Thoughtful, detailed coverage of everything Apple for 31 years
前週号 | 日本語版ホーム | 次週号

#1574: Apple の“児童保護拡大”機能への FAQ、Lunar でサードパーティのディスプレイを制御、パンデミック下でのグループ寄せ書き

Apple は先週、児童保護のために設計された新機能を発表して嵐のような論争に火をつけた。アップロードされた iCloud Photos をスキャンして既知の性的児童虐待資料と一致するかどうかチェックし、Messages ではデリケートな性格を備えた画像を識別するという。Glenn Fleishman と Rich Mogull がこのテクノロジーの動作方法について、また Apple がプライバシーの懸念に対してどう反応しているかについて、詳細な FAQ をまとめた。M1 ベース Mac でサードパーティディスプレイの輝度を制御できなくて困っている人たちに、その理由を説明しよう。新しい寄稿者 TJ Luoma が、Lunar をレビューする。M1 ベース Mac に欠けているサードパーティディスプレイを制御するテクノロジーを実装するユーティリティだ。それから、Adam Engst はランニングの仲間から旅立つ友人に送別の寄せ書きカードを作りたいと思ったが、このパンデミック下でどうやって寄せ書きすべきか悩んだ末に見つけた解決方法を、他の人たちにも参考になればと紹介する。今週注目すべき Mac アプリのリリースは Quicken 6.3、Alfred 4.5、Ulysses 23.1、それに Art Text 4.1 だ。

Adam Engst  訳: 亀岡孝仁  

パンデミック下でのグループ "寄せ書き" 作成方法

私が一緒に走る High Noon Athletic Club には一つの伝統がある、いや、少なくともこのパンデミックの前まではあった。我々の正会員の一人が引っ越す時、我々は記念イベントを企画する:"最後の走り" と近くの川辺での一杯、そして残りの会員がロッカールームで秘密裏に回して寄せ書きをした会員証である。我々の会員の一人が最近博士課程を修了し、MIT の博士課程修了後の研究者として旅立つこととなったが、日中の走りは未だ定常的に行われておらず、署名を集める方法はなかった。

一つの伝統をパンデミックの犠牲にするのではなく、私は、同じ様な状況下にある他の人達にも役に立つこともあると思われる解決策を思い付いたので、共有したいと思う。それには幾つかの要件がある:

メッセージを集めるため、私は一つの短答質問を持つ Google Form を作成し、そのリンクをクラブのメーリングリストに送った。私はメッセージは短いものにして欲しいと伝えたが、長いものが幾つかあっても驚きはなかった。

多くの人は Google Forms が返事を Google Sheet に保存出来る事を知らないが、こうすることで事後にデータを扱うのがとても楽になる。こうして私は、後で簡単にコピー&ペースト出来るフォームの中に必要とするデータを集められた。

Google Form for collecting messages

このプロジェクトの要となったのは、Font Meme の Handwriting Fonts のための Text Graphic Generator であった。これを使うことで、テキストを入力し、広範囲な手書きフォントの中から一つを選び、色を決めた後、それは私のテキストを PNG グラフィックに変換してくれる。満足がいったら、その後は、グラフィックを Control クリックし、Copy Image を選択するだけである。

Font Meme's Text Graphic Generator tool

次に、私は Affinity Publisher で我々の会員証を開いた (私は私のプロジェクト全てを Adobe InDesign と Adobe Illustrator から Affinity Publisher と Affinity Designer に切り替え中である。その理由は、後者の一つの値段は Adobe'の Creative Cloud の一ヶ月分とほぼ同じだからである)。私はメッセージを空いた所にペーストして挿入し、角度をつけて傾かせ、あたかも誰かが限られた空間に収めようとしたかの様に見えるようにした。他の残りのメッセージについても同じ過程を繰り返したが、フォントは全部異なる様に選んだ。中には、改行を沢山入れて、横長ではなく縦長になる様にしたものも幾つかあるし、色も青から黒に変えて、違ったペンで書いた様に見せたものもある。現実的に見える様に、全ての大きさを調整し、配置を見直す作業には少し時間を要したが、その結果は上出来で、我々の通常のやり方よりも遙かに綺麗に (そして、汗染みも無く) 仕上がった。

High Noon certificate in Affinity Publisher

この小さなプロジェクトは、がんの治療法にはとても及ばないが、去りゆく友への記念品を準備するのに色々なツールを使いこなせたというのは、とても良い気分である。他の人達にも役立つことを望みたい。

討論に参加

TJ Luoma  訳: 亀岡孝仁  

Mac の皆既蝕:Lunar がサードパーティディスプレイを制御

私の M1-based Mac mini を受け取って間もなく、私は夜遅くに仕事をしていて Dell モニターの明るさを減じようと思った。私は、思い出せない程昔からやってきた様に、Magic Keyboard 上で指を伸ばして F1 キーを押した。何も起こらない。もう一度試したが、やはり何も起こらなかった。

これ迄何年かの間に、私は一連の MacBook を利用してきた - 12-inch MacBook, MacBook Air, そして 16-inch MacBook Pro である。私にとって、Mac mini に外付けモニターを付けて主コンピュータとして使うのは初めての経験である。私は、モニターの明るさを Mac キーボード上の標準キー、或いは System Preferences > Displays の明るさスライダーを使って制御出来るものだと思い込んでいた。

私は間違っていた。分かったことは、Mac は外付けモニターの明るさを内蔵の選択肢を使って必ずしも制御出来ないと言うことである。勿論、これは Apple モニターでは問題ではない - より旧型の Thunderbolt Display, 今日の正気とは思えない程高価な Pro Display XDR, 或いは Apple 承認の LG UltraFine モニター等である。

私には分からない理由から、サードパーティディスプレイを使う時、上記した幾つかのモデルを例外として、macOS はこれらの設定に対する内蔵のサポートを欠いている。しかしながら、Intel-based Mac の所有者は色々なコマンドラインやグラフィカルツールをこの目的のために使えるが、私の M1-based Mac mini に対して働くものは何もない様に見えた。私はもっと深く掘り下げる作業を始め、これは私だけの問題では無い事に気付いた:これらのツールはそれぞれに誰かが M1-based Mac で働かず、Rosetta でも解決しなかったとコメントしていた。

その理由はどうも M1-based Mac は、DDC 即ち Display Data Channel に対するサポートを欠いていることである様に見えた。DDC はモニターが長年の間使って来た標準となる一連の制御プロトコルである。私が見つけたツールは全て DDC サポートを必要としており、それが M1-based Mac では働かない理由である。

勿論、私には Dell モニターのボタンを、ある種の動物の様に、使うという選択肢が残されているが、誰もが知っている様に:それらはどうしようも無い。私のモニターには底面に沿って4つのボタンがあるが、それらは明るさやコントラストを直接調節する訳では無い。それでは安易すぎるであろう。それらの設定を制御するには、モニターのオンスクリーンメニュー階層をナビゲートしなければならない。それには、ボタンの一つを押し、もう一つのボタンを使って上下して右側のサブメニューに行き、3番目のボタンを使って明るさを選択し、そして一つ前のボタンに戻って明るさを上げたり下げたりして調節する。それは遅いし、ぎこちないし、そして、私は何時も間違ったボタンを押し、自分は馬鹿じゃないかと思わされてしまう。でも、ようやく、私は明るさとコントラストを私の M1-based Mac mini から直接制御出来るアプリを見つけた。

Alin Panaitiu によって開発され、Lunar には絶え間なく続く開発期間があったが、May 2021 の末にはその公式リリースにたどり着いた。そのウェブサイトには、一群の選択肢が示されていて、広範囲なカスタマイズ出来るキーボードショートカットが含まれる。もっと格好良いことに、それは明るさを場所に応じて自動的に制御したり、外付けモニターの明るさを MacBook の内蔵モニターと同期させることも出来る。最も大事なことだが、それは働いた、そして頼もしく働いた。

Lunar

当初、Lunar は M1-based Mac を使いたい我々の様な人のために、印象的なハックを使った。その様な Mac に対する Lunar のハードウェアに基づいた最善の解は、Raspberry Pi に依存してコマンドを Mac から外付け HDMI モニターに中継するものだが、これは 殆ど ネイティブの解と同じ位良い... もし私の様に Raspberry Pi をお持ちなら。私はこの "ネットワーク制御" の手段を設定したが、それは私の Raspberry Pi ユーザー名とパスワードを入力し、そして Lunar からメニュー選択肢を選ぶだけの簡単さであった。(Lunar はまたガンマ値に依存するソフトウェアだけの解も持っているが、ガンマを使う f.lux の様な他のユーティリティと競合し、明るさを下げる - 上げるのではなく - ことしか出来なかったし、音量や入力といった他のモニター制御もない。)

Raspberry Pi

しかし Panaitiu はそこで終わらなかった。このプロジェクトに寄与する他の開発者からの助けを得て、彼は最近 M1-based Mac に対するネイティブの DDC サポートを Lunar 4.5.1 に追加したので、Raspberry Pi やソフトウェアだけの解に対する必要性は無くなった。モニターファームウェア内のバグによる問題に遭遇する可能性はあるが、Lunar の FAQ はこれらの問題の多くに答えている。(そして、もし背景にある話や技術的な詳細に本当に興味があるのでれば、M1-based Mac がどの様に彼に仕事を辞めて Lunar に集中するようにさせたかに付いての Panaitiu のブログポストを見て欲しい。)

今や私は Dell モニターを私の M1-based Mac mini から直接制御出来、設定を変える時にはオンスクリーンの表示も得られる。そのためには、Mac mini の HDMI ポートではなく Thunderbolt ポートを使うことが必要だが (HDMI ポートと Mac mini のビデオドライバーの組合せが、何らかの理由で、DDC メッセージを送らない)、私はネイティブの明るさとコントラストの変更のための macOS キーを使える。或いは、Lunar の設定を使って独自のショートカットを設定することも出来る。

そして、皆さんも出来る、macOS 10.15 Catalina かそれ以降を走らせている限りは。Lunar は無料だが、より進んだ機能の幾つかは $23 の Pro ライセンスを必要とする。私はとても幸せだったのでこのプロジェクトをサポートすることにした。勿論、完璧な世界では、Apple が元々内蔵しておくべきプロトコルのためのサポートを追加するためサードパーティソフトウェアを必要とする事など決して無いであろうが、現実を目の前にして、$23 は能動的で創造的な開発者をサポートするほんの少しの代償と言えるであろう。加えて、TidBITS 会員は 30% を節約出来、その値段は $16.10 に下がり、より決断しやすいものとなっている。


[TJ Luoma は長老派教会の牧師で、Plattsburgh, New York に住むコンピュータおたくである。彼の最初の Mac は NeXTStation で、90 年代初期に大学で使っていた。そして、90 年代中-後期には、NeXTStep/OpenStep ソフトウェアのための PEAK FTP サイトを走らせるのを手伝っていた。より最近では、彼は TUAW や MacStories に寄稿したことがあり、そして Mac Power Users and Automators ポッドキャストのゲストでもあった。彼は Twitter 上では @tjluoma として、或いは彼のウェブサイト RhymesWithDiploma.com で見つけられる。]

討論に参加

Glenn Fleishman Rich Mogull  訳: Mark Nagata   

Apple による児童保護拡大機能に関してよくある質問

子供たちの被害を減らす目的で Apple が予定しているプライバシーに関する二つの変更点が、米国内で iOS 15、iPadOS 15、および macOS 12 Monterey の iCloud Photos と Messages に組み込まれる。

一つ目の変更点は、従来から Child Sexual Abuse Material (CSAM、児童性的虐待素材) と呼ばれ、一般的には「児童ポルノ」と呼ばれている、未成年の子供の性的虐待を表現した写真の送受信や所持を防止することに関係する。(子供たちが同意することはあり得ないので、特定の法律的文脈を除き「ポルノ」という用語の使用は相応しくない。) iPhone や iPad から iCloud Photos へ写真が同期される前に、Apple はそれらの写真をローカルに置かれた既知の CSAM の、暗号法的に隠されたデータベースと照合する。

二つ目の変更点は、Messages で送受信するすべての画像に対してデバイス上で機械学習に基づく解析を有効に設定し性的に露骨な写真を識別するオプションを保護者向けに提供する。この機能は Family Sharing を必要とし、18 歳未満の子供たちに適用される。機能が有効になっている場合、画像に対する警告が子供たちに表示され、タップまたはクリックするまでその画像を見たり送信したりできない。13 歳未満の子供の保護者は、子供が“露骨な”写真を送信または受信すると保護者に警告が送られるように設定することもできる。

さらに、Apple は Siri と Search もアップデートして、安全でない状況を認識し、コンテクスト対応の情報を提供し、ユーザーが CSAM 関係の話題を検索すれば介入するようにする。

プライバシーと Apple を巡って常に言えることだが、これらの変更点は複雑で、微妙な点を含んでいる。過去数年間にわたって、Apple は私たちのプライベートな情報がメッセージにせよ写真にせよその他のデータにせよ、セキュアな状態で私たちのコントロール下にあるべきだと強調してきた。強力なデバイス上の暗号化と、データの送受信に際しての強力な終端間暗号化とによって、大規模なプライバシー漏洩と、私たちが何をして何を言い何を見ているかを広告目的で知ろうとする日常的な侵入との双方が防止されてきた。

Apple の発表はこれらの変更点を“Expanded Protections for Children (子供のための保護機能の拡張)”という言葉を使って強調する。それは事実かもしれないが、Apple によるこの動きが Apple の全体的なプライバシーの立ち位置を揺るがしかねないという議論も容易に成り立つ。これまでの Apple が、予防手段を組み込み、小さい子供を持つ親たちのために子供の年齢に応じた洞察を提供し、Apple に対して終端間の暗号化を崩して iCloud のプライバシー機能を引き下げ犯罪者の追跡に使えるものにせよと迫る各国政府の要求を拒絶しつつ、さまざまな努力をしてきたというのに。(2020 年 5 月 19 日の記事“FBI、Pensacola 銃撃犯の iPhone をクラック、まだ Apple に怒り心頭”参照。)

皆さんの脳裏にはたくさんの疑問が浮かんでいるかもしれない。私たちも確かに疑問に思った。私たちの経験と、Apple がこれまでに公開した情報とに基づいて、最もよくあるものと思えるいくつかの疑問 (FAQ) に対して、以下に答を示してみた。混乱と不満の飛び交う嵐の期間を経て、Apple もまた Apple 自身の Expanded Protections for Children FAQ を公開したが、その内容は大体において私たちの分析と推測を裏付けるものであった。

問: なぜ Apple は現時点でこれらのテクノロジーを発表したのか?

答: それが大きな疑問だ。展開されるのが米国のみだとしても、私たちが考える最も有力な理由は Apple が世界中の政府や法執行機関から圧力を受けて、子供たちを保護するための政府主導の取り組みにもっと参加せよと迫られているからだろう。

言われているところによれば、Apple はその種の方策を実装した最初の会社とは到底言えず、むしろ巨大テクノロジー企業の中では最後に来る会社の一つだ。他の巨大企業はより多くのデータをクラウド上に保存しており、そこにあるデータはその会社の暗号化鍵によってのみ保護され、結果として解析や令状によるアクセスがより簡単にできる。また、この種のテクノロジーの背後にあるエンジニアリングの労力は疑いもなく長い年月と膨大な資金をかけたものであるので、Apple としては極めて大きな動機に動かされてのものに違いない。

問題は、児童搾取が非常に不均衡な両側面を持つことだ。まず第一に、かなり大量の CSAM 取引と直接のオンライン搾取に携わっている者たちの数は比較的少ないという事実がある。FBI は CSAM 不正使用の概説の中で、最もよく知られたピア・ツー・ピアの取引ネットワークすべてを合わせても参加者は数十万人程度だという。もちろんそれは全体の中の一部分に過ぎないが、相当な部分を占めていることは確かだろう。一方、New Hampshire 大学の Crimes Against Children Research Center の調査によれば「年間で 25 人のうち 1 人の若者がオンラインで性的な勧誘を受けた際に勧誘者がオフラインで連絡を取ろうとした」という。インターネットは、捕食者たちにとっておいしい場所となった。

もう一つの不均衡は、大人たちによる問題の認識の程度だ。たいていの大人は搾取が存在していることを画像の流布や直接の会話を通して認識している。けれども個人的経験として知っていたり、自分自身あるいは子供や家族が実際に巻き込まれたりした人たちの数は少ない。そのことにより、問題をただ抽象的に、学究的にしか見ていない人たちもいる。個人的または職業的にこの問題にもっと近い位置にいる人たちならば、これが手段を選ばず根絶すべき恐怖だと捉えているかもしれない。テクノロジー会社が児童搾取の防止にどれほど関わることができるか、あるいは関わるべきかということに対するその人の姿勢は、その人自身の経験が両極端の間のどの位置にあるかに大きく依存する。

CSAM 検出

問: Apple はどうやって iCloud Photos で CSAM を検出するのか?

答: 当然ながら、CSAM のデータベースを構築して配布しそれを照合に使うことはできない。そんなことをすればデータベースの内容が流出して中の子供たちが再び犠牲になることになりかねないからだ。そうする代わりに、CSAM 照合システムは National Center for Missing and Exploited Children (NCMEC) が検査し構築した抽象化された画像の指紋情報に依存して働く。NCMEC は非営利団体であるけれども行政機関に準ずる役割を持ち 、通常ならば所持自体が違法となるようなものを扱うことが認められている。新たに作られた CSAM を追跡・特定し、そこに写っている犠牲者を見つけ、既存の画像の取引を排除する、といった活動をしている。(このテクノロジーは静止画像のみに適用され、ビデオは対象外だ。)

Apple は CSAM 識別の過程を説明した白書を出している。その手法により Apple は NCMEC が作成した暗号法的に生成された指紋情報のデータベース (ハッシュ と呼ばれる) を入手し、それをすべての iPhone と iPad に保存する。(Apple はデータベースのサイズがどの程度のものか明かしていないが、デバイスのストレージ容量をあまり大きく食わないことを願いたい。) Apple はユーザーのデバイスが iCloud Photos に同期しようとしている画像に対してハッシュを生成するが、その際に使われるのは NeuralHash と呼ばれる機械学習アルゴリズムで、これがその画像から複雑な一連の特徴のセットを抽出する。このやり方により、厳密なピクセルごとの比較を使わず NCMEC 指紋情報とのファジーマッチングができる。厳密な照合をすれば、画像のフォーマットやサイズ、カラーなどに変更を加えることで欺かれてしまうだろう。Howard Oakley が、動作の方法に関するより技術的な解説を書いている。

Apple はこれらのハッシュにまた新たな一連の暗号化変換をくぐらせ、その結果としての最終的な秘密 (secret) のみを Apple のサーバに保存する。これにより、私たちのデバイスに保存されるデータベースの中にある画像のハッシュについて外部から何かを知ることは事実上不可能となる。

問: CSAM 検出は iCloud Photos とどう関係するのか?

答: このシステムが実際どのように iCloud Photos と関係しているのかという点を疑問に思った方もおられるだろう。実は、関係している訳ではない。Apple によれば、iPhone や iPad 上でスキャンして CSAM 照合をチェックするのは iCloud Photos 同期のキューに入っている画像のみだという。作業の次の部分は何がアップロードされたかに応じてクラウドの中で起こるが、これについて次に説明する。

あなたの iCloud アカウントの中に既に保存されている画像であって過去に iCloud Photos に同期されたものはスキャンされない。しかしながら、システムの設計上、デバイス上にあるすべての画像をスキャンすることを妨げるものは何もないし、Apple が事後にクラウドをスキャンする何らかの画像チェッカーを構築することを禁じるものもない。Stratechery の Ben Thompson が指摘した通り、これはまさに能力の問題 (Apple はスキャンできない) とポリシーの問題 (Apple はスキャンしない) の違いだ。

Apple が既にクラウド上の写真をスキャンしている 可能性 もある。雑誌 Inc. のテクノロジー系コラムニスト Jason Aten が、Apple のグローバル・プライバシー・ディレクター Jane Horvath が 2020 年の CES でのパネルディスカッションで「その機能は開発中」と述べたと指摘している。MacRumors も、同じパネルディスカッションでの彼女の発言を伝えて「Horvath も Apple が iCloud にアップロードされる児童性的虐待コンテンツをスキャンしていることを追認して、児童性的虐待素材を検査するためのテクノロジーを使っていますと述べた」と書いている。これらの活動については Apple のサイトで公表されておらず、今週の議論の対象になっておらず、電子的プライバシー擁護者たちに叫ばれてもいない。

しかしながら、2020 年の電子的サービスプロバイダからの報告リストの中で、NCMEC は Apple が NCMEC の CyberTipline への報告をたった 265 件 (2019 年の 205 件より増加) しかしておらず、一方 Facebook は 20,307,216 件、Google は 546,704 件、Microsoft は 96,776 件報告したとしている。Apple は報告の提出を法的に義務付けられているので、もしも実際に iCloud Photos をスキャンしていたならばもっとずっと件数が多くなっていたことだろう。

問: どうやって Apple は名目上プライバシーを保ちつつ画像の照合をするのか?

答: iCloud Photos にアップロードされる画像は全てスキャンされるが、照合の手順は private set intersection と呼ばれる一方通行のプロセスだ。その結果として、どれかの画像がマッチしたかどうかをそのデバイスの所有者が知ることはなく、画像がマッチしたとしても Apple がそれと知るのはずっと後になってから、しかもそれは 多数 のマッチがあった場合のみだ。この方法により、誰かが iPhone や iPad を使って画像がデータベースとマッチするか否かをテストする行為も防げる。

スキャンが終われば、システムは 安全バウチャー というものを生成する。これは画像に対して作られたハッシュと、低解像度版のその画像を含んでいる。このバウチャーはすべての画像に対してアップロードされるので、いかなる者も (そのユーザーも、Apple も、政府機関も、ハッカーも、誰も) バウチャーの存否をもとにマッチがあったか否かを知ることはできない。Apple はさらに、それらと共に多数の偽陽性マッチを生成して一緒にアップロードするので、Apple 自身でさえマッチ数の正確な途中集計を作成することができない。

Apple によれば、その iCloud Photos アカウントで CSAM 項目の数が一定のしきい値を超えない限り Apple が安全バウチャーを復号化することもできないという。この threshold secret sharing テクノロジーにより、CSAM の売買に実際に従事している者以外の画像はプライベートのままに保たれるという保証がユーザーに与えられる。

Apple は安全バウチャーに二重のレイヤーから成る暗号化を施す。外側のレイヤーは、ユーザーのデバイス上で生成されたその画像の NeuralHash から暗号法的情報を引き出す。内側のレイヤーでは、Apple は実質的にデバイス上の暗号化鍵を多数の部分に切り分ける。つまり個々のバウチャーが断片を一つずつ含む。Apple が安全バウチャーを復号化するためには、一定個数の (個数は開示されていない) 画像が CSAM 指紋情報とマッチしなければならない。例えて言うなら、鍵の 1000 個の部分のうち 10 個がなければバウチャーを復号化できない、といったことだ。(正確に言えば鍵よりも秘密 (secret) という用語を使うべきだが、ここでは考えやすいように鍵というという言葉を使った。)

この二重レイヤーのやり方のお陰で、Apple はマッチのあるバウチャーのみをチェックすればよく、バウチャー内の画像をチェックできる必要もない。マッチするバウチャーがしきい値を超えたことをいったん Apple のサーバが判定するやいなや、その秘密 (secret) が再構築されて、マッチした画像の低解像度版が抽出される。(このしきい値はシステムの設計の中で設定されている。Apple があとでその値を変更することはあるかもしれないが、そのためにはすべての画像を新しいしきい値に従って再計算しなければならない。)

画像の個数のしきい値を用いることで、たった一つの偽陽性のために深刻な結果を招く可能性が減る。たとえ偽陽性の割合が例えば 0.01% 程度に高かったとしても、マッチの個数のしきい値を 10 個と設定することで総合的な偽陽性の可能性はほぼなくなるだろう。白書の中で Apple は「このしきい値は一つのアカウントに誤ってフラグが立つ確率を極めて低い値 (1 兆分の 1) にするように選ばれています」と書いている。また、アカウントにフラグが立った後にも人間による追加の確認がなされるという。

私たちのデバイスも、デバイス生成の偽陽性マッチを送信する。これらの偽陽性マッチは偽の鍵を使っているので、Apple は外側のレイヤーを復号化できるけれども内側のレイヤーは復号化できない。このやり方により、すべての鍵が揃って内側のレイヤーが復号化可能となるまで Apple がマッチの個数を正確に数えることは不可能となる。

問: Apple はシステムが言う通りのものかについて外部のテストを許すのか?

答: Apple はこのシステムを完全に制御しており、外部の監査や、動作方法に関するさらなる透明性を提供することは考えにくいように見える。このような姿勢は悪漢たちにシステムを破るヒントを与えないという考え方とも合致しているのだろうが、他方では言質を与えられるのは Apple だけということをも意味する。

児童保護への取り組みを記したウェブページの中で、Apple は 3 人の研究者たちの白書をあらかじめ要約した上でリンクしている。(ページの一番下にある "More Information" 部分を参照。) 注目すべきは、研究者たちのうち 2 人は自分がソースコードにアクセスできたか否か、あるいは Apple の白書に書かれていること以外の説明を受けたか否かについて何も述べていないことだ。

3 人目の David Forsyth は自分の白書の中で「Apple はこのシステムの実用性能に関係する実験的および概念的資料を私に見せた上で、システムの説明を詳細にしてくれた」と述べた。この種の暗号法的プライバシーシステムに適用すべき外部からの厳しさはそんな程度のものではないはずだ。

結局のところ、いくら私たちがそうでないことを願うとしても、Apple が自らのシステムのいかなる部分をも外部の監査役や専門家にたとえ内輪にであっても覗かせることは、これまで皆無ではないとしても、まず滅多になかった。ここでも、そうでないことを期待すべきではないだろう。

問: iCloud Photos の CSAM スキャンは私のプライバシーにどう影響するのか?

答: 上でも触れた通り、Apple は iCloud Photos に既に保存済みの画像をこのテクノロジーを使ってスキャンすることはないと言っているし、どうやら過去に Apple がそのスキャンをしたこともないように思える。それよりむしろ、iCloud Photos に同期されようとしている写真を対象としてデバイス上で画像スキャンを実行するのだと今回の発表は述べる。Apple によれば、一つのアカウントからアップロードされたすべての画像にわたってある一定の個数以上のマッチが起こった場合にのみ Apple に特定のマッチの情報が知らされるのだという。しきい値を超えた場合にのみ、Apple がそのマッチした画像にアクセスできるようになり、画像を調べることができるようになる。もしもその画像が実際に既知の CSAM と同一のものであれば、Apple はそのユーザーのアカウントを停止し、NCMEC に報告する。すると NCMEC が法執行機関と連携してその次の段階へと進む。

ここで注目すべきは、iCloud Photos のオンラインストレージが Messages に比べれば低いレベルのセキュリティで運用されていることだ。Messages は終端間の暗号化を採用しており、必要な暗号化鍵はデバイス上のみにあって Apple には明かされない。ところが iCloud Photos ではセキュア接続で同期されるけれども、Apple が閲覧して内容を分析することが可能な形で保存されている。このように設計した結果として、法執行機関が合法的に Apple に命令して画像を共有させることが可能となり、実際過去にそういうことが起こった。Apple は iCloud のデータを写真やビデオも含めてプライベートに保つと約束しているけれども、それだけでは Messages におけるように技術的にアクセスが防止された状況とはならない。

問: Apple はどの時点でユーザーを NCMEC に報告するのか?

答: Apple によれば、マッチの手順は複数個の画像がマッチして暗号化のしきい値を超えてから、その後でマッチと画像が再構成されて社内警告が出るように設計されているという。その後で人間の手によってマッチの確認がなされ (Apple はこれを“手作業で”と表現する)、その後で NCMEC に報告される。

また、不服申し立ての手続もあるが、これについて Apple は「もしユーザーが自分のアカウントが誤ってフラグ付けされたと思えば、不服申し立てをしてアカウントを回復してもらうことができる」とだけ述べている。当然のことだが、NCMEC と法執行機関に通報された人の身になってみれば iCloud へのアクセスを失うよりもっとずっと大きな心配があるだろうに。

(CSAM の可能性を持つ画像を調査する“手作業”を命じられた可哀想な人たちにも同情を感じざるを得ない。間違いなく嫌な仕事だし、多くの会社がこの仕事を外部の業者に委託しているが、そのような委託先ではほとんど保護策もなく、PTSD を発症する人や、その他の問題も起こっている。この点で Apple はもっと良い仕事をしてくれると願いたい。Apple が言っている通りにしきい値を高く設定すれば、偽陽性を人間の手仕事で点検する必要が劇的に減ることだろう。)

問: Apple が基準を変えて CSAM 以外のもっと多くをスキャンすることも可能でないのか?

答: それは間違いなく可能だ。でも、Apple がそれを する のかどうかはまた別の問題だ。Electronic Frontier Foundation がこの問題を単刀直入に述べている

...子供たちが送受信する性的に露骨な画像にのみ使えるクライアント側のスキャンシステムを構築することは不可能だ。結果として、たとえ善意に基づく努力によって構築されたシステムであっても、メッセージを送る者の暗号化自体において鍵となる約束がいずれ破られ、より広範な悪用への扉を開くことになるだろう。

このシステム全体にわたって、透明性はどこにも見当たらない。それは意図的にそうしてあるのであって、すべては既に虐待を受けた子供たちがさらなる犠牲とならないようにするためだ。政治家たちや、子供の権利を擁護する団体の人たちは、CSAM を探知しそれを受信したり配布したりしている者を特定することが大規模なプライバシーの侵害に繋がるという懸念を無視しがちだ。

Apple のプライバシー主任 Erik Neuenschwander は New York Times のインタビューに答えてこう述べた。「もしあなたが C.S.A.M. のコレクションを持っているならば、その通り、あなたには大変なことになる。でもそれ以外の皆さんには、今までと何も変わりませんよ。」

CSAM のダウンロードや送信に従事している人々の人数が非常に少ない (さらにはクラウドベースのサービスを使ってその行為をしているのは本当に愚かな者どもだけであって、大多数の者はピア・ツー・ピアのネットワーク、いわゆる“ダークウェブ”を使っている) ことを考えれば、彼の発言は見掛け倒しだ。これでは「もし皆さんが盗品を所持していないのなら、Apple のカメラを喜んで自宅に招き入れて持ち物を自由に確認させても問題ないでしょう」と言っているのとそう変わらない。プライバシーと市民権を子供たちをさらなる虐待から保護することとの間で天秤に掛けるのは、両立の難しいバランス取りだ。Neuenschwander が言うようなすべてかゼロかの発言は、反対意見の正当性を認めず押し切ろうとするものだ。

公開した FAQ の中で、Apple は CSAM 画像以外のものをデータベースに加えることは拒否するし、このシステムは CSAM でない画像がシステムに入り込むことを阻止するように設計されていると述べている。

問: なぜこのシステムは人権団体やプライバシー擁護者たちの懸念を呼ぶのか?

答: Apple はこのシステムを、高度なテクノロジーを用いてユーザーのデバイス上にある写真をスキャンすることで罪なき人のプライバシーを守れるように設計した。しかしながら、そうであっても Apple がユーザーのデバイス上にあるユーザーの写真をユーザーの同意なしにスキャンしているという事実に変わりはない。(iOS 15 をインストールした行為そのものが同意を与えたことにはならない。)

既知の CSAM を所持し配布する者たちを見つけ出し訴追する行為は称賛に値する。けれどもデバイス上のスキャンの範囲を広げよという各国政府からのとてつもない圧力を Apple が今後も受け続けるであろうことに疑いの余地はない。Apple が既に抑圧的な政治体制によってプライバシーの立場に妥協を余儀なくされたこと、さらには米国の法執行機関が変わらず iPhone にバックドアを設けよと要求し続けていることを考えれば、これは正真正銘の懸念だ。Apple の FAQ もこの疑問に直接答えて、次のように述べている:

私たちはこれまでも、ユーザーのプライバシーを損なうような、政府に強制された変更を構築し組み込むようにとの要求に直面してきましたが、断固としてそれらの要求を拒否してきました。私たちは今後もそうした要求は拒否し続けます。はっきり言っておきましょう。このテクノロジーは、iCloud に保存された CSAM を探知する目的に限定されたものであって、いかなる政府からそれを拡張せよという要求があったとしても、受け入れることはありません。

その一方で、この種のターゲットを絞ったスキャンを取り入れることで、フル暗号化にバックドアを設けよという法執行機関や規制当局からの圧力を緩和できるということも考えられる。Apple がこの解決法を開発するまでに舞台裏で米国当局との間でどれだけ多くの交渉が行なわれたのか、私たちには知る由もないし、現在の政府関係者が Apple を題材として発言したこともない。以前には元合衆国司法長官 Eric Holder が発言したことはあったのだが。いずれにしても Apple は可能性のドアを開いたのであって、時間が経ってどう展開して行くのかについて確かなことを言える者は誰もいない。

セキュリティ研究者の Matthew Green は Apple の透明性の欠如と暗号化テクノロジーに対する外部監査の欠如を頻繁に批判してきた人物だが、New York Times に対して次のように述べた

彼らは世界に向けてプライバシーを売り物にし、人々に彼らのデバイスを信用させてきました。ところが今や、彼らは基本的にあらゆる政府からの最悪の要求に降参しています。今後一切、彼らがノーと言えるとは私には思えません。

Messages での画像スキャン

問: Apple はどうやって子供たちによる性的な写真の送受信を保護者が監視できるようにするのか?

答: Apple はそのすべてのプラットフォームを通じて Messages に“通信の安全”オプションを組み込む。これは Family Sharing グループの一員で 18 歳未満の子供たちにのみ適用される。(発表の中で Apple は“iCloud の中でファミリー用に設定されたアカウント”という呼び方をしたので、いずれ Family Sharing からそういう名前に変更されるのではないかという気もする。) この機能を有効にすると、Family Sharing でその子供のアカウントにログインしたすべてのデバイスで送信または受信されるすべての画像に対してデバイス上のスキャンが実行される。

Apple によれば画像そのものへのアクセスはされず、機械学習のシステムが性的に露骨な画像と思われるものを識別するという。これが CSAM 検出とは完全に別のシステムであることに注意しよう。これは任意の画像を識別するように設計されており、CSAM の既知のデータベースへの照合をするものではない。

問: もし“露骨な画像”を受け取ったら何が起こるのか?

答: 受信した画像を Messages がグレー表示にして隠す。子供には "This may be sensitive. View photo..." という警告がオーバーレイ表示される。そのリンクを辿ればフルスクリーンの説明画面になり、"This could be sensitive to view. Are you sure?" と表示される。そこで子供が "I'm Sure" をタップすると次に進める。

子供が 13 歳未満の場合には、保護者が追加設定として子供がそのリンクを辿れば子供のデバイスから保護者のデバイスへ通知が送られるようにすることもできる。その場合、子供のデバイスには親に知らせるという警告が出る。先に進むには "View Photo" をタップしなければならない。"Don't View Photo" をタップすれば、設定に関係なく親への警告はない。

How the sensitive image alert works

問: もし子供たちが“露骨な画像”を送信しようとしたら何が起こるのか?

答: こちらも同じように、そういう画像を送信することについての警告を Messages が出す。もしも子供が 13 歳未満であってその設定が有効になっていれば、保護者への通知が送られる。子供が画像を送信しない方を選べば、保護者への通知はない。

Siri と検索

問: Apple は児童保護をどのように Siri と Search へ拡張するのか?

答: 現状では自殺を考えている人たちやその状態にある人を知っている人たちのために援助に関する情報がニュース記事として表示されたり家庭用音声アシスタントを使って提供されたりしているが、Apple は Siri と Search を拡張して CSAM を認識できるようにする。Apple によれば、二種類の介入が提供されるという:

はたして Apple はパンドラの箱を開けたのか?

この、たった一つの使用事例に限定されたデバイス上のアクセスというものを今後も続けるために、Apple には信じられないほどの難問が控えていることだろう。この CSAM システムをさらに新たなコンテンツへ拡張することを妨げる技術的障壁が何もないという点が一つあるし、またこのテクノロジーの原始的バージョンと言えるものが既に多くの団体で使われ、メジャーな業界標準の大多数の中で既に体系化されているという点もある。例を挙げれば、Data Loss Prevention と呼ばれるテクノロジーもテキスト、画像、ファイルのハッシュをスキャンしていて、企業向けテクノロジーとして幅広い内容の任意に定義された資料を識別するために既に広く使われている。

もしも Apple が現状を維持して、CSAM を識別し児童を虐待から保護する目的のみにクライアント側のスキャンシステムを限定することに成功したならば、今回の動きは単に Apple の歴史の中の挿話の一つとなることだろう。けれども Apple は世界中の各国政府から極めて大きな圧力を受けて、このデバイス上スキャンのテクノロジーを他のコンテンツにも適用するよう要求されることになるだろう。それらの政府のいくつかは抑圧的な政治体制であって、Apple は既にそれらの国ではビジネスを続けることを許される見返りとして自らの標準的なプライバシー慣行を変更している。もしも Apple が今回のことについてもそれらの国からの要求に降参するに至ってしまえば、その場合には今回の発表がプライバシー擁護者としての Apple の終わりを告げる歴史の転換点となることだろう。

討論に参加

TidBITS 監視リスト: Mac アプリのアップデート

訳: Mark Nagata   

Quicken 6.3.1

Quicken 6.3.1

Quicken Inc. が Quicken for Mac のバージョン 6.3 をリリースして、新しい投資ダッシュボードを導入してその日の注目銘柄を強調表示するようにし、証券や資産クラスの配分表示を提供し、シンプルな追跡オプションを追加した。今回のリリースではまた、詳細な取引スケジュールを使ってローン支払いの予算を組めるようにし、Quicken サイドバーを改良してアカウントに問題があれば通知できるようにし、Clear Filters ボタンを白から緑に変更してレジスタがフィルター分けされていても見やすいようにし、公式出荷前に新しい呼び物を受け取れる Early Access オプションを追加した。このリリースの後間もなく、Quicken はバージョン 6.3.1 を出して詳細不明のバグに対処した。(講読年額 $35.99/$51.99/$77.99、購読者は無料アップデート、リリースノート、97 MB、macOS 10.13+)

Quicken 6.3.1 の使用体験を話し合おう

Alfred 4.5

Alfred 4.5

Running with Crayons が Alfred 4.5 をリリースして、Powerpack ユーザーが使える新しい Universal Actions 機能で Mac 上のどこにいても好きなテキスト、URL、またはファイルに対して Universal Action ホットキーを使ってアクションを実行できるようにした。Alfred には 60 個以上のデフォルトアクションが含まれており、クリップボードにコピーしたり、スニペットとして保存したり、一連のテキストから URL を抽出したり、その他のことができる。

Alfred 4.5 ではまた、Workflows や Remote で Dispatch Key Combo を使用する際にキーパッドの数字キーを認識するようになり、電卓で大き過ぎる桁を制限することで macOS 10.15 Catalina と macOS 11 Big Sur での浮動小数点の丸めの問題を予防し、内蔵の Alfred URL 解析ツールを更新して authority 部分のない URL を正しく解析できるようにした。(基本的機能は無料、Powerpack は 29 ポンド、4.9 MB、リリースノート、macOS 10.11+)

Alfred 4.5 の使用体験を話し合おう

Ulysses 23.1

Ulysses 23.1

Ulysses が会社名と同名の執筆アプリ Ulysses のバージョン 23 をリリースして、ブログ出版機能に改良を加えるとともに、執筆セッション履歴を手直しした。今回のアップデートではシートリストで白紙のアイコンで示された出版済み投稿をより良く識別できるようになり、ダッシュボードにウィジェットを追加してブログの名前、投稿の出版状況、最新のアップロード日を表示するようにし、出版状況がすべてのデバイスで同期されるようにし、Ghost ブログユーザーが過去に出版された記事を更新できるようにした。このリリースの後間もなく、Ulysses はバージョン 23.1 を出して数件の安定性の問題を修正した。学生は Ulysses を 6 か月間あたり $10.99 のdiscounted priceで購入できる。(Mac App Store から購読月額/年額 $5.99/$49.99、Setapp からも入手可、無料アップデート、31.3 MB、リリースノート、macOS 10.14.4+)

Ulysses 23.1 の使用体験を話し合おう

Art Text 4.1

Art Text 4.1

BeLight Software が Art Text 4.1 を出した。レタリングやタイポグラフィのグラフィックス、テキストのモックアップ、アート風のテキスト効果などを作り出すためのグラフィックデザインアプリへのアップデートだ。今回のリリースでは新しいベクタードローイングツールを追加してロゴデザインを改良し、新しいバッジやロゴのデザインテンプレートと 300 件の新しいベクターアイコンおよびシェイプをバンドルし、バッジデザイン用に 137 件の新しいシェイプを導入し、ラスタライズ効果を伴わずにグラフィックをベクター画像に書き出せるようにし、ベクタードローイングツールを使ってテキストを編集する Convert to Shape 機能を導入した。(BeLight Software からも Mac App Store からも新規購入 $29.99、無料アップデート、748 MB、リリースノート、macOS 10.14+)

Art Text 4.1 の使用体験を話し合おう

ExtraBITS

訳: Mark Nagata   

Intel ベースの Mac Pro に新しいグラフィックスカード

Six Colors の記事で Jason Snell が伝えるところによれば、Apple が Intel ベースの Mac Pro 用の新しいグラフィックスカードモジュールを 3 つリリースし、そのいずれも AMD の Radeon Pro W6000 シリーズ GPU を使っているとのことだ。それぞれの詳細も、とてつもない価格も、特定の分野のプロフェッショナル顧客のみに興味あることだろう。今回のニュースはまた、GPU メーカー Nvidia と Apple との関係改善を長年望み続けてきた機械学習研究者たちの期待を裏切ることとなった。しかしながら、Apple が Mac Pro 用のアップグレードのリリースを続けているという点は注目すべきで、これはおそらく Apple silicon 搭載の Mac Pro がまだ当分の間出てこないことを意味するのだろう。

Radeon Pro W6800 Duo

元記事を読む | 討論に参加

実動の AirPower 試作品を垣間見る

AirPower は、Apple の近年最大の失敗の一つだろう。2017 年にこのマルチデバイス・ワイヤレス充電マットを発表していた Apple は、これを出荷することができず、その 2 年後に製品の開発を断念した。(2019 年 3 月 29 日の記事“Apple、AirPower を中止、熱を処理出来ない”参照。) 開発中止の理由を公式に Apple が語ったことはないけれども、噂によれば Apple は過熱と干渉の問題を解決できなかったようだ。

The Verge の記事によれば、試作品蒐集家 Giulio Zompetti が試作品ユニットを手に入れることができ、AirPower がどんな見栄えであったかが分かるという。この試作品は顧客向けに出荷できるものとは程遠い。Zompetti は通信速度を調整した後で初めて通信できるようになった。それにまたこれは iPhone のような製品デバイスでは使えない。充電コイルをアクティベートするために特別のハードウェアが必要だからだ。

元記事を読む | 討論に参加

パラレル世界の 2000 年で最もホットな Apple ハンドヘルド機

どうやら Newton の死の知らせは勇み足だったようだ。(1998 年 2 月 27 日の記事“Newton Falls from Apple’s Tree”参照。) Apple Computer 社は 2000 年モデルとして大量の Newton 製品を発表し、そのすべてが Mac OS 9 To-Go で駆動される:

  • Newton Phone の価格は2年契約で $1499 から。カラーはベージュ、シルバー、ブラックの三色だ。
  • Newton Watch の価格は $999 からだが、Newton Phone が必要となる。携帯電話がないと使えない腕時計なんて、買う人がいるのだろうか?
  • Newton Tablet の価格は $3499 からで、これが最も野心的な製品だ。Newton Tablet には Newton Pen が付属し、タブレットの上面に磁力で取り付けられる。キックスタンドと、2 基の USB ポートも付く。

さて、現実世界の今年に戻ろう。ここで紹介したアート作品は Parker Ortolani が 9to5Mac の記事のために作ったものだ。当時の実際のハンドヘルド機にはカラースクリーンもなく指先で使える容電式タッチスクリーンもなかったが、もしそうだったらどうだろうかと想像してみるのは楽しい。一見の価値ありだ

元記事を読む | 討論に参加