英国でも「デジタル監視論」が再熱(後編) アップルCEOもIPB推進に反対表明

江添 佳代子

January 21, 2016 11:00
by 江添 佳代子

前編では、Investigatory Powers Bill(IPB)が誕生するまでの経緯と、当時の英国の背景、そしてIPBの内容について説明した。後編はIPBに対する反応の一例からお伝えしたい。

ティム・クックが示した「バックドア」への嫌悪感

IPBの発表から6日後の11月10日、Appleの ティム・クックCEOが英国メディア『Telegraph』でIPBに関する意見を述べた。この記事の本来のテーマは「Appleの挑戦」「コンピューターの終わり」「医療機器の今後」といった内容なのだが、ページの後半はIPBの話題ばかりとなっている(余談だが、ここではIPBが「スパイの憲章」、つまりCDBと全く同じニックネームで呼ばれている)。

「Appleが大いに懸念するもの」としてIPBに言及したティム・クックは、次のように語った(抜粋、筆者訳)。

  • 全てのバックドアは、あらゆる人にとってのバックドアだ。誰もがテロリストを取り締まりたい。誰もが安全でありたい。問題は「どのようにするのか」だ。そのバックドアを設けたなら、結果は極めて悲惨なものになる
  • もしも暗号化を止めたり弱めたりすれば、それで傷つくのは善良な人々だ。善良でない人々は、どこへ行けばいいのかを知っている
  • 人々が我々(Apple)に自分のメッセージを読んでほしがっていると我々は思わない。彼らのメールを読む権利が我々にあるとは感じない

米シリコンバレーを代表する企業のひとつであるAppleのCEOが、英国のメディアで英国の法に口を出すのはお節介では? と思われた方もいるかもしれない。しかしAppleは、過去にも米NSAや英GCHQの一元的な監視網を徹底的に非難し、「そのような例外的なアクセスを許さない」と何度も主張してきた。それがユーザーへのアピールであるなら、おそらくは効果的な戦略だろう。スノーデンの内部告発が行われた2013年以降、プライバシーに対するネット市民(特に欧米圏)の関心は高まり、VPNやTorのユーザーも急激に増えている。「覗かれたくない人のプライバシーを守るサービス」を提供する企業にとって、それはビジネスチャンスでもあった。「我々はあなたのデータを、いずれの政府機関にも不正に渡したくありません。インターネットは自由であるべきです」とライバルよりも強く主張し、世界中の顧客から愛されたいのはAppleだけではない。だからこそ彼はIPBに反する態度を示す必要があったとも言えるだろう。

テロリストが「監視法の近道」を開通した

しかしティム・クックの主張が掲載されてからわずか3日後の2015年11月13日、テロ集団が再びパリを襲った。このパリ同時多発テロ事件は1月の攻撃よりも無差別に、かつ大規模に行われ、多くの市民が犠牲となった。不謹慎な表現だが、この悲劇は一部の人々にとって絶好の機会でもあったようだ。

米新興Webメディア『Vox Media』は11月16日、「英国の政治家たちはパリの襲撃を『新たな監視法の近道』だと捉えている」というタイトルの記事を掲載した。それは次のように伝えている(筆者訳)。

  • 英国の一部の政治家たちが、先日のパリのテロ事件を受け、新しい監視法を早く施行に持ち込むよう政府に求めている。
  • 元「テロ法独立審査員」のLord Carlileは、2週間前に発表されたIPBについて、2016年末(筆者注:議会が通常の手順を踏んで話し合った場合の施行)を目標とするのではなく「出来るだけ早く」施行に移すべきだと語った。
  • 英首相デーヴィッド・キャメロンも今朝のBBCラジオで、政府は「立法のタイムテーブルを見るべき」だと語った。
  • 同首相は「129人の死者と300人以上の負傷者が発生したフランスの攻撃が、ここ(英国)で起こる可能性もある」と付け加えた。
  • ロンドン市長Boris JohnsonはTelegraphに意見記事を掲載し、IPB反対派に共感する気持ちが「どんどん薄れている」と語った。さらにエドワード・スノーデンについて、「彼の漏らした秘密が、邪悪な連中に『捕まらない方法』を教えたのは明らかだ」と述べている。

Vox Mediaも指摘しているように、それらの意見にはいくつかの弱点がある。まず同時多発テロが発生した時のフランスは、すでに「対テロ法」をスピード採択して監視権限を拡大していた。それが現実のテロを事前に食い止める働きをしなかったことは見てのとおりなのだが、彼らはその点について触れていない。また「今回のテロリストたちが連絡を取り合った方法」が明確となっていないまま、現行の草案の効果に期待するのは時期尚早ではないかという疑問も残る。

さらに言えば(Voxの記事が掲載された当時には判明していなかったことだが)、今回のテロを実行したメンバーたちは、連絡を取り合う際に「暗号化されていない平文の通信」も利用していた。それでも捕えられなかったという事実を無視して「通信事業者に全通信の暗号を解けるよう強いる」のは果たして合理的なのか、という議論も生まれるだろう。しかし、市民がそれらについて冷静に話し合う前に草案を通したいのなら、この機会を逃すべきではない。数百人の犠牲者が出た直後は、ティム・クックのように出しゃばる有名人も少ないはずだ。

IPBにかかる予算はいくら?

このようにIPBは、「ネット諜報とプライバシーの釣合い」、あるいは「国内外における対テロ戦略の有効性」などに関して大いに議論を呼ぶ題材だが、状況が緊迫しているせいなのか、金銭面に関する話し合いはあまり行われていないように感じられる。

廃案となった2012年のCDBは、18億ポンド(約3300億円)という莫大な予算も、市民の反感を買った理由の一つだった。当時、国際世論調査機関『YouGov』のリサーチで「CDBの予算は妥当」と回答した市民の割合は12%に留まったほどだ

この「予算への反発」を反省点として生かしたのか、今回のIPBが見積もりとして示した数字は、10年間の「通信データに関するコスト:1億8710万ポンド」「監督にかかるコスト:5990万ポンド」の2つだった。合計は2億4700万ポンド(約450億円)と、CDBが示した予算の7分の1にも満たない。

しかし今回の「2億4700万ポンド」という数字には、通信データを得るための傍受やハッキングにかかるはずのコストが含まれていない、と即座に指摘した英メディア『The Register』は、IPBの実質的なコストが20億ポンド(約3600億円)に膨れ上がる可能性もあると論じた。

そして米Webメディア『Motherboad』は12月10日、「英国の監視計画に費やされるコストは、誰も把握していない」という記事を掲載した。この記事は政府のIPBの見積りだけでなく「各通信事業者や関連組織が、IPBの可決によってどれほどの費用を費やすのか」についても論じるものだった。それは次のように述べている(筆者訳)。

  • パリのテロ襲撃後、英国の政治家たちはIPBの交付を急いでいる。それは2016年の終わりを待たず、近いうちに現実となる可能性もあるだろう。
  • 英国の法執行機関や政府は、その「新しい権限」が絶対に必要だと強く確信している。しかし、その草案が示す監視の「全体のコスト」は誰にも見当がついていない。
  • 先の金曜日、内務省Communication Capabilities DirectorateのプログラムディレクターRichard Alcockは、ISPがウェブの記録を10年間収集して格納するための費用を「1億7400万ポンド」と見積もった。
  • 各ISPがシステムをセットアップする費用は政府が補償することになるだろう。しかし「収集したデータの安全な保管」等にかかる費用を政府が補償するのか否かは語られていない。
  • インターネットサービスプロバイダー協会(ISPA)は声明の中で、「通信事業者が格納しなければならないという『ICR』の定義が不明瞭なので、消費者や企業に与えられる影響の査定は非常に難しいが、実際にそれを行うことは非常に困難かつ高価となる可能性が非常に高い」と記している。(筆者注:「非常に」ばかりだが、実際「very」が3回使われている)

つまり、IPBの施行によって企業(ひいてはユーザー)が負担する費用は、まだ誰にも予測できていないらしい。この点を反対派が取り上げて抗議の声を強める前に、そして「お金よりも安全のほうが大事だ」と言える雰囲気が残されているうちに、まずは一刻も早く施行に踏み切ることを、IPB推進派の議員たちは望んでいるのかもしれない。

しかし、テロリストたちが匿名性の高いコミュニケーションばかりを利用していたわけではなかったことが判明した今でも、英国政府が他のテロ対策を考慮するのではなく、数年前から一貫して通信事業者に「暗号の廃止(あるいは暗号へのバックドアの設置)」と「データの長期保管」を強いたがる理由は、どうもはっきりしない。明確なのは、それが合法化された場合、関係者には金銭的にも作業量的にも莫大なコストが課せられるだろうということだ。そして独裁政権下の国にいる活動家や、組織の内部告発者などの匿名性を必要とする人々、おそらくは普通の市民たちにとっても、インターネットは以前より発言しづらい場所になるだろう。

(敬称略)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…