英国の通信規制当局であるOfcomが発表した衝撃的な新報告書は、YouTubeコンテンツフィードYouTube子供たちにとって「十分に安全ではない」という厳しい結論を下した。これは単なる形式的な注意喚起にとどまらない。Ofcomは、サイバーセキュリティ、脅威インテリジェンス、オンライン安全の分野に携わるすべての人々に対し、警鐘を鳴らしているのだ。
同社の言葉によれば:
「特に、YouTube 、子どもに有害なコンテンツが配信されるのを減らすための重大な変更を行うことをYouTube 、自社のフィードはすでに子どもにとって安全であるとの立場を堅持した。」
明るい材料としては、Snap、Meta、Robloxの各社が、オンライン上での児童への性的誘引や「見知らぬ人による危険」から子供たちを守るため、さらなる安全対策を講じることで合意した。
BBCの報道によると、Ofcomの調査で、8歳から12歳の子供の84%が、利用開始年齢が13歳以上と定められている主要なサービスを少なくとも1つ利用し続けていることが判明した。以前、我々は一部の年齢確認方法をいかに簡単に欺くことができるかについて報じた。また、13歳未満のアカウントを使用した研究者らは、特定のRobloxゲームにアクセスして間もなく、性的なコンテンツや不適切な言葉に遭遇したと報告している。
Robloxといえば、『ガーディアン』紙の報道によると、米国の市民団体が連邦取引委員会(FTC)に対し、Robloxの「不公正かつ欺瞞的」な行為について調査を行うよう正式に要請した。この申し立ては主に以下の点に焦点を当てている:
- ゲーム内課金が子供にお金を使わせるよう圧力をかけている
- 見知らぬ人と接触させるチャット機能
- エンゲージメントを最大化するように設計された機能だが、批判的な意見では中毒性がある可能性があると指摘されている
バテンホールのCEOであり、青少年の安全を守る非営利団体「レイズ」の創設者であるドリュー・ベンヴィー氏は次のように述べた:
「Robloxは年齢に応じた新たな安全対策を講じているものの、若いプレイヤーたちはこうした保護機能を巧みに回避している。」
サイバーセキュリティの観点から
サイバーセキュリティの研究者たちを夜も眠れなくさせているのは、この問題の別の側面です。提案されている年齢確認ソリューションの多くは、ユーザーに公的身分証明書や生体認証用の自撮りデータの提出を求めています。この点については、当ブログの「年齢確認:児童保護か、それともプライバシーリスクか?」という記事ですでに触れています。
年齢確認システムは、膨大なデータ収集の機会を生み出し、それが以下の者たちにとって格好の標的となります:
- 機密性の高い個人識別情報(PII)が漏洩するデータ侵害
- 一元化されたIDデータベースが招くIdentity
- パスワードのように変更できない生体認証データの盗難
- セキュリティ対策が不十分なプラットフォームのユーザーを狙ったマルウェアや詐欺
規制によって若年層のユーザーが、規模が小さい、あるいはセキュリティの低いサイトを利用するようになると、次のような問題に直面することになります:
- 基本的な安全対策が講じられていない
- マルウェアへの感染リスクが高まる
- フィッシングや詐欺のリスクの高まり
- 管理されていない有害なコンテンツ
これはまさに脅威インテリジェンスで目にする現象です。防御側が1つの攻撃経路を封じ込めると、サイバー犯罪者は対応策を講じて別の場所へ移動するのです。
安全性の高いシステムは、より厳しい年齢制限よりも効果的である
子どもを守るためには、デジタル環境全体をより安全なものとすることこそが重要である。これが唯一の現実的な道である理由は以下の通りだ:
- より厳格なモデレーションは、単にアクセスをブロックするだけでなく、実際に有害なコンテンツを削除します
- より安全なレコメンデーションシステムは、有害なコンテンツがアルゴリズムによって増幅されるのを防ぎます
- プラットフォームの説明責任が強化されれば、企業は安全性を犠牲にしてまでエンゲージメントを優先することはできなくなる
- 侵入的なデータ収集を避けることで、攻撃者にとっての巨大なハニーポットとなる事態を防げる
日々マルウェアや脅威を分析している者として断言できますが、「隠蔽によるセキュリティ」(年齢確認機能)は機能しません。一方で、「堅牢なシステム設計によるセキュリティ」(適切な管理、より安全なアルゴリズム、説明責任)は機能します。
詐欺師はあなたの端末をハッキングする必要はありません。あなたが一度クリックするだけでいいのです。
Malwarebytes Identity Theft 、不審な動きが問題となる前に検知します。
