ますます監視が強くなる!? 取り決めが具体化する「英国デジタル監視法」(後編)

江添 佳代子

June 1, 2017 10:30
by 江添 佳代子

前編では、Open Rights Groupによってリークされた内務省の草案文書「The Investigatory Powers (Technical Capability) Regulations 2017」の背景について説明した。今回はリークされた文書その内容について説明していく。

リアルタイムでのアクセス、エンドツーエンドの暗号化の禁止

多くのメディアが注目したのは、「政府機関が指定した個人のデータに、ほぼリアルタイムでアクセスできるようにすることが、あらゆる通信企業に対して要求される」という部分だった。これは英国のすべての電話事業と通信事業に関わる企業(ISPだけではなく、ウェブメールやSNSなどのプラットフォームも含む)が、「当局に指定された人物」の全ての通信内容、およびその人物に関する「二次的なデータ」を法執行機関へ一営業日以内に提供することが義務づけられる、という内容だ。その監視対象となる人物の指名は、所管大臣および首相が任命した裁判官によって認可される。

さらに同草案によれば、そのデータは「分かりやすい形で」提供されなければならないので、企業はユーザーの通信データに「電子的な保護」を行わないようにすることが要求される、とも記されている。つまり当局者が市民のデータにアクセスできるよう技術的に対処することが、英国の企業には義務づけられる。これらはまさしく、IPB(法案)が提出されたときから、多くのセキュリティ関係者やIT企業が懸念していたルールだった。

何が問題なのか?

最大の争点がどこにあるのかは、説明するまでもないだろう。英国の企業が、市民のデジタル通信に対して「特定の政府機関にしか復号できないエンドツーエンドの暗号」などというものを施すことは、技術的に不可能だ。したがって各企業が「A氏とB氏の間の通信を保護しつつ、そのデータにA氏でもB氏でもない人物が素早くアクセスできるようにする」ためには、エンドツーエンドの暗号化を取りやめ、何らかの抜け道を設けるしかない。それと同じ抜け道を、犯罪者や悪玉ハッカー、あるいは他の何者か(たとえば他国の諜報機関など)が利用しようと企むのは当然なので、市民のデータ通信のセキュリティは全体的に弱められることとなる。

次に争点となるのは、いわゆる「バルク型の監視(大量の無差別な一斉監視)」が国の諜報機関によって行われるのではないかという懸念だろう。漏洩した草案によれば、通信事業者には「顧客1万人あたり1人について、特定の人物の通信情報をいつでも同時に提供できる能力を持ったシステムを導入すること」が要求されている。英国のブロードバンドユーザーは約900万人なので、単純に計算すれば、英国の当局者はいつでも900人分の通信データと、その個々に関わる二次的なデータをほぼリアルタイムで同時に取得できるということになる。

また、企業がそれらの通信データや個人情報を提供する際には、対象となった人物に知らせないようにしなければならない。これはエドワード・スノーデンが現れて以降、何度も話題に上ってきた「市民に対する無差別かつ秘密裏の大量監視」を彷彿とさせるものだ。一度に900人ずつという上限はあるものの、その情報収集は法で許可された行為となるうえ、それを滞りなく進められるようにするべく、各事業者が「その能力」を適切な形で導入して管理しなければならない。

さらにもう一つ、気になる部分がある。この草案によれば、各通信事業者には「指定された技術」を適切に導入することが要求されている。それがどのような内容のものになるのかは分からないので、想像は広がるばかりだ。たとえば、「エンドツーエンドの暗号化が提供されない」ということを危惧したユーザーは、個人の判断で何らかの保護(Torの利用など)を導入する可能性がある。そのような保護を「迂回」するためのマルウェアやスパイウェアを、狙った相手のPC、あるいは携帯端末に送り込むような手法がIP Actによって導入される可能性も考えられるだろう。

ちなみに英国では今年4月、一人のロンドン警察の警官が「感染先の携帯電話やPCから、通話の内容やメールなどの情報を盗むマルウェア」を購入していたことが『Motherboard』によって伝えられたが、それが公的利用のための購入だったのか、あるいは個人で利用するためだったのかは判明していない。

漏洩文書に対するメディアの反応

この漏洩文書について、特記事項として記された内容、および「市民の知らぬ間に協議されていた」という点を疑問視する意見は決して少なくなかった。たとえば英『BBC』は5月5日、この文書の内容を大まかに伝えるとともに、この法の問題点を指摘した

この記事の中で、文書のリークを行った人権団体Open Rights Groupの執行役員ジム・キロックは、「市民のプライバシーとセキュリティを危険に晒しかねない政府の権限について、市民には知る権利がある」と述べ、文書の公開に踏み切ったと説明している。また英ブリストル大学の法学博士は次のように述べている。「内務省が、これらを利用してエンドツーエンドの暗号化を取り除こうとしている──より正確に言うなら、テクノロジー企業に対してそれを取り除くように求めようとしている──ということは、非常に明らかであるように思われる」「私はこのルールを読んで、『内務省はウェブの会話やその他のコミュニケーションにリアルタイムでアクセスしたいのだ』と解釈した」

また英国のITメディア『The Register』は5月4日の記事で、皮肉たっぷりの指摘を行った。「この9ページの文書は、あらゆる英国市民をリアルタイムで監視する法的な権限を政府に提供するだけでなく、実質的に『破ることのできない強い暗号』を違法とするものだ」「この『市民の個人情報の保護の手段を取り除く行為』は、ハッカー、犯罪者、その他の『英国市民に諜報行為を仕掛けたいあらゆる人々』にとっても素晴らしいニュースだ。ついに封印は解かれようとしている」

この記事には、英国自由民主党(野党)党首の声明も掲載された。彼は次のように述べている。「これは『保守政権が次の選挙(6月8日の英国議会下院総選挙)の後に計画している極端なマス・サーベイランス(市民への大規模監視)』をあらわにするものだ。それは市民の自由と人々のプライバシーに対するあからさまな攻撃である。セキュリティのサービスは、人々の安全を保つ能力を保持しなければならない。そうであるにも関わらず、これらの不相応な権限は『オーウェルが描いた悪夢』をそっくり真似たようなものであって、民主主義の社会にはありえない」

英国では、他にも多くのITメディアや一般紙がIP Actの問題について論じ、それらの記事には多数のコメントが寄せられた。そして自由民主党は5月15日、「このオーウェルの悪夢を我々が終わらせる」と高らかに宣言した。そこには「IP Actに反発する人々を取り込み、まもなく行われる総選挙に勝利したい」という思惑もあっただろう。それは、急激に変化するデジタル法に戸惑う一定数の市民から支持を得やすい発言だったはずだ。しかし風向きは少々変化したと言えるかもしれない。

マンチェスターの自爆テロ事件

自由民主党の発表から10日後に当たる5月15日、マンチェスターのコンサート会場で自爆テロ事件が発生し、22人もの市民の命が奪われた。それ以降、英国のメディアでは「マンチェスターの事件を機会に、当局はIP Actの最も『侵略的な(侵入型な)部分』の多くを強行すると決断した」という噂がまことしやかに流れている(例:The Independentの報道)。その決定を危ぶむ意見も少なくないのだが、問題の草案文書が漏洩した頃と比較すると、市民のデジタル監視に対する嫌悪の声は少々トーンダウン気味であるようにも感じられる。

この事件で思い出されるのは、IPB法案(IP Actの原型)が提出された直後に発生したパリ同時多発テロ事件だ。その当時、Apple CEO のティム・クックをはじめとしたIT界の重鎮たちはIPBに対する強い反発を表明し、またロンドン市長もIPB反対派に「ある程度の共感」を示していたのだが、パリのテロ事件の直後から、それらの意見が語られる機会は減っていった。

一部のメディア(主にIT系メディア)は、パリのテロ事件の犯人たちが「実際には暗号化されていない平文の通信を利用していたこと」について報じ、「市民の暗号を弱めることが、果たしてテロを未然に防ぐことに繋がるのか」という疑問を投げかけたが、それは多くの人命が失われた事件の後で、一般紙が大きく報じるには少々地味すぎる話題だったかもしれない。

それならば、マンチェスターの事件を通してメイ首相のIP Actが支持を強める結果となり、英国は一気に「市民のデジタル監視の強化」へと舵取りをするのだろうか? それはまだ分からない。そもそも現在の英国では、IP Act以外にも「EUとの離脱交渉」など重要な課題が山ほどある。まずは近々行われる総選挙の結果と、今後のIP Actに関連した発表(その草案を国民に公開し、意見を求めるのかどうかについても)に注目してゆくべきだろう。




地図サービスが悪用される!? 住所とピンのズレは裏世界の入り口

October 23, 2017 08:00

by 牧野武文

中国で最も多くの人が使っている百度地図に、不思議なPOI(Point of Interest)、いわゆるピンが大量に登録されている。ピンの位置と、説明に記載されている住所がまったくかけ離れているのだ。法制日報の記者が、この不思議なPOI地点に足を運んで取材をしてみると、そこは上海の裏社会に繋がってい…

こっそり仮想通貨をマイニングする侵入者たち

October 20, 2017 08:00

by Zeljka Zorz

仮想通貨を渇望しながら、購入やマイニングなどにお金を払いたくないハッカーたちは、ユーザーのウォレットやコンピューター、人気のウェブサイト、そしてパブリッククラウドコンピューティングー環境を利用して、仮想通貨を手に入れようとしている。 マイニングのソフトウェア・マルウェアは、すっかり周知となった厄介者…

IoTアダルトグッズからわかる「BLE通信のセキュリティ問題」

October 18, 2017 08:00

by 江添 佳代子

ペネトレーションテストとセキュリティサービスの企業組織体「Pentest Partners」の研究者が先日、IoTのアダルトグッズの脆弱性に関する研究結果をブログで発表した。人々の注目を集めやすいグッズの話題だったためか、それは単純に面白いセキュリティニュースとして一般メディアでも取り上げられている…

自動で犯人を見つけて警察に通報する中国の監視カメラシステム

October 16, 2017 08:00

by 牧野武文

米国のテレビドラマ『24』に登場するCTU(Counter Terrorist Unit=テロ対策ユニット)は、街頭の監視カメラに侵入し、テロリストの姿をいったん補足すると、次々と別のカメラを使って追尾をしていくシーンがある。広東省の深圳を始めとする各都市で、このような監視カメラ追尾システムの試験運…