Discord が年齢認証義務を世界規模で導入すると発表してから 1 週間あまりが経過しましたが、ほとんどのユーザーは認証を必要としないという約束にもかかわらず、同社は依然としてゲーマーとの間で泥沼の関係にあります。
最近では、Discord がピーター・ティールが支援する企業 ペルソナ と協力していたことが判明したが、同社自体も複数のスキャンダルに巻き込まれている。これらには、Discordユーザーからの個人識別データを当初の発表よりも長期間保管していたという疑惑や、同社が誤ってデータの一部をオープンなインターネット上で閲覧できる状態に残したままにしていたことが明らかになったことが含まれる。 Discordは現在、ペルソナとの提携から撤退すると発表しているが、これだけのことを経てなお続ける価値はあるのだろうか?
Discordの年齢認証ルールはどうなったのでしょうか?
Discordが間もなく世界中で年齢確認を義務付けると発表したとき、実際にはオーストラリアや英国などの地域ですでに開始されていた年齢確認プログラムに倣った。米国で Discord の年齢認証パートナーとして知られているのは、デバイス上の顔スキャンを使用する k-ID だけですが、ユーザーは、同社が英国でも ペルソナ と提携していることを発見しました。 Discordとペルソナとの提携は、ユーザーが送信した情報が「最大7日間一時的に保存され、その後削除される」可能性がある「実験」のためだった。
PCGamerの報道によると、この情報は、英国を拠点とする一部のDiscordユーザーがペルソナに情報を提出するようリクエストを受けていたとの報道を受けて明らかになったもので、当初の発表では政府IDデータのみがクラウドに送信されるとの約束にもかかわらず、顔データがデバイスから流出することや、アップロードされたデータがどれくらいの期間クラウドに保存されるかという懸念が生じたという。現在は削除されているサポートページで、Discordはこの提携は実際に本物で実験の一部であることを明らかにし、削除までに7日間の猶予期間がある可能性についての注記を追加したが、これはアップロードされたデータは年齢確認後に直接削除されるという記述と矛盾している。
ペルソナのCEOであるリック・ソング氏はXへの投稿で、「デバイス上の顔スキャン」は「残念ながら今日では回避するのがあまりにも簡単だ」とワークフローを擁護しようとした後、アップロードされた情報は依然として「処理されてから削除される」と付け加えた。しかし、ソン氏は削除のスケジュールを明らかにしなかった。そして、データがユーザーのデバイスから流出しないという当初の約束にもかかわらず、データがユーザーのデバイスから流出する可能性があることは、懸念の一部にすぎませんでした。
週末には、ハクティビスト 3 人も、ペルソナのデータ フロントエンドの脆弱性を発見しました。独立出版物 The Rage とマルウェア対策団体 Malwarebytes の分析によると、この脆弱性により 2,456 個のファイルがオープン インターネットにアクセスできる状態になっています。 「誠意を持って」コミュニケーションをとってきたハッカーとペルソナのCEOはいずれも、ペルソナ自体はハッキングされておらず、データは誤って漏洩し、それを見つけるノウハウを持っている人なら誰でも閲覧できた(その後削除されている)と述べている。
調査結果の完全な報告書はハッカーの1人であるCelesteによって公開されており、その漏洩は明らかに通常の作業環境から何らかの形で隔離されていた米国政府認可のエンドポイント経由で発見されたと詳細に述べている。ハッカーらは流出したファイルから個人を特定できる情報を発見しなかったが、ペルソナがサーバーに送信されたデータに対して年齢確認以上のことを頻繁に実行していることを発見した。流出したコードによると、同社は顔認識を使用して14のカテゴリ(テロリズムやスパイ活動を含む)にわたる監視リストに対して269の個別の検証チェックを実行し、大麻流通からマネーロンダリングまであらゆるものを追跡するための既知の官民パートナーシップに関連するコードネームをレポートにタグ付けしている。ハッカーらの調査結果によると、収集されたIPアドレス、ブラウザとデバイスの指紋、電話番号、名前、顔などの情報は最長3年間保存される可能性があるという。
確かに、Discord 経由で年齢確認情報を送信したユーザーや、現在は削除されたサポート ページに記載されている 7 日間を超えてデータを保存しているユーザーに対して、ペルソナがこれらのチェックをすべて実装していなかった可能性はあります。しかし、それはペルソナにとってもDiscordにとっても良い結果ではありませんでした。
Discordはペルソナとの関係を終了します
個人データが自分のデバイスから流出したり、不明な期間クラウド上に留まったりすることに対するユーザーの怒りと、そのデータを管理する企業が自社のファイルの非常に多くのファイルをオープンなインターネットへの漏洩を明らかに許していたというニュースを受けて、Discordはダメージコントロールを開始した。
同社はArs Technicaに対し、ペルソナに関する実験には「少数のユーザーのみが参加」し、「実験期間は1カ月未満だった」と語った。さらに重要なのは、実験が終了したとされる現在、DiscordはArsとThe Vergeの両方に対し、ペルソナとの提携はもう行わず、「ベンダーが追加または更新されるたびにユーザーに情報を提供し続ける」と語った。
ペルソナ側では、同社は政府との契約は一切行っていないことをアルス氏に明言した。 CEOのリック・ソング氏も、ハッカーらとのやりとりの中で、漏洩した情報は公開されている記録に基づいていると述べた後、ペルソナはユーザーが送信したデータを保管していないと繰り返した。ソング氏はまた、ペルソナはAIを使用しておらず、ピーター・ティールから一部資金提供を受けているにもかかわらず、パランティアとは関係がないと述べた。
これまでのところどう思いますか?
Discordを使い続けるのは安全ですか?
ペルソナがユーザーデータをどの程度保存または分析していたのかは不明だが、これが多くのユーザーにとって驚きだったことは、チームスピークのような代替手段を試すユーザーが大幅に増加したことを示すのに十分であり、それ自体がディスコードのセキュリティを批判する機会となっている。
個人的には、(このような記事を書くために必要という理由だけで) Discord をすぐにアンインストールすることはないと思いますが、年齢確認を求められたら、情報のアップロードについてはよく考えます。ただし、Discord は、個人を特定できる情報を送信しなくても、登録メールなどの指標を使用して年齢を推測できることに注意してください。実際、これが、年齢確認のプロンプトでほとんどのユーザーを煩わすことを避けるための計画です。
ただし、Discord から離脱した場合でも、生活の中で使用するサービスによっては、依然として ペルソナ とやり取りする必要がある場合があることに注意してください。 Discordは年齢認証会社との提携を終了するが、ペルソナは依然としてRedditやLinkedInなどのソーシャルメディアサイト、Robloxなどのゲーム、さらには決済サービスのSquareやアクセス管理プラットフォームのOktaとの積極的な関係を維持している。
最も注目すべきは、ペルソナと OpenAI の関係でしょう。これは、ペルソナのコードがそもそも漏洩した可能性がある方法のようです。リークを発見したハクティビストは、その中に OpenAI を示す記号を発見しました。The Rage によると、これは OpenAI がペルソナの身元確認にアクセスするための内部データベースを構築した可能性があることを意味します。これは、同社がおそらく政府との契約を結んでいなかったにもかかわらず、ペルソナのデータがどのようにして米国政府のコンピューターに侵入したのかを説明できる可能性があります。
いずれにせよ、インターネットがより接続され、年齢認証がより一般的になるにつれて、1 つのアプリから撤退するなど、スイッチを 1 つ切り替えるだけでは、オンラインでの存在感を完全に消去するのに十分ではなくなる可能性があります。できることはコントロールする価値があります。Discord では送信メッセージやサーバー チャネルなどの情報を削除できますが、購入情報を保持することが法的に義務付けられており、アカウント削除後でもデータベースのバックアップなどの追加情報も保持することを選択しています。保持されている Discord 情報の完全なリストは、同社の Web サイトで確認できます。
それまでの間、私の同僚である Pranay Parab がオンライン中に安全を保つための 10 のヒントをご覧ください。