インド政府が今月初めにXに対してEUの罰金を科した中、イーロン・マスク氏はXの推奨アルゴリズムをオープンソース化する方針を発表しました。これは、ソーシャルメディアプラットフォームがユーザーのタイムラインをどのように整理しているかを透明化することで、規制当局の懸念を和らげる意図があるとしています。
通常、IT専門家はオープンソース化のニュースを歓迎し、そのまま次の話題に移ることが多いですが、先週、X上で興味深いスレッドが話題になりました。この動きが「行動の指紋」を通じて匿名アカウントを特定する可能性があるという指摘です。
OSINT(オープンソースインテリジェンス)の愛好者である@Harrris0nは、Xのオープンソース化された推奨コードを調査し、その結果を投稿しました。その中には、「ユーザーアクションシーケンス」と呼ばれるものが含まれていました。
これは単なるログではなく、プラットフォーム上の行動履歴全体をエンコードするトランスフォーマーコンテキストです。具体的には、スクロールを止めるミリ秒、ブロックを引き起こすアカウントの種類、好むコンテンツの種類、そしてそれに対する反応の瞬間を追跡します。最初の投稿を見るまでに、数千のデータポイントが収集されます。
Xはこのシーケンスを利用してエンゲージメントを予測し、最も関連性の高いコンテンツを提供する一方で、高精度な行動の指紋を作成しています。
@Harrris0nは、既知のアカウントでこのエンコーディングを実行し、匿名アカウントと比較することで、異常に高い一致率を得られることを発見しました。彼はこの匿名化解除ツールを構築する具体的な方法も示しましたが、必要なものはXのリポジトリで公開されたアクションシーケンスエンコーダー、埋め込み類似検索、そして少しの運だけだということです。
理論的には、公開されているXユーザーの行動の指紋を匿名アカウントと照合したり、他のプラットフォームであるRedditやDiscordのアカウントと照合することも可能です。ユーザー名を変更するのは簡単ですが、行動を変えるのは難しいということです。
このスレッドを紹介するのは、アルゴリズムが私たち自身以上に私たちを理解していることを思い出させるためです。そして、そのデジタル版のあなたも依然として脆弱であるということです。
9to5MacのSecurity Biteポッドキャストでは、Appleのセキュリティ研究者や専門家とのインタビューを隔週で配信しています。