あなたが人権活動家で、国境検問所に差しかかったとしよう。そこでは当直の役人から、携帯電話のロックを解除して引き渡すように求められる。しかも令状なしにだ。米国の税関・国境警備局では、これがますます普通のやり方になってきている。

そのとき、あなたの電話には海外での虐待を記録した機密扱いの写真が保存されている。だが、役人はそれを見つけることができない。せいぜい、最近削除したファイルがあることに気づくくらいだ。

検問所を通過すると、あなたはすぐさま同僚に電話をかけ、特殊なパスコードを教えてもらう。そして電話を開いてコードをアプリに入力すると、“削除”したはずの写真が最後に見たときと同じクラウドストレージのフォルダーに復活する──。

これが「BurnBox（バーンボックス）」と呼ばれる技術で可能になるシナリオだ。BurnBoxは、コーネル大学とコーネル・テック（コーネル大学とイスラエル工科大学がニューヨークに共同設立したテックキャンパス）、イリノイ大学アーバナ・シャンペーン校の研究者たちによって開発された。

「自己取り消し可能な暗号化」

Dropboxのような既存のクラウドストレージサーヴィスで動作する設計のBurnBoxは、開発陣が「自己取り消し可能な暗号化」と呼ぶものの一種である。これを使うと、端末のコンテンツへのアクセス権が一時的に取り消される。

BurnBoxは市販の製品ではないし、まだ誰でもミスなく操作できる完成度ではない。しかし、ジャーナリストや反体制派など、機密データを持ち運ぶ人が国境を越えるような状況にどう対処するのかという未来像が、おぼろげながら見えてくる。

「BurnBoxの基本的な考え方は、個人データへの強制的なアクセスを許さざるをえない状況に対処するというものです」と、BurnBoxの研究論文の共同執筆者のひとり、コーネルテックの博士研究員であるイアン・マイヤーズは説明する。「こうした状況では、相手はあなたのデータをコンピューターごと手に入れるのです」

BurnBoxの原理はこうだ。まず、パスコードを無効にした暗号化ファイルを、削除したファイルと見分けがつかないようにする。少なくとも国境検問所の役人や同様の敵対する相手には見分けがつかないようにするのだ。完成したヴァージョンでは、関連するメタデータをメモリーから完全に消去するために、国境を越える直前に端末を再起動するか電源をオフにする必要が出てきそうだという。

ファイルへのアクセスを回復するためのパスコードは、自宅や信頼できる友人など、まったく別の場所に保管しなければならない。BurnBoxの背景にある技術は、理論上は携帯電話でもノートパソコンのようなほかのデヴァイスでも動作する。

関連するメタデータという問題

BurnBoxを使えば、ファイルをより安全に削除することもできそうだ。開発陣が指摘するように、過去にファイルが完全に削除されない問題が発生したクラウドストレージサーヴィスもある。そうしたファイルも政府の監視対象になることが考えられる。

例えばDropboxは2017年、一部のファイルやフォルダーが何年も同社のサーヴィスから完全には削除されないバグがあったことを認めている。この不具合は現在は修正されている。

BurnBoxの背景にある技術にはいろいろと制約があり、その多くはOSとその上で動作するアプリケーションがどう機能するかに関係してくる。ファイルへのアクセスを無効にしたり、ファイルを削除したりしても、多くの場合は関連するメタデータ（ファイルサイズ、最後にアクセスした日時、ファイル名など）も削除されるわけではない。

その種の情報は、特に国境を越えるような一か八かの状況では、多くを物語ることもある。不利なファイル名や何かが最近削除されたという印だけでも、検問所の役人の疑惑を招きかねない。

技術面での克服すべきハードル

BurnBoxが意図した通りに機能させるには、プライヴァシー保護を強化したうえでOSとアプリケーションを再考する必要がありかもしれない。「BurnBoxはアプリケーションのエコシステム全体のうち、パズルの1ピースにすぎません」と、論文の主執筆者であるコーネル大学の博士候補、ニルヴァン・チャギは言う。「問題がここにあり、その一部を解決する策があるということなのです」

BurnBoxが最も役に立つのは本格的な科学捜査の分析ではなく、手作業で電話を調べようとする人に対抗する場合だろう。ただし、端末にBurnBoxが存在するだけでは、国境検問所の役人に疑われる可能性がある。現在のヴァージョンにはBurnBoxの存在を隠す機能が何もないが、最終版では電卓アプリの内部に隠すといったことが可能になるだろう。

いまのところ開発陣は、単一クライアント用のBurnBoxを開発したにすぎない。複数の端末間で同期されるDropboxフォルダーでは、BurnBoxを使えないだろう。

「2つの異なる端末があり、データが削除されたものと削除されていないものの同期を維持するモデルを実現しなければなりません」とマイヤーズは言う。しかし、これは技術面でハードルになっており、研究チームはそのハードルをまだ克服できていない。

1Passwordによる別のアイデア

BurnBoxのような製品をすでに発売している会社が少なくとも1社ある。パスワード管理ツールを開発する1Password（ワンパスワード）だ。

同社は2017年、1Passwordのアプリに「Travel Mode（トラヴェルモード）」を追加した。機密性の高いパスワードを一時的に端末から削除し、国境を越えたら元に戻すという機能だ。この機能はBurnBoxとは技術的に異なり、それほど高度でもない。だが、同様の脅威に対応するものだ。

「背景にあるアイデアの多くは実際に“使える”ものです」と、1Passwordのセキュリティーアーキテクトであるジェフリー・ゴールドバーグはBurnBoxについてこう語る。「当社が同じようなアイデアを取り入れることを考えないわけではありません。ただ、わたしたちはTravel Modeにも、脅威に対応するその仕組みにもかなり満足しています」

Travel ModeとBurnBoxの相違点のひとつは、データ復旧用のパスコードがある場所だ。抜け目ない国境検問所の役人なら、こう指示するだけかもしれない。ブラウザーを開き、1Passwordのアカウントにログインし、Travel Modeをオフにしろと。

BurnBoxの場合、アクセスを無効にしたファイルへのアクセスを回復するためのパスコードは、そもそも持ち運ぶわけではない。追加のセキュリティーレイヤーとして、どこか別の場所に保管しておく必要がある。

ユーザーが「嘘をつく」必要がないシステム

BurnBoxやTravel Mode、ほかの類似したツールの問題は、国境の役人を欺けば重大な結果を招く可能性があることだ。嘘をついていることを有能な法執行当局者が見破った場合、司法妨害をはじめとする犯罪の嫌疑をかけられる恐れがある。

実際に2017年、こうした事例が英国で1件あった。活動家組織のディレクターが、携帯電話とノートパソコンの暗号解除を拒否したところ、故意の司法妨害で有罪とされたのだ。

BurnBoxの開発陣は、こうした問題への対処も検討している。ユーザーが「嘘をつく」必要がないようにシステムを設計したのだ。仮に拘留されても、アクセスを無効化したファイルへのアクセスをその場で回復する方法がないと正直に言うことができる。パスコードは安全な場所に別に保管されているのだから。

それでもアプリケーションが完成すれば、ユーザーにさまざまな法的問題を提起する可能性がある。いまのところBurnBoxは暗号化技術にとどまっており、まだ完全なセキュリティソリューションの域には達していないのだ。