Google はオープンウェブに悪影響を与える仕様を作るのが好きなのでしょうか。今回は、Google が新たに取り組んでいる Web Environment Integrity(WEI)が物議を醸しています。
現時点では、この仕様に関する Google からの正式なメッセージを見つけることはできません。技術者が上層部からの支持なしに見当違いに行っているだけかもしれませんが、既に 1 年以上取り組まれていると思われます。しかし、この仕様が導入されれば、オープンウェブに対して非常に有害なものになると考えられるので、Google は少なくとも現状について説明する必要があるのではないでしょうか。
Web Environment Integrity って何? ひと言でいうと「危険」
問題の仕様は Web Environment Integrity と呼ばれ、その内容は こちら(英語のみ)で確認できますが、この仕様の考え方は危険であると言わざるを得ません。使用されている端末のブラウザとプラットフォームが、(アテスターと呼ばれる)信頼できる第三者(認証者)によって提供される API を通して認証できるものかを確認し、ウェブサイトに伝えるというものです。詳細については不明瞭ですが、様々なウェブサイトとの「不正な」やり取りを防ぐというのが目的とされています。一見、道徳的なモチベーションに基づいていて、リスト上の使用例も妥当なように思われますが、提唱されているソリューションは問題あるもので、あらゆる点において、ウェブにおける DRM(デジタル著作権管理)に等しいと言えます。
GIGAZINE 様がこちらで詳しく説明してくださっています。
https://gigazine.net/news/20230725-web-environment-integrity/
使用例の最初に挙げられているのが「広告とのやり取りが不正なものでないことを確認する」ということにも注目すべきです。表面的には問題があるように思えませんが、そこには、ウェブ利用者に対する潜在的な悪影響を考慮せずに、Google が広告プラットフォームを後押しするために、あらゆる手段を講じようとする意図が感じられます。
仕様書の文章には、ベンダー(他のブラウザ)が除外される可能性があるという耳を疑うようなリスクについて触れられてはいるものの、その問題に真剣に取り組もうという意思は感じられず、実際の解決法にも至ってはいません。
で、実際の問題とは?
ブラウザを認証する・しないと判断する権限がエンティティに与えられるのであれば、いかなるブラウザも認証されるという保証はまったくありません。新規のブラウザは、何らかの形で信頼できると立証されるまで、デフォルトで認証されることはなく、認証者の裁量に任されるというわけです。また、この仕様をサポートしていない旧式のソフトウェアで実行している場合には、結果的にウェブから締め出されてしまうというわけです。
さらに悪いことに、主要な認証者として挙げられているのは Android の Google Play です。これは、Google が独自のプラットフォームで、どのブラウザが信頼できるかを決めることができるということを意味します。公平に行われるとは考えにくいでしょう。
Windows の場合は Windows ストアを通して Microsoft に、Mac の場合は Apple に、それぞれ委ねることになるでしょう。このため、少なくとも Edge と Safari は認証されるだろうと考えられますが、その他のブラウザは、これら 3 つの企業の善意に委ねられることになります。
実は、上の段落で触れていない大事な点があります。それは、Linux についてはどうなのか? ということですが、これも大きな疑問です。Linux はウェブブラウジングから排除されるのか? それとも、Snap パッケージのレポジトリを管理している Canonical が決定権を持つのか? 現時点では何とも言えませんが、Linux にとっても良い状況とは言えないでしょう。
これだけでも悪いニュースなのですが、さらにまずいのは、この仕様の目的のひとつが、ウェブサイトとやり取りをしているのは(機械ではなく)人間だと確認することだと強調している点です。しかし、その方法が明確でないため、どのように達成するのかに関して大きな疑問が残るわけです。
行動データを使用してユーザーのふるまいが(ロボットではなく)人間らしいと判断するのか? そのデータは認証者に提供されるのか? ブラウザへの自動入力に使用するアクセシビリティツールにより、認証されなくなるようなことがあったりするのか? 拡張機能に影響はあるのか? 現時点では、仕様はブラウザの改良や拡張機能から切り離されるとされていますが、そうすると、ウェブサイトとの自動的なやり取りは重要視されない可能性があります。仕様が雑なのか、それとも、将来的には何らかの制限が適用されるのか。さもないと、攻撃者によりシステム全体に簡単にバイパスされてしまうことが考えられます。
実装を拒否することは可能?
残念なことに、今回はそれほど簡単ではありません。この仕様を実装しないブラウザは信頼されず、この API を使用するウェブサイトは、そのようなブラウザからのアクセスを拒否するでしょう。Google はウェブサイト自身が API を採用するように促進する手段も持ち合わせています。
Google にとっては、Google のすべてのプロパティが機能の使用に依存するようにするのは簡単です。Google が管理するウェブサイトにアクセスできないということは、ほとんどのブラウザにとっては死刑宣告に値します。
さらには、Google 広告のサービスを利用するサイトがこの API を使用するように義務付けることも可能です。元々の目標が偽の広告クリックを防ぐことなので、これは理にかなったものと捉えられるでしょう。これにより、API をサポートしないブラウザの運命が決定付けられると言えます。
希望はあります
期待できるのは、法律により、EU ではブラウザを許可する・拒否するという決定権を一部の企業にもたせることはないだろうということです。認証者は「可能な限り公平であるべき」という大きなプレッシャーにさらされることは間違いありません。
残念ながら、立法府や司法組織が素早く対応するとは考えにくく、政府や司法官が調査を行っている間に負うことになる損害は計り知れません。この仕様が許可されて推進されるのであれば、オープンウェブは難しい局面を迎えることになり、小規模なベンダーは大きな打撃を受けることになるでしょう。
Google によってブラウザ市場が支配されれば、Google がウェブに対する実存的な脅威となりうることは周知の事実でした。Google はこれまで、FLOC、TOPICS、クライアントヒントなどの悪影響をもたらすアイデアを提示してきましたが、今回は、その脅威が現実のものになる可能性が高くなったと言えるでしょう。
WEI はこれまで提示されてきたものとあまり変わりはないですが、示されるリスクは他のものを上回っています。特に Microsoft と Apple に対し、Google と協力して仕様を導入するように奨励すれば、ブラウザとオペレーティングシステムの両方の領域において競争を制限することができるからです。推進を阻止するため、この 2 社に呼びかけることが必要不可欠です。
このようなウェブを弱体化させる試みについて知り、立ち向かうことが大事です。しかし、長期的な解決策は、Google を平等な競争条件に置くことです。法律によるサポートの他、Google の市場シェアの縮小も役立つでしょう。
同時に、すべての Vivaldi ユーザーに対して声を大にして呼びかければ、この議論でより効果的な結果が得られるだろうと考えています。ウェブユーザーがこの問題を認識し、検討した上でブラウザを選択することを願っています。
この「開かれた」ウェブの存続を目指す戦いは長期に及ぶことになるでしょう。危機にさらされているものは少なくありません。是非、一緒に戦いましょう。
原文 – Unpacking Google’s new “dangerous” Web-Environment-Integrity specification
訳 – Mayumi
Team Vivaldi
Vivaldi Social | Twitter | Facebook | Instagram | note