Avatarsを作ったこともあって、セキュリティ、監視、プライバシーといったトピックに関心が再燃していたところ、Critical EngineeringCounter Surveillance Workshopが開催されると言うので参加することにした。Critical EngineeringはJulien OliverGordan SavičićDanja Vasilievの三人によるもので、websiteで公開されているマニフェストには日本語の訳もあって翻訳は牛込くんでびっくり。CEは日本でもメディア芸術祭で賞をとったMen in Greyという作品や、Ars ElectronicaのGolden Nicaを取っているNewstweekで知られる、著名なアーティストだ。
ワークショップは土日月、九時から五時まで。計24時間みっちり、如何に監視から自分たちのプライバシーを守るかを学ぶ。

初日は各自のマシンに仮想のリナックス環境をインストールし、コマンドラインの使い方を習う。曰く
「リナックスを使えたほうがいい理由は、ネットワーク・インフラは基本リナックスだからだ。みんなが普段使うPCやスマートフォンは画面があってキーボードとかタッチパネルがあるけど、サーバーにはない。これからIoTが浸透すると、画面も入力装置もないコンピュータが増えていく。そのとき使える手段はコマンドライン・インターフェイスだ。宇宙ステーションだってCLIだ」
なるほど。

色々なコマンドやネットワーク、プロトコルの仕組みについて習っていく中で、あるソフトウェアを使って流れてるパケットを覗く。暗号化されてないとここで色々バレるんだよ、とのこと。「パスワードのかかっていない空港のwifiとかは、暗号化されてなくて全部見えちゃうんだよ」ってよく聞くけど、こんな簡単にこんな風に見れるのかと思うと、けっこう唖然としてしまう。

みんなで同じネットワークにいて、初期設定が全員同じユーザ名でパスワードだから、SSHで簡単に人の環境に入れる。隣の子のパソコンに勝手に猫の画像を表示したり、いきなり自分のデスクトップにファイルが増えたりする。盛り上がったし楽しかったけど、冷静になるとパスワードとIDがバレるということはこういうことなのかと身をもって知る。

一日目終了

友達にWSの話をしたところ「カウンター監視WSが実質監視WSなのウケる」って言われて面白かったのでJulianに話したら、「薬を作るのにはウイルスがどうやって病気を引き起こすのか知らなきゃつくれない、護身術もそう」って言われて納得した。知ることは力だ。

二日目午前、DNSをいじって、「google.com」にアクセスすると変なページが表示されるようにする方法が紹介される。けっこうびっくりする。「you are watched」って書いてあるから違うってわかるけど、このテクニックで銀行のサイトを偽装したりして、パスワードを収穫したりする輩がいるらしい。
Screen Shot 2017-04-23 at 10.49.06 AM
二日目の午後は「薬」の処方だ。仮想環境のLinuxにVPNやTorをインストールしていく。
wtfismyip.comdnsleaktest.comにアクセスして動作確認。現在位置がどんどん変わってく。

三日目はホストシステム(僕の場合Mac)に昨日仮想環境のLinux入れたVPNやTorをインストールする。
あとはスノーデンも使ってたことで知られる暗号化メールPGPのインストール。もしどなたか僕にPGPのメールを送る必要がある方はこちらをご参照ください。僕の公開鍵です。

あとはスマートフォンを持ち歩いてると、通信の中身が取れずとも、アクセスポイントの名前と電波強度とかがわかるだけで、どこにいるかがかなりの精度でわかってしまうとか、そういう話を聞く。
ブラウザから全部の検索・閲覧履歴や友人関係とかが筒抜けなだけでもう十分だが、スマートホンを加えると、いつ何処に誰といたかまで筒抜けである。もはや神の眼だ。僕は無宗教だが、小さいころ「神様は空からなんでも見てるから」みたいなことを言われて、なんとなく信じていた気がするけど、IT大企業は神の目で僕らを見ているようなものだ。ただ神様は僕らの行動を見て、情報を売ったりしない。こうやって考えると神の目を使って商売するだなんてけしからんと思う。反面、全ての検索履歴からサジェスチョンされるニュースがまさに知りたかった情報を届けてくれることもあるし、gmailのinboxの自動振り分けシステムはこれがなかったらメール使う気失せるくらいには便利だったりする。これはユーザー情報の収集無くしては実現されなかっただろう。

Berlinに来た4年前、僕は恥ずかしながらスノーデンも知らなかった。は?知らないの?ウソでしょ?って言われて焦って慌てて色々調べた。
プライバシー保護性能の高いインスタントメッセンジャーとしてtelegramはオススメとされていたが、今はsignalだそうだ。google検索に全てのクエリを持っていかれるのが嫌な人はduckduckgoを使う人が多いと思っていたら今はstartpageがイケてるらしい。
Counter Surveillanceアプリは流行り廃りが速い。でもgoogleもfacebookも変わらず君臨している。

WSが終わって、一通りの道具が揃った。気合をいれればgoogleアカウントもdropboxもskypeもなくても殆ど今まで通りの便利さで仕事をすることができそうだ。ただ、全部ちゃんとセットアップするにはけっこう時間も手間もかかりそうだ。

WSを主催する彼らはそれが仕事だし、そういうのにアンテナを張り、色んな状況に対して戦っていくのが職業だから最新情報に詳しいが、専門ではない人は詳しい人から頻繁に最新情報を聞いておかないと、あっさり置いて行かれるんだろう。セキュリティばっちりです、みたいな顔して時代遅れみたいなことになりかねない。というかそれでも全体からみたら(特に日本人としては)僕はこの辺のトピックには関心が高く、よく知ってる方に分類されるはずだ。それでも全然初心者である。

そんないくら見られてるって言ったって、データ集めてるのは機械だし、人に見られてるわけじゃないだろうし、見られて困るようなことしてなきゃ問題ないでしょって僕も最初は思っていました。けどスノーデンの暴露の本やジョージ・オーウェルの1984を読んだりこのワークショップに参加することで、考え方がけっこう変わった。一歩インターネットの海に出れば、見てまわっているのは自分で、誰かに見られているって言う風には意識しずらいけど(意識しづらいから余計に厄介)、事実見られている。それに対してどう振る舞うかは個人の自由だけど、少なくとも知っておいたほうがいい。

もしどなたか興味と機会があったらぜひCritical Engineeringのワークショップを日本でも開催して欲しいなと思います。手伝えることがあったら言ってください。