A. Aleksandravicius / Shutterstock.com



妻殺しの証拠はFitbit? IoTウェアラブルデバイスが「電子の足跡」になる日(中編)

江添 佳代子

May 11, 2017 08:00
by 江添 佳代子

前編はこちら

捜査員に利用される「電子の足跡」

リチャード・デベイトが殺人の容疑で起訴されたことを報じた地元コネチカット州の地方紙『Hartford Courant』は、4月22日の記事の中で、米ランカスターの地方検事クレイグ・ステッドマンのコメントを掲載した。ステッドマンは、コニー殺害事件の捜査でFitbitのデータが用いられたことについて次のように語っている
「これは人の行動を追跡できる『電子的な足跡』だ。捜査員の利用に素晴らしく適している。さらに、他のいくつかの証拠よりも(たとえばDNA鑑定などのような証拠よりも)はるかに早く情報を得ることができる」

たしかにウェアラブルデバイスの記録は、警察の捜査に貴重なデータを提供するだけではなく、業務の短縮化にも貢献しそうだ。そのデータを利用する際には、邪魔な情報の中から必要なものだけを丁寧に掘り起こす必要がない。Fitbitは最初から「たった一人のユーザーの身体の動きと時間」を自動的に収集するために開発された製品だからだ。

しかしなぜ、ペンシルベニア州ランカスターの検事が、わざわざコネチカット州の事件にコメントしたのか? 実はステッドマン検事は以前、別の事件の捜査にFitbitのデータを用いたことがある人物だからだ。ただし、この事件では「犯人を特定する」ためではなく、「虚偽の被害報告を見抜く」目的でFitbitが用いられた。

ランカスターのレイプ狂言事件

その事件とは、一人の女性が「強姦された」と警察に通報したものの、実際には何も起きていなかったことが発覚したという珍事件だった。

2015年3月、ランカスターの警官が通報を受けて現場に駆けつけたとき、その家の寝室にはナイフが転がっていた。通報をした「被害者」のジャニーン・リズレー(43歳)は、自分を襲った犯人について「ブーツを履いた30代ぐらいの男性だった」「彼は私が眠っている間に寝室へ侵入し、目を覚ました私をナイフで脅して強姦した」と主張した。しかし警察が調査したところ、寝室の床にはブーツの跡が残されておらず、また家の周囲に降り積もっていた雪にもブーツの痕跡は見られなかった。

そして警察は、リズレーが所有していたFitbitに目をつけた。そのFitbitは「犯行が発生したはずの時間帯に彼女が起きており、家の中を歩き回っていた」という記録を示していた。つまり「寝室で眠っている間に、見知らぬ男が侵入してきた」という彼女の証言と矛盾している。リズレーは故意に虚偽の通報を行っただけでなく、証拠を捏造した(事件をでっち上げるため、寝室に凶器のナイフを転がした)のだと結論づけた警察は、同年6月に彼女を告訴した。

世界で初めてFitbitのデータが法廷に持ち込まれたのは、ランカスターの狂言事件よりもさらに1年前、2014年のカナダだったと推測される。ただし、こちらは犯罪ではなく個人的な「事故」に関する裁判だった。『The Guardian』の報道によれば、パーソナルトレーナーの職業に就いていた一人の女性が、ある事故に巻き込まれて後遺症を負った。彼女は「それから4年が経過した現在(2014年)も、自分の肉体は事故のダメージから回復できていない」ということを証明するため、彼女が利用しているFitbitのデータの解析結果を裁判で提出したという。

法廷におけるFitbitの扱い

コネチカット州の殺人事件でも、ペンシルベニア州の狂言事件でも、Fitbitのデータが「唯一の証拠」だったわけではない。被疑者たちの証言を「偽証」だと確信させる根拠は他にもいくつか示されていた。したがって「Fitbitの記録以外に何の証拠もなかった刑事事件」で、その記録を法廷がどこまで重んじるのかは現在のところ分からない。また、「従来どおりの捜査によって得られた証拠」と、「Fitbitの記録」との間に大きな食い違いが見られた場合、どのような判断が行われることになるのかは分からない。

しかし今後、もしもステッドマン検事が語ったように、IoTのウェアラブルデバイスの記録が「デジタルの足跡」と見なされるようになるのであれば、それは検察が示す証拠として、あるいは弁護側が「被疑者の冤罪」を主張する際の証拠として用いられる可能性もある。そのデータは、たった一人のユーザーが「いつ、どのように動いたのか(どのような運動をしたのか)」を明確に示す記録であるため、従来の複雑な鑑定結果よりもシンプルに論じられる、扱いやすいデータとなりそうだ。

ここで「私もいざというときのためにFitbitのようなデバイスを普段から着用しておけば、冤罪事件に巻き込まれたとき自分のアリバイを証明できるのではないか?」と考えた方がいるかもしれない。あるいは「それを身につけていれば、自分が襲われたとき(または殺害されたとき)に犯人を特定できる証拠のひとつになるのではないか?」という考え方もあるだろう。

一方でセキュリティに敏感な人は、こんな不安を抱くかもしれない。「IoTデバイスの多くはセキュリティが貧弱だ。完全犯罪を狙うハッカーがそれを悪用することがあれば、かえってFitbitを利用している人物のほうが罠にはめられやすいのではないか?」
 
(後編に続く)




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…