Semplice - 警察は監視対象者をハッキングすべきではない - Larry Seltzer氏への反論

　F-Secureのミッコ・ヒッポネン氏（Mikko Hypponen）が、警察はハッキングすべきか否かとの内容のブログを掲載した（Should police hack?（F-Secure Blog））
　2007年2月に、ドイツの警察当局が最高裁判所により容疑者のパソコンに不正アクセスするのを禁じられた事例への議論である。
　これに対してLarry Seltzer氏がITmediaにて論陣を張っているものの、大いに納得がいかない。

Larry Seltzer氏のITmediaでの記事は、いささか的外れで誘導的

　警察は犯罪者をハッキングすべき？（2007年6月7日, ITmedia）では、タイトルがいきなり「犯罪者」である。
　絶句しましたよ。
　裁判所の令状を取得し証拠を集めて、裁判にて有罪にならなければ、「犯罪者」ではないのでは？海外では違うんでしょうか。「容疑者」ならば納得が行きましたが。
　タイトルがいきなりあまりにも誘導的なので、大変な驚きを感じました。
　ITmedia編集部のあからさまなミスですね、これは。


　次。
　冒頭の要約文に「「善意のハッカー」がハッキングで児童ポルノを摘発するのはOKのようだ。だが、警察が容疑者のマシンをハッキングするのはどうだろうか。」
　随分といかがわしい出だしですね。
　これでは読者は、あるタイプの悪辣な人間を想像してしまい。
　本文を読む前に、心証を著しく操作されてしまうだろうにと。

　警察が正当な令状を持っていれば反発は和らぐと暗に述べている。
　警察は犯罪者をハッキングすべき？（2007年6月7日, ITmedia）

　Mikko Hypponen氏の原文をじっくり読んだが、Larry Seltzer氏と同様の見解には至らなかった。
　どの部分が「正当な令状を持っていれば」との記載に繋がるんだろうか。


　むしろ、大多数の回答者がアンケートにて反対の立場を採ったのを重視しなければならない。
　（この場にてのロンドン爆撃なる言い回しの背景が理解できないが）

　Should they be allowed to use hacking techniques to investigate suspects?
　The February 6th opinion poll specifically asked: Should police authorities be allowed to "hack" a suspect's computer?
　Out of the 1,020 respondents, 23% were in favor, 11% were undecided, and 65% were against. Approximately 70% of the responses were from one of five locations: Sweden, Germany, Great Britain, Finland, and the United States.
　Over 91% of Germans were against such techniques, while only 56% of Britons were against them.
　（和訳）
　彼らは容疑者を調査するために不正アクセスとなるテクニックの利用を許されるべきなのか？
　2月6日の世論調査では、警察当局が容疑者のコンピュータを不正アクセスするのは許されるべきかと尋ねた。
　1020人の回答者より、23%が賛成、11%が未決定、65%が反対だった。
　回答の大体70%はスゥエーデン、ドイツ、イギリス、フィンランド、アメリカの5つの場所からだった。
　ドイツ人の91%がそのような技術に反対であったが、他方としてイギリス人のたった56%が反対だった。
　Should police hack?（F-Secure Blog）

　（付記すると、街中に監視カメラを設置して犯罪抑止を促すのは許容されるのかとの点で、米国人は積極的に反対する傾向があるがイギリス人はかなり寛容な態度をとる傾向がある、ような。（確か）Wired Newsの過去記事が見つからない。）

　コンピュータへの侵入が、物理的な捜索や監視よりも容疑者の権利を侵害するということはない。しかもこれらの物理的捜査は明らかに、適切な令状の下で行える。そうした捜索で、警察は犯罪を立証する証拠を押収できる。その意味では、警察がハッキングしてはいけない理由は分からない。
　警察は犯罪者をハッキングすべき？（2007年6月7日, ITmedia）

　十分に害すると想定されますが、その部分は賛否両論がありそうなので置いておいて。
　適法な手段に基づく家宅捜索と、（現在ドイツで禁じられている）「適切な令状」に基づくハッキング行為を同列に論じるのは、議論たる前提条件が既に破綻しているんじゃないだろうか。


　Larry Seltzer氏は、マジックランタン事件を知らないようだ。
　予備知識が無い方が読んだらば、「警察の監視ってスゲェー！ドンドン正義のためにやれって！」となるんだろうか。

通信の監視、盗聴、傍受 - マジックランタンなど特定ユーザーターゲッティングへのシフト？

Carnivoreによる世界規模の盗聴

　Carnivoreなる通信傍受システムは、世界中のあらゆる情報を傍受し盗聴する、米国の国家規模で運用されているシステムである。
　Carnivoreが廃止されたとのニュースもあるが、本当かいなと（FBI、インターネット監視システム『Carnivore』を廃止（2005年1月24日, Japan.internet.com））


　風説に過ぎず明瞭な論拠があるソースを提示できないが、冷戦終了後に米国による諜報活動は戦略的なシフトを迎え、経済活動を側面から支援するような役割が増しているとか。4年ほど前にどこかの週刊誌で、米国に日本の政府要人による外交上での機密事項は漏れているのでとの記事があったが。
　自分にはわからないので割愛する。

不特定多数よりの情報収集から、マジックランタンへ - 所謂ターゲッティングアタック

　2001年、マジックランタンなる悪質な監視ツールの存在が話題となった。
　FBIは電子メールにて監視対象として期待する相手に危険ファイルを送りつけて踏ませ、監視ツールをインストールさせる研究を行っていたとのニュースだ。
　大変残念なことに、http://cnn.co.jp/2001/TECH/12/14/FBI.internet.spying.reut/index.htmlがリンク切れとなってしまったので、ざっと簡単に説明する。


　以前Sempliceにて、ラバーズスパイという恋人を監視する目的の悪質なトロイの木馬について報告した（トロイの木馬（trojan horse）による監視と覗き見 - ラバースパイ（2005年10月19日, Semplice））
　マジックランタンは、似たようなものだ。
　パスワードを取得し盗み出すためのマジックランタンは、電子メールにて相手に送信され、インストール後にはキーロガーとして機能する。
　法令を遵守した上で利用（盗聴ツールを相手に感染させる）としても、倫理的に許される範疇なのかと、議論が沸いた。
　マルウェアの存在を許してもいいのか、良いマルウェアと悪いマルウェアとは？本当にいいのか、と（当時はマルウェア・Malwareなる用語は無かったが）。

　Last year the FBI was forced by privacy advocates to reveal that it had a new software program called Carnivore designed to monitor Internet e-mail. The Carnivore system is reportedly installed not on home personal computers but on Internet Service Provider computers, allowing the agency to siphon off data from suspected customers.
　The FBI is reportedly using a new and improved version of Carnivore, a software program designed to monitor secure e-mail over the Internet. The new FBI program, called Magic Lantern, is described as key logger software designed to steal the pass phrase used to start the popular encryption program PGP, or Pretty Good Privacy.
　A key logger program is designed to capture keystrokes ・what a user keys in ・and then store the data in a separate location for later retrieval by a hacker. The FBI plans to use Magic Lantern to capture PGP information to crack encrypted e-mail and intercept Internet data.
　（和訳）
　昨年FBIはプライバシー保護派により、Carnivoreと呼ばれ電子メールをモニタリングするために設計された新しいソフトウェアを明らかにするよう求められた。Carnivoreシステムは家庭のパソコンではなくインターネットサービスプロバイダのコンピュータ上に導入され、容疑者のデータを吸い上げるものだ。
　FBIは伝えられる所によればだが、Carnivoreの新しく改善されたバージョン、インターネット上でのセキュアな電子メールをモニタリングするソフトウェアを利用している。FBIの新しいプログラムはマジックランタンと呼ばれ、PGPもしくはPretty Good Privacyと呼ばれる著名な暗号化ソフトウェアを起動するためのパスフレーズを盗み出す、キーロガーとして機能する。
　キーロガプログラムは、ハッカーによる後々の検索のために、ユーザーが何を入力したかその時にデータをどこに保存したかををキャプチャするよう設計されている。FBIはマジックランタンを暗号化された電子メールをクラックしインターネットのデータを途中で捉えるために使うよう計画している。
　FBI v. CIA: Battle in Cyberspace （2001年11月28日, NewsMax.com）

　マジックランタンの件では、捜査機関に対しメーカーが協力したのではとの憶測も流れた。

　NAI社は、マカフィー・ブランドのウイルス駆除ソフトウェアや、暗号化ソフトウェア『PGP』(プリティー・グッド・プライバシー)をはじめとする人気のセキュリティー製品を作っている。同社が米国政府と特別契約を交わしたという報道を受けて、不買運動を起こすという脅迫や抗議が巻き起こっている。
　この騒ぎが始まったのは、『マジック・ランタン』(Magic Lantern)というコード名の米連邦捜査局(FBI)のプロジェクトに関する報道が流れた先週のことだ。詳細は不明だが、報道によるとマジック・ランタンは、無害なメール添付ファイルを装い、FBIのスパイ・ソフトウェアをコンピューターにインストールするという。
　FBIは以前、暗号化を利用する容疑者に困惑していると公言していた。マジック・ランタンのようなソフトウェアは、パスワードや秘密の暗号鍵をひそかに記録し、機密データを当局に転送するため、暗号化を見破ることができるという。
　セキュリティー製品に政府用の「裏口」？(上)（2001年11月27日, HOTWIRED JAPAN）

　不特定多数の人物を新規にピックアップするならば、Carnivoreは有用なのだろう。
　だが特定人物を長期間詳細に監視するならば、Carnivoreのようなある意味で雑駁な監視システムではなくむしろ、監視対象者が加入してるプロバに協力を強要したり、監視対象者のパソコンに不正なアプリケーションを導入させて監視する方が、効率ははるかに優れている。
　大体だ、誰が集積した情報を集約整理してまとめあげるのだと。

監視対象たる被害者は、本当に「犯罪者」なのか

政府よりユーザーを守ったように演出するGoogleと、その他大勢（2007年4月20日, LucaBlog）の繰り返しになるが。

米国における政府によるプライバシー侵害への世論
　米国では911以来、パトリオット法による過剰な情報収集や市民への監視行為など、米国政府による行き過ぎた行いが問題視されている。
　またブッシュ政権下での国家安全保障局（NSA：National Security Agency）による、裁判所での許諾を経ない盗聴・通信傍受など。
　（例としてブッシュ政権の令状なし通信傍受をめぐる課題（株式会社ポラリスセクレタリーズオフィス））
　政府よりユーザーを守ったように演出するGoogleと、その他大勢（2007年4月20日, LucaBlog）

　令状ですか、犯罪者ですか。
　監視社会・警察国家の行き着く先は、目に見えてますよ。
　911や監視などのキーワードで検索すれば、データベースの杜撰さのために修道女が航空機への搭乗拒否をされた話や、氏名が所謂テロリストと類似しているために取り違えられて多大な危害を被った一般市民の事例を、多く目にするだろう。

2007年7月27日 追記事項

　FBI、スパイウェアを捜査に活用（Wired VISION）（2007年7月26日）によれば、FBIが捜査目的にてスパイウェアを利用した事例を紹介している。

　ワイアード・ニュースが入手した米連邦捜査局(FBI)の宣誓供述書によると、2007年6月、ワシントン州の高校を爆破すると脅迫した電子メールの発信元を突き止めるため、FBI捜査官がある「スパイウェア」を容疑者に送信したという。
　6月にワシントン西地区の米連邦地方裁判所に提出された宣誓供述書は、ソフトウェアの使用許可を求めるもので、その中でFBI捜査官のNorman Sanders氏は、このソフトを「コンピューターおよびインターネット・プロトコル(IP)アドレスを検証するもの」(CIPAV)と表現している。
　Sanders氏の記述によると、このスパイウェアはさまざまな情報を収集するという。具体的には、コンピューターのIPアドレス、メディア・アクセス・コントロール(MAC)アドレス、オープンポート、稼働中のプログラムのリスト、オペレーティング・システム(OS)の種類とバージョンとシリアルナンバー、よく使用されるインターネット・ブラウザーとそのバージョン、登録されているコンピューターの所有者名と社名、現在ログインしているユーザー名、最後にアクセスしたURLなどだ。
　連邦第9巡回控訴裁判所が7月に下した裁定により、盗聴の許可がなくても、こうした監視――通信内容に関するデータは取得しない――を行なうことができる。その根拠になっているのは、インターネットを利用中のユーザーはデータの「プライバシーに対する妥当な期待」を抱かない、という考え方だ。
　FBI、スパイウェアを捜査に活用（Wired VISION）（2007年7月26日）

　「盗聴の許可がなくても」、ですからね。
　つまり米国内部ではもう、政府機関による悪質な監視行為は甘受されるべきと認められたと考えて良いんでしょうか？


　事は単なるプライバシー擁護に留まらず、政府機関が特定の団体や人物の監視行為を「通信の中身がわかならければ良いんだよね？」との判断で、捜査機関による行き過ぎた監視行為やまた政権にとって不利益を被るような団体への圧力までに繋がるんでしょうか？
　FBIと言えば、かつてフーバー長官が政府要人の個人情報やスキャンダルを収集し秘密ファイルを、なんて話が有名ですね。

Appendix - 1

　F-Secure社のMikko氏もまた、マジックランタンに対してNAIが積極的に協力したとの疑惑や一連の議論や騒動を知らないのだろうか。

　And how should antivirus companies react to the existence of such malware? Detect it? Avoid detecting it on purpose?
　（和訳）
　アンチウイルスソフト企業は、そんなマルウェアの存在にどう反応すべきだ？検出する？わざと検出しないように避ける？
　Should police hack?（F-Secure Blog）

　回答は既に、5年半前に出ているはずだ。多くのエンドユーザーやプライバシー対策団体が、あれだけ非難したではないか。
　F-Secure社が意図的に検出を避けたならば、信頼を完全に失うだろう。

Appendix - 2

　違法な手段で得られた証拠、または確立していない技術に基づく証拠は、日本での裁判では採用されるんだろうか。