ハードウェアアテステーションは独占を助長するツールに成り下がるのか？

最近話題のハードウェアアテステーション（Hardware Attestation）ですが、セキュリティ向上を謳いつつ、実態は一部の巨大プラットフォーマーによる市場独占の口実として使われているのではないか、という懸念が高まっています。本来の目的である「信頼できるコンピューティング環境の構築」が、逆にユーザーの選択肢を奪い、エコシステムを囲い込むための強力なロックイン手法として悪用されるリスクについて議論しましょう。

なぜこの技術が「オープン」なあらゆるものにとって問題になりつつあるのか、その理由を突いた非常に良いスレッドだね。「自分たちで独立したWebを作ればいい」という主張も、結局はGoogleやAppleが認めたモバイルデバイスを持っていないとログインできないようなWebの裏側にすべてのサービスが隠れてしまったら、何の意味もなくなってしまう。

文明社会には、製造後でも設備の整った修理店などで現代のマイクロエレクトロニクスを物理的に修正する方法がどうしても必要だ。それも、今すぐに。あるいは、汎用機として販売されるいかなるコンピューティングデバイスにおいても、CPUやSoCのマスクROMの一部として初期ブートローダーを出荷することを違法にすべきだ。つまり、CPUがリセット後に実行する最初の命令は、物理的にCPUパッケージの外にあるストレージデバイスから取得されるものでなければならない。

EUのデジタルIDウォレット「EUDI」はGoogleやAppleによるハードウェア認証を必須としていて、実質的にEUのデジタルIDをすべてアメリカの独占企業に紐付けているようなものだ。デジタル主権を語るなんて笑わせるよ。どうやら子供を守ることの方が、主権よりも大事らしいね。

認定されたシリコン（やソフトウェア）を要求することなんて、ここでは最大の問題ですらさえないよ。彼らはゼロ知識証明システムやブラインド署名を使っていないんだ。だからデバイスを使って認証するたびに、その行動とデバイスを紐付けられるような何か（認証パケット）を撒き散らしていることになる。彼らはプロセスに間接的なステップを導入してプライバシーを気にしているようなポーズを見せているけど（静的なデバイスIDを使って中間サーバーから一時的なIDを取得するなど）、それは単なる見せかけだよ。中間サーバーが何をしているかなんてわからないんだから、すべてログを取られていると想定すべきだね。これはリモート認証の話だけど、DRMのIDに至ってはもっと酷い（意味のある間接化すらなく、すべてのライセンスサーバーがデバイス固有の静的なIDにアクセスできるからね）。Googleアカウントの問題は言うまでもない。リモート認証にブラインド署名を使う提案自体はあるけれど、まともに使っているところなんてないね。理由はいくつか考えられるけど、一番明らかなのは彼らがいつでも好き勝手にプライバシーを侵害したいから、あるいはそうする権限を持つことが義務付けられているからだろう。もう一つの理由は、認証を特定のデバイスと紐付けられないと、悪用対策としてレート制限しかできなくなるからだ。彼らにとってはそれじゃ不十分なんだよ。悪意ある攻撃者がファームを構築して、リモート認証を提供することで利益を稼ぐなんてことも考えられるからね。

GoogleとAppleの独占企業が、全く無関係なサービスを誰が使えるか使えないかまで完全に決定する権限を握ってしまっているのが恐ろしいよ。もし反Google的な意見を持ったせいでGoogleのサービスをBANされて、銀行口座にもログインできなくなったらどうするんだ？Alphabetを分割すべきだね。

1999年、IntelがCPUにソフトウェアから読み取り可能なシリアルナンバーを含めようとしたとき、猛烈な反対を受けて結局撤回したことがあった。でもその後、「セキュリティ」や「トラステッドコンピューティング」を掲げる権威主義者たちがTPMや関連技術を押し進めて、モバイルの囲い込み（ウォールデンガーデン）の台頭を招いてしまった。Windows 11のTPM要件も彼らの目的への新たな一歩だね。あの当時、ネットの内外でそれがどれほど良いことなのかというプロパガンダが流されていたのは本当にショッキングだった。「セキュリティ」という言葉を盾にすれば、多くの人々がいとも簡単に操られてしまうというのが現実だ。汎用コンピューティングとの戦いは今も続いているし、僕らも戦い続けなきゃいけない。ストールマンはいつだって正しかった。彼の「Right to Read」を読み直す時が来たね。（もし未読なら、AIで短編映画化してみるのも面白いかもな）。「安全のために自由を手放す者は、どちらも得るに値しない」という言葉通りだ。

Play Integrityは、ほとんどのデバイスで（「strong」レベルであっても）縫い針があれば回避可能だよ。具体的には、メモリバスのデータラインを突いてビットフリップを誘発させるんだ。僕がブログに書いたDRAMへのEMFI攻撃に近い方法だね。デバイスによってはDRAMがCPUの直上に載っていて少し厄介だけど、不可能じゃない。BGAのハンダ付けをやり直してDQラインのどれかにワイヤーを繋げばいい。一度物理的なメモリの読み書きさえできれば、カーネルをパッチできるようになる。Play Integrityは起動時のカーネル状態しかチェックしないから、これには検知できないんだ。僕はptrace関連の権限チェックをパッチして、実行中のアプリにfrida-gadgetを注入したり、pid 1にシェルコードを注入したりできるようにした。最初のエクスプロイトはかなり不安定で、成功するまでに何度も再起動が必要になるけど、一度通れば「テザード・ジェイルブレイク」みたいに次の再起動までデバイスを完全に制御できる。サムスンのA06で試したのは、Play Integrity対応機の中で一番安かったからだけど、他のどんなデバイス（フラッグシップ機も含めて）でも基本的には同じだ。メモリ暗号化みたいな対策はあるにせよ、根本的な欠陥は残ったままだよ。

ここのコメント欄を見ていると、みんなが認証という仕組みそのものを悪だと言っているように読めるけれど、本当の議論は「AppleやGoogle以外のプロバイダーにも明確な参入経路を提供すべきだ」という点にあると思う。見出しはAppleとGoogleを悪の独占企業だと決めつけているけれど、競合であるGrapheneOSだって認証の価値自体は認めているんだ。GoogleのPlay Integrity APIから理由も不明なまま排除されたと憤慨していることからも、重要なIDデータには署名の連鎖が必要だという点は理解しているはずだよ。AIによるなりすまし詐欺を防ぐためには、結局それが必要なんだから。

GrapheneOSを支援する富裕層がもっといても良さそうなものだけど、意外に少ないね。金持ちで、かつこの種の問題を気にするようなテック通という層はかなり重なっていそうだけど。Grapheneには多くの欠点があるにせよ、この分野の土台を築くためにかなりの努力をしているのは確かだよ。

これは専制政治だよ。アリストテレスの理解によれば、人々を無力にし、互いに疑心暗鬼にさせ、従順に従わせることだ。技術的な手段は確かに新しいものだけど、社会的な戦略は文明の黎明期から何も変わっていない。言っておくけど、汎用コンピューティングとプライベートな直接通信は、支配者が民衆に許すにはあまりにも強力すぎる力なんだ。僕たちがここ数十年間享受してきた自由は、決してデフォルトではなく、タダで手に入るものじゃないということを忘れてはいけない。