正義か暴走か? FBIが行なった「前代未聞のハッキング作戦」 (3) FBIの令状なきハッキング捜査が世界に広がる

江添 佳代子

July 27, 2016 10:30
by 江添 佳代子

Mozillaの意見書が功を成したのかどうかは不明だが、Jay Michaudの裁判において米国地裁判事のRobert Bryanは5月25日、「FBIが提示していた証拠」を退ける決断をした

NITが収集した「証拠」を退けた理由

Bryan判事はFBIに対して、「NITのエクスプロイト詳細を開示せよ」という命令はしなかった。しかし「証拠のデータを収集する際、FBIが捜査令状に違反していなかったかどうかを確認する権利」が被告側にあるため、NITによって取得したデータは法廷に提供されるべきではないとの見解を示した。つまり、どのような脆弱性をどのように利用し、どのように被告のデータを収集したのかをFBIが何も説明できないのであれば、それは証拠として用いることができないという判断だ。

ただし、このBryan判事の判断によって被告のMichaudが完全に無罪放免となったわけではない。あくまでもBryan判事は、「FBIがNITで得た証拠」を却下しただけであり、Michaudに対する訴訟そのものの棄却はしなかったからだ。とはいえ連邦政府側は次に何を行うのかを発表しておらず、上告を試みるのか否かも明言していないため、この裁判は宙ぶらりんの状態となった。さらにMozillaが懸念した「現在も、悪用可能なゼロデイがブラウザーに存在している可能性」も残されたままだ。

それでも、FBIがこれほど大掛かりな捜査を通して手に入れた証拠のデータが、裁判所によって取り下げられた今回の判断は、弁護人のFiemanにとっては充分に手ごたえを感じられるものだっただろう。

そもそもFBIの捜査には令状がいらなかった?

ここで「Michaudは、Playpenで逮捕された容疑者のうちの一人でしかない」ということを思い出してほしい。つまり、他の130人以上の容疑者に同様の判決が下る保証はない。そして、議論を呼びやすい事件の裁判では往々にして、裁判所ごとにまったく異なった判決が下るものだ。

バージニア州連邦地方裁判所では今年6月23日、Playpenの捜査によって逮捕された別の被疑者Edward Matishの裁判が開かれた。この裁判で、判事のHenry Morganは次のような判決を下した。「FBIには世界のコンピューターに侵入する権限がある。それは地元判事の令状も、また裁判所のいかなる審査も必要としない」

この裁判では、FBIが先述の作戦で入手した「証拠のデータ」を裁判で用いることに対する異議が認められなかった。Matishの弁護側は、FBIの利用したNITを「マルウェア」と呼び、その感染を利用した捜査が合法でなかった可能性があると主張したが、Morgan判事は「プライバシーを考慮した、法に沿った捜査であった」として原告側を支持した。

Morgan判事の言葉を借りるなら、「ハッキングの手法を使ってPlaypenのユーザーを特定する行動は、家宅捜査を求める警官が壊れた窓を調べるような行為」である。それが米国憲法に違反していないことは最高裁によって認められている、とMorgan判事は語った。つまり昨今に行われているハッキング事情から考えるに、元々コンピューターは簡単に保護を破られるものであり、それを突破することは法に反しないというのが判事の喩えだ。

さらに、NITを利用した捜査が令状の内容に沿っていたかどうかを問う以前の問題として、「FBIには、令状なしでNITを利用し、捜査を行う権限があった」というのがMorgan判事の判断である。このときの法定文書のPDFファイルは、電子フロンティア財団(EFF)のサイトで読むことができる

控えめに言っても悪い知らせ

被疑者の弁護団が今回の判決に納得していないことは言うまでもないが、プライバシー擁護派や一部のセキュリティ専門家たちも、このMorgan判事の判断に対しては声高に異議を唱えている。

裁判の同日にあたる6月23日、電子フロンティア財団のブログに掲載された記事は、次のような文章で始まっている。「本日、バージニアの連邦地方裁判所が下した『危険なほど欠陥のある判決』は、犯罪の被疑者が自分のコンピューターに『プライバシー上の正当な期待』を何ひとつ抱けないということを決定するものだった。その法廷によれば、連邦政府が個人のコンピューターに侵入する際、令状は必要とならない」

さらにEFFは、「この判決がもしも支持されるのであれば、その意味合いは驚くべきものだ。いかなる令状も、理由も、容疑も何も必要とせず、法執行機関はあなたのコンピューターからいつでも自由に遠隔操作で情報を押収することができる。控えめに言っても、この判決はプライバシーにとって悪い知らせだ」と記している。

令状なくハッキング捜査される世界がやってくる?

「ダークウェブの児童ポルノサイトからペドフィリアが大量に特定された!」という派手な見出しの記事と比べると、この裁判を報じた一般紙の記事の読者による反応は薄い。犯罪捜査とプライバシー保護をめぐった法の解釈、という堅いテーマであるためか、それに対する熱心なコメントは「セキュリティ問題に関心のある読者向けの媒体」のほうに集まっているようだ。たとえば、『The Register』の6月24日の記事や、Sophosのブログ『Naked Security』などである。

それらのコメントには、FBIが「世界の」コンピューターに侵入する権限を有するとした判決を茶化す傾向が見られる。つまり米国人以外の、諸外国の市民のコンピューターについても、なぜFBIが令状なく捜査できることになったのか、それを決める権利がバージニアの一連邦地裁にあるのかという話題である。たとえば以下のようなコメントだ。「ここで言う『世界』とは、どこのことだ?」「おそらく、この判事は『世界』がどのように構成されているのを知らない」「なぜ彼は、世界全体のことをバージニアが決定できると思ったのだろう。とはいえそれはNSAにも当てはまるし、米国ではよくあることだな」

しかし、それは笑いごとで済まされる話題ではないかもしれない。『Motherboard』は1月22日の記事で、このような捜査が国際的に広がりつつあることについても説明していた。ここで例として挙げられているのは、ギリシャ、チリ、デンマークなどで、Playpenと同じような児童ポルノサイトが摘発された事件だ。

Motherboardによれば、「違法画像の配布や所持の容疑で、ダークネットの児童虐待サイトのユーザーが逮捕されたギリシャの事件」は、先述のOperation Pacifier作戦の一環だったという。この捜査はFBIとユーロポールが入手した情報に基づいて行われており、問題の違法サイトのサーバーは米国の当局者に押収されている。

Playpenの捜査に言及したMotherboardは、1月5日の記事を次のような言葉で結んでいた。「いずれにせよ、ダークウェブ最大の児童ポルノサイトのひとつを閉鎖したFBIは、同時に『おそらく現時点で最大の、法執行機関によるハッキング作戦』にも携わった」。その大規模な手法が国外の児童虐待サイトに適用される可能性、あるいは「児童虐待サイトの取り締まり以外の用途」で利用される可能性もないとは言い切れず、その作戦を実行する際に司法の介入(いずれかの裁判所が発行する捜査令状)は必要とならないかもしれない。

警察機関のデジタルツールによる市民の監視行為は、どこまで許可されているのか。その法的な解釈の問題は、これまで様々なケースを通して繰り返し議論されてきた。今回のPlaypenを巡る2つの判決は、この問題の現在と今後を考えるうえで重要な材料のひとつとなるだろう。
 
※THE ZERO/ONEの記事を中心に執筆した『闇ウェブ』絶賛発売中です。今回の記事を執筆した江添氏も寄稿しています。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…