Obfuscation: A User’s Guide for Privacy and Protest

プライバシーと抗議のユーザーガイド

フィン・ブラントン ヘレン・ニッセンバウム MIT Press

目次

• 謝辞 ix
• はじめに 1
• I 難読化用語
  • 1 コアケース 8
    • 1.1 チャフ：軍事レーダーの欺瞞 8
    • 1.2 Twitter ボット：チャンネルをノイズで埋める 9
    • 1.3 CacheCloak：位置追跡なしの位置情報サービス 12
    • 1.4 TrackMeNot：本物と人工の検索クエリを混ぜ合わせる 13
    • 1.5 リークサイトへのアップロード：重要なファイルを埋もれさせる 14
    • 1.6 偽りの手掛かり：訓練された観察者を欺くパターンを作る 15
    • 1.7 グループの同一性：1つの名前で多数の人々 15
    • 1.8 同一の協力者と対象：1つの服装で多数の人々 16
    • 1.9 過剰な文書化：分析を非効率にする 17
    • 1.10 SIMカードの入れ替え：モバイルターゲティングを不確実にする 18
    • 1.11 Tor リレー
    • 他人の代理でリクエストを行い、個人トラフィックを隠蔽する 19
    • 1.12 バベルのテープ：音声に音声を隠す 21
    • 1.13 オペレーション・ヴーラ：アパルトヘイトとの闘いにおける難読化 21
  • 2 その他の例 25
    • 2.1 巣を編む蜘蛛：動物の難読化 25
    • 2.2 誤った命令：難読化を利用してライバル企業を攻撃する 25
    • 2.3 フランスのデコイレーダーの配置：レーダー探知機を欺く 26
    • 2.4 AdNauseam：すべての広告をクリックする 26
    • 2.5 Quote stuffing：アルゴリズム取引戦略を混乱させる 27
    • 2.6 ポイントカードの交換による買い物パターンの分析を妨害する 28
    • 2.7 BitTorrent Hydra：偽のリクエストを使用してアドレス収集を妨害する 29
    • 2.8 意図的に曖昧な表現：代理機関を不明瞭にする 30
    • 2.9 匿名テキストの難読化：文体分析を阻止する 31
    • 2.10 コードの難読化：人間には不可解だが、機械には不可解ではない 33
    • 2.11 個人に関する偽情報：個人を消し去るための戦略 35
    • 2.12 Appleの「クローニングサービス」特許：電子プロファイリングの汚染 36
    • 2.13 Vortex：ゲームと市場としてのクッキーの難読化 37
    • 2.14 「ベイズ推定の洪水」とオンラインアイデンティティの価値の「アンセリング」 38
    • 2.15 FaceCloak：隠蔽の隠蔽 39
    • 2.16 難読化されたファーム：操作の兆候を隠蔽する 40
    • 2.17 URME 監視：「アイデンティティの補綴」による抗議の表明 40
    • 2.18 矛盾する証拠の捏造：調査を混乱させる 41
• II 難読化の理解
  • 3 なぜ難読化が必要なのか？ 45
    • 3.1 難読化の概要 45
    • 3.2 情報の非対称性の理解：知識と権力 48
    • 3.3 オプトアウトの幻想 53
    • 3.4 弱者の武器：難読化がもたらすもの 55
    • 3.5 難読化と強固なプライバシーシステムの区別 58
  • 4 難読化は正当化されるか？ 63
    • 4.1 難読化の倫理 64
    • 4.2 倫理から政治へ 70
  • 5 難読化は機能するのか？ 84
    • 5.1 難読化は目的を達成するための手段である 85
    • 5.2 私は難読化を… 87…
      • 時間を稼ぐために 88…
      • 隠蔽のために 88…
      • 否認のために 89
      • 個人の暴露を防ぐため 89
      • プロファイリングを妨害するため 90
      • 抗議の意思表示をするため 90
    • 5.3 私の難読化プロジェクトは
      • 個人的なものか、集団的なものか？ 91
      • 周知のものか、未知のものか？ 92
      • 選択的なものか、一般的なものか？ 92
      • 短期のものか、長期のものか？ 94
• エピローグ 97
• 注釈 99
• 参考文献 113
• 索引 121

謝辞

本書はテクノロジー、つまり TrackMeNot プロジェクトから始まった。このプロジェクトを立ち上げたダニエル・ハウ氏、そしてこのプロジェクトに参加し、その範囲を拡大し、現在もそのプロジェクトとその採用者を精力的にサポートしているヴィンセント・トゥビアナ氏に、心からの感謝を捧げたい。ユーザーコミュニティやプライバシー保護コミュニティ全体からのフィードバックやコメント、そしてラクシュミナラヤナン・スブラマニアン氏との共同技術論文（ヴィンセント・トゥビアナ氏、ラクシュミナラヤナン・スブラマニアン氏、ヘレン・ニッセンバウム氏著「TrackMeNot: Enhancing the Privacy of Web Search」）は、その潜在的可能性と限界について我々の目を開かせてくれた。さらに最近では、デザイナーのMushon Zer-Aviv氏とのコラボレーションにより、Daniel Howe氏とともに第二のシステムAdNauseamを開発し、公開したことで、難読化についての見解がさらに広がり、その手法や戦略が提供するものをより深く体系的に理解する必要性についても認識を深めることができた。

難読化についての一般的な理解を深める作業を開始すると、First Monday誌に掲載された論文や『プライバシー、適正手続き、そして計算論的転回』の章で取り上げた多くの概念をさらに掘り下げていくことができた。これらの論文は、その場で得られたレビューや編集者のフィードバックから多大な恩恵を受けた。

難読化は、査読者の方々や、MIT PressのMarguerite Avery、Gita Manaktala、Susan Buckley、Katie Helke、Paul Bethgeの皆さんの励ましと的確なアドバイスのおかげで、一冊の本にまとめることができた。 皆さんに感謝の意を表したい。エミリー・ゴルドシャー・ダイヤモンドは、研究助手として綿密な作業を行い、このプロジェクトの多くの側面を組織した。この本の草稿の作成は、全米科学財団（ITR-0331542：ワイヤードワールドにおける機密情報）、EAGER（CNS-1355398： 「将来のインターネットアーキテクチャのための設計における価値 – 次段階」）、米国空軍科学研究所（MURI-ONR BAA 07-036: 「共同政策と確実な情報共有」）、インテル科学技術センター（ソーシャルコンピューティング）からの助成金によって支えられていた。これらの助成金による支援は、このプロジェクトを推進し、実現させるための時間、技術、そして協力的な環境を提供した。

難読化に関する私たちの考え方を形作り、洗練する上で、2つの主要なイベントが役立った。1つは、ニューヨーク大学メディア・文化・コミュニケーション学部と情報法研究所が共同開催し、インテル科学技術センター社会コンピューティング部門が共催した「難読化に関するシンポジウム」（2014年2月15日）である。このイベントの実現に尽力してくださったNicole Arzt、Emily Goldsher-Diamond、Dove Helena Pedlosky、Melissa Lucas-Ludwig、Erica Robles-Anderson、Jamie Schulerの皆さま、そして何よりも、この日のイベントの多くを企画、構成、運営してくださったSeda Gürsesに感謝の意を表したい。講演者一人ひとりが、私たちの原稿に直接的な影響を与えた。もう一つのイベントは、NYUのプライバシー研究グループ（PRG）で継続中の会話であり、私たちはその週ごとのセミナーで、この資料のいくつかの段階を発表した。PRGでの議論がなければ、この本は最終的な形にはならなかっただろう。関係者全員に感謝の意を表したい。

この作品の側面を発表し、検証するその他の機会は、非常に生産的であった。支援者、批評家、信奉者、懐疑論者の反応によって、私たちのアイデアは大幅に改善された。こうした機会には、MIT市民メディア・比較メディア研究センター共催の討論会、ニュースクール・フォー・ソーシャルリサーチ2014年卒業生会議、テルアビブのニューメディアサロン、エルサレム・ヘブライ大学コミュニケーション・ジャーナリズム学部セミナー、ハイファのIBM研究開発研究所、アイビーム・アート＋テクノロジーセンター、HotPETS 2013、ブリュッセルの「コンピューター、プライバシー、データ保護」、クイーンズ大学の「監視研究会議」などが含まれる。

私たちは、難読化について議論し、フィードバック、批判、激励、アイデアを提供してくれた友人や同僚に深く感謝している。特に、Julia Angwin、Solon Barocas、danah boyd、Claudia Diaz、Cynthia Dwork、Cathy Dwyer、Tarleton Gillespie、Mireille Hildebrandt、Ari Juels、Nick Montfort、Deirdre Mulligan 、アルヴィンド・ナラヤナン、マルティン・ヴァン・オッターロー、アイラ・ルビンスタイン、イアン・スピロ、ルーク・スターク、キャサリン・ストランドバーグ、マシュー・ティアニー、ジョー・トゥロウ、ジャネット・ヴェルテシ、タル・ザースキー、マルテ・ジヴィッツ、イーサン・ザッカーマン。

最後に、この本の出版は、私たちのプロフェッショナルな拠点であるニューヨーク大学メディア・カルチャー・コミュニケーション学部からの支援なしには実現しなかった。皆さまに感謝いたします。

はじめに

私たちはこの本で革命を起こそうとしている。しかし、それは大きな革命ではない。少なくとも、最初は。私たちの革命は、抜本的な改革や、社会のゼロ年的な全面的な再構築、あるいは新しいテクノロジーの隙間なく完璧に画一的な採用に依存するものではない。それは、日常生活、映画、ソフトウェア、殺人ミステリー、さらには動物界において利用可能な既存の要素、すなわち哲学者が「手近にある道具」、技術者が「商品ハードウェア」と呼ぶものの上に築かれる。その手法の語彙は、専制者や権威主義者、秘密警察によって利用されてきたし、今も利用されているが、私たちの革命は、小規模なプレーヤー、謙虚な人々、行き詰まった人々、すなわち、私たちのデータ発信を拒否したり、オプトアウトしたり、コントロールしたりする立場にない人々にとって特に適している。私たちの限られた革命の焦点は、今日のデジタル監視を軽減し、打ち負かすことにある。私たちは、回避、非遵守、明確な拒否、意図的な妨害、および利用規約に従った利用のための、既存の拡大するツールキットに、概念と技術を追加していく。敵対者、目標、リソースに応じて、私たちは、姿を消す方法、時間を浪費させ分析を妨害する方法、悪戯的な不服従、集団的な抗議、大きなものから小さなものまで個人の救済行為のための方法を提供する。私たちは、一般化してポリシーやソフトウェア、行動に組み込むことのできる共通のアプローチを共有する、確立されたものから新興のものまで、あらゆる事例の全体像を描き出す。この概要は、私たちの小さな大きな革命の旗印であり、その領域は「難読化」と呼ばれる。

簡単に言えば、難読化とは、監視やデータ収集を妨害するために、あえてあいまいな、混乱を招く、あるいは誤解を招く情報を追加することである。 難読化は単純なことだが、さまざまな複雑な応用や用途がある。 ソフトウェア開発者や設計者であれば、個人情報を収集・利用する必要のあるソーシャルネットワーキングや位置情報サービス、その他のサービスを提供しながら、自社ソフトウェアに難読化を組み込むことで、ユーザーデータを自分自身や自社を買収した企業からさえも守ることができる。また、難読化は、政府機関がデータの収集目標の多くを達成する一方で、悪用される可能性を最小限に抑える方法も提供する。そして、デジタル監視（およびその後の分析）の対象となることなく現代社会で暮らしたいと願う個人やグループにとって、難読化は歯車に砂を入れ、時間を稼ぎ、信号の群れに紛れるための手段のレキシコンとなる。本書は出発点となる。

私たちのプロジェクトでは、可視性、可読性、可聴性が求められる人々が、目立つ信号を雲や誤解を招く信号の層に埋めることで対応している、非常に異なる領域にわたる興味深い類似点を追跡してきた。私たちは、行為者が難読化戦略に訴える多様な状況に興味をそそられ、第1章と第2章で、この一般的な共通項を共有する詳細な事例を数十例紹介している。この2つの章は、本書のパート1を構成しており、難読化がとってきた多様な形態と形式のガイドを提供し、これらの事例がそれぞれの目標と敵対者に合わせてどのようにして作り出され、実装されているかを示している。ソーシャルネットワーク上でも、ポーカーテーブルでも、第二次世界大戦中の空の上でも、また顔認証システム、1980年代の南アフリカのアパルトヘイト政権、あるいはテーブルの向こう側にいる対戦相手といった形の敵対者と対峙する場合でも、適切に配置された難読化は、プライバシーの保護や、データ収集、監視、分析の阻止に役立つ。第1章と第2章で取り上げた状況や用途の多様性は、インスピレーションと刺激となる。難読化はあなたにとってどのような仕事ができるだろうか？

パート1で提示された事例は、難読化に関する基本的な問題を紹介し、その重要なアプローチを説明した物語にまとめられている。そのアプローチは、この本の第2部 でさらに詳しく検討され、議論される。第2部 では、より短い事例が難読化の応用範囲と多様性を示しながら、基本的な概念を補強する。

第3章から第5章では、プライバシーに関するさまざまな取り組みにおいて難読化が果たす役割、難読化の手法を用いることによって生じる倫理的、社会的、政治的な問題、特定のシナリオにおいて難読化が有効であるか、または有効となり得るかを評価する方法について考察することで、難読化に対する読者の理解を深める。難読化アプローチが有効であるかどうかを評価するには、難読化が他のツールと異なる点、およびその特定の弱点と強みを理解する必要がある。第3章から第5章のタイトルは質問形式になっている。

第3章で問われる最初の質問は、「なぜ難読化が必要なのか？」である。この質問への回答として、今日のデジタルプライバシーの課題が、難読化の有用性によってどのように解決できるかを説明する。私たちは、私たちのデータが、私たちが理解できない状況で、私たちが理解できない目的のために収集され、私たちが理解できない方法で使用される場合に発生する情報非対称性を、難読化がどのようにして緩和できる可能性があるかを指摘する。私たちのデータは共有され、売買され、管理され、分析され、応用される。そして、それらのすべてが私たちの生活に影響を与える。ローンやアパートの賃貸契約は承認されるだろうか？保険リスクや信用リスクはどの程度あるだろうか？ 受け取る広告はどのような基準で選ばれているのだろうか？ なぜ、多くの企業やサービスが、あなたが妊娠していることや、依存症に苦しんでいること、転職を計画していることを知っているのだろうか？ なぜ、異なる集団、異なる人口、異なる地域が、異なる資源配分を受けているのだろうか？ データ主導のテロ対策という、現在の時代を象徴する不吉な言葉にあるように、あなたは「リストに載っている」のだろうか？この領域における無害な、あるいは一見無害な活動でさえ、考慮に値する結果をもたらす。 難読化には、ガバナンス、企業行動、技術的介入の代替策として、あるいは、画一的な解決策としてではなく（繰り返しになるが、これは意図的に小規模で分散的な革命である）、プライバシー慣行のより大きなネットワークに適合するツールとして、果たすべき役割がある。特に、特定の時点において、あるいは全般的に、他の救済手段を利用できない人々、つまり、たまたま特定の情報力関係の弱者であるために最適に設定されたプライバシー保護ツールを展開できない人々にとって、特に適したツールである。

同様に、難読化をめぐる倫理的・政治的問題も、その文脈によって形作られる。社会政策からソーシャルネットワーク、個人の活動に至るまで、さまざまな領域で難読化が利用されることには深刻な懸念がある。第4章では、「難読化は正当化されるか？」という問いを投げかける。私たちは人々に嘘をつくこと、故意に不正確な情報を提供すること、あるいは商業的・市民的用途に潜在的に危険なノイズデータベースを「汚染」することを奨励しているのではないか？ターゲット広告（およびそのサービス）の料金を支払うために、自分に関するデータを公開している誠実なユーザーの善意に、商業サービスを利用する難読化技術者はただ乗りしているのではないだろうか？ また、このような行為が広く行われるようになった場合、私たちは処理能力と帯域幅を全体として無駄にすることになるのではないだろうか？ 第4章では、これらの課題を取り上げ、特定の難読化の事例が評価され、容認できるか否かが判断される道徳的および政治的計算について説明する。

難読化が達成できることとできないことは、第5章の焦点となる。暗号技術と比較すると、難読化は偶発的で、不安定な技術であると見なされる可能性がある。暗号化の場合、総当たり攻撃に対する正確なセキュリティの度合いは、鍵の長さ、処理能力、時間などの要因を参照することで計算できる。 難読化の場合、その強度はユーザーが何を達成したいか、また使用状況に応じてどのような具体的な障害に直面するかに依存するため、このような正確な計算はほとんど不可能である。 しかし、複雑性は必ずしも混沌を意味するものではなく、成功は依然として体系的な相互依存関係に対する注意深い配慮にかかっている。第5章では、難読化プロジェクトの6つの一般的な目標を特定し、それらを設計の次元に関連付ける。目標には、時間を稼ぐ、隠蔽する、否認する、監視を逃れる、プロファイリングを妨害する、抗議の意思表示をする、などが含まれる。特定する設計の側面には、難読化プロジェクトが個別か集団か、周知か非公知か、選択的か全体的か、短期か長期か、などが含まれる。例えば、難読化が採用されていることを敵対者が知っている場合、その目的によっては難読化は成功しない可能性がある。集団的な抗議や、正当な理由による妨害、否定の余地のある生産など、その他の目的の場合は、データが汚染されていることを敵対者が知っている方が望ましい。もちろん、これらはすべて、敵対者が利用可能なリソース、すなわち、敵対者が難読化情報の識別と排除に費やす時間、労力、注意、および資金がどれほどあるかによって左右される。これらの関係の論理は有望である。なぜなら、特定のケースについての推論から、その目的に応じた難読化の改善方法を学ぶことができるからだ。難読化は機能するのか？ はい、ただし文脈によってのみです。

では始めよう

I 難読化の用語

難読化の戦略は数多くある。それらはユーザーの目的（数分間の時間を稼ぐことやプロファイリング・システムを恒久的に妨害することなど）や、ユーザーが単独で作業しているか共同で作業しているか、対象や受益者、難読化される情報の性質、そして第2部で議論するその他のパラメータによって形作られる。（第1部 と II はそれぞれ独立して読むことができる。難読化の目的、倫理的・政治的ジレンマ、または、私たちが主張する、難読化がプライバシー対策ツールキットに有用な追加機能となる状況について疑問がある場合は、先に進むことをお勧めする。）しかし、その前に、難読化の多くの具体的な状況がどのようにパターンとして一般化されるかを理解していただきたい。一見ばらばらに見える出来事をひとつの見出しのもとに結びつけ、その根底にある連続性を明らかにし、同様の手法を他の状況や問題に適用する方法を提案することができる。難読化は、対処しようとする問題や阻止または遅延させたい敵によって形作られるが、その特徴は単純な状況にある。すなわち、監視を拒否または否定できないため、隠蔽したい情報を埋もれさせてしまうような、多くの妥当で曖昧かつ誤解を招くシグナルを作り出すのである。

現在における使用と発展の観点から最も顕著な難読化の例を挙げ、本書の残りの部分の参考となるよう、難読化の仕組みとそれが何をもたらすかを例示する一連の中核的な事例を選択した。これらの事例はテーマ別に分類されている。単純な類型化には適していないが、難読化に特有のさまざまな選択肢が、読者が読み進めるうちに明らかになるよう構成されている。これらの事例に加えて、難読化のその他の用途や、より特殊な状況における難読化の例をいくつか示す簡単な事例集も提示する。これらの事例と説明により、私たちが遭遇したすべての領域における難読化のインデックスが得られるだろう。難読化は、肯定的・否定的、効果的・非効果的、標的型・無差別型、自然・人工、アナログ・デジタルなど、さまざまな分野でさまざまな形態で現れる。

1 コアケース

1.1 チャフ：軍用レーダーの欺瞞

第二次世界大戦中、レーダーオペレーターがハンブルク上空の飛行機を追跡し、サーチライトと高射砲を、アンテナの掃射ごとに更新される蛍光ドットの位置に合わせて誘導していた。突然、飛行機を表すと思われるドットが急増し、表示がすぐに飽和状態となった。実際の飛行機はどこかに存在しているはずだが、「偽のエコー」が存在しているため、位置を特定することは不可能であった。1

その飛行機はチャフを放出している。チャフとは、アルミホイルで裏打ちされた黒い紙の短冊で、レーダーの目標波長の半分にカットされている。大量に投下され、空中を漂いながら、チャフはレーダー画面を信号で埋め尽くす。チャフは、レーダーが探知するように設定されたデータと完全に一致しており、レーダーが処理できる以上の数の「飛行機」を空全体に散らばらせている。

これは、妨害工作の手法の最も純粋でシンプルな例であると言えるだろう。実際の航空機が発見されることは避けられないため（当時、レーダーに探知されないように航空機を隠す方法などなかった）、チャフは、潜在的なターゲットを過剰に増やすことで、発見システムの時間と帯域幅の制約を圧迫した。チャフは地面に落下するまでの間しか機能せず、恒久的な解決策ではなかったが、この状況下ではそれは関係がなかった。レーダーの探知範囲を機体が通過する間、十分に長く機能すればよかったのだ。

第2部 で述べるように、多くの種類の攪乱は、時間を稼ぐ「捨て」の手段として最も効果的である。攪乱は数分間しか持続しないが、時には数分間が唯一必要な時間であることもある。

また、チャフの例は、難読化のアプローチを最も基本的なレベルで区別するのに役立つ。チャフは、エコー（本物そっくりの模造品）を生成することで、観測者の限られた範囲を悪用する。（フレッド・コーエンはこれを「おとり戦略」と呼んでいる。2） 後述するように、偽装のいくつかの形態は、本物だが誤解を招くシグナルを生成する。これは、ある車両の中身を守るために、他の複数の同一車両を伴ってその車両を送り出すことや、特定の航空機を守るために空を他の航空機で埋め尽くすことと似ている。一方、他の形態では、パターン抽出をより困難にするために、本物のシグナルをシャッフルし、データを混合する。殻を撒く者は敵について正確な知識を持っているため、殻はこれらのいずれも行う必要がない。

難読化システムの設計者が観測者の限界について特定かつ詳細な知識を持っている場合、彼らが開発するシステムは1つの波長で45分間しか機能しない。もし敵対者が観測に使用するシステムがより忍耐強い、あるいはより包括的な観測能力を備えている場合、敵対者の内部の意図、つまり、敵対者が監視を通じて得たデータからどのような有用な情報を引き出そうとしているのかを理解し、真正な信号を操作することでその意図を妨害しなければならない。

真正な信号の操作について述べる前に、チャネルにエコーを流し込むというまったく異なる例を見てみよう。

1.2 Twitterボット：チャネルをノイズで埋め尽くす

これから述べる2つの例は、対照的なものである。模倣品を製造することが彼らの難読化の手段であるにもかかわらず、第二次世界大戦から現代の状況、レーダーからソーシャルネットワークへと話が展開する。また、重要なテーマも紹介する。

第3章では、偽装工作は「弱者」、すなわち状況的に不利な立場に置かれている人々、非対称的な力関係の不利な立場に置かれている人々にとって特に適した手段であると論じている。結局のところ、これは、不可視化できない場合、つまり追跡や監視を拒否できない場合、単にオプトアウトしたり、専門的に保護されたネットワーク内で操作したりできない場合に採用する理由がある方法である。これは、強力な権力者たちがこの手法を採用しないという意味ではない。通常、抑圧的または強制的な勢力は、難読化よりも優れた手段を自由に利用できる。しかし、ロシアとメキシコの2つの選挙でそうであったように、強力な権力者たちにとっても難読化が有益となる場合がある。対立するグループが直面する選択肢を理解すれば、この種の難読化がどのように採用されるかが明らかになる。

2011年のロシア議会選挙で発生した問題に対する抗議活動中、投票箱への投票の不正操作やその他の不正行為に関する会話の多くは、当初はLiveJournal上で交わされていた。LiveJournalは、米国で誕生したがロシアで最も人気を博したブログプラットフォームであり、ユーザーベースの半分以上がロシア人である。3 LiveJournalは非常に人気があるものの、FacebookやGoogleの各種ソーシャルシステムと比較すると、ユーザーベースは非常に小さい。FacebookやGoogleの各種ソーシャルシステムと比較すると、そのユーザー数は非常に少なく、アクティブなアカウント数は200万未満である。4 したがって、LiveJournalは分散型サービス拒否（DDoS）攻撃によって比較的簡単にシャットダウンされてしまう。つまり、世界中に散らばるコンピュータを使用してサイトに大量のリクエストを送信し、サイトを公開しているサーバーが過負荷状態となり、正規ユーザーがアクセスできなくなるという攻撃である。LiveJournalに対するこのような攻撃は、モスクワでの抗議デモで活動家ブロガーが逮捕されたことと相まって、検閲への直接的なアプローチであった。5 では、いつ、なぜ難読化が必要になったのだろうか？

ロシアの抗議デモに関する会話はTwitterに移行し、それを妨害しようとする権力者たちは新たな課題に直面した。Twitterは膨大な数のユーザーベースを持ち、それにふさわしいインフラとセキュリティの専門知識を備えていた。LiveJournalのように簡単に停止させることはできなかった。米国を拠点とするTwitterは、LiveJournalの親会社よりも政治的な操作に抵抗できる立場にあった。（LiveJournalのサービスは、その目的のために米国で設立された企業によって提供されているが、同社を所有するSUP Mediaはモスクワに拠点を置いている。6）Twitterを完全に遮断するには、政府による直接的な介入が必要となる。LiveJournalへの攻撃は、プーチン/メドベージェフ政権の承認や支援を受けているかどうかは不明だが、ナショナリストのハッカーたちによって独自に行われた。7 したがって、Twitter上の政治的会話を阻止しようとする関係者は、難読化の使用法を探る中で、おなじみの課題に直面することになった。時間的制約があり、従来の対策手段は利用できなかった。その国でのTwitterのブロックや世界規模のサービス拒否攻撃といった直接的な技術的アプローチは不可能であり、政治的・法的アプローチも使えない。そのため、攻撃者はTwitterでの会話を停止するのではなく、ノイズで過負荷状態にするという方法を取った。

ロシアの抗議運動の際には、この難読化は、突然何千ものTwitterアカウントが発言し始め、ユーザーが抗議者たちが使用したのと同じハッシュタグを使ってツイートを投稿するという形を取った。8 ハッシュタグはツイートをグループ化する仕組みである。例えば、ツイートに#obfuscationを追加すると、記号#がその単語をアクティブなリンクに変える。ハッシュタグは、特定のトピックに関する一貫した会話を、大量のツイートを整理してまとめるのに役立つ。#триумфальная（抗議が行われたTriumfalnaya広場を指す）は、人々が怒りをぶつけたり、意見を述べたり、さらなる行動を組織したりするために使用できるタグの1つとなった。（ハッシュタグは、Twitterがサイト上の「トレンド」や重要なトピックを決定する方法にも影響を及ぼす。これにより、そのタグで議論されているものにさらに注目が集まる。サイトのトレンドトピックリストは、しばしばニュース報道の対象となる。9）

#триумфальнаяをフォローしていた場合、ロシアの活動家たちがニュースへのリンクを拡散したり、計画を立てたりするツイートを次々と目にしたことだろう。しかし、それらのツイートは、ロシアの偉大さを謳うツイートや、ノイズや意味不明の言葉やランダムな単語やフレーズで構成されているように見えるツイートが混ざり始めた。最終的に、#триумфальнаяのツイートはそれらのツイートが大半を占めるようになり、抗議運動に関連する他のトピックのツイートも、そのトピックに関連するツイートが本質的にノイズに埋もれてしまい、注目を集めることも、他のユーザーとまとまりのあるやりとりを始めることもできないほどになった。この大量の新しいツイートは、これまでほとんど活動していなかったアカウントから投稿されたものだった。それらのアカウントは、開設から抗議運動が起こるまでの間はほとんど投稿を行っていなかったが、抗議運動が起こった後は1時間に数十回もの投稿を行っていた。これらのアカウントのユーザー名には、imelixyvyq、wyqufahij、hihexiqといった美しい響きの名前もあれば、latifah_xanderのように、firstname_lastnameというモデルに基づいた、より伝統的な名前もあった。

明らかに、これらのTwitterアカウントは「Twitterボット」であり、人間を装い、自動的にターゲットを絞ったメッセージを生成するプログラムであった。これらのアカウントの多くは、ほぼ同時期に作成されていた。数と頻度から見て、このようなメッセージは議論を支配し、特定のオーディエンスにとってプラットフォームを事実上台無しにする可能性がある。つまり、偽の無意味なシグナルを生成することで、議論を混乱させる可能性がある。

Twitterボットの使用は、Twitterでの議論を抑制する確実な手法になりつつある。2012年のメキシコ大統領選は、この戦略が実際に用いられ、さらに洗練されたもう一つの例である。11 首位のエンリケ・ペーニャ・ニエト氏とPRI（制度的革命党）に反対する抗議者たちは、#marchaAntiEPNというハッシュタグを組織化の目的で使用し、会話の集約、行動要請の構造化、抗議イベントの準備を行った。抗議活動の組織化を妨害しようとするグループは、ロシアのケースと同様の課題に直面した。しかし、何千ものボットではなく、何百ものボットが活動していた。実際、このケースがアメリカのスペイン語テレビネットワークUnivisionによって調査された際には、このようなボットはわずか30ほどしか活動していなかった。彼らのアプローチは、#marchaAntiEPNの推進を目的とした活動を妨害することと、そのハッシュタグを乱用することの両方であった。ツイートの多くは「#marchaAntiEPN #marchaAntiEPN #marchaAntiEPN #marchaAntiEPN #marchaAntiEPN #marchaAntiEPN」のバリエーションで占められていた。このような繰り返し、特にすでにボットのような挙動を示しているアカウントによるものは、Twitterのシステムがハッシュタグ操作の試みを特定し、問題のハッシュタグをトレンドトピックリストから削除する引き金となる。つまり、トレンドトピックに載るものはニュース性が高く注目を集めるため、スパマーや広告業者は、繰り返し投稿することでハッシュタグをトレンドトピックに載せようとする。そのため、Twitterは、そのような行為を検知してブロックする仕組みを開発した。12

メキシコ大統領選に関するTwitterボットは、自動的な削除を誘発するために意図的に悪質な行為を行い、#marchaAntiEPNの影響を大手メディアの「レーダーから外す」ことを狙っていた。彼らはハッシュタグを機能させなくし、その潜在的なメディア上の重要性を排除した。これは破壊行為としての攪乱工作であった。このような取り組みは、レーダーチャフと同じ基本的な戦術（つまり、本物を隠すために構成された多くの模造品を生産すること）を用いているが、その目的は大きく異なる。単に時間稼ぎをする（例えば、選挙の準備期間やその後の不安定な期間）のではなく、誤ったシグナルを使用してデータの特性を操作することで、特定の用語を使用不能にする（場合によっては、ソートアルゴリズムの観点からは有害な）のである。

1.3 CacheCloak

位置追跡なしの位置情報サービス CacheCloakは、位置情報サービス（LBS）に適した難読化のアプローチを採用している。13 これは、偽のエコーと模造品を難読化に使用するという2つの工夫を示している。そのうちの最初のものは、ユーザーが関連データを確実に抽出できることを確認することであり、2つ目は、一時的な時間稼ぎの戦略ではなく、無期限に機能するアプローチを見つけようとするものである。

位置情報サービスは、モバイルデバイスの位置特定機能を活用して、さまざまなサービスを創出している。その中には、ソーシャルなもの（例えば、Four-Squareは、外出先での行動を競争ゲームに変える）や、収益性の高いもの（例えば、位置情報を利用した広告）、そして非常に便利なもの（例えば、地図や最寄りの対象物の検索）などがある。 プライバシーと利便性のバランスを取るという古典的なレトリックでは、利便性はプライバシーを損なうものとして提示されることが多い。LBSの価値を求める場合、例えば、友人と同じネットワークに属し、友人と自分が互いに近くにいる場合に友人と会うことができるようにしたい場合、プライバシーをある程度犠牲にしなければならず、サービスプロバイダーに自分の居場所を知られることに慣れなければならない。CacheCloakは、このトレードオフを再構成する方法を提案している。

「他の方法では、ユーザーの経路の一部を隠すことで経路を不明瞭にしようとするが、CacheCloakの作成者は、「他のユーザーの経路でユーザーの経路を囲むことで、ユーザーの所在地を不明瞭にする」と書いている。つまり、あいまいなデータの伝播によってである。標準モデルでは、携帯電話がサービスに自分の所在地を送信し、その見返りとして要求した情報を取得する。CacheCloakモデルでは、携帯電話がユーザーの移動経路を予測し、その結果に基づいて複数の可能性の高いルートから情報を取得する。ユーザーが移動すると、位置認識機能のメリットが得られる。つまり、潜在的なリクエストに先立ってキャッシュされたデータとして、ユーザーが探しているものにアクセスできる。一方、敵対者は、多くの可能性のある経路を残し、ルートの始点と終点を区別できず、ユーザーがどこから来て、どこに行こうとしているのか、あるいはどこにいるのかさえも判断できない。観察者の視点では、重要なデータ（自分たちだけが知っておきたいデータ）は、同様に可能性の高い他のデータの中に埋もれてしまう。

1.4 TrackMeNot

自然検索クエリと人工検索クエリの融合 2006年にダニエル・ハウ（Daniel Howe）、ヘレン・ニッセンバウム（Helen Nissenbaum）、ヴィンセント・トゥビアナ（Vincent Toubiana）によって開発されたTrackMeNotは、模倣信号による活動を隠蔽するソフトウェア戦略の好例である。15 TrackMeNotの目的は、ユーザーの検索履歴からユーザーのプロフィールを推測する行為を阻止することである。これは、米司法省がGoogleの検索ログを要求したことと、ニューヨーク・タイムズ紙の記者がAOL社が公開した匿名化された検索ログからでも一部の身元やプロフィールが推測できるという驚くべき発見をしたことに対応して設計された。16

私たちの検索クエリは、最終的には場所、名前、興味、問題のリストとして機能する。IPアドレスがすべて含まれているかどうかに関わらず、これらのリストから個人の特定が可能であり、関心のある分野のパターンを把握することもできる。検索企業は、検索クエリの収集と保存に対する懸念に応えるため、説明責任を求める声に応えてきたが、検索クエリのログの収集と分析は継続している。17 検索クエリの流れから、特定の個人の関心や活動が不適切に明らかになるのを防ぐことは依然として課題である。18

TrackMeNotが提供するソリューションは、ユーザーのクエリを検索エンジンから隠すことではなく（クエリを満たす必要性から見て、非現実的な方法である）、「シードリスト」の用語からクエリを自動的に生成することで、クエリを不明瞭化することである。当初はRSSフィードから抽出されたこれらの用語は、異なるユーザーが異なるシードリストを開発するように進化する。模倣の精度は、検索クエリへの応答から生成された新しい用語をシードリストに再投入することで、継続的に改善される。TrackMeNotは、実際のユーザーの検索行動を模倣しようとする方法でクエリを送信する。例えば、「good wi-fi cafe chelsea」を検索したユーザーは、「savannah kennels」、「freshly pressed juice miami」、「asian property firm」、「exercise delays dementia」、「telescoping halogen light」も検索している可能性がある。個人の活動は多数のゴーストの活動によって覆い隠され、パターンを識別するのが難しくなるため、任意のクエリがTrackMeNotの自動出力ではなく、人間の意図によるものだったと断言するのははるかに困難になる。このように、TrackMeNotは、状況によっては、難読化の役割を拡大し、もっともらしい否認も含むようにしている。

1.5 リークサイトへのアップロード

重要なファイルを隠蔽する WikiLeaksは、訪問者と投稿者の身元を保護するために、さまざまなシステムを使用していた。しかし、サイトの安全性を損なう兆候があった。ファイルのアップロードである。WikiLeaksのトラフィックを監視することができれば、WikiLeaksのセキュアサーバーへの素材の送信行為を特定することができる。特に、その後公開されたデータのさまざまな集合の圧縮サイズを推測できれば、送信された内容、送信日時、そして（技術面および運用面のセキュリティの他の領域での障害を考慮すると）誰が送信したかについて、遡及的に推論することができる。このような非常に特殊な課題に直面したWikiLeaksは、偽のシグナルを生成するスクリプトを開発した。このスクリプトは、訪問者のブラウザ上で起動し、セキュアサーバーへのアップロードのように見える活動を生成する。19 したがって、詮索する者は、多数のリーク者のように見える膨大な数のユーザー（その大半は実際には、すでに公開されている文書を読んだり、目を通したりしているだけ）を目にするが、その中には本当にリークしているユーザーも少数いるかもしれない。データマイニングや広告を妨害するために特定のデータを提供しようとしたわけではなく、単に一部のユーザーの動きを模倣し、隠蔽しようとしただけである。

しかし、暗号化および圧縮されたデータにも関連するメタデータが含まれている。OpenLeaks（WikiLeaksの亜種で、最終的には失敗に終わったもの）の提案には、さらに改良が加えられている。20 WikiLeaksへの投稿の統計的分析を行った後、OpenLeaksは、リークサイトのアップロードトラフィックに通常現れるファイルのサイズ比率と同じ比率を維持する偽のアップロードのモデルを開発した。ほとんどのファイルのサイズは1.5～2メガバイトの範囲であったが、700メガバイトを超える例外もいくつかあった。 敵対者がアップロードトラフィックを監視できる場合、形式は内容と同じくらい重要であり、本物のシグナルと偽物のシグナルを仕分けるのに役立つ。この例が示すように、難読化のメカニズムは、操作可能なすべてのパラメータを把握すること、そして敵対者が何を求めているかを把握することから、非常に多くのことを学ぶことができる。

1.6 誤った情報：訓練された観察者を欺くパターンを作る

同じ基本的な難読化のパターンが、内部告発者の活動を隠すよりも軽い文脈で役立つ場合があることを考えてみよう。ポーカーである。

ポーカーの楽しさや難しさの多くは、表情やジェスチャー、ボディランゲージから、コールを引き出すためにブラフ（つまり、実際に持っている手よりも弱い手を持っているふりをする）をしているかどうかを推測する能力にある。相手を観察する上で重要なのは「テル」と呼ばれるもので、相手が強い手札や弱い手札を持っている時に示す無意識の癖やしぐさ、例えば汗をかいたり、不安そうにちらっと見たり、前のめりになったりするようなもののことである。ポーカーという情報経済社会では、テルは非常に重要であるため、プレイヤーは時に偽のテル、つまり、より大きなパターンの一部であるように見える癖を作り出す。21 一般的なポーカー戦略では、偽のテルはトーナメントの重要な局面で使用するのが最善である。他のプレイヤーがそれが不正確であることに気づき、それを逆手にとってあなたを攻撃することがないようにするためである。複数のゲームをじっくり分析すれば、真の合図と偽の合図を区別できるかもしれないが、時間制限のある高額賭けのゲームでは、偽の合図が非常に効果的になることもある。 類似のテクニックは、視覚的なコミュニケーションを伴う多くのスポーツでも用いられている。 野球のサインがその一例である。あるコーチは新聞記者に対して、「時にはサインを出しているが、それには何の意味もない」と説明している。

1.7 グループのアイデンティティ：多くの人々が1つの名前で

最も単純で印象的な難読化の例のひとつであり、難読化を行うグループの活動を紹介する例として、映画『スパルタカス』の中で、ローマ兵士たちが反乱奴隷たちに、磔にする予定のリーダーを指名するように求める場面がある。23 スパルタカス（演じるのはカーク・ダグラス）が話し始めようとすると、周りの奴隷たちが次々と「私がスパルタカスだ！」と名乗りを上げ、やがて群衆全体がその名を名乗り始める。

集団の保護を目的として同一のアイデンティティを名乗る人々（例えば、1830年の英国農民蜂起における「キャプテン・スウィング」、ディケンズの小説『二都物語』に登場する急進派が名乗るありふれた「ジャック」、あるいは、グラフィック・ノベル『Vフォー・ヴェンデッタ』に登場するガイ・フォークスの仮面は、現在ではハクティビスト集団「アノニマス」と関連付けられている）は、今やほとんど決まり文句のようになっている。24 マルコ・デセリスは、「不適切な名称」の使用と、個人の責任の消去と行動の拡散における集団的アイデンティティについて研究している。25 難読化のいくつかの形態は単独で行うことができるが、他の形態はグループ、チーム、コミュニティ、協力者に依存する。

1.8 同一の協力者と対象：1つの服装に多くの人々

グループのメンバーが協調して、本物だが誤解を招くシグナルを発生させ、その中に本物の顕著なシグナルを隠すという、わかりにくくする例は数多くある。大衆文化における印象的な例としては、1999年の映画『トーマス・クラウン・アフェアー』のリメイク版で、主人公がマグリット風の独特な衣装を身にまとい、同じ衣装を着た他の大勢の男たちの中に突然現れ、美術館の中を動き回り、彼らと同じブリーフケースを交換する場面がある 。26 2006年の映画『インサイド・マン』の銀行強盗計画は、強盗犯全員が画家のつなぎ服、手袋、マスクを着用し、人質にも同じ服装をさせるというものだった。27 最後に、アルフレッド・ヒッチコック監督の1959年の映画『北北西に進路を取れ』の主人公、ロジャー・ソーンヒルの機転の利いた行動を考えてみよう 1959年の映画『北北西に進路を取れ』の主人公であるロジャー・ソーンヒルは、シカゴに到着した列車から警察に追跡されないように、駅で群衆に紛れるために赤帽（荷物取扱人）に賄賂を渡し、その独特な制服を借りた。駅にいる赤帽の群衆は、警察が捜索する上で何か特定のものを与えすぎていることを知っていた。

同一の物体を偽装手段として用いることは、想像上でも現実でも十分にあり得ることであり、十分に理解されている。古代ローマのアンキリア（ancilia）がその好例である。伝説によると、古代ローマの第2代王ヌマ・ポンピリウス（紀元前753年～673年）の治世中に、空から盾（ancile）が降ってきた。これは神の恩寵のしるしであり、所有すればローマ帝国の継続が保証される神聖な遺物であると解釈された。29 11個の完全な複製とともにマルス神殿に掲げられたため、盗もうとする者はどれを盗めばよいのか分からなかった。シャーロック・ホームズの小説のタイトルにもなった、ナポレオンの石膏製胸像6体も、その一例である。悪党は、5つの複製があるだけでなく、より大きな品目のひとつ（安価な白いナポレオンの胸像）でもある、湿った石膏製の品物に黒真珠を刺した。30

現実世界での例としては、いわゆる「クレイグズリスト強盗」がある。2008年9月30日火曜日の午前11時、ワシントン州モンローの銀行前に駐車されていた現金輸送車に、青いシャツ、ゴーグル、防塵マスクを身に着け、スプレーポンプを手にした駆除業者風の男が近づき、警備員を唐辛子スプレーで気絶させ、 。31 警察が到着したとき、現場周辺には青いシャツ、ゴーグル、防塵マスクを身に着けた13人の男たちがいた。これは、午前11時15分に銀行の住所で開始予定のメンテナンス作業に高賃金を支払うという内容のクラシファイド広告の指示に従って身に着けていたユニフォームだった。日雇い労働者の中に強盗犯がいないことは、ほんの数分で判断できたはずだが、強盗犯にはそれだけの時間しかなかったのだ。

また、デンマーク王と多数のデンマーク人非ユダヤ教徒が黄色い星を身につけることで、占領中のドイツ人がデンマークのユダヤ人を区別できず、彼らを強制送還することができなかったという、事実とは異なるがよく語られる強力な話もある。デンマーク人は勇敢にも他の方法でユダヤ人たちを守ったが、反ドイツ感情を煽ることを恐れたナチスは、占領下のデンマークでは黄色い星を使用しなかった。しかし、「ベルギー、フランス、オランダ、ポーランド、さらにはドイツ国内でさえ、ナチスの反ユダヤ主義に抗議するために、ユダヤ人でない人々が黄色い星を身につけていたという記録が残っている」32。この伝説は、協力による難読化の完璧な例である。異教徒が抗議の意思表示として黄色い星を身につけることで、個々のユダヤ人が紛れ込める集団を提供しているのだ。33

1.9 過剰な文書化：分析を非効率的にする

本物だが誤解を招くシグナルを追加することで機能する難読化について引き続き見ていくが、ここでは訴訟における過剰な情報開示のような難読化の一形態としての文書の過剰生産について考えてみよう。これは、フランス革命の恐怖政治期における主要な機関である治安委員会の警察総局の局長であったオーギュスティン・ルジューヌの戦略であった。ルジューヌと彼の部下たちは、逮捕、投獄、処刑の根拠となる報告書を作成した。後に、恐怖政治における自らの役割を正当化しようと、ルジューヌは、彼の部署からの報告書が厳密で圧倒的に詳細であったのは意図的なものだったと主張した。彼は、反乱のそぶりを見せずに委員会への情報提供を遅らせるために、部下たちに資料を過剰に作成し、「最も些細な詳細」を報告するよう指示していたのだ。ルジューヌの主張が完全に正確であるかどうかは疑わしい（彼が報告書の作成数として挙げた数字は信頼できない）が、ベン・カフカが指摘しているように、彼は供給過剰による業務停滞を生み出す官僚的な戦略を編み出していた。「彼は、文書や詳細事項が増加すれば、コンプライアンスの機会が増えるだけでなく、抵抗の機会も増えることを、遅ればせながら認識したようだ」34。ノー」と言えない状況では、役に立たない「イエス」の合唱が起こる可能性がある。例えば、リクエストに対してフォルダを1つ送るのではなく、関連書類が含まれている可能性のあるフォルダを大量に送る、といった具合だ。

1.10 SIMカードの入れ替え

モバイルターゲティングを不確実にする 最近の報道やエドワード・スノーデン氏の暴露の一部で明らかになったように、国家安全保障局（NSA）に勤務するアナリストは、シグナルインテリジェンスのソース（特に携帯電話のメタデータや位置情報システムからのデータ）を組み合わせて、排除すべきターゲットを特定し追跡している。35 メタデータ（ いつ誰が誰に電話したかを示す）メタデータは、特定の電話番号を「関心対象者」の所有する電話番号として識別することを可能にするソーシャルネットワークのモデルを生成する。携帯電話の位置特定機能により、これらの番号は、程度の差こそあれ特定の場所に位置づけられ、その場所は無人機による攻撃の対象となり得る。つまり、このシステムでは、人物の顔を直接目視することなく、特定から位置確認、そして暗殺までを実行することが可能である。 ドローン操作者が人物を目にする可能性が最も高いのは、建物の外観や車に乗り込むシルエットかもしれない。 NSAの携帯電話メタデータプログラムや無人機攻撃の記録がまちまちであることを踏まえると、もちろん、正確性については重大な懸念がある。国家安全保障に対する脅威が残っていることへの懸念、無実の人の命が不当に奪われることへの懸念、あるいはその両方への懸念のいずれであっても、このアプローチには欠陥がある可能性があることは容易に理解できる。

しかし、状況を逆転させて、ターゲットの視点からより抽象的に考えてみよう。NSAのターゲットのほとんどは、常に追跡装置を所持するか、身近に置いておく義務がある（テロ組織の最高レベルの人物のみが、信号発生技術から自由でいることができる）。また、彼らと接触するほぼすべての人々も同様である。彼らの組織を維持する通話や会話は、彼らを特定する手段にもなる。彼らの活動を可能にする構造は、同時に彼らを追い詰めるものにもなる。敵対者は、空のどこかにある標的を見つけるために高射砲を調整するのではなく、車や街角、家屋にミサイルを命中させることができる完全な航空優勢を握っている。しかし、敵対者にも密接に関連する一連のシステム上の制約がある。このシステムは、その範囲と能力において注目に値するが、最終的にはSIM（加入者識別モジュール）カードと携帯電話の物理的な所持に依存している。これは、悪用可能な一種の狭い帯域幅である。統合特殊作戦軍（Joint Special Operations Command）の無人機オペレーターであった人物は、そのためターゲットは本物の信号を混ぜ合わせたり混乱させたりする手段を取っていると報告している。一部の個人は、自分の身元に関連付けられた多数のSIMカードを流通させており、それらのカードはランダムに再配布されている。一つのアプローチは、出席者全員がSIMカードを袋に入れ、その袋からランダムにカードを取り出す会議を開催することである。そうすれば、各デバイスに実際に接続している人物が誰なのかは明確にならない。（これは時間制限のあるアプローチである。メタデータの分析が十分に高度であれば、アナリストは最終的に過去の通話パターンに基づいて個々人を再び分類できるはずだが、不規則な再シャッフルはそれをより困難にする。）追跡されていることに気づいていないターゲットが携帯電話を売却したり、友人や親戚に貸し出したりすることによって、意図せずに再シャッフルが起こる可能性もある。その結果、危険な人物の排除という観点から、あるいは誤って罪のない非戦闘員が殺害されるという観点から見た場合、技術的には非常に正確なシステムでありながら、実際の成功率は非常に不確実なものとなる。かなり正確な位置追跡やソーシャルグラフ分析を回避できない場合でも、偽の信号を生成するのではなく、真正な信号を混ぜ合わせるために難読化を使用することで、ある程度の防御と制御が可能となる。

1.11 Tor リレー

他者の代理として行うリクエストで、個人トラフィックを隠蔽する

Tor は、暗号化とメッセージを多数の異なる独立した「ノード」に渡すことを組み合わせることで、インターネットの匿名利用を促進するよう設計されたシステムである。 難読化のハイブリッド戦略では、Tor をより強力なデータ隠蔽メカニズムと組み合わせて使用することができる。 このような戦略では、真正な（暗号化された）アクティビティを混合および交互に配置することで、難読化が部分的に実現される。メッセージが大勢の人々をくぐり抜け、あなたのもとにこっそりと届けられたと想像してみよう。そのメッセージは、個人を特定する情報が一切含まれていない質問である。あなたの知る限り、そのメッセージは最後にメッセージを持っていた人物、つまりあなたにメッセージを手渡した人物によって書かれたものだ。あなたが書いた返信は、予測不可能な経路をたどり、人ごみに消えていく。その人ごみのどこかで、質問者は自分の答えを受け取る。あなたも他の誰にも、質問者が誰なのか正確にはわからない。

Tor を使用中にウェブページをリクエストした場合、そのリクエストはあなたの IP アドレスから送信されるのではなく、Tor システムの「出口ノード」（メッセージの宛先にメッセージを手渡す最後の人物に類似）から、他の多くの Tor ユーザーのリクエストとともに送信される。データはTorシステムに入り、中継の迷路へと進む。つまり、Torネットワーク上のコンピュータ（群衆の中の人物に例えられる）が、他の人からのTorトラフィックを処理するために帯域幅の一部を提供し、メッセージを中身を見ずに転送することに同意する。中継の数が増えれば増えるほど、システム全体が高速化する。すでにTorを使用してインターネットトラフィックを保護している場合は、自分のコンピュータをより大きな公益のための中継に変えることができる。Torネットワークとネットワーク上の個人の匿名化は、より多くの人がネットワークを利用することで改善される。

Torの設計者は、匿名化がTorの保護力を大幅に強化すると指摘している。Torリレーを実行することで、「一部の攻撃に対して匿名性を高めることができる」のだ。最も単純な例は、少数のTorリレーを所有する攻撃者である。攻撃者はあなたからの接続を見ることはできるが、その接続があなたのコンピュータから発信されたものなのか、あるいは他の誰かから中継されたものなのかを知ることはできない。」36 もし誰かが群衆の中にエージェントを配置している場合、つまり、監視目的でTorリレーを実行している場合、エージェントは通過するメッセージを読むことはできないが、誰がメッセージを自分に送ったのかを知ることができる。Torを使用していてリレーを実行していない場合、彼らはあなたが彼らに渡したメッセージをあなたが書いたものであることを知っている。しかし、あなたのコンピュータをリレーとして動作させている場合、そのメッセージはあなたのものであるかもしれないし、あるいはあなたが他の人のために転送している多数のメッセージのうちの1つであるかもしれない。そのメッセージはあなたが最初から書いていたものなのか、それともそうではないのか？ 情報は今や曖昧であり、あなたが書いたメッセージはあなたが転送している他の多数のメッセージ群の中に紛れ込んで安全になる。これは、特定のデータ通信を曖昧にし、通信量を利用してトラフィック解析を阻止する、より高度で効率的な方法である。単に本物の信号を混ぜ合わせる（バッグの中のSIMカードを振ることで、調整に伴うあらゆる問題を引き起こす）だけでなく、各メッセージを宛先に届ける。ただし、各メッセージは他のメッセージの送信元を不明瞭にするのに役立つ。

1.12 バブルテープ：音声に音声を隠す

FBIの脅威にさらされたマフィアに関する古い決まり文句では、浴室での会話が頻繁に登場する。水の飛沫や音、換気扇のうなり音などにより、家の中に盗聴器が仕掛けられていたり、部屋の中に盗聴器を装着した人物がいたりすると、会話が聞き取りにくくなるというのだ。現在では、音声傍受を阻止する洗練された（かつ、より効果的な）技術が開発されており、これらは難読化をより直接的に利用している。その一つが、いわゆる「おしゃべりテープ」の使用である。37 逆説的ではあるが、おしゃべりテープは、盗聴が弁護士・依頼者間の守秘特権を侵害する可能性があることを懸念する弁護士たちによって、マフィアよりも使用されることが少なかった。

バブルテープとは、会話中にバックグラウンドで再生されることを目的としたデジタルファイルである。このファイルは複雑で、40の音声トラックが同時に再生され（英語では32トラック、その他の言語では8トラック）、各トラックは周波数と時間で圧縮され、周波数スペクトル全体を埋める追加の「音声」が生成される。また、人間以外の機械音や、盗聴器の自動ゲイン制御システムを妨害するように特別に設計された周期的な超音速バースト音（成人には聞こえない）も含まれている。この音は、盗聴器が音声信号を最もよく拾えるように自動的に調整される。 ここで最も重要なのは、弁護士が使用するバブルテープに録音された音声には、依頼人と弁護士自身の声が含まれていることだ。 このようにさまざまな声が混ざり合っていると、特定の声を聞き分けることがより困難になる。

1.13 オペレーション・ヴーラ：

アパルトヘイトとの闘いにおける難読化 この章の締めくくりとして、アパルトヘイトとの闘いの中で、南アフリカのネルソン・マンデラの釈放を求めるグループが複雑な状況下で用いた難読化の例を詳しく見てみよう。「ヴラ（Vula）」作戦（「道を開く」を意味する「ヴリンドラ（Vul’indlela）」の略）と呼ばれるこの作戦は、マンデラと連絡を取り合い、ANCのエージェントや支持者、世界中の将軍たちと連携を図っていた南アフリカ国内のアフリカ民族会議（ANC）の指導者たちによって考案された。

ANCがこれほど大規模なプロジェクトを実施したのは、1960年代初頭にマンデラをはじめANCのほぼすべてのトップリーダーが逮捕され、リリーズリーフ農場の文書が押収されて法廷で不利な証拠として使用された大惨事以来のことだった。そのため、オペレーション・ヴーラは、絶対的な機密保持とプライバシー保護の下で実施されなければならなかった。実際、1990年代にこの作戦の全容が明らかになったとき、南アフリカ政府や国際諜報機関だけでなく、ANC内部の多くの著名な指導者たちも驚いた。腎臓移植を受けた、あるいはオートバイ事故から回復したと伝えられていた人々は、実際には新しい身分で地下に潜り、南アフリカに戻ってきており、マンデラ氏の釈放への「道筋」を作っていたのだ。南アフリカ国内および国外での監視、既存のANCの通信手段が漏洩する可能性、そして世界中のスパイや法執行機関の関心などを考えると、オペレーション・ヴーラでは、情報を共有し調整するための安全な方法が必要であった。

オペレーション・ヴーラの驚くべき物語は、その主要な立案者の一人であるティム・ジェンキンがANC機関誌『マイブイエ』のページで語っている。38 これは、作戦上のセキュリティ、諜報活動、安全なネットワークの管理の優れた事例である。

Vula作戦でいつ、どのように難読化が採用されるようになったかを理解するには、その設計者が直面した課題を理解する必要がある。南アフリカ国内で固定電話回線を使用することは、各回線が住所と名前に関連付けられているため、選択肢にはなり得なかった。少しでも情報が漏れると、盗聴や、現在ではメタデータ分析と呼ばれる行為につながる可能性があり、その結果、活動家のネットワークの全体像が、国内および海外の通話記録から把握されてしまう可能性があった。Vulaのエージェントたちはさまざまな暗号化システムを使用していたが、いずれも手作業による暗号化の難しさと退屈さが障害となっていた。特に危機が発生し、物事が急速に動き始めた際には、「また電話でひそひそ話をする」という誘惑にかられることが常にあった。エージェントが移動する中、南アフリカ（主にダーバンとヨハネスブルグ）とルサカ、ロンドン、アムステルダム、そして世界中の他の場所との間で、業務をシームレスに調整する必要があった。郵便サービスは遅く、脆弱であり、暗号化には膨大な時間がかかり、しばしば杜撰になりがちであった。家庭用電話の使用は禁止されており、世界中の複数のタイムゾーン間の調整は不可能に思われた。

ジェンキンは、パソコンを使用すれば暗号化をより迅速かつ効率的に行えることに気づいていた。プレトリア中央刑務所から脱獄後、ロンドンを拠点とした彼は、1980年代半ばに「オペレーション・ヴーラ」に必要な通信システムの開発に携わり、最終的にそれは素晴らしいネットワークへと発展した。暗号化はパーソナルコンピュータで行われ、暗号化されたメッセージは、ポータブルカセットプレーヤーに録音された高速のトーンの連続として表現された。エージェントは公衆電話に行き、ロンドンの番号に電話をかけ、その電話はジェンキンが改造した留守番電話につながり、最大5分間録音することができた。エージェントは電話の送話口にカセットをあてがった。カセットの裏面に録音されたトーンは、音響モデムを通してコンピュータに再生し、解読することができた。（「発信側」の留守番電話もあった。遠隔地のエージェントは公衆電話から電話をかけ、メッセージ用のトーンを録音し、ジェンキンが考案した暗号化システムを実行できるコンピュータがあればどこでもそれを解読することができた。）

これはすでに非常に優れたネットワークであった。とりわけ、デジタル面の大半（国際電話回線を通じて雑音の多いブースからメッセージを再生する際の雑音に対処するためのエラー処理コードの実装方法を含む）をゼロから開発しなければならなかったことを考えると、そのことは顕著である。しかし、オペレーション・ヴーラが拡大し、工作員のネットワークが拡大するにつれ、膨大な量のトラフィックがネットワークを圧倒する恐れが出てきた。活動家たちは南アフリカでの行動に備えていたが、その作業にはクレジットカードが使える公衆電話を見つけたり（コインを落とす音が信号を妨害する可能性がある）、テープレコーダーを操作しながら立ちつくしたりする時間はあまりなかった。ジェンキン氏と彼の協力者たちは、メッセージが次々と寄せられる中、夜遅くまでテープを入れ替えていた。暗号化された電子メールに切り替える時が来たが、システム全体は、南アフリカ国内の既知の電話回線を使用しないように開発されていた。

「Vula」作戦では、南アフリカ、ルカサ、ロンドンのコンピュータ間で、疑いをかけられることなく暗号化されたメッセージを送受信する必要があった。1980年代、ここで説明したネットワークが形を整えていく一方で、国際ビジネスのより大きな環境が、まさにこの策略を隠す背景を作り出していた。問題は、ジェンキンが言うように、「敵が、毎日国外に送信される何千ものメッセージのうち、どれが『疑わしい』ものかを判断する能力を持っているかどうか」であった。活動家たちは、暗号化メールの典型的なユーザー、つまり政治的な所属が明確でない人物を探し出し、暗号化されたメッセージが大量のメールの流れの中で目立たずに済むかどうかを確かめる必要があった。ジェンキン氏は後に、彼らは「海外との連絡に通常コンピュータを使用する人物を見つけ、その人物に連絡を処理してもらう必要があった」と振り返っている。

彼らは、新しいアプローチに切り替える前にこのシステムを試すことができるエージェントを雇っていた。そのエージェントは、英国の通信会社で長年プログラマーとして海外で働いた後、故郷である南アフリカに帰国しようとしていた南アフリカ人のネイティブスピーカーであった。そのエージェントは、カスタムサーバーではなく商用の電子メールプロバイダーを使用し、多くの企業が通信に暗号化を使用しているという事実を頼りに、毎日大量の電子メールメッセージを送る一般市民と同じように行動した。「これは、彼の立場にある人物にとってはごく普通の行動でした」とジェンキン氏は振り返る。このシステムはうまく機能した。エージェントのメッセージは通常のトラフィックに紛れ込み、秘密の通信を公然と行うためのプラットフォームを提供し、急速に拡大することができた。

ティム・ジェンキンとロニー・プレス（ANC技術委員会のもう一人の主要メンバー）は、コンピュータコンサルタントを装うことで、新しい機器やストレージ技術に遅れずについていくことができ、必要な場所への購入と配送の手配をすることができた。商用電子メールプロバイダーと個人用およびポケットコンピュータで稼働する掲示板サービスを組み合わせることで、南アフリカ国内および世界中にメッセージを配信することが可能となり、また、配布用のANCの印刷物のフォーマットも完全に準備することができた。（このシステムでは、マンデラ氏の弁護士が書籍の秘密のスペースに隠して持ち出したマンデラ氏からのメッセージを、システムに入力することもできた。） ありふれたビジネスアドレスを持つ一般ユーザーの日常的な活動が、価値の高い情報チャネルとなり、膨大な量の暗号化データをロンドンからルカサ、そして南アフリカ国内のヴーラ・セルへと移動させた。このシステムの成功は、歴史的な状況によるところもあった。パソコンや電子メール（暗号化メールを含む）は、疑いを招くほど一般的ではなく、しかし今日政府が持つような、より包括的な新しいデジタル監視システムの構築を促すほど一般的でもなかった。

Vulaネットワークは最終段階では、デジタルメッセージのセキュリティについて甘く見ていたわけではなく、独創的な工夫を凝らした高度な暗号化システムによってすべてを保護し、ユーザーに暗号化キーの変更と適切な運用セキュリティの実践を促していた。しかし、その文脈において、Vulaは難読化が安全かつ秘密の通信システム構築に果たす役割の優れた例を示している。この例は、適切な既存の状況を見つけ、そこに溶け込むことの利点を示している。日常の商取引の喧騒に紛れ、群衆に隠れること。

2 その他の例

2.1 巣を編む蜘蛛：難読化する動物

動物（および一部の植物）の中には、身を隠したり視覚的なトリックを駆使したりする方法を持つものもいる。 昆虫は葉や小枝の外観を模倣し、ウサギはタカに発見されやすく攻撃されやすい形状の手掛かりを排除するためにカウンターシャドー（白い腹）を持ち、蝶の羽の斑点模様は捕食動物の目を模倣している。

動物界における典型的な擬態の例としては、巣を編むクモの一種、Cyclosa mulmeinensis が挙げられる。1 このクモは、擬態が有効な解決策となる特有の問題に直面している。獲物を捕らえるためには、クモの巣をある程度露出させる必要があるが、そうするとスズメバチによる攻撃に対してクモが非常に脆弱になってしまうのだ。この蜘蛛の解決策は、獲物の死骸、落ち葉、蜘蛛の糸を使って、ハチから見ると蜘蛛と同じ大きさ、色、反射率を持つ囮を作り、それを蜘蛛の巣の周囲に配置することだ。これにより、ハチが蜘蛛の巣に命中する確率が減り、Cyclosa mulmeinensisは危険から逃れるために急いで逃げ出すことができる。

研究対象地域で発見された、装飾品（a）と鳥の糞（b）に逆さまにぶら下がったC. ginnagaの幼生の写真（スケールバー：5 mm）。

2.2 偽の注文：難読化による競合企業への攻撃

チャネルをより騒々しくするという難読化の目的は、重要なトラフィックを隠すだけでなく、そのチャネルを介した組織のコストを上昇させ、ビジネスを行うコストを上昇させるために利用されることもある。タクシー配車代行サービス会社Uberは、このアプローチを実際に適用している例である。

タクシーやハイヤーに類似したサービスを提供する企業向けの市場は急速に成長しており、顧客と運転手の獲得競争は熾烈を極めている。Uberは、競合サービスから運転手を引き抜くためにボーナスを提示し、同社本社を訪問するだけでも報酬を支払っている。ニューヨークでは、Uberは競合他社であるGettに対して特に積極的な戦略を展開し、Gettのドライバーを勧誘するために偽装工作を行った。2 数日間にわたって、Uberの従業員数名がGettに配車依頼を行い、Gettのドライバーが到着する直前にそれらの配車依頼をキャンセルした。この無駄な配車依頼の殺到により、Gettのドライバーは料金を得られないまま動き続け、正当な依頼の多くに応じることができなかった。無駄な注文、あるいは複数の無駄な注文を受けた後、GettのドライバーはUberから転職を勧めるテキストメッセージを受け取ることになる。 実在する乗車依頼は、Uberの偽の依頼によって事実上混乱させられ、Gettでの仕事の価値が低下した。（ライドシェアリング企業であるLyftは、Uberが同社のドライバーに対して同様の混乱攻撃を行っていると主張している。）

2.3 フランスのデコイレーダー設置：レーダー探知機の無効化

フランスの政府によるレーダー探知機対策戦略にも、難読化が一部で採用されている。3 レーダー探知機は、警察が近くで速度違反取締用レーダーを使用している場合にドライバーに警告する、ごく一般的な機器である。一部のレーダー探知機は、ユーザーの車両に対するレーダーガンの位置を表示できるため、ドライバーがスピード違反切符を回避する上でさらに効果的である。

理論的には、スピード違反切符は、危険なほどに高速な運転に対する抑止力となる。しかし実際には、地元の警察署や政府の財源となっている。この2つの理由から、警察はレーダー探知機を無効化することに強い動機を持っている。

600万人のフランス人ドライバーがレーダー探知機を所有していると推定されるという事実を考慮すると、レーダー探知機を規制したり、あるいは禁止する選択肢は非現実的である。これほど多くの一般市民を犯罪者に変えることは非合理的である。レーダー銃の監視を停止する権限を持たないフランス政府は、交通量の多い区域でレーダー探知機の警告信号を実際に速度を測定せずに発動させるデバイスの配列を展開することで、このような監視をあまり役に立たなくさせるために、曖昧な表現を用いるようになった。これらの装置は、警告音が次々と増幅されるという点で、チャフ戦略と類似している。そのうちの1つは、実際の速度検出レーダーを示している可能性もあるが、どれなのか？ 有意な信号は、他の妥当な信号の大量の群れに埋もれてしまう。ドライバーはスピード違反切符を切られるリスクを冒すか、レーダー信号の洪水に反応して減速するかのどちらかだ。そして、市民の目標は達成される。交通警官やスピード違反のドライバーについてどう思うかは別として、この事例は、欺瞞が、敵対者の装置を完全に破壊することなく、機能的に無関係なものにすることで目的を促進する手段として興味深い。

2.4 AdNauseam：すべての広告をクリックする

フランスのレーダー・ガン・デコイの戦略に似た方法で、ブラウザープラグインであるAdNauseamは、行動ターゲティング広告の目的で行われるオンライン監視に抵抗する。Ad Block Plusと併用することで、AdNauseamはバックグラウンドで動作し、ブロックされた広告をすべて静かにクリックしながら、ユーザーの興味に合わせて、配信された広告とブロックされた広告の詳細を記録する。

AdNauseamのアイデアは、無力感から生まれた。広告ネットワークによるいたるところで行われている追跡を阻止することは不可能であり、その社会的・技術的背景を構成する複雑な制度上および技術上の複雑性を理解することもできない。これには、ウェブクッキーやビーコン、ブラウザフィンガープリンティング（訪問者の技術の組み合わせや設定を使用してその活動を識別する）、広告ネットワーク、分析企業などが含まれる。トラッキング拒否の技術標準を通じて何らかの妥協点を見つけようとする努力は、ターゲット広告の政治経済における強力なアクターによって阻まれてきた。こうした妥協のない状況の中で、AdNauseamが誕生した。その設計は、自社製品に興味を持つと見込まれる閲覧者に広告を配信することで広告主からプレミアム料金を徴収する、一般的なビジネスモデルに対する鋭い洞察から着想を得たものである。特定の広告がクリックされること以上に、興味の証となるものがあるだろうか？クリックは、広告ネットワークや広告を掲載するウェブサイトへの支払いの基準となることもある。広告のクリックは、他のデータストリームと組み合わさって、追跡されたユーザーのプロファイルを構築する。フランスのレーダー欺瞞システムと同様に、AdNauseamはクリック追跡機能を破壊することを目的としているわけではない。代わりに、自動的に生成されたクリックで実際のクリックを不明瞭にすることで、それらのクリックの価値を低下させる機能を持つ。

2.5 クォート・スタッフィング：アルゴリズム取引戦略の混乱

「クォート・スタッフィング」という用語は、取引所で競合他社に対して優位に立つために生成された、誤解を招くような取引データと思われる、株式取引における異常な活動の急増に適用されている。 高頻度取引（HFT）という特殊な分野では、アルゴリズムが人間よりもはるかに高速で大量の取引を行い、人間のトレーダーが注目しないようなわずかな時間差や価格差を利用している。タイミングは常に取引にとって重要であったが、HFTではコンマ何秒の差が利益と損失を分けるため、取引を加速し、競合他社の取引を遅らせる複雑な戦略が生まれている。市場行動の分析者は、2010年夏にHFT活動の異常なパターンに気づき始めた。特定の株式に対する気配値リクエストが急増し、時には1秒間に数千件に達した。このような活動には経済的な根拠がないように思われるが、最も興味深く、もっともらしい仮説のひとつは、こうしたバーストは隠蔽工作であるというものである。ある観察者は、この現象を次のように説明している。「もし、競合他社が処理しなければならない大量の見積もりを生成でき、しかも、生成した見積もりは無視できるのであれば、貴重な処理時間を獲得できる。

重要でない情報を引用という形で大量に発生させることで、重要な活動領域を埋め尽くし、重要でない情報の発生源が正確に状況を把握できるようにする一方で、競合他社が状況を把握することをより困難で時間のかかるものにする。 彼らは自分たちだけが透視できる雲を作り出すのだ。その情報に含まれるパターンは、長期間にわたってアナリストを欺いたり、注意をそらしたりすることはないだろう。それらは明らかに人為的で取るに足らないものだからだ。しかし、HFTのコンマ何秒の世界では、活動の観察と処理に要する時間だけでも大きな違いが生じる。もし「クォートスタッフィング」が蔓延した場合、何十万もの無意味なクォートが帯域幅を消費することで、証券取引所が依存する物理的インフラが圧倒され、株式市場というシステム自体の完全性が脅かされる可能性がある。「これは非常に憂慮すべき事態です。なぜなら、より多くのHFTシステムがこのような行為を行うようになれば、クォートスタッフィングによって市場全体が混雑により機能停止に追い込まれるのは時間の問題だからです」と、前述のオブザーバーは付け加えている。

2.6 ロイヤリティカードの交換による買い物パターン分析の妨害

食料品店は、データを扱うという点では、以前から技術的に最先端を走ってきた。比較的無害な初期のロイヤリティカードプログラムは、リピーター客を惹きつけるために使用され、カードを使用しない人々から追加の利益率を引き出し、郵便番号によるダイレクトメールの整理など、原始的なデータプロジェクトを支援していた。大半の食料品店やチェーン店は、ACNielsen、Catalina Marketing、および数社にデータ分析業務を委託していた。6 当初は、こうした行為は孤立したものであり、害のないものと認識されていたが、いくつかの事件により、その目的が害のないものから、やや不穏なものへと認識が変化した。

1999年には、ロサンゼルスのスーパーマーケットで起きた転倒事故が訴訟に発展し、スーパーマーケット・チェーンの弁護士が被害者のアルコール購入履歴を法廷で開示すると脅した。7 このような類似の事例が長年にわたって続いたことで、いわゆるロイヤリティカードは割引以外の目的にも利用されているのではないかという疑いが人々の間で広がっていった。カードが広く普及し始めた直後から、カード交換ネットワークが発展した。人々は、購買パターンに関するデータを隠すためにカードを交換し合った。当初は、その場限りの物理的な会合で、その後はメーリングリストやオンラインのソーシャルネットワークの助けを借りて、より多くの人々や広範囲の地域で交換が行われるようになった。例えば、RobのGiant Bonus Card Swap Meetは、バーコードを共有するシステムがあれば、ワシントンDC周辺のスーパーマーケットチェーンGiantの顧客が、他の顧客のバーコードを印刷し、自分のカードに貼り付けることができるというアイデアから始まった。8 同様に、Ultimate Shopperプロジェクトでは、 セイフウェイのポイントカードのバーコードを印刷したステッカーを配布し、それによって「クローンの軍団」を作り出し、その買い物データを蓄積した。9 ポイントカードの交換を郵送で行うCardexchange.orgは、同じ目的のために開催される実際のミーティングの直接的なアナログであると主張している。ポイントカードの交換は、グループ活動としての難読化を構成する。カードを共有する意思のある人の数が増え、カードが移動する距離が長くなるほど、データの信頼性は低下する。

カード交換サイトでは、ポイントカードの不正利用に関するさまざまなアプローチや、それによって生じる倫理的な問題についての議論やニュース記事、エッセイなども投稿されている。 カード交換によって、小売店が利用できるデータや、おそらくは他の受取人が利用できるデータも劣化するため、食料品店への悪影響が懸念されている。 このような影響は、カードプログラムとカード交換のアプローチの双方に依存している点に注目すべきである。例えば、ポイントカードが家庭内や友人同士で共有された場合、店舗側は個人レベルのデータを失うことになるが、それでも、特定の地域における買い物行動や商品嗜好に関する有益な情報を入手できる可能性はある。郵便番号、近隣地域、地区レベルのデータは、無視できない価値がある。また、混ざり合ったデータに含まれる本物の情報から、より大きなパターンを推測できる可能性もある。

2.7 BitTorrent Hydra：偽のリクエストを使用してアドレス収集を阻止する

BitTorrent Hydraは、現在は終了しているが、興味深く、示唆に富むプロジェクトであった。このプロジェクトは、ビット単位のファイルに対する正当なリクエストをダミーのリクエストと混在させることで、ファイル共有反対派による監視の取り組みに対抗した。10 BitTorrent プロトコルはファイルを多数の小さなピースに分割し、ユーザーはピースの同時送受信によってファイルを共有することが可能となった。11 他のユーザーからファイル全体をダウンロードするのではなく、そのファイルを所有している他のユーザーからピースを入手し、そのピースを必要としているユーザーは、あなたからピースを受け取ることができる。この「多くの人から多くのピースを集める」というアプローチにより、あらゆる種類のファイルの共有が迅速化され、映画や音楽などの大容量ファイルの移動に最適な方法として急速に普及した。12 BitTorrentのユーザーが必要なファイルを組み立てられるよう、「トレントトラッカー」はファイルの送受信を行っているIPアドレスを記録していた。例えば、あるファイルの一部を探している場合、Torrentトラッカーは、その必要な部分を持っているユーザーのIPアドレスを教えてくれる。コンテンツ業界の代表者たちは、知的財産権の侵害を探し、主要な無許可アップローダーやダウンロードユーザーのアドレスを収集するために独自のトラッカーを稼働させ、それらのユーザーを停止させ、場合によっては告訴するようになった。Hydraは、BitTorrentで以前に使用されたランダムなIPアドレスをTorrentトラッカーによって検出されたアドレスのコレクションに追加することで、このトラッキングに対抗した。ファイルの一部をリクエストした場合、定期的に、あなたが探しているものを持っていないユーザーに誘導されることになる。BitTorrentシステム全体としてはわずかな非効率性だが、著作権の執行者が収集したアドレスの有用性は大幅に損なわれる。そのアドレスは、実際の参加者によって使用されている可能性もあるが、Hydraによって挿入されたダミーのアドレスである可能性もある。疑念と不確実性がシステムに再び持ち込まれ、確信を持って訴訟を起こせる可能性が低くなった。Hydraは、敵対者のログを破壊したりBitTorrentトラフィックを隠蔽しようとするのではなく、「私はスパルタカスだ」という防御策を講じた。Hydraはデータ収集を回避しなかったが、データ収集の信頼性を低下させることで、特定の調査結果を疑問視した。

2.8 意図的に曖昧な表現：難読化する機関

ジャクリーン・バーケルとアレクサンドル・フォーティエによると、健康情報サイトのプライバシーポリシーでは、トラッキング、モニタリング、データ収集の使用について説明する際、特に分かりにくい言語構成が用いられている。13 条件動詞（例えば「may」）、受動 受動態、名詞化、時間副詞（「定期的に」や「時折」など）、および定性的形容詞（「少量のデータ」など）の使用は、BurkellとFortierが特定した言語構造の一部である。この種の難読化は一見微妙なものであるが、すでに説明した他の形式と明らかに類似した操作である。具体的かつ明確な否定（例えば、「当社はユーザー情報を収集しません」）や正確な承認に代わるあいまいな表現は、活動や帰属の可能性を示す多くの混乱を招くような表現を生み出す。例えば、「このサイトの利用と第三者による他のサイトの利用に関する情報を結びつけるために、特定の情報が受動的に収集される可能性がある」という文章は、特定の情報に関してサイトが何を行うかという詳細を、さまざまな解釈が可能な曖昧な表現で表現している。

このような文章の書き方は、難読化というよりも、より一般的な難解な言語や「あいま いな表現」の領域に属するものである。14 しかし、難読化の手法の幅を示すという目的においては、難読化された言語のスタイルは有用である。文書は存在しなければならないが、明確な否定は不可能であるため、誰が何をしているのかを分かりにくく不明瞭にするという戦略が取られる。

2.9 匿名のテキストの難読化

文体分析の阻止 テキストのどの程度が、ある著者の作品であると特定できるだろうか？ 文体分析では、匿名のテキストの著者を特定するために言語スタイルの要素のみを使用する。 オンラインフォーラムへの投稿、その他の外部的な手がかり（IPアドレスなど）、タイミングなど、特定の人物のみが何らかの知識を持っている可能性を考慮する必要はない。文の長さ、言葉の選択、構文、書式や用法の特異性、地域性、繰り返されるタイプエラーなどを考慮する。連邦党論文の匿名の著者をめぐる論争の決着に役立ったのは文体分析であった（例えば、「while」と「whilst」の使い分けにより、アレクサンダー・ハミルトンとジェームズ・マディソンの文体を区別することができた）。また、法的な文脈における文体測定の有用性は、現在では十分に確立されている。15

少量のテキストが与えられれば、文体測定法によって著者を特定することができる。ジョシュア・ラオとパンカジ・ラタンギによると、6,500語程度のサンプルがあれば（電子メール、ソーシャルネットワークへの投稿、ブログ投稿など、特定されたテキストのコーパスと併用した場合）80パーセントの確率で著者を特定できるという。16 多くの人々は、日常的にコンピュータを使用する中で、数日で6,500語を生成している。

特定の著者を既知の個人の中から特定することが目的でなくても、文体分析は監視の目的に役立つ情報を提供することができる。テクノロジー活動家のダニエル・ドムシャイトベルクは、WikiLeaksのプレスリリース、リークの要約、その他の公開文書が文体分析にかけられた場合、それらの文章はすべて、多数の多様なボランティアではなく、わずか2人（ドムシャイトベルクとジュリアン・アサンジ）によって作成されたものであることが示されるだろうと気づいた瞬間を思い出した アサンジとドムシャイトベルクが示唆しようとしているように、多数の多様なボランティアグループではなく、わずか2人（ドムシャイトベルクとジュリアン・アサンジ）がすべての文章の責任者であったことが明らかになる。17 文体分析は、敵対者に「匿名」または秘密主義の運動、およびその脆弱性について、他の手段では得られないより正確な情報を提供する。著者を少数に絞り込むことで、敵対者は既知の容疑者グループを標的にするのに有利な立場に立つことができる。

難読化により、公開された文章の信号を曖昧にし、その文章と名前のついた著者を結びつけるプロセスを妨害することが可能になる。文体分析による難読化は、その成功が他の多くの難読化手法よりも容易にテストできるという点でも独特である。その正確な効果は非常に不確実である可能性があり、また非協力的な敵対者だけが知っている可能性もある。

筆跡分析を打ち負かすための3つのアプローチは、難読化について有益な洞察を提供している。最初の2つは直感的かつ単純なもので、通常のスタイルとは異なる筆記体を想定するものである。その弱点は、難読化の価値を強調している。

翻訳攻撃は、テキストを複数の言語に翻訳し、それを再び元の言語に翻訳するという機械翻訳の弱点を利用する。これは「伝言ゲーム」のようなもので、著者のスタイルが著しく損なわれ、帰属が不可能になる可能性がある。18 もちろん、この方法ではテキストの首尾一貫性や意味も損なわれる。また、翻訳ツールの精度が向上すれば、匿名化の目的を十分に達成できなくなる可能性もある。

模倣攻撃では、オリジナルの著者が意図的に別の著者のスタイルで文書を書く。このアプローチの脆弱性の一つは、研究によって見事に明らかにされている。19 テキストが同一の著者のものであると識別するために使用するシステムを使用して、2つのテキスト間の著者を識別する最も強力な識別子を決定し、その識別子を分析から除外して次に最も強力な識別子を探し、同じ除外プロセスを繰り返す。もしテキストが本当に別人の作品である場合、両者を区別する精度は徐々に低下する。なぜなら、著者の間に明白な大きな違いがある一方で、より小さく信頼性の低い違いも数多く存在するからだ。しかし、両方のテキストが同一人物によるもので、そのうちの1つが他の著者の模倣として書かれた場合、両者を区別する精度は急速に低下する。なぜなら、顕著な特異性の下では、根本的な類似性を覆すことは難しいからだ。

文体解析に対する難読化攻撃には、特徴的なスタイルを持たないような書き方をするというものがある。研究者たちは、テキストの「表面的」な難読化と「深層的」な難読化を区別している。「表面的」な難読化は、最も明白な特徴のほんの一部だけを変更する。例えば、「while」と「whilst」のどちらを使うかといった具合である。「深い」難読化は模倣を阻止するために使用されるのと同じ分類システムを実行するが、それは著者の利益のためにそうする。このような手法は、文書を編集する著者にリアルタイムでフィードバックを提供し、最もランクの高い特徴を特定し、文体論的分析の精度を低下させる変更を提案するかもしれない。例えば、洗練された言い換えなどである。「一般的な用法」の平凡さをリソースに変え、著者が膨大な数の類似した著者の中に紛れ込めるようにするかもしれない。

本稿執筆時点で開発中のツールである「Anonymouth」は、このアプローチを実行に移すための一歩であり、類似した文章のコーパス内で難読化できる統計的に平凡な散文を生成する。20 2011年の映画『ドライヴ』で逃走ドライバーに提供された車を考えてみよう。シルバーの新型シボレー・インパラは、 。これは巧妙な方法かもしれないが、政治的マニフェストや重要な文書が、優れた修辞的・文体的平凡さを追求する未来に、私たちは疑問を抱いている。そして、「これらは人々の魂を試す時代である」という次のトマス・ペインに匹敵する人物が現れるのか、私たちは疑問を抱いている。

2.10 コードの難読化

人間には不可解だが、機械には不可解ではない コンピュータプログラミングの分野では、「難読化されたコード」という用語には、関連するが異なる2つの意味がある。 1つ目は、「保護手段としての難読化」であり、つまり、コピー、修正、または侵害を目的として、コードを解釈する人間（または、使用のためにコンパイルされたコードを解明するのに役立つさまざまな「分解アルゴリズム」）にとって、コードを解釈しにくくすることである。（このようなリバースエンジニアリングの典型的な例としては、以下のようなものがある。マイクロソフトがセキュリティ上の理由からWindowsコンピュータを更新するためのパッチを配布する。悪意のある者がそのパッチを入手し、コードを調べてパッチがどの脆弱性を対象としているかを把握する。そして、発見した脆弱性を突く攻撃を考案する。） 「難読化されたコード」の2つ目の意味は、芸術の一形態を指す。人間には解読が極めて困難なほど複雑なコードを記述するが、最終的にはコンピュータが容易に処理できるありふれた計算タスクを実行する。

簡単に言えば、難読化されたプログラムは、以前と同じ機能性を持ちながらも、人間が分析する場合にはより難しくなる。このようなプログラムは、難読化のカテゴリーおよび概念として2つの特徴を示す。第一に、制約の下で動作する。つまり、コードが公開されるため難読化を行う。難読化の保護目的は、解析効率を低下させること（実験研究により、「少なくとも必要な時間を2倍にする」ことが判明している）、初心者と熟練した解析者の間のギャップを縮小すること、そして（どのような理由であれ）攻撃を受けやすいシステムの脅威プロファイルを、より攻撃を受けにくいシステムのプロファイルに近づけることである。 22 第二に、難読化されたプログラムのコードは、他の難読化手法でよく使われる戦略を採用している。具体的には、意味ありげな無意味な文字列の追加、説明が必要な余分な変数の使用、コード内の要素に任意のまたは意図的に紛らわしい名前を使用、行き止まりや無駄足につながる意図的に紛らわしい指示（本質的には「行 x に移動して y を実行」）をコードに含める、さまざまな形式のスクランブルなどである。保護モードでは、コードの難読化は解析を阻止するための時間稼ぎのアプローチであり、いわば「スピードバンプ」である。（最近では、難読化を解除する難易度と所要時間を大幅に増大させる進歩が見られる。これについては以下で説明する。）

芸術的、審美的な形でのコードの難読化は、目標を達成するための直感に反した不可解な手法の先駆けである。ニック・モントフォートは、これらの手法についてかなり詳細に説明している。23 たとえば、プログラミング言語Cが変数名を解釈する方法により、プログラマーはゼロと似た文字列で人間の解析を混乱させることはできても、ゼロと似た文字列でゼロと似た文字列で機械による実行を混乱させることはできない。このような難読化の手法の中には、私たちが定義した「難読化」の定義から少し外れるものもあるが、難読化の根本的な問題に対するアプローチを示すには役立つ。すなわち、精査の対象となり得るものを、曖昧で、誤った手掛かりや誤った同一性、満たされない期待感に満ちたものに変えるにはどうすればよいか、という問題である。

コードの難読化は、筆跡鑑定のように、正確に分析、テスト、最適化することができる。その機能性は、時間を稼ぐことやコードの解明をより困難にするという限定的な範囲から、完全な不可視性へと近づくものへと拡大している。Sanjam Garg氏とその同僚による最近の論文では、コードの難読化を「障害物」から「鉄壁」へと変えている。多線ジグソーパズルはコードをバラバラに分解し、パズルのピースのように「組み立てられる」ようにする。多くの配置が可能であるが、正しい配置は1つだけであり、コードの実際の動作を表している。24 プログラマーは、クリーンでクリアな人間が読めるプログラムを作成し、それを難読化ツールにかけることで、以前よりもはるかに長い時間精査に耐える、理解不能な何かを作り出すことができる。

コードの難読化は、難読化全般の研究において活気のある豊かな分野であり、比較的使いやすく、かつ破ることが非常に困難なシステムに向かって進歩しているように見える。これはハードウェアにも適用できる。Jeyavijayan Rajendran氏とその同僚は、チップの機能のリバースエンジニアリングを防止するために、回路内のコンポーネントを利用して「論理の難読化」を行っている。25

2.11 個人に関する偽情報：個人消滅の戦略

消滅の専門家は、難読化を試みる人々に多くのことを教えることができる。こうした専門家の多くは、逃亡者や債務者の発見を業務とする私立探偵や「足取り追跡業者」であり、顧客が所在不明のままでいられるよう、自らのプロセスを逆行分析している。彼らが用いるテクニックや手法の多くは、難読化とはまったく関係のないもので、単に回避や隠蔽を目的としたものにすぎない。例えば、新しいアパートを借りたり、公共料金の支払いをしたりする法人を設立し、それらの一般的な検索可能な活動と自分の名前を関連付けないようにする、といったものである。しかし、ソーシャルネットワーキングやオンラインでの存在感の拡大に対応して、消滅の専門家たちは偽情報の戦略を提唱している。これは、さまざまな難読化の手法である。「偽の人物」と失踪コンサルタントのフランク・アハーンは言うが、ウェブ検索結果のリストに現れる可能性のある既存の個人情報を「葬り去る」ほどの数と詳細さで作り出すことができる。26 これには、同じ名前で基本的な特徴が同じ数十人の架空の人物を作り出す必要がある。そのうちの何人かは個人ウェブサイトを持ち、何人かはソーシャルネットワークのアカウントを持ち、全員が断続的に活動している。ストーカーや虐待的な配偶者から逃れる顧客に対して、Ahearn氏は、調査員が追跡しそうな偽の情報を多数同時に用意することを推奨している。例えば、ある都市の賃貸アパートの契約のための信用調査（実際には契約は締結されない）、全国または世界中に散らばった公共料金、勤務先住所、電話番号の申請、遠隔地での費用支払いのために旅行する誰かに与えられたデビットカード付きの一定金額の預金口座などである。失踪の専門家が提案する戦略は、敵対者に関する既知の詳細に基づいている。その目的は、誰かを「完全に消し去る」ことではなく、実用的な目的で視界から十分に遠ざけることで、捜索者の予算とリソースを使い果たすことにある。

2.12 Appleの「クローニングサービス」特許：電子プロファイリングの汚染

2012年、ノベルからのより大規模なポートフォリオ購入の一部として、Appleは米国特許8,205,265「電子プロファイリングの汚染技術」を取得した。27 これは、サービスを犠牲にすることなくデータ監視を管理するためのアプローチであり、すでに説明した技術的難読化のいくつかのシステムと類似している。この「クローニングサービス」は、個人情報を誤解させるような情報を生成するプロセスを自動化し、強化するもので、ターゲットは私立探偵ではなく、オンラインデータ収集者である。

「クローニングサービス」は個人の行動を監視し、その人の生活リズムや興味について、もっともらしい情報を収集する。ユーザーの要求に応じて、クローニングされたIDが作成され、そのIDは、認証に使用された識別子（より厳しい監視者ではなく、ソーシャルネットワークに対して）によって、実在する人物であることを証明する。これらの識別子には、意図的に不正確な情報が大量に混ぜ込まれているが、少量の実在する機密データ（髪の色や婚姻状況など、生活に関するいくつかの詳細）が含まれている可能性もある。初期データセットから始まり、クローンIDはメッセージの送受信に使用する電子メールアドレス、電話番号（少額の料金で電話番号を利用できるオンライン通話サービスは数多くある）、ボイスメールサービスを取得する。少額の取引を行うための独自の資金源（ギフトカードや、随時入金される固定口座に紐づくデビットカードなど）を持っている可能性もある。 さらに、実在性を示す2つのシグナルとして、郵送先住所やAmazonロッカーを持っている可能性もある。 これらのシグナルに、ユーザーが正式に指定し、SNSサイトや類似の手段でアクセス可能な既存のデータで補強された関心が追加される可能性もある。クローンを作成するユーザーが、ドロップダウンメニューから「アメリカ人である」や「写真やキャンプに興味がある」などを選択すると、システムは、そのクローンはアンセル・アダムスの作品に興味があるはずだと判断する。検索（TrackMeNot のような方法）、リンクの追跡、ページの閲覧、さらには購入やサービスのアカウント作成（例えば、大自然探訪のディールに特化したメーリングリストの購読や、ナショナルジオグラフィックのTwitterアカウントのフォローなど）も可能である。これらの興味は、ユーザーの閲覧履歴などから推測される実際の興味に基づいて設定されるが、徐々にそれらの興味から乖離し始める可能性もある。（また、自分のクローンのプロフィールに、人口統計的に適切な活動を自動的に選択して追加することも可能である。典型的な興味や行動を選択することで、自己の特異性を打ち消すようなものを作り出すことができる。）

簡単な分析を行うと、クローンは人のリズムや習慣も取り入れることができる。週末や夜、休日には基本的にオフラインで過ごす人であれば、そのクローンも同様に行動する。 ただし、クローンは常に稼働しているわけではなく、飛行機に乗る際には停止させることができるので、敵対者がどの行動があなたのものではないかを簡単に推測することはできない。 あなたが再びオンラインに戻ると、クローンも再開する。（なぜ今、複数のクローンについて話しているのかについては、下記を参照のこと。） もちろん、なりすまし行為者が、説得力を持たせるためにそうする必要がない限り、メディアコンテンツを海賊行為したり、爆弾の製造方法を探したり、ポルノを見たりしないように、クローンが関与しない活動の種類を選択することもできる。すべてのクローンが品行方正で、真面目なネットワークユーザーであり、歴史や慈善活動、レシピにしか興味がないとすれば、疑いを招く可能性がある。（単一のクローンについて語るのではなく、複数のクローンについて語るようにした理由は、ひとつのクローンが稼働し始めると、他のクローンも多数生まれることになるからだ。実際、十分に洗練されたクローンが、あなたの履歴、人口統計、習慣から学んだ上で、自分自身のクローン、つまりコピーのコピーを作成するという、ブラックユーモアを想像してみてほしい。）あなた自身になり得るこの人口を拡大し、日々、あなたらしい生活を送らせることは、あなたにとって有益である。これは特許で概説された基本的な目標を達成するものである。すなわち、クローンはデータ収集を回避したり拒否したりせず、収集に協力するが、収集されたデータを汚染し、そのデータから作成されたプロファイルの価値を低下させる。

2.13 渦：ゲームと市場としてのクッキーの難読化

アーティスト、デザイナー、プログラマーであるレイチェル・ロウが開発したコンセプト実証ゲーム（一種）である「ボルテックス」は、同時に2つの機能を提供する。すなわち、オンラインフィルタリングシステムがインターネット利用にどのような影響を与えるかをプレイヤーに教えること、および、ブラウザクッキーやその他の識別システムに基づくターゲット広告を混乱させ、誤った方向に導くことである。このゲームは、ユーザーを楽しませながら時間を費やさせるという点で、クッキーベースのターゲット広告という一見、乾燥した抽象的なテーマをユーザーに理解させるのに最適な場となっている。言い換えれば、これは個人データの管理と交換を扱う大規模多人数同時参加型ゲームである。主な活動は、ウェブサイトからクッキーを「採掘」し、他のプレーヤーと交換することである。このゲームの1つのプレイ状態では、ブラウザのブックマークバーに色分けされたボタンがいくつか表示され、それらを使ってクッキーを蓄積したり交換したりすることができる（事実上、異なるIDを使用している）。別のプレイ状態では、クッキーを採掘できる準惑星としてサイトを表す風景が表示される。（この風景表現は、人気の探検・建築ゲーム「Minecraft」から着想を得ている。）

Vortexは、クッキーの表示、管理、共有を楽しく、かつ親しみやすい方法で提供している。クッキーを作成したり、収集したり、他のプレーヤーと交換したりする際に、クリックひとつでクッキーを切り替えることができる。これにより、効果的に自分を偽装し、異なるウェブ、異なるフィルターセット、異なるオンライン上の自分自身を体験することができる。これにより、ターゲット広告は選択肢のひとつとなる。異なるジェンダー、異なる人種、異なる職業、異なる関心事を持つ人物として表示されるクッキーに切り替えることができ、広告や「パーソナライズ」された詳細情報を、あなたを特定のマーケティングモデルのアイデンティティとして位置づける邪魔で操作的な要素ではなく、単なる背景の雑音に変えることができる。ウェブをさまざまな人物として体験し、自分に関する記録を、自分とはあまり関係のない否定できない肖像画に変えることができる。信頼できる友人たちのサークルでは、アカウントのクッキーを共有することで、居住地域では購入が禁止されている商品を購入できるようになる。例えば、特定の国に居住する視聴者だけが利用できるビデオストリームなどである。自己から自己へと飛び移り、それによって人口統計的書類の作成プロセスを台無しにする。 ボルテックスのプレイヤーは、オンライン上のアイデンティティをオンラインロールプレイングゲームのインベントリー画面のようなオプションのフィールドに変える。 クッキーやパーソナライゼーションが提供する利益を隠したり、あきらめたりするのではなく、ボルテックスは、ユーザーが自身のアイデンティティを他者の群衆に提供しながら、多数のアイデンティティを展開することを可能にする。

2.14 オンラインアイデンティティの価値　「ベイズ流フラッディング」および「アンセリング」

2012年、開発者であり起業家でもあるケビン・ラドロー氏は、よく知られた難読化の問題を取り上げた。Facebookからデータを隠す最善の方法は何か？29 簡単に答えを言えば、データを削除する良い方法はないということだ。また、ソーシャルネットワークから完全に撤退することは、多くのユーザーにとって現実的な選択肢ではない。ルドロー氏の回答は、今ではおなじみのものとなっている。

「Facebookから情報を隠そうとするよりも、大量の情報を流し込むだけで可能になるかもしれない」とルドロー氏は書いた。ルドロー氏のこの実験（統計分析の一種にちなんで「ベイズ流洪水法」と名付けた）では、数か月にわたって数百件の人生の出来事をFacebookのタイムラインに入力した。彼は結婚と離婚を経験し、癌と闘い（2度）、多数の骨折をし、子供をもうけ、世界中を旅し、1ダース以上の宗教を探求し、そして多くの外国軍のために戦った。ルドロー氏は、これらのストーリーに誰かが惹きつけられるとは思っていなかった。むしろ、広告が現在反応している不正確な推測を通して、Facebookのターゲットを絞らない個人的な体験を作り出すことを目指していた。また、広告自体や、ユーザーが意図するよりも多くの情報を入力するように仕向けたり、影響を与えたりするサイト構造に組み込まれている操作や「強制的な心理的トリック」に対する抗議の行為でもあった。実際、世界中を飛び回り、不運な運命をたどるキャディのような神秘的な傭兵として活躍するLudlowのTimelineの人生は、あまりにも信じがたい。そのため、一種のフィルターとして機能している。人間である読者は、そしてLudlowの友人や知人は、そのすべてが真実だとは考えないだろう。しかし、広告を推進する分析には、そのような区別をつける方法はない。

ルドローは、もし彼の手法がより広く採用されることになれば、地理的、職業上、または人口統計学的に極端な例外、つまりタイムラインが事件で過密状態になっている人々を特定することは難しくなく、そうして得られた結果をより広範な分析から洗い出すことも可能になるだろうと仮説を立てている。ルドローが思い描く勝利の特定の理解は、本書の第2部で提示する目標の類型論で議論しているが、限定的なものである。彼のベイズ流洪水法は、広大な範囲にわたるデータ収集と分析を相殺し、台無しにすることを目的としているわけではない。むしろ、その目的は、システム内にある自分自身のデータを、アクセスできない状態に保つことである。マックス・チョーは、より穏健なバージョンを次のように説明している。「コツは、Facebookに、Facebookがあなたに商品を販売する能力を損なうほど十分な嘘を投稿することだ」30。つまり、確信と抗議の行為として、オンラインでの活動を商品化しにくくすることである。

2.15 FaceCloak：隠蔽の隠蔽

FaceCloakは、Facebookによる個人情報へのアクセスを制限する別の方法を提供する。Facebookのプロフィールを作成し、居住地、出身校、趣味や嗜好など、個人情報を入力する際、FaceCloakは、これらの情報を公開するか非公開にするかを選択できる。31情報を公開すると選択した場合、その情報はFacebookのサーバーに送信される。非公開にする場合は、FaceCloakは情報を別のサーバー上の暗号化されたストレージに送信し、FaceCloakプラグインを使用してFacebookページを閲覧する際に承認した友人に対してのみ、復号化して表示する。Facebookはこれにアクセスすることはできない。

FaceCloakの現在の目的で際立っているのは、Facebookの必須プロフィールフィールドに偽の情報を生成することでその方法を難読化し、実際のデータが別の場所に保存されているという事実をFacebookおよび未承認の閲覧者から隠蔽している点である。FaceCloakが実際のデータをプライベートサーバーに送信する際、FaceCloakはFacebookに対して、あなたに関する実際の事実とは何の関係もない、特定のジェンダーを持つ、名前と年齢を持つ、もっともらしい架空の人物を偽造する。この偽装された架空の人物を隠れ蓑に、ユーザーは友人たちと本物のつながりを築くことができる一方で、他の人々には難読化されたデータを提示することができる。

2.16 難読化された「いいね」の収集：操作の痕跡を隠蔽する

「いいね」の収集は、Facebook上で人気があるかのように見せかけるための戦略として、現在ではよく知られている。一般的に開発途上国の従業員が、特定のブランドや製品に対して「いいね」をクリックする （1000件の「いいね」に対して、現在の相場は数米ドルである。）32 多くの「いいね」を獲得したアイテムには多くの利点がある。例えば、Facebookのアルゴリズムは人気があることを示すページを循環させるため、さらに勢いが増す。

特にFacebookのような高度なシステムでは、このような行為は簡単に発見できる。いいね！を増やす行為は、ほとんど何もしないアカウントから、特定の1つのものまたは1つのカテゴリーに集中的にいいね！を付けるという形で実行される。より自然に見せるために、彼らはさまざまなページに「いいね」をするというわかりにくくする戦略を用いている。通常は、最近「ページの提案」フィードに追加されたページで、Facebookがユーザーの興味関心に合わせて宣伝しているページである。33 あるページに計画的に「いいね」をするという有料作業は、ばらまかれた「いいね」の中に隠すことができ、奇妙に単一でありながら特徴のない興味を持つ人物からの「いいね」のように見える。ライクファームは、偽装の動機が実に多様であることを明らかにする。この例では、政治的支配への抵抗ではなく、単純に料金を支払ってサービスを利用することである。

2.17 URME 監視：「アイデンティティの補綴」による抗議

アーティストのレオ・セルヴァッジは、公共空間のビデオ監視と顔認識ソフトウェアの含意について取り組みたいと考えた。34 通常の反応の範囲（マスクの着用、カメラの破壊、Surveillance Camera Players のような皮肉な注目を集める方法）を検討した後、セルヴァッジは抗議活動家らしい特にわかりにくい反応を思いついた。セルヴァッジョは、抗議運動家らしい特にわかりにくくする反応を思いついた。彼は、自分の顔を正確に再現したマスクを制作し、配布した。このマスクを装着した人は、Facebookの顔認識ソフトウェアによって、本人としてタグ付けされることになる。

セルヴァッジョのプロジェクトの説明は、偽装工作の要点を簡潔にまとめている。「この装置を使えば、カメラに自分の顔を隠したりぼかしたりするのではなく、カメラに対して別の、代替のアイデンティティを提示することができます。

2.18 矛盾する証拠の捏造：捜査を混乱させる 政治的殺人の芸術

フアン・ホセ・ヘラルディ・コネデラ司教の死に関する捜査について、フランシスコ・ゴールドマンが著した『政治的殺人の芸術：司教を殺したのは誰か？』は、証拠収集の濁りを意図的に引き起こす難読化の手法を明らかにしている。35 1960年から1996年にかけてのグアテマラ内戦中、人権擁護に多大な貢献を果たしたヘラルディ司教は、1998年に殺害された。

ゴールドマンは、この殺人事件の責任者の少なくとも数名を裁くために、グアテマラ軍内部で長期間にわたって危険な捜査が行われたことを記録したが、その過程で、捜査の対象となった人々は、単に自分たちの役割を隠すために証拠をでっち上げるだけではなかったことに気づいた。誰かを犯人に仕立て上げるのは明らかな戦術であり、でっち上げられた証拠は偽物であると見なされるだろう。むしろ、彼らは矛盾する証拠、多数の目撃証言や証言、あり得るストーリーをあまりにも多く作り出した。その目的は、完璧な嘘をでっちあげることではなく、あり得る仮説を多数作り出すことで、観察者が真実に到達することに絶望するほどに、ということだった。司教殺害の状況は、ゴールドマンが「際限なく利用できる状況」と呼ぶものを生み出した。それは、どこにもつながっていない手がかりと、事実の要素が他の要素を疑問視するような、押収された証拠の山で満ち溢れていた。「これほど多くのことが起こり、また、起こったように見せかけることも可能だった」とゴールドマンは記している。彼の強調したイタリック体は、曖昧さの持つ力を強調している。36

グアテマラ軍および情報機関の暴漢たちは、この状況を管理するのに十分な手段を持っていた。すなわち、国内の政治権力、資金、そしてもちろん暴力や暴力の脅威にアクセスする手段である。状況がいまだに不透明であることを踏まえ、正確な決定について推測することは避けたいが、根本的な目標は十分に明確であると思われる。最も差し迫った重大な敵対者である捜査官、判事、ジャーナリストが殺害されたり、脅迫されたり、買収されたり、あるいはその他の影響を受ける可能性がある。 難読化された証拠やその他の資料は、より広範な監視者コミュニティに宛てられたものであり、誤った手がかりの氾濫により、捜査のあらゆる側面に対して、捜査や結論に疑問を投げかけるのに十分なほど時間を浪費する疑いが生じている。

II 難読化の理解

3 なぜ難読化が必要なのか？

賢者は葉をどこに隠すのか？ 森の中だ。 しかし、森がない場合はどうするのか？ 隠すために森を育てるのだ。

G. K. チェスタートン著「折れた剣の印」

3.1 難読化の概要

プライバシーは複雑で、時に矛盾する概念であり、場合によっては誤解を招いたり、ほとんど意味をなさないこともあるほど幅広い意味を持つ言葉である。プライバシーは法律や政策、テクノロジー、哲学、そして日常会話の中で表現される。プライバシーは、ウェブサイトのダッシュボード（プライバシー設定はドロップダウンメニューやラジオボタンで管理できる）から、人間社会の発展に関する包括的な議論まで、幅広い領域を網羅している。プライバシーは時代遅れの考えであり、2世紀にわたる西欧の産業化の異常な産物であり、村での生活とソーシャルメディアの間の空白期間である、という意見もある。プライバシーは、自由な発想を持つ独立した個人として成長することを可能にする。プライバシーは、ブルジョワの偽善と不誠実さの表れである。プライバシーは、社会の多様性を守るものである。1 これは、単にこの言葉が使われる方法を示すだけではない。少し考えれば、これらの用法には相反する概念が含まれていることが明らかになる。プライバシーの家には多くの部屋がある。そのうちのいくつかは家族生活の完全性に関係し、またいくつかは国家による弾圧（現在または将来）に関係し、またいくつかはデータの有用性や価値に関係し、またいくつかは匿名性においてのみ現れる真の自己に関係し、そして多くの部屋には共通部分や行き来できるドアがある。2 この概念上の多様性は、プライバシーの生成、実行、保護に使用される戦略、実践、 プライバシーの保護、実行、作成に使用される戦略、実践、テクノロジー、戦術にも反映されている。3 別の場所で、これらの概念の多くが文脈の整合性の旗印の下に統合できることを示したが、ここでは、これらの懸念事項の関連性、特に明確に表現されたもの、およびそれに応じてどのように自己防衛できるかについて焦点を当てる。4

本章の目的は、難読化とは何か、またそれがプライバシーの利益、その利益に対する脅威、およびそれらの脅威に対処するために使用される方法の多様な状況にどのように当てはまるかを説明することである。プライバシーは多面的な概念であり、それを生み出し、それを守るために、幅広い構造、メカニズム、規則、および慣行が利用可能である。プライバシーの道具箱を、比喩的に引き出しごとに開けていくと、地域、国家、世界レベルでの政策や法律、

暗号化などの証明可能な安全性を確保した技術、個人の情報開示の行動や慣行、ジャーナリスト、聖職者、医師、弁護士などの守秘義務に関する社会システム、ステガノグラフィーシステム、コミュニティによる集団的な情報保留やオメルタ（シチリアマフィアの暗黙の掟）など、さまざまなものが見つかる。ティモシー・メイのBlackNetは、暗号技術を応用した、完全に匿名の情報市場を描写するアプリケーションである。追跡不可能で課税対象外の取引が行われ、企業スパイや軍事機密、禁止・機密資料の流通を促進する。長期的な目標は「政府の崩壊」である。5 私たちは、合衆国憲法修正第4条を基盤とした法的作業により、通信ネットワークやソーシャルサイトを保護する仕組みを構築し、個々の市民の権利と法執行機関の権限のバランスを取るよう努めている。この多様なキットに、難読化を、それ自体の手法として、また、目的に応じて他の手法と併用できるアプローチとして追加する。私たちは、プライバシー問題の中には難読化が妥当な解決策となり得るものがあり、また、中には最善の解決策となるものもあることを読者に納得してもらうことを目指している。

難読化とは、最も抽象的な意味では、データの集合をより曖昧で、混乱しやすく、悪用しにくく、行動を起こしにくく、したがって価値の低いものにするために、既存の信号をモデルとしたノイズを生成することである。「難読化」という言葉がこの活動に選ばれたのは、この言葉が「不明瞭さ」、「理解不能」、「当惑」を意味し、また、消失や消去に頼る手法と区別するのに役立つからである。難読化は、何らかの方法で信号が発見されることを前提とし、関連性のある類似した適切な信号を大量に追加する。つまり、個人が混ざり合い、交じり合い、短時間であれば隠れることができる群衆である。

G. K. チェスタートンの短編小説『折れた剣のしるし』に登場する架空の軍人殉教者、アーサー・セントクレア将軍を考えてみよう。 敵の野営地に対する考えの浅い攻撃で、セントクレア将軍の部下たちは虐殺された。 なぜ、優秀な戦略家が、明らかに欠陥のある敵の優勢な位置への攻撃を試みたのか？ チェスタートンの教会探偵であるブラウン神父は、質問で答える。「賢者は小石をどこに隠すのか？」友人は答えた。「浜辺だ。」そして、彼は森の中に葉を隠す。ブラウンは続ける。「もし死体を隠す必要があるなら、隠すために多くの死体を用意しなければならない。秘密を守るために、セントクレア将軍は一人の男を殺し、高台にある大砲に突撃を命じたことで生じた他の死体の混乱の中に隠したのだ。

ブラウン神父の修辞的な質問は、2007年の特許訴訟でジャコブ法務卿によって繰り返された。

この種の大量開示を行う方が、文書を慎重に検討して開示すべきかどうかを決定するよりも安上がりであるという意見もあるかもしれない。その段階では、特にそれが許容される費用である以上、コピー機やCDメーカーで全て処理する方が安上がりかもしれない。しかし、それは問題ではない。過剰開示によって生じる下流の費用が、しばしば非常に高額で無意味であることが問題なのだ。過剰な開示が行き過ぎた場合には、本当に重要な文書が見落とされるという現実的なリスクがあることさえ言える。賢者はどこに葉を隠すか？7

死んだ兵士から開示された文書まで、物事を隠そうとする本質は見落とさせること、そして、見落とすことのコスト、手間、難しさを増大させることにある。

難読化は、カモフラージュと比較することができる。カモフラージュは、しばしば完全な消失のためのツールと考えられている。例えば、シンプソンズのエピソードで、ミルトンが迷彩服を着て緑の中に溶け込み、メガネと笑顔だけが見えるようになる場面を想像してみよう。8 実際には、自然および人工のカモフラージュは、 自然および人工のカモフラージュは、さまざまな技術や目的で機能するが、その一部は視界から完全に消えることを試みるものもある。また、他の形状の断片や暗示によって、形状のエッジ、輪郭、方向、動きを隠す「混乱パターン」を利用するものもある。ヒラメが砂に身を隠したり、タコが外套膜を使って岩に化けたりするように、輪郭を分断しても、形が完全に消えるわけではない。むしろ、観察を避けられない状況、つまり、動いたり、位置を変えたり、あるいは露出したりする場合には、分断パターンや分断色調が、範囲、サイズ、速度、数といったものの評価を妨げる。それによって個体を識別し狙いをつけることが難しくなり、集団のメンバーを数えることもより困難になる。軍事分野におけるカモフラージュの初期の用途の多くは、大砲陣地のような隠れにくい大きなものを対象とし、航空機から正確に評価することが困難になるようにすることに専念していた。姿を消すことができない状況では、多数のターゲットや移動経路を作り出すことで混乱を招き、貴重な時間を稼ぐことができる。難読化の象徴的な動物がいるとすれば、それは第2章で触れた、自分の偽物で巣を埋め尽くす球状蜘蛛の一種、Cyclosa mulmeinensis（ハナグモ）である。その偽物は完璧なコピーとは程遠いが、スズメバチが襲いかかるときには十分に機能し、球状蜘蛛は安全な場所に逃げ込むために1、2秒の猶予を得ることができる。

ハンナ・ローズ・シェル著『カモフラージュの歴史：隠れんぼう、カモフラージュ、偵察のメディア』では、「カモフラージュ意識」というテーマが展開されている。これは、監視技術に対する内部モデルに基づいて行動する方法である。シェルは、カモフラージュパターンを制作する者 パターンを制作する専門家、兵士を訓練する専門家、そして戦場にいる兵士たちは、双眼鏡や望遠ライフル銃の照準器、静止画や動画のカメラ、飛行機、監視員、衛星などから見える範囲を把握し、その視認性を低減する方法で活動しようとしていたとシェルは主張している。そのためには、観測技術の欠陥や限界を突くために、研究、推定、モデリング、当て推量を組み合わせる必要があった。カモフラージュは、擬態による完全な不可視性を追求するものであれ、他の曖昧で不明瞭な形状の混乱の中に形状を隠す一時的な解決策を求めるものであれ、常に開発された技術の能力を反映したものだった。

ここで問題にしているのは、データや情報の難読化の形式であり、デザイナー、開発者、活動家にとっての技術的有用性である。このような難読化の道徳的・倫理的役割を理解することは、それらが挑戦し、妨害しうるデータ収集およびデータ分析技術を理解することである。脅威モデル、目的、制約を理解することでもある。難読化はプライバシーの構築と防御のためのツールのひとつであり、他のツールと同様に、その目的と解決できる問題によって磨かれる。これらの問題の本質を明らかにするために、情報の非対称性という概念を導入する。

3.2 情報の非対称性の理解　知識と権力

この時点で、ドナルド・ラムズフェルドがイラク侵攻に先立ってリスクの計算について述べた、複雑にからみあった有名な説明を思い出してみよう。「既知の既知、つまり我々が知っていることを我々は知っている。既知の未知、つまり我々が知らないことを我々は知っている。そして未知の未知、つまり我々が知らないことを我々は知らない」10 これは意図的な論理パズルのように思えるが、3つのまったく異なる危険カテゴリーを区別している。街灯に取り付けられた監視カメラや、廊下の天井のドーム型鏡ガラスに隠された監視カメラを目にすれば、自分が記録されていることが分かる。録画がその現場だけで配信されているのか、あるいはインターネットを通じて遠隔地にストリーミングされているのか、私たちは知らない。録画がどのくらいの期間保存されるのか、また、録画を閲覧する権限を持つのが警備員なのか、保険請求が発生した場合の保険調査員なのか、あるいは警察なのか、私たちは知らない。

一見単純なCCTV録画にも、さらに大きな未知の未知のカテゴリーが存在する。例えば、その映像が顔認識や歩容認識ソフトウェアで分析できるかどうか、タイムコードをクレジットカード購入や、私たちが降りた車のナンバープレートと照合して、映像と身元を結びつけることができるかどうか、私たちは知らない。実際、プライバシー保護活動やセキュリティ技術に個人的に関わっていない限り、私たちは、自分が知らないということを知らないことすら知らないのだ。混乱を招くような表現ではあるが、この文章の3つの否定表現は正確であるだけでなく、不確実性の層を示している。つまり、ビデオファイルが、犯罪者やテロリストを特定して尋問するために、予測人口統計ツールで分析されないと確信できないことを私たちは認識していないのだ。これは未知数の終わりでもなく、潜在的に重大な決定を形作る可能性のある、無知の濃い雲の中で生み出されたものばかりである。そして、それは単に1台のCCTVカメラであり、そのケーブルやワイヤレス伝送はどこかで終了し、どこかのハードドライブに保存され、それがまたどこかでバックアップされているかもしれない。どのような管轄権のもとで、どのような条件で、どのような業務上の取り決めのもとで？クレジットカードでの購入、メールリストへの登録、スマートフォンのアプリのダウンロード（「このアプリは連絡先へのアクセスが必要です」？「もちろん！」）、妥当かつ合法的な要求に応じた郵便番号や誕生日、識別番号の提供など、1日を通して、そして世界中で、このような行為が繰り返される。

情報の収集が非対称的な力関係の中で行われていることは明らかである。私たちは、監視されているかどうか、収集された情報にどのような処理がされているか、その情報から導き出された結論に基づいて自分たちにどのようなことが行われているかについて、ほとんど選択の余地がない。電車に乗る、電話をかける、駐車場を利用する、食料品を買うといった場合、情報収集の対象となり、その情報の一部またはすべてに対するコントロールを放棄することになる。完全な情報と十分な知識に基づく選択が可能な空間において、明確な合意が得られることはほとんどない。重要なリソースを受け取ったり、市民生活に参加したりするには、特定のフォームに記入しなければならない。また、仕事で必要となるソフトウェアを使用するには、煩わしい利用規約に同意しなければならない。さらに、インフラストラクチャは、デフォルトでユーザーに関するデータを収集する。難読化は、この権力の非対称性の問題と関連している。カモフラージュの例が示すように、これは、簡単に監視から逃れることができないが、移動や行動が必要な状況に適したアプローチである。しかし、この問題は、情報収集の表面的な側面、つまり「自分が知っていることを知っている」という側面だけである。2つ目の側面である情報または認識の非対称性は、より深刻で有害な問題であり、プライバシー保護のための難読化の形成に大きな役割を果たしている。

電子フロンティア財団の理事長であるブラッド・テンプルトンは、「タイムトラベルした未来からのロボット」11の危険性について語っている。このロボットは、現在よりも強力なハードウェアと洗練されたソフトウェアを携えて過去に戻り、私たちを完全に監視する。。彼らは、ばらばら（そして、私たちは控えめだと思っていた）に存在する私たちの生活の点を結びつけ、私的な経験の流れをあまりにもはっきりと、あまりにも人間的なパターンに変え、過去の暗い隅々にまで強力な分析の光を照らす。未来から来たロボットたちは、彼らを雇うのに十分なほど裕福な者、つまり広告業者、産業、政府、利害関係者のために働く傭兵である。彼らが私たちの履歴を照合し収集するのを止めることはできない。なぜなら、彼らとは異なり、私たちは時間を遡って過去の行動を変えることができないからだ。

しかし、テンプルトンの話はSFではない。私たちは毎日膨大な量のデータを生産している。それらのデータは半永久的に残り、それらを関連付けたり分析したりするテクノロジーは日々進歩している。かつてはプライベートだと考えられていたもの、あるいは考えられていたとしても、それらはオープンになり、可視化され、新しいテクノロジーにとって意味のあるものとなる。これは、プライバシーと自律に関する私たちの行動を形作る情報非対称性の側面の一つである。私たちは、近未来のアルゴリズム、技術、ハードウェア、データベースが、私たちのデータを使って何ができるようになるのかを知らない。無意味なものから意味のあるものへ、些細な人生の出来事から税金や保険料、資本へのアクセス、移動の自由、あるいはブラックリストに載るかどうかといったことまで、常に変化が進行している。

それは未知の未来であるが、現在においても懸念すべき情報非対称性がある。私たちに関する情報は貴重であり、また、その情報はあちこちに移動する。私たちに関する情報を収集した企業は、その情報を他のさまざまな記録（通話記録、購入記録、個人識別情報、人口統計名簿、ソーシャルネットワーク上の活動、地理的位置データ）と結びつけ、その情報をパッケージ化して他の企業に販売したり、政府の要請や召喚状に応じて情報を引き渡したりする可能性がある。たとえ企業経営者が情報を厳重に管理することを約束したとしても、破産後に資産のスケジュールに組み込まれ、取得または売却される可能性がある。相関関係の分析作業はすべて、ほとんどの人々にとっては表面的な理解以上のものはないツールやトレーニングによって行われる。一般の人々は、その他のデータベースや技術、数学やコンピュータサイエンスのトレーニング、あるいは、生活や活動から得られる些細な詳細情報から何ができるのか、また、そのような詳細情報が、一般ユーザーが予想するよりも強力で、より完全で、より明瞭な分析を提供できる可能性があることを理解するために必要なソフトウェアやハードウェアにアクセスできない。実際、エンジニアやアナリストでさえ予想できないほど明瞭な分析である。

データマイニングの主要な理論家の一人であるタル・ザースキー氏は、予測ソフトウェアの微妙な罠について説明している。非対称性のさらなる一歩である。予測システムは、膨大な既存のデータセットを利用して人間の行動を予測する。予測は、正確であろうが不正確であろうが、意思決定や強制的な結果の生成に使用され、人々はまだ行っていないことに対して罰せられたり、報酬を与えられたりする。差別や操作の可能性は明らかである。しかし、Zarskyが説明するように、懸念事項にはもう1つの層がある。「人間が理解できないデータマイニング分析から、人間が理解できないプロセスが導かれる可能性がある。この場合、ソフトウェアは複数の変数（数千にも及ぶ場合もある）に基づいて選択を決定する。… 自動化された推奨システムによって個人が差別的な扱いを受けることになった理由を尋ねられた場合、政府が詳細な回答を提供することは困難である。政府が言えるのはせいぜい、過去の事例に基づいてアルゴリズムがそう判断したということだけである。」12

ソロン・バロカスは、これらの考えをさらに発展させ、現在一般的に「ビッグデータ」と呼ばれるデータ集約、分析、予測モデリングに対して、私たちがどれほど脆弱であるかを明らかにしている。ビッグデータ手法は、私たちが自発的に共有した、あるいは提供を余儀なくされた情報を利用し、ほとんどのデータ主体である私たち個人が予想もできなかった推論から知識を生み出す。なぜその決定が下され、実施されるのか、その理由を完全に理解していると断言することもできない。なぜなら、究極の「知ることのできない未知」であるデータ収集においては、決定を下す者たちも、なぜその決定が下され、実施されるのかを理解していないからだ。私たちは、不透明な業務の内部を推測するしかない。私たちは判断の根拠を理解していない。私たちは情報の非対称性の状態にある。

この議論は、我々が知らないこと、いや、知ることができないことに部分的に基づいているため、やや抽象的になる危険性がある。しかし、リスクというテーマに簡単に触れることで、この議論を徹底的に具体化し、情報の非対称性の問題の異なる側面について議論することができる。「リスク」とは「信用リスク」のことである。ジョシュ・ローアーの研究が示しているように、信用管理は、データ収集、書類作成、データマイニングの歴史において極めて重要であった。14 19世紀の米国における商業および社会秩序の変容により、企業は、かつては信用とリスクの計算に用いられていた「個人的な人脈や地域社会の評価」にアクセスできないまま、顧客に信用供与を行うことを余儀なくされた。「個人的な知り合いや地域社会の評判」に代わって、信用調査機関が、個人に融資、保険、リース、その他のリスクの高いものを与えるかどうかを判断するための情報を収集するデータとして活用されるようになった。1920年代後半には、信用調査機関の報告書や分析は、米国政府が国内で実施するプロジェクトをすべて合わせたよりもはるかに規模の大きい、民間による監視システムを構成するようになった。その結果、いくつかの重大な影響が生じた。その中には、個人の「経済的なアイデンティティ」に性格評価が組み込まれたことや、蓄積されたデータの新たな利用法としてターゲットを絞ったマーケティングが台頭したことなどがある。ここで取り上げる議論に関連する影響は、特に次のものがある。デジタルデータベースやツールの台頭によって顕著になったこの影響は、信用調査はリスクを低減させるが、状況によってはリスクを輸出することにもなるというものである。（これらの結果は、アンソニー・ギデンズの「製造されたリスク」の領域に属するものである。すなわち、近代化の過程で生み出された危険であり、近代化によって緩和されるのではなく、逆に新たな緩和システムを必要とするものである。15）

貸し手、保険会社、あるいは顧客に信用供与を行う企業がリスクを低減する過程で、個人のリスクは高まる。そのリスクの一つは、個人情報の盗難である。百貨店の下請け業者（それが誰であれ）が完璧なセキュリティ対策を遵守していると信頼しなければならない。もう一つのリスクは、店舗が怪しげなデータブローカーに販売データを提供したり、パートナーとデータを共有したり、企業全体でデータを取得したり、あるいは政府がより大規模なデータ収集プロジェクトの一環としてデータを無差別に収集したりするなど、文脈の侵害のリスクである。これは公正な取引であるかもしれないが、データ収集によってリスクが消えるわけではないことを忘れてはならない。データ保有者によって新たなリスクが生み出され、外部化されるのだ。これらのリスクはあなた自身、そしてあなたのデータをより良く分析し理解するために使用される他の人々によって負担されることになる。より大きな規模で言えば、政府が安全保障の名の下に開始する監視やデータ収集プロジェクトは、国家が防衛しなければならない特定のリスクからの保護を目的としているが、市民が危険を負うことになる別のリスクを生み出す。すなわち、反対意見が抑圧されるリスク、合法的な反対勢力が弾圧されるリスク、あるいは単に事故が起こり、無実の人々が拘束、追跡、暴露、処罰されるリスクである。これらは、収集する情報の量や詳細度を増やすことで、ある人にとってはリスクが軽減する一方で、別の人にとってはリスクが増大するケースである。これは、私たちが日々経験している情報の非対称性であり、ある種の隠ぺいが是正に役立つと私たちは考えている。

「彼ら」（または「彼ら」のさまざまなグループ）は私たちについて多くのことを知っているが、私たちは彼らについて、また彼らが何ができるかについてほとんど知らない。このように知識、力、リスクの面で非対称的な状況では、効果的な対応策を計画することはおろか、実行することさえ困難になる。これは、小さな町で互いの事情を知っている人々や、一部の人々が他の人々よりも多くのことを知っている人々における、司祭やおせっかいな人の非対称性とは異なる。ここで述べているものは、非対称性の集約により異なるものとなる。つまり、私たちについて知っている人々は、私たちに対して権力を持っている。彼らは、私たちに雇用を拒否したり、信用を奪ったり、移動を制限したり、避難所や会員資格、教育を拒否したり、より良い生活へのアクセスを制限したりすることができる。

3.3 オプトアウトという幻想

もちろん、私たちは依然としてこうした非対称的な関係に参加することを選択している。これらのデータ収集のほとんどの場合、サービスを利用したり、好ましくない利用規約を提示し、不適切な行為を行うことで知られている機関と関わる個人にも、いくばくかの責任があるはずだ。政府機関や民間サービスにすべての責任を押し付けるのは不公平ではないだろうか。それらの機関はセキュリティを維持し、ユーザーが生成する貴重なデータのいくつかを取得しようとしているのだ。これはユーザーに古典的なモラルハザードを負わせることになり、ユーザーの選択によるリスクと責任をサービスプロバイダーに負わせることにならないだろうか。我々ユーザーは、同意できないシステムからオプトアウトすることはできないのだろうか。

単にオプトアウトすることがどの程度理不尽になってきているかを見るために、安定した民主的に統治されている国の大都市に住むごく普通の人の1日を考えてみよう。彼女は刑務所や施設に入れられているわけでも、反体制派や国家の敵でもない。しかし、彼女はこれまでにないほど正確かつ親密な完全な監視下に置かれている。彼女がアパートを出ると同時に、彼女はカメラに映し出される。彼女の住む建物の廊下やエレベーター内、銀行の外にあるATMを使用しているとき（ATMでは、彼女の引き出し記録とタイムスタンプ付きのクローズアップ画像が撮影される）、店を通り過ぎたり横断歩道で待っているとき、地下鉄の駅や電車内、そして職場ではロビーやエレベーター、自分のブースにいるときなど、すべてが昼食前の出来事だ。彼女がアパートの外で過ごすほぼすべての行動をモンタージュでつなぎ合わせることができ、それぞれの行動を説明することができる。特に、彼女がフィットネス追跡装置を身につけることを選んだ場合はなおさらだ。しかし、そのようなモンタージュはほとんど必要ない。彼女の携帯電話は、歩行中に基地局やアンテナを探して接続を維持するという通常の動作を行う中で、彼女の位置と行動のログを常に記録している。携帯電話の電波が届かない「圏外」にいる時間も、地下鉄の乗車記録や、彼女が身につけている無線識別バッジから、勤務先のビルに入った記録が作成される。（自動車を運転している場合は、ETCカードが同様の役割を果たし、ナンバープレート自動撮影システムも同様である。） もし彼女のアパートがスマートグリッドプログラムに参加している場合、電気使用量の急激な増加から、彼女がいつ起きて、照明や換気扇をつけ、電子レンジやコーヒーメーカーを使用したかが正確にわかる。

オプトアウトの選択に戻る前に、前項で述べたシステムが、私たちの仮想の一般人の日常生活にどれほど深く浸透しているかを考えてみよう。それは、彼女の日常的な出入りを記録する以上の、はるかに侵入的なものだ。彼女を観察している人物は、彼女の社会的・家族的なつながり、彼女の苦悩や関心、信念やコミットメントを法医学的な詳細さで集めることができる。Amazonでの購入履歴やKindleのハイライト、ドラッグストアやスーパーマーケットでのポイントカードとリンクした購入記録、Gmailのメタデータやチャットログ、公共図書館での検索履歴や支払い記録、Netflixでストリーミングした映画、FacebookやTwitter、出会い系サイト、その他のソーシャルネットワークでの活動などから、非常に具体的で個人的な物語が明らかになる。彼女のポケットに入っているモバイル端末、手首に巻かれているフィットネス追跡装置、そして車に取り付けられたイベントデータレコーダーは、彼女が移動しているときに彼女を追跡している。これらのデータの一部が収集され、同じような人々によって生成されたデータと関連付けられると、強力な人口統計学的推論や予測が可能になる。私たちは、数十年も前の秘密警察のエージェントがうらやむほど、徹底的にこの被験者を知っている。しかも、被験者が自らを監視しているおかげで、比較的少ない労力でそれを実現できているのだ。

もしここで説明したような完全監視の仕組みが意図的で、中央集権的で、明白なものであり、カメラを切り替えるビッグブラザーの機械であるならば、反乱が起こるだろうし、全体主義の顕微鏡の外での生活を想像することもできるだろう。しかし、もし私たちが歴史上の人物とほぼ同様に監視され、記録されているのであれば、私たちの状況は、壁も鉄格子の柵も刑務所長もいないが、そこから脱出するのは難しい監獄である。

そうなると、また「オプトアウト」の問題に戻ってくる。刑務所やパノプティコンに関する劇的な表現が飛び交う中、ここで説明したようなデータ収集（難読化がその対応策となるような種類のもの）は、民主主義の国々では、依然として理論的には任意である。しかし、拒否した場合の代償は高く、さらに高くなりつつある。すなわち、分岐する社会的孤立の中で生活し、見つけられる公衆電話（ニューヨーク市ではわずか5年前と比べて半減している）や携帯電話の「バーナー」を使用し、非常に限定的な雇用形態しか受け入れられず、ビジネスや商業の中心地から離れて生活し、多くの信用供与や保険、その他の重要な金融商品へのアクセスがなく もちろん、道路料金の現金払い窓口での長蛇の列、食料品店の割高な価格、航空機の座席の狭さなど、開示されていない不特定の価格による些細な不便や不利益もある。16 誰もが原則に基づいて生きることは不可能である。現実問題として、私たちの多くは、望むような統制や同意なしに、非対称的な関係の中で妥協を強いられる。そのような状況、つまり21世紀の日常的な生活においては、抵抗、反論、そして自律の余地を確保する方法がまだ残されている。それらは弱者の武器である。

3.4 弱者の武器：難読化がもたらすもの

政治学者のジェームズ・C・スコットは、マレーシアの仮名村「セダカ」を訪れ、歴史家、人類学者、そしてあらゆるタイプの活動家を悩ませてきた疑問の答えを見つけようとした。一般的に認められている政治的な手段、すなわち投票、資金、暴力を欠く人々は、どのように抵抗を行うのか？17 農民、小作農、強制労働者は、その労働を収奪され、そこから余剰分を搾取される。それは穀物、現金、さまざまな形態の債務、または無償の労働時間としてである。農民たちが自分たちを搾取する勢力と対決するリスクを冒すことは、ごくまれにしかありえない。 不正に対して劇的で歴史に残るような抵抗を行うために利用できる手段は、都市部の熟練した工業労働者よりも少ない。 スコットは、経験則に基づく問題に関心を持っていた。 明らかに不正な行為を前にした農民たちは、どのような行動を取るのか？その答えは、ごく日常的で極めて実際的な行動や反論の方法のリストであり、スコットはそれを「弱者の武器」という見出しのもとにまとめた。これらは、同意と全面的な拒否の狭間で、抵抗し、ある程度の自律性を維持するための、豊富で多様な説明と結びついている。特に、ゲイリー・マークスの著作における監視に関する説明が挙げられる。18

言うまでもないことだが、それでも言っておく価値はある。スコットが描いた人々と、一般的に難読化のユーザーを一対一で比較するつもりはない。また、難読化がスコットの概念とまったく同じ限界と特性を持つとも考えていない。本書の目的上、私たちはスコットのアイデアの基本的なテーマに触発されている。すなわち、情報や権力の非対称性が大きい人間と組織の間の避けられない関係性という文脈の中で、難読化の行為をよりよく理解できるということだ。まず、これらの「武器」の多くは、必ず小規模で付加的な性質を持つことを観察する。スコットが観察した「難読化」やその他の武器は、世界革命を覆すというよりも、進行中かつ無期限の社会・政治的取り決めにおける役割を反映している。 不公平に分配された土地への大規模な侵攻ではなく、不法占拠や密漁がその手法である。窃盗やごまかし（大手小売業者が婉曲的に「商品縮小」と呼ぶ現象）は、必要なものの再配分というプロジェクトの小規模なバージョンである。注文への対応は、映画のような拒絶ではなく、足を引きずったり、作業を遅らせたり、無知を装ったり、わざと愚かにふるまったり、あるいは従順を装ったりすることである。最後に、そして我々の目的にとって最も重要なこととして、あからさまな反抗や英雄的な「ここにいるぞ」という演説ではなく、スコットが「隠された議事録」と呼ぶものがある。19

この本を読んでいる人なら誰でも、目上の人（職業上の、親としての、法的、宗教的、またはその他の）に対して背を向け、心の中で反対の声を呟いたことがあるだろう。おそらく、その反対意見は完全に心の中で生じるのだろう。あるいは、自分だけに聞こえるか聞こえないかという小声で、あえて反対意見を口にするのかもしれない。あるいは、プライバシーが守られたグループ内で共有されるのかもしれない。（スコットが指摘しているように、強力なグループにも隠されたトランスクリプト、つまり、一般的に議論や開示ができない権力を蓄積し維持する方法がある。）職場での反対意見は、噂話、ジョーク、逸話、あるいは、権力の秩序を直接的に批判することなく批判できるようなストーリーの形を取るかもしれない。反対意見は、発言者の尊厳と相対的な自主性を保つ空間を作り出す。たとえそれが他の目的を果たすものであっても。しかし、それがいかに秘密裏になされたとしても、自分は公に示している姿とは違うという主張がなされる。

この概要を踏まえた上で、いくつかの簡単な区別を提示しよう。スコットが研究した農民と、ブラウザ拡張機能をインストールしたりTorリレーを実行したりする難読化者の間には、合理的な類似性を見出すことはできない。両者が利用できるリソースの幅、すなわち構造やインフラ、そして彼らが直面する強制や管理のメカニズムは、単純な比較を許さない。しかし、ここで要約したように、スコットが成し遂げたことの一部は、私たちが考慮に入れる抑圧や強制に対する反応の幅を広げることである。それは単に武装蜂起か、あるいはまったく何もしないかのどちらかであり、誰もがただ受動的であるわけではない。権力、富、地位、そしてその他の自律性や救済の要素へのアクセスには、非常に異なる程度のものがあるが、私たちはできる時に、できる場所で抵抗する。このテーマをさらに掘り下げて、デジタルプライバシーに関する永遠の疑問のひとつを考えてみよう。なぜ人々は、メッセージのエンドツーエンド公開鍵暗号化のような、強力で、検証可能な信頼性があり、公開監査された堅牢な保護システムを利用しないのだろうか。なぜ最適なシステムを利用しないのだろうか。

そうすべきではないと主張したいわけではない。全く逆だ！しかし、強力なシステム、最適なシステムが不可能、アクセス不可、望ましくない、またはその3つの組み合わせである場合もある。私たちは、目に見える存在でなければならない状況、目に見える存在である必要がある状況、あるいは目に見える存在でありたい状況（友人や同胞に対して、あるいは公共の抗議や存在の行為として）に置かれているにもかかわらず、できる限り足跡を隠したいと思うことがある。時には、データを収集されることについて選択の余地がないこともあるため、そうであれば（そのことについて強く思うのであれば）歯車に砂を少し入れるのも良いだろう。政府のために仕事をしているときやソフトウェアを開発しているとき、サービスを提供するためにデータを収集しなければならない場合もあるが、それでもユーザーに対して正しいことを行い、私たちの善意を共有しない将来のグループからユーザーの利益を守ることを目指すべきである。そのような制約がある状況では、私たちはしばしば、弱いシステム、あるいは一部の弱いコンポーネントを持つ強力なシステムに足止めされ、自分自身も「弱い」立場に置かれる。

私たちはスコット氏に従いたいが、データ監視や難読化を伴う状況への対応の幅を広げるために、彼の研究を少し異なる方向へ発展させたい。難読化のアプローチには、実質的な有用性がある。その有用性は、既存の強固なプライバシーシステムを強化することにあるのか、特定の行動を隠蔽することにあるのか、敵対者にわずかながら困難をもたらすことにあるのか、あるいは、私たちの不満や拒否の意思を表明するという「単なる意思表示」にあるのかはわからない。隠蔽アプローチは、表現力豊かで機能的な（時には脆弱ではあるが）抗議や回避の手段を提供し、さまざまな人々が利用できるが、他の手段を利用できない人々や、他の手段を補完したい人々にとっては特に重要である。 したがって、私たちは「弱者の武器」という概念を適用する。

次のセクションで、難読化が役立つ状況の種類について述べる前に、混乱を避けるために、もうひとつ説明が必要である。「強者」も難読化のテクニックを使用することがあり、実際に使用している。これまでに本書で挙げた例をいくつか考えてみよう。訴訟における企業の過剰な文書開示、企業の反競争的な策略、証拠の捏造、そして軍事的なカモフラージュ技術などである。弱者は目立たず、注目を浴びないようにする必要があるが、目立たないことは強者にとっても有利である。我々の主張は相対的な効用に関するものである。はっきり言おう。もしあなたが富、法律、社会的制裁、武力にアクセスでき、強力なシステムのあらゆる語彙を自由に利用でき、権力の非対称性の有利な立場にあり、優秀な弁護士を雇い、有能なプログラマーを雇うことができるのであれば、なぜ難読化に時間を割く必要があるだろうか？外交官用郵便小包やNSAが保護する電話回線を利用できるのであれば、SIMカードを入れ替えたり、偽の身元を作ったりするような無駄な時間を費やす必要はない。難読化は、すでに強固なプライバシー保護システムを導入している強力なアクターにとっては、時に便利なこともある。その点については、本稿でも言及しているが、それは、脆弱なシステムに縛られている人々により容易に採用されるツールである。

3.5 難読化と強力なプライバシーシステムの区別

これまで、最適な「強力な」セキュリティおよびプライバシー対策が個人やグループにとって現実的ではない、または利用できない場合があることを論じてきた。これは、他のシステムや対策に対する反対意見ではなく、難読化が適切な代替策となり得る、または既存の技術やアプローチに追加できる状況があることを認めるに過ぎない。難読化は、隠された議事録のような機能を提供し、反対意見や秘密の言論を隠蔽し、自主性を主張する機会を提供することができる。これは、同意のジェスチャーの中に隠された拒否の行為である。あるいは、より直接的な抗議や不明瞭さのためのツールを提供することもできる。多くの人々が定期的に、不確かな結果と明確なコントロールの再確立のメカニズムなしに、何かをあきらめざるを得ない状況に置かれることがある。そのような瞬間こそ、包括的な軍事レベルのデータ管理ソリューション（そのようなソリューションと組み合わせることは有益であるかもしれないが）ではなく、煙幕を張る直感的なアプローチを提供する、難読化が役割を果たす場面である。

難読化とは何かを説明するには、それが何でないか、そしてそれがどのような空隙を埋めるのかを明確にする必要がある（スコットの「弱い者の武器」が同意と反乱の間の空隙を埋めるように）。また、難読化が他のサービスやシステムでは達成できないことを達成するものであること、そして難読化が困難さ、無駄なデータ、無駄な時間というコストを伴うものであることを説明する必要がある。最適なテクノロジー、ビジネスにおけるベストプラクティス、あるいは法律や政府の介入によるデータ保護という観点において、何が難読化を必要としているのか？ 難読化がもた�