SecureDropとは何か
SecureDropを単なるツール名ではなく、取材源保護と受け入れ側の運用を含む情報提供経路として整理します。
SecureDropは、報道機関や組織が匿名の情報提供を受けるための仕組みです。
単なるファイル送信サービスではありません。情報提供者が Browserを使ってアクセスし、報道機関側が安全な受け取り環境を用意することを前提にした、取材源保護のためのシステムです。
SecureDropは、報道機関や組織が匿名情報提供を受けるための実用的な基盤です。紹介する理由は、単なる送信フォームではなく、Tor Browserを使う情報提供者側と、取材源保護を考える受け入れ側の運用を前提にしているためです。
URL : https://securedrop.org/
この記事では、SecureDropを「便利な送信フォーム」ではなく、取材源保護の運用として整理します。
SecureDropの基本
SecureDropは、匿名で資料やメッセージを送るための情報提供システムです。
多くの場合、報道機関やNGOなどの受け入れ側がSecureDropの環境を運用し、情報提供者はTor Browserからその組織のSecureDropページにアクセスします。
| 立場 | 役割 |
|---|---|
| 情報提供者 | Tor Browserを使って資料やメッセージを送る |
| 報道機関 | SecureDrop環境を運用し、投稿を受け取る |
| 記者 | 受け取った資料を検証し、取材源保護を考えながら扱う |
| SecureDrop | 匿名情報提供のための受け渡し基盤になる |
SecureDropは、取材源と報道機関の間の初期接触を守るために使われます。
ただし、使えば自動的に全リスクが消えるわけではありません。
SecureDropを使う情報提供者は、通常、Tor Browserからアクセスします。 これは、受け入れ側に通常の接続元を直接見せにくくするためです。
ただし、Tor Browserでアクセスしていても、職場端末や業務ネットワークを使えば別のログが残ります。 また、送信する資料に本人を示す情報が入っていれば、通信経路を隠しても危険は残ります。
SecureDropは「匿名の入口」を作る仕組みです。 「資料の中身まで匿名にする仕組み」ではありません。
何を守るための仕組みか
SecureDropが主に守ろうとするのは、情報提供者と受け入れ側の連絡経路です。
通常のメールやSNS DMでは、送信者アカウント、IPアドレス、送信時刻、添付ファイル、サービス事業者側の記録が問題になります。SecureDropは、Torを前提にして、情報提供者の接続元が直接見えにくい形で投稿できるようにします。
| 守りやすいもの | 説明 |
|---|---|
| 接続元IP | Tor経由でアクセスするため、受け入れ側に直接見えにくい |
| 実名アカウント | メールやSNSアカウントを使わずに送れる |
| 初期接触 | いきなり通常連絡先を使わずに情報提供できる |
| 継続メッセージ | コードネームを使ってやり取りできる |
SecureDropは、匿名情報提供の入口として強力です。
しかし、ファイルの中身、、文章の特徴、情報の内容から取材源が推測されるリスクは別に残ります。
SecureDropでも残るリスク
SecureDropを使っても、取材源保護は終わりません。
情報提供者が職場の端末からアクセスした。資料に作成者名が残っていた。本文に本人しか知らない事情が書かれていた。送信直後に組織内でファイル閲覧ログが残っていた。こうした場合、別の経路から取材源が疑われます。
| 残るリスク | 説明 |
|---|---|
| ファイルメタデータ | 作成者、組織名、撮影位置、編集履歴が残る |
| 内容からの逆算 | その情報を知る人が少ない場合、候補が絞られる |
| 端末や環境 | 職場端末や監視ネットワークからの利用は危険 |
| 送信タイミング | 内部ログや出来事と照合される |
| 受け入れ側の運用 | 記者側の保管、閲覧、共有方法で漏れる |
SecureDropは、通信経路の一部を守る仕組みです。
取材源を守るには、資料の確認、記事化の配慮、受け入れ側の運用も必要です。
情報提供者が確認すること
情報提供者側も、送る前に確認が必要です。
とくに、職場や学校の端末からアクセスしないこと、業務ネットワークを使わないこと、実名アカウントにログインした状態で作業しないことは重要です。
| 確認項目 | 理由 |
|---|---|
| 端末 | 管理端末では操作ログが残る |
| ネットワーク | 職場や学校の回線では接続記録が残る |
| 資料 | 作成者、編集履歴、透かしが残る |
| 本文 | 自分しか知らない事情を書きすぎない |
| 返信確認 | 同じ環境から何度もアクセスしない |
SecureDropは、報道機関側が安全な受け皿を用意している場合に意味があります。 しかし、情報提供者側の環境が崩れていると、入口の保護だけでは足りません。
高リスクな情報提供では、送信前に時間を置き、資料と環境を確認します。
受け入れ側の責任
SecureDropは、設置すれば終わりではありません。
報道機関側には、運用体制が必要です。誰が確認するのか、どの端末で扱うのか、資料をどこに保存するのか、編集部内でどう共有するのか、公開前にどうメタデータを確認するのかを決めます。
| 運用項目 | 理由 |
|---|---|
| 確認担当 | 投稿にアクセスできる人を限定する |
| 専用環境 | 普段の業務端末と混ぜない |
| 資料保管 | 不要な共有や複製を避ける |
| メタデータ確認 | 取材源につながる情報を公開前に確認する |
| 記事化判断 | 内容から取材源が逆算されないようにする |
取材源保護では、受け入れ側の失敗が取材源を危険にします。
「相手が匿名で送ってきたから大丈夫」ではありません。
また、受け入れ側はSecureDropの存在を分かりやすく説明する必要があります。 どのようにアクセスするのか、何を送れるのか、どのようなリスクが残るのか、返信はどう確認するのかを示します。
説明が曖昧な窓口は、情報提供者に危険な判断をさせます。 安全な仕組みは、技術だけでなく、利用者に伝わる説明も含めて成立します。
SecureDropが向いている場面
SecureDropは、報道機関や公益性のある調査へ、身元を守りながら資料や情報を届けたい場面に向いています。
一方で、単なる問い合わせ、一般的な相談、緊急通報、すぐに返事が必要な連絡には向かない場合があります。 SecureDropは、通常のチャットやメールの代わりではありません。
| 向いている場面 | 向いていない場面 |
|---|---|
| 公益性のある内部資料提供 | 今すぐ助けが必要な緊急連絡 |
| 取材源保護が必要な連絡 | 一般的な問い合わせ |
| 実名メールを避けたい初期接触 | 迅速な往復連絡が必要な相談 |
| 高リスクな情報提供 | 提出先の運用が不明な窓口 |
使う前に、その窓口が何を受け付け、どのように返信するのかを確認します。
まとめ
SecureDropは、報道機関や組織が匿名の情報提供を受けるための仕組みです。
SecureDropを検討する場合は、公式サイトで情報提供者向けの説明、運用者向けのドキュメント、導入の前提を確認します。
URL : https://securedrop.org/
SecureDropはTorを前提にし、通常のメールやSNS DMよりも取材源の接続元や実名アカウントが見えにくい形で情報提供を受けられます。
ただし、SecureDropだけで取材源保護が完成するわけではありません。
ファイルメタデータ、内容からの逆算、送信タイミング、端末環境、受け入れ側の運用は別に管理する必要があります。
SecureDropは道具であり、取材源保護は運用です。
関連ツール
Tor Project
Tor Projectは、Tor BrowserとTorネットワークを開発・公開している公式プロジェクトです。
紹介する理由: Torは通信経路を隠す仕組みを学ぶ中心的な実例です。公式サイトでは、Tor Browserの入手、仕組み、利用上の注意を確認できます。
SecureDrop
SecureDropは、報道機関やNGOが匿名の情報提供を受け付けるために導入できるオープンソースの内部告発・情報提供システムです。
紹介する理由: 取材源保護や内部告発の文脈で、提出先、Tor Browser、ファイルメタデータ、運用前提を考える代表的な実用例として紹介します。
URL : https://securedrop.org/
GlobaLeaks
GlobaLeaksは、組織が通報・内部告発窓口を構築するための自由でオープンソースのソフトウェアです。
紹介する理由: 内部告発や相談窓口では、提出先の信頼性、運用者、ログ、ファイルメタデータを考える必要があります。その比較対象として紹介します。
URL : https://globaleaks.org/