Cloudflareが政府に情報を提供していないことを示す「令状のカナリア」が機能していないと騒ぎになりCEOが降臨して釈明する事態に発展

コンテンツデリバリネットワーク(CDN)を提供するCloudflareは法執行機関に情報を提供していないことを示す文書「令状のカナリア」を公開しています。しかし、2020年12月以降「令状のカナリア」公開ページが更新されていないことや、2022年下半期の透明性レポートが2023年7月時点でも公開されていないことなどから「Cloudflareの『令状のカナリア』は機能していないのではないか」という臆測がソーシャルニュースサイトのHacker Newsに投稿されました。記事作成時点ではCloudflareのマシュー・プリンスCEOが当該スレッドに降臨し、「令状のカナリア」が更新されていない事実を認めています。

令状のカナリア（Warrant Canary）とは？ | Cloudflare
https://www.cloudflare.com/ja-jp/learning/privacy/what-is-warrant-canary/

CloudFlare’s last Warrant Canary was published over a year ago | Hacker News
https://news.ycombinator.com/item?id=36937413

「令状のカナリア」とは、「暗号化キーを他者に提供したことはない」など「○○したことはない」という文章を並べたもので、「○○したことはない」という文章が事実ではなくなった際に文章が削除されます。「令状のカナリア」はCloudflare以外にも複数のサービスが公開しており、ユーザーは「令状のカナリア」を確認することでカナリアの生死で炭鉱の毒ガスを検知するようにサービスの変化を知ることができます。例えば、2016年にはオンライン掲示板のRedditで「国家安全保障に関する文書もしくはユーザー情報などに関する機密要求を受け取ったことがない」という文書が削除されたことが報じられて大きな話題となりました。

Cloudflareは記事作成時点で以下の6点を「令状のカナリア」として公開しています。

しかし、Cloudflareの「令状のカナリア」公開ページが2020年12月を最後に更新を停止をしていることから、ソーシャルニュースサイトのHacker Newsでは「Cloudflareの『令状のカナリア』は機能していないのではないか？」という臆測が飛び交うこととなりました。

「令状のカナリア」公開ページが更新されていないだけなら、「本当に『令状のカナリア』の一節を削除するような事態が発生していない」という可能性も考えられますが、Cloudflareには「透明性レポートが2022年上半期までしか公開されていない」という問題も存在します。2023年7月時点では2023年上半期のレポートが公開されていないことは問題とは言えませんが、「『令状のカナリア』公開ページが更新されていない」「2022年下半期のレポートが公開されていない」という2点をもとに、Cloudflareの透明性に対する姿勢が鈍化しているのではないかと指摘されています。

Hacker Newsで激論が交わされる中、Cloudflareのマシュー・プリンスCEOが当該スレッドに降臨し、「これらは現時点でもすべて守られていると明確に宣言します」と述べ、6点の「令状のカナリア」が記事作成時点でも維持されていることを明言しました。一方で、プリンスCEOは「令状のカナリア」公開ページが長らく更新されていないことを問題視し、法務部門とトラスト＆セーフティ部門に確認する意向を示しています。

また、当該スレッドには「『令状のカナリア』に記されている『法執行機関』には中央情報局(CIA)やアメリカ国家安全保障局(NSA)は含まれていないのではないか」という疑問が投稿されていたのですが、プリンスCEOは「CloudflareはCIAもNSAも『法執行機関』と見なしています。また、CloudflareはCIAおよびNSAやアメリカ以外の同様の機関に対して『令状のカナリア』に記されたいずれの行為も行っていません」と返信しています。

一方で、プリンスCEOは「5. Cloudflareは、法執行機関または他の第三者からの要請に応じてDNS応答の意図された送信先を変更したことはありません」という項目(項目5)について「ドイツやイタリア、オーストラリアで直面している訴訟によって、項目5が最も危険にさらされています」と述べ、記事作成時点で抱えている訴訟の結果によっては「令状のカナリア」から項目が1つ消え去る可能性を示しています。