相手もアプリ内のあなたのビューで名前を変更できます。)
Signalの新しい設定では、電話番号の表示設定と検出設定の両方を変更できます。電話番号の表示設定はデフォルトでオフになります。より抜本的な対策として、電話番号の検出設定をオフにする場合は、リスクの高いユーザー向けのオプトイン設定となります。
シグナル提供3つ目の新機能はデフォルトでは有効になっていませんが、Signalでは主にハイリスクユーザーに推奨されています。この機能を使うと、電話番号の表示だけでなく、検索も無効にすることができます。つまり、あなたのユーザー名を知らない限り、Signalであなたを見つけることはできません。たとえあなたの電話番号を既に知っていたり、アドレス帳に登録していたりしてもです。この追加の安全策は、Signalのプロフィールと電話番号を紐付けされたくない場合は重要かもしれませんが、同時に、あなたを知っている人がSignalであなたを見つけるのも大幅に難しくなります。
新たな電話番号保護により、Signal を使って信頼できない相手とコミュニケーションをとることが可能になり、これまでは深刻なプライバシーリスクを伴っていたような方法でもコミュニケーションが取れるようになります。例えば、記者はソーシャルメディアのプロフィールに Signal のユーザー名を投稿することで、情報提供者が暗号化された情報を送信できるようにすることができます。同時に、夜中に見知らぬ人が自分の携帯電話に電話をかけてくるような電話番号を共有する必要もありません。活動家は、自分の個人番号をグループ内の知らない人に公開することなく、組織活動グループにひそかに参加することができます。
これまで、これらの状況でプライベート番号を公開せずにSignalを使用するには、使い捨ての携帯電話に新しいSignal番号を設定する必要がありました。これは、SIMカードの購入に身分証明書が必要となる多くの国の人々にとって、プライバシー保護の難しい課題でした。あるいは、Google Voiceのようなサービスを使用する必要がありました。今では、ユーザー名を設定するだけで済みます。ユーザー名はいつでも変更または削除できます(古いユーザー名で開始した会話はすべて新しいユーザー名に切り替わります)。これらのユーザー名さえも保存されないように、Signalはリストレットハッシュと呼ばれる暗号化関数も使用しています。これにより、ハンドルをエンコードした一意の文字列のリストを保存できます。
しかし、あなたの電話番号を誰が知ることができるかを正確に制御するために設計されたこれらの新機能がある一方で、電話番号の重要な役割の一つは変わっていません。登録時にSignal本体と電話番号を共有することを避ける方法は依然として存在しないのです。Signalのアップグレード後もこの要件が残っているという事実は、Signalの開発者に対し、より完全な匿名性を求めるユーザーのニーズに応えるよう求めてきた一部の批評家を間違いなく苛立たせるでしょう。つまり、Signalのスタッフでさえ、ユーザーを特定できる可能性のある電話番号を見たり、裁判所命令を行使する監視機関にその番号を渡したりできないようにするのです。
ウィテカー氏は、良くも悪くも、Signalがユーザーから個人的に収集する識別子として電話番号は依然として必須条件であると述べています。これは、電話番号が不足しているため、スパマーが無数のアカウントを作成することを防ぐためでもあります。また、電話番号は、誰でもSignalをインストールし、アドレス帳から連絡先を即座に入力できるようにするため、その使いやすさの重要な要素でもあります。
実際、スパムアカウントを防止し、電話番号を必要とせずにユーザーのアドレス帳をインポートするシステムを設計するのは「意外と難しい問題」だとウィテカー氏は言う。「スパム防止と、コミュニケーションアプリ上で実際にソーシャルグラフに接続できること。これらは存在意義に関わる問題です」と彼女は言う。「だからこそ、登録に電話番号が必要なのです。なぜなら、その機能を果たすものが依然として必要だからです。」
ジョンズ・ホプキンス大学の暗号学およびコンピュータサイエンスの教授で、Signalのオープンソース暗号化プロトコルの実装においてGoogleとFacebook両社のコンサルタントを務めた経験を持つマシュー・グリーン氏は、電話番号の要件が継続していることは、Signalのプライバシー向上が妥協を意味すると指摘する。「これは中途半端な解決策です。完璧な解決策ではありません」とグリーン氏は言う。
しかしグリーン氏は、たとえプライバシーを最も強く主張する人たちを満足させないとしても、Signalの何億人ものユーザーのうち、はるかに多くの人にとって大きな改善となると指摘する。「自分の電話番号を他人に教えずにSignalを使いたいと考える正当なコミュニティがあり、彼らは今回の変更に非常に満足するでしょう。一方で、Signalに自分の電話番号を絶対に教えたくないという、より強硬な人たちもいます」とグリーン氏は語る。「多くのユーザーにサービスを提供していくことが正しい方向であり、それ以外のユーザー全員を満足させることは、Signalが今後も取り組むべき課題です。」
ウィテカー氏も認めるように、シグナルは現時点では登録手段としての電話番号の利用を廃止するロードマップを持っていない。現状では、シグナルの使いやすさを犠牲にしない代替案は存在せず、プライバシー擁護者にとっては大きな損失になるだろうと彼女は主張する。しかし、新しい電話番号プライバシー機能は、シグナルの人気を支えてきた品質を失うことなく、電話番号がもたらす問題を解決しようとするシグナルの慎重な試みだと彼女は言う。
「私たちの理念に忠実であり続けることが本当に大切なのです」とウィテカーは語る。「もっともっと、もっともっと良い方法で、使いやすく、プライベートなコミュニケーションという約束を果たしていくのです。」
訂正: 2024年2月20日午後1時25分 (EST): Meredith Whittaker の職業上の肩書きは、Signal Foundation の会長です。
