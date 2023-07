2023年07月27日 13時21分 セキュリティ

Mastodon・Misskey・Blueskyなど分散型SNSのユーザーが政府の情報収集から自己防衛する方法



MastodonやMisskey、Blueskyなどの分散型SNSは各ユーザーが自由にサーバー(インスタンス)を設置できることを大きな特徴としています。しかし、アメリカではFBIによる別件の家宅捜査によってMastodonインスタンスの管理デバイスが押収される事態が発生しています。この状況を受けて、電子フロンティア財団がインスタンス管理者やユーザーに対して自己防衛を呼びかけています。



FBI Seizure of Mastodon Server Data is a Wakeup Call to Fediverse Users and Hosts to Protect their Users | Electronic Frontier Foundation

https://www.eff.org/deeplinks/2023/07/fbi-seizure-mastodon-server-wakeup-call-fediverse-users-and-hosts-protect-their





TwitterやFacebookなどの大手SNSは、運営企業が管理するサーバー上ですべてのサービスが成り立っています。一方でMastodonやMisskey、Blueskyなどの分散型SNSではユーザーが自由にインスタンスを設立可能で、インスタンスごとに異なる制限や運営方針を掲げることができます。分散型SNSのインスタンスはAWSなどのクラウドコンピューティングサービスを用いてホストされることもありますが、ユーザーが自宅に設置しているマシンでホストしている場合もあります。



2022年5月にMastodonインスタンス「Kolektiva.social」の管理者の1人がインスタンス運営とは無関係の容疑でFBIによる家宅捜査を受けました。この際に、FBIは「Kolektiva.social」の運営情報が保存されたマシンを含む「すべての電子機器」を押収したとのこと。FBIが押収したマシンにはインスタンスに参加していたユーザーの「メールアドレス」「ハッシュ化されたパスワード」「IPアドレス」などの個人情報が含まれていました。さらに、家宅捜査を受けた際に管理者はインスタンスのメンテナンス作業を実施していたとのことで、通常は暗号化されているはずの情報が暗号化解除状態になっていました。





電子フロンティア財団によると「Kolektiva.social」などのMastodonインスタンスは「法執行機関に監視されている人々の受け皿」として機能する場合があるとのこと。また、電子フロンティア財団は「政府が合法的に情報を収集した場合、収集した情報を本来の目的とは関係ない犯罪の捜査のために利用できます」「政府が情報を1度入手した場合、その情報は頻繁に利用され、法律も情報の使用が合法であることを裏付けるのです」と述べ、収集された情報の重大性を強調しています。さらに、電子フロンティア財団は政府からの情報収集に対する自己防衛が必要だと述べ、インスタンス管理者とユーザーに対して自己防衛の方法を示しています。



◆インスタンス管理者の自己防衛

・ファイアウォールを適用する

・サーバーおよびデータベースにアクセス可能なユーザーを制限する

・サーバーが収集するデータを可能な限り少なくする

・アクセスログを保存する必要がある場合は適切な期間を過ぎたら破棄する

・分散型SNSのコードの脆弱(ぜいじゃく)性について情報を収集し、新バージョンがリリースされたらサーバーを更新する

・ユーザー情報の提供を求める法執行機関への対応について明確な透明性レポートを定期的に公開する

・法執行機関から情報提供を求められたら、できるだけ早くユーザーに連絡する



◆ユーザーの自己防衛

・インスタンスに参加する際に、インスタンスの情報を確認する

・インスタンス情報や利用規約に法執行機関への対応方法が記されていない場合は、利用規約を更新するように求める

・インスタンス管理者の対応が気に入らない場合は、他のインスタンスに移行する

・必要に応じてVPNやTorを用いる

・一時的なメールアドレスを使用する