SecureDropを使う前に確認すること
SecureDrop利用前に、提出先の信頼性、内容からの推測、ファイルメタデータ、法的・安全上の相談先を確認します。
SecureDropは、内部告発者や情報提供者が報道機関などへ安全に資料を送るために使われる仕組みです。
しかし、SecureDropを使えば自動的に安全になるわけではありません。提出する内容、ファイルの、アクセス時間、組織内ログ、現実の行動、提出先の信頼性が関係します。
高リスクな情報提供では、ツールを使う前の準備が重要です。
この記事では、SecureDropを使う前に確認することを整理します。実際の提出では、提出先の公式案内を必ず確認してください。
SecureDropとは
SecureDropは、報道機関などが情報提供者から安全に資料を受け取るためのオープンソースの内部告発プラットフォームです。
SecureDrop公式サイトでは、仕組み、導入組織、ドキュメントを確認できます。
URL : https://securedrop.org/
| 要素 | 意味 | 注意点 |
|---|---|---|
| 提出先 | 報道機関や団体 | 本当に公式窓口か確認する |
| 利用 | 通信経路を守る設計 | Torの使い方を間違えない |
| 資料提出 | ファイルを送る | メタデータと内容を確認する |
| 返信確認 | 提出先とやり取りする | 確認時間や内容が手がかりになる |
| 法的リスク | 提出内容に関係する | 必要なら専門家へ相談する |
SecureDropは、信頼できる提出先と正しい運用があって初めて意味を持ちます。
提出先を確認する
SecureDropを使う前に、提出先が本物か確認します。
検索結果やSNSで見つけたリンクをそのまま信じないでください。報道機関や団体の公式サイトから案内へ進みます。
| 確認すること | 理由 |
|---|---|
| 公式サイトから辿ったか | 偽リンクを避ける |
| 提出先の運営者は誰か | 信頼できる相手か見る |
| 何を受け付けているか | 不適切な提出を避ける |
| 返信方法は何か | 後の確認手順を理解する |
| リスク説明があるか | 提出者への配慮を見る |
匿名性では、提出先も信頼モデルの一部です。
ツールだけでなく、相手を確認します。
ファイルと内容を確認する
提出前には、ファイルのメタデータと内容を確認します。
Office文書、PDF、画像、動画、音声には、作成者、会社名、位置情報、編集履歴、コメントが残ることがあります。本文の内容からも、誰がアクセスできた資料か推測されます。
| 確認項目 | 理由 |
|---|---|
| 作成者情報 | 個人名や組織名が残る |
| ファイル名 | 案件名や部署名が出る |
| 編集履歴 | 関係者が分かる |
| 本文の固有情報 | 情報源が逆算される |
| アクセスできる人の範囲 | 提出者候補が絞られる |
内部告発では、内容そのものが最も強い手がかりになることがあります。
メタデータを消しても、資料を見られる人が少なければ候補は狭まります。
アクセス前の環境を整える
SecureDropの利用では、アクセスする環境も重要です。
職場や学校のネットワーク、支給端末、監視される端末からアクセスするのは危険です。組織内ログ、端末管理、監視カメラ、入退館記録、印刷履歴が関係することがあります。
| 確認すること | 理由 |
|---|---|
| 支給端末を使っていないか | 管理ログが残る |
| 組織ネットワークを使っていないか | 接続記録が残る |
| 資料アクセス履歴が残っていないか | 候補が絞られる |
| 現実の移動記録がないか | カメラや決済記録と結びつく |
| 提出後の確認方法を決めたか | 何度もアクセスして目立たないため |
高リスクな場合、記事だけで判断しないでください。
法的リスクや身体的危険があるなら、弁護士や信頼できる支援先への相談が必要です。
提出後の行動も決めておく
SecureDropを使う場合、提出した後の行動も匿名性に関係します。
何度も確認に行く、職場で関連ニュースを検索する、同僚に探りを入れる、実名SNSで反応する。こうした行動は、提出前より危険な手がかりになることがあります。
| 提出後の行動 | リスク | 代替 |
|---|---|---|
| 頻繁に確認する | 通信時間のパターンが出る | 確認頻度を決める |
| 職場で検索する | 組織内ログに残る | 安全な環境で確認する |
| 関係者に話す | 情報源候補が増える | 必要な相談先に限定する |
| 実名SNSで反応する | 本人との相関が出る | 反応しない |
| 資料を追加送信する | メタデータや内容のリスクが増える | 追加前に再確認する |
情報提供は、送信した瞬間で終わりではありません。
提出前、提出中、提出後を一つの運用として考えます。
SecureDrop以外の選択肢もある
情報提供の方法はSecureDropだけではありません。
報道機関によっては、Signal、郵送、専用フォーム、対面相談、別の匿名提出システムを用意している場合があります。どの方法がよいかは、資料の性質、リスク、提出先、法的状況で変わります。
| 方法 | 注意点 |
|---|---|
| SecureDrop | 公式窓口か確認し、Tor利用と資料確認を行う |
| Signal | 電話番号や連絡先の扱いを見る |
| メール | ヘッダーや送信元が残る |
| 郵送 | 監視カメラ、消印、指紋、購入記録を考える |
| 対面相談 | 移動記録や同席者を考える |
高リスクな情報提供では、「送れる方法」ではなく「安全に扱える方法」を選びます。
提出先の公式案内を読み、迷う場合は信頼できる専門家や支援先へ相談します。
自分だけでなく情報源を守る
SecureDropを使う場面では、自分だけでなく、資料に関係する人も守る必要があります。
資料の内容から、誰がアクセスできたか、誰が会議に出たか、誰が作成したか、誰が送れる立場だったかが逆算されることがあります。
| 見る情報 | リスク |
|---|---|
| 資料の閲覧権限 | 提出者候補が絞られる |
| 作成者名 | 関係者が直接見える |
| 編集履歴 | 誰が関わったか分かる |
| 時系列 | アクセスログと照合される |
| 内容の希少性 | 知っている人が限られる |
情報提供では、通信経路だけでなく、内容からの逆算が非常に重要です。
提出前には、資料を見られる人数、資料に触れた時刻、資料を保存できた場所を整理します。
その整理自体も機密情報になるため、実名クラウドや職場端末には保存しないよう注意します。
SecureDropは提出経路を助けますが、提出内容の安全性は別に確認します。
まとめ
SecureDropは、情報提供者と報道機関などを安全につなぐための重要な仕組みです。
しかし、SecureDropを使えば自動的に安全になるわけではありません。
提出先の信頼性、ファイルメタデータ、内容からの逆算、アクセス環境、組織内ログ、現実の記録が関係します。
使う前には、公式案内を確認し、資料を確認し、どの行動が自分へ戻る線になるかを整理します。
高リスクな情報提供では、一人で判断しすぎないことが重要です。
関連ツール
Tor Project
Tor Projectは、Tor BrowserとTorネットワークを開発・公開している公式プロジェクトです。
紹介する理由: Torは通信経路を隠す仕組みを学ぶ中心的な実例です。公式サイトでは、Tor Browserの入手、仕組み、利用上の注意を確認できます。
ExifTool
ExifToolは、画像、動画、PDF、Office文書など幅広い形式のメタデータを確認・編集できる代表的なローカルツールです。
紹介する理由: 匿名性が必要なファイルをオンライン変換サイトへアップロードせず、手元の環境でメタデータを確認しやすいため紹介します。
URL : https://exiftool.org/
SecureDrop
SecureDropは、報道機関やNGOが匿名の情報提供を受け付けるために導入できるオープンソースの内部告発・情報提供システムです。
紹介する理由: 取材源保護や内部告発の文脈で、提出先、Tor Browser、ファイルメタデータ、運用前提を考える代表的な実用例として紹介します。
URL : https://securedrop.org/
GlobaLeaks
GlobaLeaksは、組織が通報・内部告発窓口を構築するための自由でオープンソースのソフトウェアです。
紹介する理由: 内部告発や相談窓口では、提出先の信頼性、運用者、ログ、ファイルメタデータを考える必要があります。その比較対象として紹介します。
URL : https://globaleaks.org/