シリコンバレーを悩ます「暗号規制論」 誰がためのデジタルサーベイランスか?

江添 佳代子

January 29, 2016 11:00
by 江添 佳代子

これまでThe ZERO/ONEでは、英国やフランスで過去数年間のうちに検討された、デジタルサーベイランス(オンライン活動等に対して行われる監視、諜報行為)に関連する法案の動向を解説してきた。

そして今回は米国へと舞台を移したいのだが、「近年の米国でどのような議論が行われてきたのか」をテーマにすると、非常に壮大な物語になってしまう。そのため、ここでは昨秋に行われたオバマ政権の発表、および11月のパリ連続テロ事件後の様子を中心に解説したい。

シリコンバレーに刺さった「PRISM」の棘

まず、この数年間の「あらすじ」はこうだ。

米国の執行機関や諜報機関は、何年も前から国内のIT企業に対し、インターネットの通信や通話で利用される暗号を弱めること(あるいはバックドアを設置すること)を要請する新しい法律の導入を検討してきた。「それらの暗号は、犯罪者やテロリストの通信も保護して捜査を妨げるため、国や市民を危険に晒している」というのが彼らの主張だ。

とりわけFBIのJames B. Comey長官は、昨今のスマートフォンが採用している通話やメッセージ通信の暗号化への嫌悪感を露わにしてきた。「iOSやAndroidがファイルの暗号化をデフォルトで有効化したことにより、法執行機関の業務が大いに妨害されている」と語る彼は、公式文書の中でAppleとGoogleを批判することも躊躇しなかった。このような訴えは、特に2014年頃から顕著になっている。

この流れに反するように、シリコンバレーの企業は少しずつ態度を硬化させていった。それも無理のない話だろう。2013年のスノーデンによる告発、特にPRISM(*)の暴露情報が世界中に知られてからというもの、シリコンバレーの企業は「顧客を騙して米国政府に協力し、世界中の個人ユーザーのプライバシーをNSAに渡していた」という悪いイメージを払拭するべく骨を折ってきたのだ。そんな彼らが、「米国の捜査のために、全ユーザーのデータの保護を弱体化せよ」と言われたら、反発するのも当然だ。
 
*PRISM…Microsoft、Google、Appleなどの米国の超大手9社から、世界の顧客の通信内容を収集するNSAの監視プログラム。一部の企業は、この機密計画に協力していたことを部分的に認めたが、一部の企業は現在も一貫して関与を否定している。

さらに、顧客のデータを犯罪者(諜報機関や警察ではなく)から守ることも、IT企業にとって重要なセールスポイントの一つである。だからこそ企業は、通信の安全性を高めるための努力を重ねてきた。ここで暗号の弱体化を命じられれば、その努力が水の泡となるばかりか、企業の売り上げにも悪影響が及ぼされかねない。

具体的な例を挙げよう。もしも、iPhoneのSMSのセキュリティが落ちたことを不安視し、Galaxyに乗り換えるユーザーがほんの数パーセントでもいれば、それはスマートフォン業界第2位のAppleにとって深刻な打撃となる。これが、同じ米国ベンダーとの競り合いだったなら、どちらも条件が悪くなるのでイーブンだ。しかし世界シェアのトップを走っているのは、韓国のSamsungだ。何年にも渡って訴訟合戦を繰り広げてきた因縁のライバルに、わざわざ塩を送るような法の導入を、Appleが黙って見過ごせるはずもない。

このようにして米国の各政府機関とシリコンバレーとの対立が深まる中で、オバマ政権の「明確な意向」が待たれることとなった。米国のリーダーは、果たしてどちらに味方するのか? それは世界のセキュリティ業界が大いに注目する話題となっていった。

シリコンバレーに配慮したオバマ政権

2015年9月下旬。オバマ政権の行政作業部会は、「IT企業が自由に暗号化を行うこと」に理解を示したいという見解を述べた。

その説明では、「法執行機関がテロや犯罪の容疑者の通信を捜査するために、暗号化されたデータへアクセスできるよう、企業にバックドアを設置する」という解決方法そのものは技術的に可能だと語られているものの、その設置を強要する法の導入も、それを支持するような行動も検討するつもりはないというホワイトハウスの意思が明確に表明されている。

これはFBIやNSAだけでなく、多くの国々の法執行機関、諜報機関の意向に逆らう発言だ。とりわけNSAと強い繋がりを持っている英国のシギント機関GCHQにとっては不愉快な判断だっただろう。そうであるにも関わらず、なぜオバマ大統領はシリコンバレーを擁護したのか? この点に関しては、『Washington Post』が詳しく説明している。実は、上記の発表が行われる1週間ほど前に、同紙は作業部会から漏洩したとされるメモを公開していた。

このメモからは、暗号を弱める法の導入に対して作業部会が抱いていた様々な懸念が見て取れる。具体的には、法の導入が生み出す政治的なリスクや、設置されたバックドアに第三者の攻撃が集中するリスク、そして米国政府とIT企業との関係が悪化するリスクなどが考慮されている。

オバマ政権は、企業が努力して導入してきた暗号システムを壊さないことで、シリコンバレーが米国にもたらしている経済的な貢献を重んじるのと同時に、「世界中のネット市民のプライバシーを軽視しない米国」の姿を印象づけることを選んだようだ。

この判断は、勢いを増している中国企業との差別化を図るためにも重要だったのだろうと同紙は指摘している。それは充分に考えられる話だ。もしも世界中のユーザーが、「米国製品でも中国製品でも盗聴される不安があるのは同じだ」と感じたなら、格段に安価な中国製品が選ばれる可能性は高くなる。こうした「国のブランド」の影響を受けるのは、シリコンバレーの大手企業ばかりではない。米国のあらゆるソフトウェア、オンラインサービス、各種デバイスや周辺機器(ルーターなど)のベンダーの印象も、それによって大きく左右されるはずだ。

パリ連続テロ事件後の方針転換

しかし、この発表から2ヵ月と経たぬうちに、11月のパリで連続テロ事件が発生する。この悲惨な事件は、9・11の恐怖を経験している米国にも大きなインパクトを与えた。さらに12月2日には、カリフォルニアのサンバーナーディーノで起きた銃乱射事件によって14人の被害者が命を落とした。こちらの事件は背景が少々複雑であるため、「テロ活動だったのか、あるいは単なる(米国でよく起こる)銃乱射事件だったのか」という判断についても意見が割れた。

その数日後の12月6日、オバマはホワイトハウスの執務室で、「シリコンバレーに、テロとの戦いのための協力を求める」という見解を示した。その演説の中で大統領は、「テロリストたちが『裁きから逃れるための技術』を利用しづらくするよう、ハイテク企業、および法執行機関の指導者たちに促したい」と語っている。なお、この演説のテレビ中継は全米で放送された。

さらにオバマは、サンバーナーディーノの銃乱射事件を「ISILに触発されたテロ事件」と判断したうえで、テロリストが米国で武器を入手できる問題などに関しても語った。この部分が強調されたため、多くの国では、主に「オバマが銃規制に強く言及した演説」と報じられたようだ。しかしセキュリティ業界にとって、このオバマの演説は「デジタルサーベイランスに対する大統領の心変わり」を感じさせるものだった。

2016年の1月8日には、ホワイトハウス、米国の諜報機関、そして法執行機関を代表するメンバーが、シリコンバレーの大手企業の重役たちを招集して会議を開く「ホワイトハウスサミット」が設けられることとなった。ここで話し合われた内容に関しては、あまり詳細な情報が伝えられていないようだ。しかし『The Guardian』が掲載した同会議の検討課題を見るかぎり、ここで話し合われた主な4つの議題は全て「テロとの戦い」に関連したものとなっている。

ポスト・オバマに委ねられた「デジタルサーベイランス」の未来

このようにして米国の各機関とシリコンバレーの間の睨み合いは、ホワイトハウスの発表によって一旦はシリコンバレーに有利となったように思われたものの、その後のテロ事件の影響で状況は大きく変わった。今後の米国がどのような動きを見せるのかは、まだ予測できない。しかし両者の対立が、ますます激しくなる可能性は高いだろう。

いずれにせよオバマの任期は2017年1月で終了となる。翌年2月以降、米国の舵取りを行う人物は誰になるのか。その結果によって、米国の(ひいては世界中の)デジタルサーベイランスに対する考え方は大きく変化していくはずだ。そして、「インターネットの監視とプライバシー」に関する各候補者のポリシーは、今回の大統領選を観察するうえでの重要な要素のひとつにもなっている。
 
(敬称略)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…