序

MEGAはPGPを用いた強力なプライバシー保護を行うクラウドストレージとしてその立ち位置を確立してきた。

出自が云々というのもあることだが、それは置いておくとしよう。 クラウドストレージで暗号化された状態で保存され、やりとりも常時E2EEであるというものが他にないため、プライバシーの観点からは最も優れた選択であった。

だが、メッセンジャーの話でもしたことがあるのだが、E2EEが実装されているということが、すなわちプライバシーが完全に保護されているという意味にはならない。 やりとりはE2EEで暗号化されていても、アプリが知っている情報を他に流していたら意味がないからだ。

そして、それを黒判定する機会はそれなりにあるが、白判定は困難で、アプリに対する信用の問題が大きい。

MEGAはその徹底したプライバシー尊重の姿勢からその信用を得ていたわけだが、「無料ユーザーに広告を出す」ということをしたことで、一気に怪しくなった。

MEGAは最近、外部サービスとの連携を追加するなど、若干あやしいところを見せてはいたが、広告の場合はそれによって容易にユーザーを追跡できるものであり、アプリに広告を組み込むことでプライバシーなどというものはもはやないものと考えたほうが良い。

これは無料ユーザーだけの問題ではなく、アプリに広告を組み込むということが、プライバシーにとって有害な口を持っているという問題である。 前述のとおり白判定が困難であるために、信用の問題として広告を組み込むことがMEGAのポリシーに反するという判断がされないということが潜在的に危険だとみなすしかない。

MEGAはフリープランの容量が50GBから始まってどんどん減少しているため、運営が苦しいのだろうとは思っていたが、とうとうここまでという感じである。 そもそもプランに更新がなく、Proプランが整備されてから10年くらい経っていることを考えればセールス面は当然苦しいだろうという感じではあるのだが。

例え同情や理解を示したところで、現実問題として「MEGAに置いているデータが安全だとは言い切れなくなった」以上は、ある程度対応が必要になる。

対応方針

少なくとも明らかにデータを見ているサービスであったり、データに対する保護策がないサービスよりは相対的に安全なのは変わらないだろう。 問題の程度としては「機密性のあるデータを生のままMEGAに置くのは危険」というところになる。

このことから

• 機密性のないシェアデータ
• 既にEncFSなどでアプリからは内容が認識できないデータ

はこのまま置いていても問題ないとする。

私のケースで問題になるのは

• upstreamリポジトリ
• 写真
• (自身が著作権を持っている) アートワーク

がセンシティブである。

これ以外のデータは引き続きMEGAにもたせることにする。 データ容量的にも運用的にも、全部移すとなかなか大変だ。

ローカルサーバー + Unison

upstreamリポジトリに関してだが、簡単なのはローカルサーバーを持つ方法。

自分ひとりがアクセスするリポジトリなので、今のところリモートから全マシンに対して更新する必要性はない。 このため、「upstreamは自宅にいるときだけ更新できる」で今のところ支障はない。

以前一時的にMEGAが使えなくなったときにDynabookをサーバーにしてUnisonで同期というのをやった。 今回はこれが使える。

従来だとMEGAの同期ファイルがupstreamリポジトリで、それぞれの作業リポジトリはローカルファイル参照になっていたのだが、そういう更新の仕方はUnisonだとconflictしやすいのでちょっと怖い。 そこで、単純にサーバーにupstreamリポジトリを置き、各作業リポジトリはSSHでアクセスの方式に変えた。

その上でUnisonを組み、各ホストにバックアップを行う。 バックアップでしかないため、全ホストにUnisonを組む必要はなくなった。

NextCloud

すべてをUnisonで賄えるかというとそうでもない。 スマホでアクセスしたい共有データというのがあり、なおかつスマホのストレージに保存はしたくないからだ。

VPSはプロバイダーにとっては中身が見られるものなので、VPS上のデータにどれくらい機密性があるかというのは難しいところ。

従来であれば、E2EEであり、サーバーには暗号化したデータの置かれるMEGAのほうが安全だと考えていたが、現在はかなり難しいラインになった。 本当にセンシティブなデータならどっちもアウトだと思うけれど、今回の場合はそこまでではないので割と気持ちの問題になってくる。

ただ、「信用できない」というのは、今後の行動に歯止めが効かないように見えるということであるため、仮に現状それほど問題なかったとしても未来はわからない。 それと比べれば、VPS上にプライベートなデータを置くリスクは基本的に一定なので、VPSのほうがまだマシかなというように私には感じられる。

一旦はその方針で、VPS上のNextCloudを使う方向で考えた。 NextCloudも実は以前構築していて、ほとんど使っていなかったものを使う形である。

AndroidアプリはMEGAと比べてそんなに使い勝手が良くないないのだけど、最近MEGAはフルスクリーンをうまく使えないという問題があり、その点はNextCloudのほうが良い。 動作はやたら遅いのが気になるが、そこは良しとするしかないだろう。

ここについては運用面の話はほぼなく、構築したNextCloudにファイルを同期、スマホからはNextCloudのAndroidアプリでアクセスするだけである。 今回の場合シェアしているのは画像だけなので、NextCloudでもAndroidアプリから画像を開くことは可能であるため問題はない。

運用が大きく変わる点としては、Android版だとNextCloudのPDFViewerが機能しないため、PDFを共有しても見られない。 どうしてもであればダウンロードしてローカルで開くことは可能。

サービスは、いずれ邪悪になる

ここ15年くらい、「以前はいいサービスだったのにな」ということを繰り返している。 真に善良だったかどうかはともかくとして、使いやすさであったり利用できる幅であったり、あるいはプライバシーの尊重であったりする。

別にそれは違反行為を見逃していたというような話を言っているわけではなく、誰もがみないずれevilになるという話である。

単純化した話で言えば、「ユーザーのプライバシーを侵害すれば利益が手に入ります」という状況が発生したときにどうするかということ。

心意気高く誠実な企業であれば、ユーザーのためを掲げてそのようなことに手を染めないと言うだろう。 だが、そんなことを掲げていた企業も、いずれはevilとなり、利益のためなのだからユーザーは商売道具と考えるようになる。

そうなる要因は強欲さにもあるが、そもそも現代のインターネットサービスがevilでなければ生き残れないという問題もあると思う。 つまり、気高く誠実であり続けた企業は淘汰され、evilになることができた企業のみが生き残るため、誰もがevilであるという状態に至るわけだ。

その中でサービスの根幹を維持できるか、ユーザーのことを尊重し続けられるかというのは、非常に大きな壁になってくるのだろう。

MEGAはそれができなかった。 現状、サービスを利用していく上では、目を閉じて諦めるか、それとも渡り鳥を続けるかしかなく、渡る先はなくなっていくものである。

個人的にはTwitterアカウントを消したのと同程度にショックだし、残念だ。