Archive.todayへ謎の圧力!その全貌を暴く
引用元:https://news.ycombinator.com/item?id=45936460
AdGuardがこの件を世に知らしめて良い仕事したよな。NGOの短い歴史についての詳細も面白かった。
archive.todayへのメールはもっと短く、こんな感じにすべきだった:「ご連絡ありがとうございます。違法行為の確実な証拠があるなら、警察に連絡して法的援助を求めてください。サイト管理者は、ユーザーの違法行為、例えば法律を破るメディアの削除に適切に対応することが求められています。
提供されたURL(https://archive[.]today/ , …)を訪問しましたが、懸念を裏付ける証拠は見つかりませんでした。誤解を避けるため、この件に関してさらなる返信を希望するなら、<Adguards company address>まで書留郵便を送ってください。」
みんな、常に書留郵便(国際郵便ならさらに良い)を使うんだぞ。 Njallaのブログ(https://njal.la/blog/)やTPBの悪名高いメール返信も読めば、もっと面白い返信が見れるぞ。
「提示されたURLを訪問して確認した」ってさ。
“CSAM(児童性的虐待画像)が他人のサーバーにあるって主張を送ってきたから、俺たちはそれをダウンロードすることにしたぜ。”
ありえない!そんなの見たくないし、自分の管理するシステムに取り込みたくもない。
ここにある全ての助言の中で、「CSAMをダウンロードして実物か確認する」なんて、考えられる中で最悪のアドバイスだよ。
上の投稿にはCSAM(児童性的虐待画像)が含まれてるから、読まずにすぐ削除してくれ。頼む。
状況と俺が示唆してたことを誤解してるな。
AdGuardはarchive.todayにあるとされるCSAMのランダムなURLの内容をチェックすべきだった、って前の奴が言ってたけど、それはAdGuardの仕事じゃないんだ。
意図的にCSAMをダウンロードするのは非常に高い確率で違法だよ。
それに、もしCSAMが存在すると判断した場合、追加の責任を負う可能性もある。
AdGuardは、CSAMを処理する責任がある当事者に報告を送るっていう、まさに適切な対応をしたと思うね。
「意図的にCSAMをダウンロードするのは非常に高い確率で違法だよ」だって?
バナー広告にCSAMを入れて、その広告を見た人全員を逮捕するのか?
公共の場所の壁にプレキシガラス越しにCSAMの写真を貼って、通りかかってちらっと見た人全員を逮捕するのか?
法律家、裁判官、検察官、警察をどれほどバカだと思ってるんだ?
人々が逮捕されるのはCSAMの購入や共有で、怪しいものがあるかもしれないウェブサイトにたまたま行き着いただけじゃない。
所持は違法だけど、ウェブサイトを読み込むだけじゃほとんど所持には当たらないだろ…もしそうなら、FacebookやGoogleのコンテンツモデレーター全員が終身刑になるぞ。
「法律家、裁判官、検察官、警察をどれほどバカだと思ってるんだ?」だって?
めちゃくちゃバカだよ!信じられないくらいね!
ドイツにいる俺の友達は、グループチャットで誰かからCSAMの一コマだけが含まれたGIFを受け取ったんだ。
WhatsAppがそれを自動でギャラリーにダウンロードして、何かが自動で報告しちゃった。
そして一ヶ月後、警察が来て彼の電子機器を全部持って行ったんだ。
ドイツではこんなことする奴らがいるらしくて、アメリカのSWAT配信者みたいなもんだよ。
機器が返ってくるのに一年以上かかったと思う。彼は弁護士費用を払って、新しいスマホとノートPCを買わなきゃならなかった。
何も起訴されなかったけど、報告が自動だったから、虚偽報告で訴える相手すら誰もいなかったんだ。
「訴える相手がいない」なんてことはない。
警察はいくらでも圧力をかけたり嘘をついたりできるけど、権力乱用、虚偽の警察報告、司法妨害に関する法律はあるんだ。
でも、実質的に州を相手取って法廷に立つことになるから、費用は高くつくぞ。
もちろん、どこかにファイルを正しく、または誤ってフラグ付けするソフトウェアを書いた人間がいるんだ。
彼らの名前(Thorn)は、警察とのNDAで公の証言から厳しく遠ざけられている。
なぜなら、最終的にはアメリカで彼らに対する集団訴訟が起こるだろうからな。
「報告が自動だったから、虚偽報告で訴える相手がいない」って言うけど、
そのソフトウェアを展開した法的実体を名指しできない理由でもあるのか?
それが次の論理的なステップに見えるんだけどな。
実のところ、そのレポートは技術的には正しいものだったんだ。
そのGIFの一コマは、既知のCSAM(おそらく知覚ハッシュのようなものを使ってるんだろう)と一致したらしい。
ただ、1) そのGIFは明らかに悪質なジョークだった(彼は映画のスローモーション銃弾が何かに命中して、一コマだけフラッシュするもので、「CSAM銃弾をくらえ、ハハ」みたいな意図だったと説明してた)。2) それはほんの一部で、コレクション全体じゃなかった。3) グループチャットから自動ダウンロードされたものだった…って事実は、「このユーザーはCSAMをサーバーにアップロードしたか?」っていう機能の範囲外だったんだ(俺が理解したところでは、GoogleフォトかAppleの同等のサービスにバックアップされた画像でトリガーされたらしい)。
これらは全て、機能しているシステムなら、報告を受け取った警察官が考慮に入れるべきことだよ。
最初の報告なら無視する。2回目なら、報告書にもあったファイル名を確認して、それがWhatsAppのフォルダだと分かれば無視する。3回目か複数のファイルがあるなら、その人物のデバイスにCSAMスキャンを実行する令状を取り、アパートに行ってスキャンして、他には何もなければ事件を終了する。
もしそれが明確な「悪ふざけ」なら、送信した人物を調査し始める。
でも警察は、概してすぐに銃を抜くような連中だから、代わりに全面的な家宅捜索になるんだ。
そして、コンピュータフォレンジックは難しくて儲からないから、調査は午後じゃなくて何ヶ月もかかった。
失敗は完全に法執行機関側と、法律自体にあったんだ。
CSAMは「弾丸」みたいに悪用され、システムや個人を破壊する危険があるんだ。善意でCSAMを撲滅しようとしてる人たちって、荒らしがその熱意を悪用する可能性に気づいてないんじゃないかな。危ないよね。
デバイスが警察に勝手に情報垂れ流すの、絶対やめるべきだね。どんなツールも悪用される可能性があるからさ。無罪推定の原則があっても、警察の捜査が入るだけで人生めちゃくちゃになることもあるんだから。目覚めろSauronの目!
CSAMはマジでやばいから、安易に触らないほうがいいよ。キャッシュにあるだけでも所持とみなされることだってあるんだから。AdGuardがそれをチェックするなんて、超危険。警察だって特別なソフトを使って厳重に管理してるんだから。CSAMを武器として使う連中がいる中、AdGuardが自ら弾薬を与えるようなもんだよ。
「法律家、裁判官、検察官、警察がどれだけ馬鹿だと思う?」って?正直言って、彼らはけっこう馬鹿だったり、不注意だったり、無知だったり、冷めきってたり、腐敗してることもあるよ。
https://www.merriam-webster.com/thesaurus/knowingly
君も「knowingly」って言葉を引用してたじゃん…
会社って逮捕されなくても、ちょっとマークされたり捜査されたりするだけで、 reputational hitや法律の負担がデカすぎて大打撃を受けるんだよ。「Stumbling」なんてネットワークプロトコルにはない。ネットワーク越しにリンクを見るのは、内容をダウンロードするのと区別がつかないからね。
CSAMは持ってるのも見るのも違法だよ?そういう仕事をやってる人たちは、厳しい監視と法的なガードレール、そして強制カウンセリングを受けてるんだ。コンテンツモデレーターもその一人だよ。詳しくはBBCの記事を読んでみて。
0: https://www.bbc.co.uk/news/articles/crr9q2jz7y0o
君はちょっと信用しすぎだよ。不公平なことなんて、ほとんどいくらでも見つけられるんだから。
刑事司法システムは、誰かを罰するために物的証拠が必要なんだ。無実の人を刑務所に入れるなんてありえないし、単にコンテンツを見ただけでは有罪は証明できないからね。
警察や裁判所と関わったことない奴は、そのことについて黙ってろよ。無実でも家宅捜索、電子機器没収、弁護士費用、周囲の視線とかで人生ひっくり返るんだから。警察はコンピューターのこと全然分かってないことが多いし、下手すりゃ誤解で有罪になっちゃうかも。それに、奴らは自分たちの失敗を認めずに、何とかして罪を擦り付けようとするんだ。「無罪推定」なんて言葉は形式だけ。実際は人生が破壊されるんだよ。
論点はそこじゃない。議論は”誰かが違法行為の主張を伝えてきたとき、自分で検証するなっていうのは自由社会ではありえない”ってことだ。この件では、お前も問題のある投稿を読んだって認めてるんだから、お前の投稿も削除されるべきだな。
お前が俺の投稿に絡んでるんだから、お前の投稿も過激ってことじゃん、あはは。
言いたいことはわかるけど、これって本当にちゃんとしたアドバイスなの?フランスの法律に詳しい弁護士とか?
この協会のサイトは、ほとんど編集せずに無料テンプレート [1] を使って作られてるぞ (diffで見るとわかる)。name.com (年間5ドルから) のウェブホスティングアカウントは2025年1月12日頃に登録されたみたいだな [2]。ページにはフランスの携帯電話番号の一部と「Emergency Standard」って単語がコメントアウトされて残ってた(テンプレートにあった架空の番号だけど):
<\!– <div class=”contact-item”>
<\a rel=”nofollow” href=”tel:06221319” class=”item-link”>
<\i class=”fas fa-2x fa-phone-square mr-4”><\/i>
<\span class=”mb-0”>Emergency Standard<\/span>
<\/a>
<\/div> –\>
[1] https://www.tooplate.com/view/2117-infinite-loop
[2] https://web.archive.org/web/20250112153727/https://webabused…
多分、EUの助成金目当てで官僚の子供たちがこのサイトを運営してるだけだろ。実際、いくつかの国ではまさにそれが現実だしな。
もしそうなったら、すごく面白いことになりそうだな!記事によると、虚偽報告の罰則は”1年の懲役と15,000ユーロの罰金”だってさ。ところで、フランスの政治エリートって、どのくらい簡単に責任を逃れられるんだろう?誰か知らない?
でも、どうやら実際にCSAMがあったみたいだぞ。記事にはarchive.isが数時間でそれを削除したって書いてあるし。つまり、あの主張は本当だったんだ。なんで彼らはそんな話をでっち上げたんだろう?
”彼らは数時間以内に返信してきて、違法コンテンツは削除された(そして確認済み)、以前にそれらのURLに関する通知は一度も受け取っていないとのことだった。”
彼らは違法なコンテンツについてarchive.todayに一度も通知せず、代わりにDNSプロバイダにarchive.todayのブロックを要求することを選んだんだ。他のDNSサービスプロバイダも同じような要求を受け取ったのかどうか、知りたいところだな。
普通の人間なら、まずサービス(archive.today)に通知して、もし彼らがCSAM資料に対応しないと証明されたら、法的な措置にエスカレートすると思うだろ?
もしarchive.todayが以前に通知を一切受けていないって言うのが本当なら、彼らが違法な資料を削除することにしたやり方はとても怪しいぞ。
一般的にCSAMを見つけたら、自国の適切な組織に報告すべきだぞ。警察を飛ばして直接そこに行けば、みんなの時間も手間も省けるし、混乱も避けられる。この機関がサイトへの通知なんかを処理してくれるからな。
USA - https://report.cybertip.org/reporting
UK - https://report.iwf.org.uk/org/ (技術的にはNCAだけど、彼らはあらゆる報告の受け皿になってる。個人としてIWFが今後の報告を処理してくれるぞ)。
もしそういう機関がない国にいても、上記の機関は国際的な報告も扱ってくれるから、良い情報源だ。これらの組織は資料が削除されるのを確実にしてくれるし、それを捕らえて分析してくれる。CSAMはハッシュデータベース (https://www.thorn.org/) と比較して、まだ知られていない資料なのか、再共有された既知の資料なのかを判断できるんだ。これは資料の作成者の特定、逮捕、有罪判決、そして被害者の特定と支援に繋がるんだ。
サイト管理者に直接伝えると、彼らが資料を削除して報告しない可能性が高い。これはこの分野で今、大きな問題なんだ。UKとUSA(他にも多くの場所)では、運営者は資料を報告する義務がある。実際、物議を醸しているオンライン安全法は、UKでこの義務に具体的な強制力を持たせてるんだ。
出版マネージャーはJean DOMINIQUEで、AdguardへのPDF返答は「bob」って人が書いたんだって。MicrosoftとOffice 365を使ってるらしいよ。RNA番号はW691110691で、2025年2月15日に宣言、3月18日にJournal Officielに掲載されたんだ。本社はLyonのCréqui通り131番地。出版番号は20250011、発表番号は1688だってさ。
False flag攻撃って、サイトを閉鎖させたい奴らがやる手口なんだ。CSAMをサイトに投稿して、サイトじゃなくてホスティングとかDNSプロバイダーに通報しまくるんだよ。サイトの検知を避けるために事前に色々調べて、何度も繰り返す。サイトを壊すのが目的で、DDoS攻撃も仕掛けるやつらもいる。合法的な手段がないから違法な方法を使うんだって。詳しくはhttps://protectthestack.org/を見てね。
もっとコメントを表示(1)
この攻撃って匿名なのかな?攻撃者はCSAMを持ってるってこと?もしサイトがアップロードした人のIPを記録して当局に提供したらどうなるんだろう。身元を隠すためにTORとか使うんだろうけど、それならサイトはTORからのアップロードを拒否するのもアリなんじゃない?って思うんだけど。
記事によると、これは大量の登録に使われる住所かもしれないって言ってたね。あと、フランスでは協会の設立者情報って公開されないらしいよ。
フランスの政治家がどれだけ簡単に罪を逃れられるかって話だけど、前大統領が先月、刑務所行きになって一部服役したんだよ。だから、政治エリートでも絶対に法の目をかいくぐれるわけじゃないみたいだね。
「CSAMを見つけたらちゃんと報告しろ」って言うけどさ、それって「児童ポルノ見ちゃいました」って自己申告しろってこと?絶対にパスだね。
もしかしたら、CSAMを仕込んだのは攻撃者自身かもしれないって思う人もいるんじゃないかな。こんなコンテンツを武器にするのは初めてじゃないしね。Dropboxのアップロードリンクでストリーマーが「デジタル」スワッティングされたケースもあったのを覚えてるよ。
タイムラインが急ぎすぎだし、色々と変だよな。なんか本当じゃないみたいに見える。もしかしたら、CSAMページ自体をスキャンして、何か別の悪い目的で通報してるんじゃないかな。
このフランスの団体の場合、説明がちょっとおかしい気がするな。苦情に正当な根拠があるとしても、どこの裁判所が違法だって判断するんだろう?(UKやUSの裁判所じゃないよね?)あと、誰がサイトに削除を命じる権限を持ってるんだろうね。
archive.isはネットをスキャンせず、オンデマンドでしかアーカイブしないから、このコンテンツはまさにその目的のために仕込まれた可能性もあるね。そうだとすれば、告発者にも別の罪が加わることになる。
普通はVPNやTorとかの標準的な対策を使うべきだけど、組織は君を追うよりコンテンツを通報してほしいと思うはず。ただし、君がネットの自警団みたいに不審な量のコンテンツを通報してるとかじゃなければね。
悪意がある証拠や事実と異なる主張、弁護士のなりすまし、そして似た主張で“別”の申立人を使って標的にしてきたこれまでの経緯を考えると、この可能性は十分あり得るね。
僕がリンクした通報ツールは、どちらも完全に匿名で通報できるよ。もし君がCSAMを意図せず見たり遭遇したりしてるかどうかわからない状態で、それを入手・配布に参加しているなら、医療と法律の両面で助けを求めるべきだね。
5年の判決が下されたのに、3週間で釈放だって。「彼は厳格な司法監督下に置かれ、来年行われる控訴審までフランス国外への出国を禁じられるだろう。」
https://www.bbc.co.uk/news/articles/cm2eppqd2nyo
TORリレー(出口じゃなくて)のIPアドレスに来てる偽の虐待通報は、多分同じグループが共通の場を汚そうとしてるんじゃないかな。
CSAMが削除されていないと主張する人たちが、削除要請を送ってないだけでなく、そもそも自分たちで元のサイトを立ち上げてCSAMをインデックスするよう依頼したから、まだそこにあると知っていた、って考えるのはありえないことじゃないよ。
世界が陰謀論で動いてるなら、DNSレベルでの検閲を常態化させるのが目的なはず。Sonyも2年以上前に著作権問題でQuad9を訴えてたね。このやり方が便利なツールとなる関係者が多すぎるんだ。
要するに、これらの組織は互いに連絡を取り合ってて、通報を共有し、関連する法制度に働きかけるチャンネルができてるってこと。通報は法廷沙汰とは程遠いし、裁判所が関わることは珍しいよ。ほとんどの場合、データは関連付けられ、文書化されて、サイトの所有者に連絡して教育するんだ。うっかりホスティングした程度を犯罪と見なす国は少ないし、やめるよう求めれば済むような一度だけの違反者を起訴することには関心がない。多くの国は、根本的な作成者を起訴し、被害者を見つけて支援することに強い関心があるよ。
まさに僕もそう思うよ。その場合、archive.isには加害者のIPアドレスがログに残ってるかもしれないね。確認してみる価値はあるよ。
国によっては金で牢屋から出られるけど、もっと金持ちが君をそこに留めたい場合は話が別だよね。
ユーザー投稿型サイトに違法なコンテンツをアップロードして、すぐ通報するのはよくある嫌がらせ手口だよね。
ThornはEUのChat Controlを推進してる組織で、全アプリに秘密のコンポーネントを仕込んでメッセージをスキャンさせようとしてる。たとえ善意があっても、こういう組織と組むのはユーザーに有害で、プライバシーや人権を損なうよ。
>131 rue de Créqui, 69006 Lyon 6
うん、それは会社をホストするための私書箱だね。
こんなことする連中は他にも違法なことをしてて、匿名化の方法も知ってるんだろうね。
Adguardについては何も知らないけど、彼らが言われたことを鵜呑みにせず、掘り下げて調べてくれたのは素晴らしい。しかもその結果をみんなに共有してくれてるのはもっと良いね。
残念ながら最初はそのまま受け入れちゃったみたいだけど、最後は我に返ってくれたよ。詳細はこちら: https://github.com/AdguardTeam/AdguardFilters/issues/216586
うん、彼らのCTOが文句を額面通りに受け取って、検閲を正当化するためにたった10語足らずでそれを繰り返したのは、あまり印象が良くないね。詳細はここ: https://github.com/AdguardTeam/AdguardFilters/issues/216586#…
詳細はまだ調査中だったから、あまり詳しく言わないようにしてたんだ。弁護士からの助言は「すぐにブロックしないと刑務所行きのリスクがある」ってものだった。苦情を言った側が怪しかったり身元を隠していても、そのリスクは変わらなかったんだ。
だから、違法コンテンツが削除されたことを確認するのに時間がかかったんだ。それがブロック解除の前提条件だったからね。ちなみに調査はまだ終わってないよ。後日、俺たちの対応と調査結果のちゃんとした分析を投稿するつもりだよ。
弁護士からの助言を考えたら、それは無理な期待だと思うよ。最初から徹底的に戦うのが美徳だったかもしれないけど、調査しながら従ったのは間違いじゃなかったと思うな。
AdGuardはDNSブロッキング機能だけ使って、DNS解決にはunboundみたいなちゃんとしたリゾルバを使う方が良いよ。理由はこれだよ!
https://en.wikipedia.org/wiki/Unbound_(DNS_server)
クライアント側でunboundを使うのはおすすめしないな。DNSクエリが暗号化されずにISPに見られちゃうし、DNS応答も改ざんされる可能性があるからね。多くの国でこういう検閲が流行ってるんだ。GoogleとかCloudflare、AdGuard、Quad9みたいな大手パブリックDNSリカーサーをDoT/DoH/DoQで使う方が安全だし、追加のフィルタリングもできるよ。
情報提供ありがとう!親記事の見方が変わったよ。
もっとコメントを表示(2)
AdGuardのDNSはすごく良いよ。ちゃんとした理由もなくウェブサイトを削除したりしたら、彼らの評判はすぐにガタ落ちするだろうね。
AdGuardのPi-hole代替品も最高だね。Go製のシングルバイナリで、素晴らしいソフトウェアだよ。
それってオープンソースなの?
そうだよ。GPLv3だよ。
https://github.com/AdguardTeam/AdGuardHome/blob/master/LICEN…
この分野は詳しくないんだけど、AdGuardってPi-holeとだいたい同じ感じなの?
AdGuardはPi-holeと似たような公共DNSサーバーを運用してるよ。広告ブロックソフトをインストールできないけどTCP/IP設定は変えられるデバイスで試してみる価値はあるよ。
AdGuard HomeをHome Assistantアドオンとして導入してルーターのDNS設定を変えれば、Wi-Fiの全トラフィックで広告ブロックできるよ。Pi-holeみたいで超便利。デバイスの通信状況もわかるし、カスタムブロックリストも使えるからマジおすすめ!
AdGuard Homeはセルフホスト型だからね。
うん、GL.iNet Flint 2みたいなOpenWRTシステムでもちゃんと動くよ。
満足してるから何度でも言うけど、何も入れたくないなら少なくともAdGuardのDNSで広告ブロックしよう!
https://adguard-dns.io/en/welcome.html
それってNextDNSと比べるとどうなの?
AndroidでAdGuardのアプリ使ってるけど、システム全体で広告ブロックしてくれるからマジおすすめ!
最高の点は、アプリなしでDNS設定変えるだけで機能するところだね。
うん、拍手!圧力って、きっと歴史を編集しようとする傲慢な動きのせいだよね。
「主張を鵜呑みにせず、もっと掘り下げること」。
それが中間責任法の狙いなんだよ。根拠のない検閲を簡単なノーリスクの方法にして、企業を有罪推定原則で警察みたいに動かすんだ。
うん、AdGuardにはマジ尊敬するわ。
真実省は管理されていない歴史の記録なんて望んでないんだよ。表面化した真実が嘘になったり、その逆だったりする物語の舵取りで、フェイクニュース扱いして評判を落としたり、荒らしファームをフル稼働させたりするの、面倒くさすぎるからね。管理してる情報網から協力得て、この不便なものを消しちゃうのがずっと簡単なんだ。そしたら今度は俺たちのローカルストレージを狙ってくるだろうし、その費用をめちゃくちゃ高くするのが一番悪意のないやり方だろうね。
今日、AIの影響でGPU、メモリ、ストレージの価格が全部高騰したっていう投稿、なかったっけ?
ローカルストレージなんて誰が気にするんだよ?保存したって主張してることなんて、いくらでもでっち上げられたかもしれないじゃん。
アーカイブサイトは、暗号署名付きでアーカイブされたページのコピーをダウンロードできるようにすべきだよ。そうすれば、サイトから削除されても、君のローカルにあるコピーの信頼性はまだ証明できる。
ストレージメディアと信頼性には、Venn図で重なる部分なんてゼロだよ。信頼性ってのは、インターネットの暗号的な特徴であって、トポロジカルなものじゃないんだ。今君がnews.ycombinator.comで何かを読んでるって信じてるのは、バイトがどうコピーされて君に届いたかじゃなくて、有効なHTTPS接続があることを確認する証明書と署名があるからだろ。
確かに、広範囲の聴衆にとっては何かの証明としてはほとんど役に立たないよね…でも、この勇敢で新しいガスライティングの世界で、俺自身の正気を保つためには、ローカルストレージがすごく大事なんだよ。
“過去を支配する者が未来を支配する。現在を支配する者が過去を支配する。”
— ジョージ・オーウェル, 1984
もしArchive.todayの連絡担当が真実を言ってるなら、WAADはCSAMを含むリンクを集めたのに、その素材を一番よく取り除ける人に連絡しなかったってことになるね。これってWAADがCSAMを検出する良い方法を持ってるのに、彼らの裏の目的のためにCSAMが必要以上に長く利用可能で、より多くの人にアクセスされ続けるのを容認してるか、WAADが意図的にArchive.todayにCSAM素材をインデックスさせたかのどちらかを示唆してるんだ。もちろん、後者の方がずっとひどいけど、どっちも本当に悪いと思うし、素人目には前者も違法じゃないかと思うよ。犯罪を知ってて意図的に隠すのは違法だよね。
もし犯罪を知ってて意図的に隠すのが違法に見えるって言うなら、それが金持ちの弁護士になるための標準的な方法だ。
