自撮り写真を人工知能(AI)で老け顔に加工できるスマートフォン用アプリ「FaceApp」が、ラッパーのドレイクさんやプロバスケットボール選手のレブロン・ジェームズさん、人気ドラマ「ストレンジャー・シングス」の出演者など多くの著名人にSNSでシェアされ、爆発的な注目を集めた。
しかし、FaceAppにとっては、散々な1週間になった。
米国の民主党全国委員会(DNC)が7月17日、2020年大統領選挙の候補者と関係者に対して、FaceAppを「直ちに」削除するべきだと注意喚起した。DNCは、FaceAppにアップロードされた写真がどう扱われるか知る術のない点を問題視したのだ。
上院少数党院内総務のチャック・シューマー氏は、米連邦捜査局(FBI)と米連邦取引委員会(FTC)に調査するよう求めた。シューマー氏は、FaceAppが「米国の安全保障を脅かし、米国市民数百万人のプライバシーを危険にさらしかねない」と警告している。世の母親たちも、念のため削除するよう子どもに声をかけた。
確かに、FaceAppのサービス利用条件は並外れて広い。FaceAppの利用規約には、ユーザーのアップロードした写真について「期間の定めのない、取り消し不能で、非独占的な、無償の、世界全域で有効な、全額支払い済み」ライセンスを得ると明記されている。FaceAppはロシアのサンクトペテルブルグに拠点を置くグループの開発したアプリ、という事実が、こうした世間の不安に輪をかける。
ロシアといえば、米国の大統領選挙に介入した国だとつい考える人は多い。
If you use #FaceApp you are giving them a license to use your photos, your name, your username, and your likeness for any purpose including commercial purposes (like on a billboard or internet ad) -- see their Terms: https://t.co/e0sTgzowoN
Elizabeth Potts Weinstein:
#FaceApp を使うと、写真と氏名、ユーザー名、好みといったデータについて、(屋外広告やネット広告など)商業目的も含めあらゆる用途で使える権利を与えることになる。利用規約に目を通そう。
scott budman:
#要注意 #FaceApp は数年おきに出回る。
楽しいアプリだ。
大勢がはまる。
でも、顔写真だけでなく、個人的な情報も持って行かれる。
そうした情報を何に使うのか明らかにされていない。
注意しよう。
ただし、FaceAppが注目されてから数日経過し、セキュリティ研究者のあいだでは、大多数の技術系企業と同レベルのライセンス、ということで意見が一致してきた。さらに、心配はパニックへと高まっているが証拠にもとづいていないそうだ。ここ何年かのあいだに繰り返し起きた大規模なデータ流出の影響であり、実際の問題が起きる前にプライバシーを守ろうとする脊椎反射的な反応によるものだという。
開発会社FaceAppの最高経営責任者(CEO)を務めるヤロスラフ・ゴンチャロフ氏によると、ユーザーから得たデータを悪用するつもりなどないので、FaceAppのサービス利用規約はパニックするようなものでない、という。
ゴンチャロフ氏はBuzzFeed Newsに対し、「加工対象として選ばれた写真をアップロードしているだけです。この動作は、インターネットで入手可能なネットワーク監視ツールを使えばすぐ確認できます」と述べた。
我々は、ゴンチャロフ氏の言い分を確かめるため調査を実施した。読者が自ら判断を下せるよう、調査結果を公表する。
調べた結果は、セキュリティ研究者たちの意見と同様だった。FaceAppがアップロードするデータの量は、1回に顔写真1枚分で、それ以上のデータを送信している兆候は見当たらない。
調査では、GoogleのAndroid OSで動いているスマートフォンとAppleのiOSで動くiPhoneを用意し、それぞれにFaceAppをインストールした。FaceApp使用中の通信内容は、オープンソースのパケット解析ツールWiresharkを使って「調べた」。そして、写真へのアクセスを許可しない場合と許可した場合の両パターンで試験した。
その結果、送信されたデータ量の疑わしい増加は観測されなかった。送信を許可した以上のデータが流出していれば、データ量が増えるはずだ(上記グラフはAndroid版の試験結果だが、iOS版でも同様の結果が得られた)。
この試験は4枚の写真をFaceAppでアップロードしており、グラフには各写真に該当する送信データの急増が4回現れ、4枚目のアップロード後に何らかのデータ送信にともなうノイズが観測された。また、各写真データのアップロードにかかった時間はほぼ同じだった。
「不祥事だと声高に訴えるに足る
技術的証拠は存在しない」
FaceAppは、目立たないよう送信速度を落として写真を送っている可能性もある。そこで、開いていないときにバッググラウンドで何を行っているかiOSで調べてみた。我々のiPhoneでは、バックグラウンド動作中のFaceAppは10分に5MBしかデータを送信しておらず、無視できるほど少ない。約1時間後のデータ量は43MBにとどまった。この送信データ量は、FaceAppがカメラロールの写真をバックグラウンドでアップロードせず、FaceAppのほかTwitterやGmailといったほかのアプリがバックグラウンドの更新処理でデータをアップロードしている場合の想定サイズと一致する。
我々の試験結果を確認してくれた2人のセキュリティ研究者も、同様の結果を得たそうだ。Guardian FirewallのCEOで、iOS研究者でもあるウィル・ストラフェック氏は、FaceAppが全写真をアップロードしているという脊髄反射的な警告が広まったことを受け、独自に試験を実施した。もっとも、FaceAppに写真がどう利用されるか確認されようとしている現状では、用心するのが賢明だという。そしてストラフェック氏はBuzzFeed Newsに、「確かに最初の警告は間違いだったが、誰かが疑問を呈したことで調査が始まった」と話す。
「今回の騒ぎで、この種のアプリにはためらわず疑問を投げかけるべき、という良い知見が得られたと思う」(同氏)
「FaceAppの開発会社がロシア企業であるため、騒ぎになった。明確にしておきたいのは、疑うのは結構だが、証拠もないのに非難しては駄目、ということ。今のところ、不祥事だと声高に訴えるに足る技術的証拠は存在しない」(フランスのセキュリティ研究者、バティスト・ロベール氏)
FaceApp側は、アップロードされた写真はAmazon.comとGoogleのクラウドサービス上で動いているサーバーに保存され、ユーザーのデータはサンクトペテルブルグの研究開発チームへ送られない、と主張している。我々の確認した限り、サーバーは「Amazon Web Services」と「Google Cloud Platform」を利用しており、物理的にはオハイオ州、オレゴン州ポートランド、カリフォルニア州マウンテンビュー、シンガポールに置かれていた。
ただ、データが我々から見えないところでロシア内のサーバーへ送信されている可能性は、否定できない(ほほ笑ましい発見があった。FaceAppの使っているサブドメインの名称を誰が決めたか分からないが、人気ドラマ「ゲーム・オブ・スローンズ」の大ファンらしい。Tyrion(ティリオン)やArya(アリア)、Bran(ブラン)、Jaime(ジェイミー)といった登場人物の名前が使われていた)。
ただし、1つ重大な警告をしておく。
今後FaceAppが動作を変えようと思えば、いくらでも自由にできてしまう。あの広範なサービス利用規約を考えると、将来データ盗聴機能が追加される可能性もある。
なお、今回のFaceApp炎上騒ぎからは、アプリに与える権限をしっかり把握するべき、という教訓が得られた。データを渡すことの影響について考えず流行物に飛びつくのは、慌て過ぎといえる。
現時点で判明しているのは、1回に送信されるデータは顔写真1枚分だけらしく、送信先企業の実態はほとんど不明、ということだ。 ●
この記事は英語から翻訳・編集しました。翻訳:佐藤信彦 / 編集:BuzzFeed Japan