Discordの年齢確認システムを調査した研究者らは、同社が利用する本人確認ベンダー「Persona」に属する公開されたフロントエンドを発見したと報告している。これは単なる「未成年者保護ツール」をはるかに超えた、広範な監視と金融情報分析の基盤を露呈するものであった。
つい先日、Discordが年齢確認を行うまでプロフィールをティーン向けモードに制限すると報じられた。つまり、これまで通りDiscordを利用したいユーザーは顔認証を許可する必要があり、ネット上では大きな反発が巻き起こった。
これらのスキャンを分析するため、Discordは生体認証による本人確認スタートアップ企業Persona Identities, Inc.を利用している。同社は生体認証による本人確認を基盤とした顧客確認(KYC)および資金洗浄防止(AML)ソリューションを提供し、ユーザーの年齢推定を行っている。
プライバシーへの影響を実証するため、研究者が詳細に調査したところ、米国政府が認可したサーバー上に公開されたPersonaフロントエンドを発見した。そこには2,456のアクセス可能なファイルが存在していた。
その通りです。研究者「セレステ」によれば、公開されていたコード(現在は削除済み)は、通常の作業環境から隔離されていたと思われる米国政府公認のエンドポイント上に存在していました。
それらのファイルから、研究者らはペルソナソフトウェアがユーザーに対して行う広範な監視の詳細を発見した。年齢確認を超えて、同ソフトウェアは269種類の異なる検証チェックを実施し、監視リストや政治的要人リストとの顔認証を実行し、14カテゴリー(テロリズムやスパイ活動を含む)にわたる「有害メディア」をスクリーニングし、リスクスコアと類似度スコアを割り当てる。
ペルソナはIPアドレス、ブラウザおよびデバイスのフィンガープリント、政府発行のID番号、電話番号、氏名、顔情報を収集し、最大3年間保持できる。さらに「自撮り」分析機能として、不審者検知、ポーズ重複検知、年齢不一致チェックなどの一連の分析を実施する。
個人データが漏洩していないか確認してください。
年齢確認が大きな話題となっている今、この種のニュースはプライバシー擁護派に「年齢確認が我々の利益になる」と納得させるものではない。年齢確認チェックで取得したデータをデータブローカーや外国政府(報道によれば英国ではDiscordがPersonaを試験導入)に送信する行為は、ユーザーがこの種の監視に安心して従うために必要な信頼を築くことにはならない。
これは、年齢確認が実際にその目的を果たしているのかという広範な疑問が浮上する中で起こっている。ユーロニュースは、16歳未満のソーシャルメディア利用を禁止する世界最先端のオーストラリアの規制の効果を検証した。 オーストラリアの新規制は施行からわずか6週間だが、同国のインターネット規制当局はTikTok、Instagram、Snapchat、YouTube、X、Twitch、Reddit、Threadsなどのプラットフォームで16歳未満が保有する約470万アカウントを閉鎖したと発表している。しかし子どもや保護者からは全く異なる実態が語られている。十代の若者、保護者、研究者へのインタビューによると、多くの子どもが単純な回避策で禁止アプリにアクセスし続けているという。
The Rageによれば、Discordは年齢確認にPersonaを継続使用しないことを表明した。ただし、Personaを使用していると報告されている他のプラットフォームには以下が含まれる:
- Roblox:チャット利用のための年齢確認システムの中核として、ペルソナの顔年齢推定技術と本人確認を採用している。
- OpenAI / ChatGPT: OpenAIのヘルプセンターでは、18歳以上であることを確認する必要がある場合、「Personaは当社が年齢確認を支援するために利用する信頼できる第三者企業です」と説明しており、Personaがライブセルフィーや政府発行の身分証明書の提示を求める可能性があるとしています。
- ライム:ライドシェアサービスは、各地域の固有の要件を満たすため、Personaを活用したカスタム年齢確認フローを導入しています。
脅威を報告するだけでなく、ソーシャルメディアの保護を支援します
サイバーセキュリティリスクは見出し以上の広がりを決して許さない。Malwarebytes Identity Theft でソーシャルメディアアカウントを守ろう。
