オーストラリアの人権擁護NPO団体“Electronic Frontiers Australia Inc.(EFA)” から手元に届いたニュースに、毎日新聞英字版や日経新聞の記事に基づく警察庁有識者会議の提言内容が紹介されていた(注1)。有識者会議の報告書の内容は非公開(注2)なため、不本意ながらその内容はメデイア記事のみに頼らざるを得ない。
今回のブログは、この問題に関するEFAのプライバシーに対する懸念・問題指摘をまず紹介するとともに、Torの実施・運用NPO団体である“Tor project .org”が欧米主要国の法執行機関・警察や関係機関との相互認識強化に関する情報を改めて提供するものである。特に後者の問題は有識者が“Tor system”につき、いかほど正確に把握しているか不透明であり、その意味でも報告書の早い公開が必須なことは言うまでもない。
1.EFAの課題指摘の内容
同レポートを仮訳しておく。
・日本の警察庁(National Police Agency:NPA)は、自国のISPに「自発的に」Tor(インターネットを匿名でサーフィンするため広く利用されている有名なシステム)(注3)の使用を妨害するよう、明らかに依頼している。
NPA(それはTorシステムを悪用している犯罪を防止するための措置を調べていた)に向けた専門家による議論は、4月18日のレポートでサイト管理者の裁量のブロッキング・パソコン通信がそのような犯罪を防止することに効果的であるとしていると編集した。同会議の推奨に基づいて、NPAはインターネット・プロバイダー産業界や他の団体にその旨を自発的な努力をするよう求める。
これは、極端に危険な過剰反応といえる。確かに、一部の人々は、違法な行為の目的で、Torの匿名性を悪用する。まさに一部の人々が悪いことをするために「現金の匿名性」を悪用するのと同じである。
しかし、そうであるからといって、我々はこのため「現金」を非合法化しない。人々には彼らの個人識別(アイデンティティ)を保護するためのTorのような匿名化(anonymizing)しているツールを捜す多くの正当な理由がある。彼らが警察で組織犯罪または汚職に関して警告を鳴らすホイッスルブロアーであるならば、どうであろうか?。それが犯罪行為のために使われているという恐れに関しては、それは、警察が他の手段によって彼らを特定することができないことを意味しない。我々は、彼らが犯罪を犯しているとき、再三再四、人々がデジタル・トラック情報を他の方向に向け混乱させる事例を見た。事実、それは生命を警察にとってより難しくする。そして、それは彼らが実際の捜査活動をしなければならないことを意味するが、まさに、それが彼らの仕事なのである。
2.Torの国際的は法執行機関等との深まる協議の内容
(1)ここからが、本ブログで筆者が言いたいポイントである。有識者会議がこれらの各国の法執行機関との協議内容を十分に検証した上での今回の勧奨報告であればまだしも、いかに「拙速のそしり」という非難を指摘されることはいうまでもない。
他方、筆者はこの問題に対する極めて多くの「2チャンネル」での非難を支持するものではない。まさに冷静な対応が必要な問題であると思うのである。したがって、ここでは、Tor systemにつき詳しく論じることは行わないが、少なくとも彼らが行う欧米主要国の警察や法執行機関、関係機関等の会議、研究会への積極的な参加や意見交換の概要につき紹介する。
少なくとも、わが国でもこれらに準じた手続きを経たうえでの勧奨行為が当然と考える。
(2) Tor systemの運営幹部であるロジャー・デングルディン(Roger Dingledine)のブログ解説がやや冗長かつ専門家向けのため、説明不足の感はあるが、具体的な内容なので概要を仮訳する。
Roger Dingledine氏
2013年 1月、ジェイク(Jacob Appelbaum, Advocate, Security Researcher, and Developer)と私(Roger Dingledine, Project Leader, Director, Researcher) (注4)は、オランダの地方警察や国家警察、およびベルギーの国家警察と間でTor system につき説明や協議を行った。また「Bits of Freedom」に対する短いが感動的な対話だけでなく、オランダの国家サイバーセキュリティ・センター(National Cyber Security Centre :NCSC)の2013年次会議の閉会の基調講演を行った。
あなたは私の側の得意な点の一つとして、最近のTorに関する法律の施行方法を教えてきたことを思い出すかもしれない。我々は、2012年10月にはTorについてFBIの会議で説明するとともに、過去では2008年3月にドイツでのデータ保持について議論されたときにドイツ・シュトゥットガルト警察の訪問については、私の以前のエントリーしたブログを参照してほしい。
この「Torブログ」を始める前、Torにつき私は米国司法省と数回にわたり、またノルウェー警察の特別犯罪捜査局(Kripos)との協議を行った。
今、オランダ警察は第一に2011年に起きた「DigiNotar被害」(注5)でぴりぴりしているので、オランダ警察に対しTorの話を進める良いタイミングである。しかし、彼らはどの国かわからない外国のコンピュータに侵入し合法化する彼らの2012年の法規制強化の野望があった(私は、彼らはすでにそれをやったので、合法的であると言う!)
以下に、私に印象を与えたそこでのいくつかの論点がある。
•私は、オランダの地域警察署から約80人に対話を開始した。どうやら各地域の警察グループは、基本的に1人以上のサイバー犯罪者を抱えており、ほとんどすべてのそのためTorを学ぶようになった。これらには、Torのケースを処理する方法についての彼らは警察グループの助言人なので、正確にExoneraTorのようなサービスについて知っておく必要があるのである (それは彼らの仕事が簡単になったため、その後、国家警察の一つはTorについて地域警察を教えたことに心から我々に感謝した)。
・オランダ警察との対話中に繰り返し登場した1つの問題は、次のような内容である。
:悪い男が、誰かが彼のドアのところに現れたときにもっともらしい否認を行うため、Torの「出口ノード(Exit relays)」(注6)を実行したらどうなるか?
私が最初に考えたのは警察の注目を減らすためTorの出口ノードを実行することは狂気の沙汰である。
あなたは無視したい場合、あなたは悪いことをするボットネットか何かを利用する必要があり、誰もそれを学びませんし、それは、あなたにとってすべての終わりです。
我々はTorにつきおよそ地球上のすべての法執行者を教育するまでは、常にこれまでのTorが何であるかを知らなくても、容疑者リスト上のすべてのIPアドレスを襲撃する人々が存在する。彼らについての興味深い発見の第二点は、Torのリレーがディスクにすべてのトラフィックを書き込むことはないということであった。もし容疑者は彼のハードドライブ上の悪いものを持っており、それがためにTorリレーのせいであるというのはうそである。もちろん、ディスクの暗号化は、状況を複雑にする(我々は、出口に関しディスクの暗号化の使用は勧めない)。
・私は、ベルギーの警察との間で彼らのインターネットのフィルタリング行為は "検閲"ではないという問題に関し議論に入った。私の経験では、それが起動する方法は、幾人の議員は、インターネット上でフィルタリングを正当化する非常に恐ろしい何かを決めることである。その次に、彼らは禁止事項のURLのリスト(一部完全に非透過的な方法で)を用意すべく準政府組織に委譲する。必然的に、このリストにはフィルタリングを設定するための元々の理由よりも、コンテンツのより多くの種類が含まれている。そして必然的に、あなたがそれにあってはならない場合は、リストから降りるメカニズムの救済システムは全くない。ベルギーの警察はURLのみの小さなセットをフィルタリングすること、これらの問題の各々は、議論され、透過的に民主的な方法で決定されていること、さらに、警察は準政府機関にリストについて何を教えていないだろう私に保証した。
*************************************************************************************************************************
(注1) このようサイバー犯罪からみの問題をいつも真っ先に取り上げる夏井教授主催グループのブログ(Cyberlaw)は、4月22日付けでこの問題を取り上げ、有識者会議の姿勢を批判している。
なお、英国のIT専門メディア”Wired co.uk”が4月9日の記事、やフランスのIT専門メディア“ZDNet.fr”が4月22日の記事でこの問題を取り上げているが、いずれも毎日新聞の記事を引用しているのみである。
(注2)筆者は、なぜがゆえに警察庁が有識者会議の報告内容をあえて 非公開とするのかが不明である。この程度の内容が非公開とすべきであるとも思えないし、そもそも有識者会議の目的や意図は何かさらには専門委員構成等、大いに疑問である。
弁護士(元検事)の落合洋司氏の「日々是好日」の4月18日付けのブログが「警察庁がISPに対し“Tor”の通信遮断を要請」と題してこの問題を取り上げている。落合氏が指摘しているとおり、「どこの『有識』者が、こういうことを提言しているのか知りませんが、警察の提灯持ちや露払いに堕するのもいい加減にしておかないと、せっかくの『有識』(何の有識か知りませんが)が世界的な物笑いの種になりかねません(こんなもの(報告書)を出してくるようでは、そうなったほうが良いような気もしますが)」は、納得のいく的確な指摘であると思う。
(注3) 毎日新聞は“Tor”記事の中で、次のとおり簡単な用語解説を行っている。
「◇の略で、タマネギ(onion)の皮のように何重にも暗号がかけられていることから名付けられた。90年代に米海軍の研究機関が秘密裏に情報交換するために開発。このシステムを使う世界中のパソコンの中から無作為に選ばれた3台が経由地になる。通信記録が残らないように設計されているため発信元の追跡は不可能とされる。」
(注4) Roger Dingledine氏は、TorのProject Leader, Director, Researcherである。外部に向けたアグレッシブな活動内容は興味を引くものである。例えば、YouTube:29C3: The Tor software ecosystem (EN)(2013年1月19日録画)を見てほしい。プログラム参照。なお、“29C3”は、2012年12月27日から30日にかけてドイツ・ハンブルグで開催されたカンファレンスである「29th Chaos Communication Congress(29C3)をさす。
(注5) オランダの認証局DigiNotarが不正アクセスを受け、偽のSSL証明書を発行していた問題は、さまざまなところに影響を及ぼしている。
この被害は2011年8月29日に明らかになった。米Googleのメールサービス「Gmail」のユーザーに対する中間者攻撃の動きがあったことを機に、DigiNotarが不正なSSL証明書を発行していたことが発覚。詳しく調査した結果、DigiNotarの認証局インフラが7月19日に不正アクセスを受け、管理者権限でアクセスされて500以上の偽証明書を発行していたことが明らかになってきた。その中には、google.comのほか、skype.com、twitter.com、www.facebook.comや*.windowsupdate.com、*.wordpress.comなど、広く利用されるドメインが含まれている。またDigiNotarの証明書は、オランダ政府でも利用されていた。
SSL証明書は、自分がアクセスしている先が確かに「本物である」ことを確認するために利用される。もし証明書そのものが不正に発行されれば、本物のサイトと不正なサイト、フィッシングサイトなどを見分けることができない。通信を暗号化していても、それが第三者に筒抜けになってしまう可能性があるし、アクセス先を信用して、ユーザーIDやパスワード情報を入力してしまったり、マルウェアをインストールしてしまう恐れがある。
この事態を受け、ブラウザベンダは即座に対策した。DigiNotarの証明書を信頼リストから外し、無効化した新バージョンを相次いでリリースしている。」 @IT記事から一部抜粋。
(注6)Torの「出口ノード(Exit Relay)」に関しては「ネットワーク経路を複雑化・追跡困難にするTorってどんなもの?」(netbuffalo)が図解入りで説明している。また、Tor自身がLegal FAQ で詳しく説明している。
同FAQの主要部分のみ仮訳する。
「出口ノード」とは、それらからの出口でノードのIPアドレスにまで遡ることができるトラフィックから 脱出できるという特殊な問題を引き起こす。(出口ノードは目的のWebサイトからすると、アクセス元のIPアドレスとして見えるが、もちろん本来のトラフィック送信元アドレスではない)
我々は出口を実行することは合法であると信じるが、それは出口ノードがいくつかの点で民事訴訟や法執行機関の注目を集めることが違法な目的に使用されることを統計的には認めねばならぬ可能性がある。
出口ノードは非合法とみなされ、トラフィックが中継のオペレータに起因する可能性があるためトラフィックを転送してもよい。あなたはそのリスクに対処することを望まない場合、ブリッジまたは中間リレーはあなたのためのより良い方法といえるかもしれない。これらのノードは、インターネット上で直接トラフィックを転送しないし、そう簡単に伝えられるところでは違法コンテンツの起源元と誤解されることはない。
Torのプロジェクト・ブログでは、できるだけ少ないリスクと終了を実行するためのいくつかの優れた提言をしている。我々は、あなたが出口ノードを設定する前に、これらのアドバイスを確認することを示唆する。
*私は私の家からの出口ノードを実行する必要があるか?
いいえ。もし法執行機関等は、出口ノードのトラフィックに興味がなくなった場合、官吏あなたが使用するコンピュータを押収することが可能である。そのため、それはあなたの家またはご自宅のインターネット接続を使用して、出口ノードを実行するのは最善ではない。その代わりに、Torを支持している商業施設で、出口ノードを実行することを検討してほしい。あなたの出口ノードのために別々のIPアドレスを持っているし、それを通るルート独自のトラフィックのため、別々のIPアドレスを持つべきである。もちろん、あなたの出口ノードをホストしているコンピュータ上に機密情報や個人情報を保持することは避けるべきであり、またあなたは違法目的のためにそのマシンを使うべきでない。
*私は、出口ノードを実行していることを私のISPに伝えるべきか?
はい。あなたは、出口ノードを実行していることを知っていて、その目標に関しあなたをサポートしてTorに理解があるISPがあることを確認してください。これは、あなたのインターネット・アクセスが原因で虐待の苦情にカットオフされていないことを確認するのに役立つ。 Torの支持グループ特にTorに精通しているISPは、同様ではないものとともに仲間のリストを保有している。
(以下、略す)
**********************************************************************************************************************
Copyright © 2006-2013 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
コメント
コメントを投稿