スキップしてメイン コンテンツに移動

「ドイツ連邦議会のスパウェアによる通信傍受合法化法の可決と連邦憲法裁判所の動き」(その2)

 

Last Updated: March 29,2021

⑥ ドイツ法執行当局が市民のコンピュータをトロイの木馬で偵察するのは合法か? 

 ドイツの法律は、警察はスパイウェアを疑いのある犯罪者にスヌーピング(注4)することを認められているが、厳格なガイドラインのもとでのみ行いうる。たとえば、当局は、暗号化される前にSkypeの会話を録音するために電話盗聴(phone wiretap)に相当するものについては法的承認を求めなければならない。 

  ドイツ連邦憲法裁判所は、判決等において捜査官のスパイソフトウェアで何を行いうるかを制限するとされる厳しい法的ガイドラインを設けている。たとえば、Skypeの会話を録音することは許可されているが、そのスパイウェアは被疑者のコンピュータ上のコードを変更してはならず、トロイの木馬が追加機能を含むようにするために保護装置を設置する必要がある。 

 ⑦ R2D2トロイの木馬はSkypeの会話内容を覗いているのか? 

  Skypeの会話を記録するだけでなく、MSN MessengerやYahoo Messengerチャットクライアントのようなものも盗聴し、Firefox、Opera、Internet Explorer、SeaMonkeyなどのブラウザでのキーストロークを記録することもできる。 

 さらに、トロイの木馬は、ユーザーの画面の内容を取得し、アップデートをダウンロードし、リモートWebサイトと通信することができる。

⑧ トロイの木馬はどのウェブサイトと通信しているのか? 

 このトロイの木馬は、デュッセルドルフまたはノルトライン=ヴェストファーレン州ノイスにあるIPアドレス83.236.140.90に接続しているようである。  

⑨ LKA Nordrhein-Westfalenはどこにあるのか? 

 デュッセルドルフである。  

 ⑩ スパイウェアであるトロイの木馬を使用しているLKAについてさらに何を知っているか? 

 2008年初め、WikiLeaksは、LKAとDigiTaskと呼ばれるソフトウェア会社の間で秘密のメモがあるとリークした。このWikiLeaksによって漏洩された詳細は、CCCによって発見されたR2D2トロイの木馬の動作と一致するように見える。もちろん、DigiTaskがマルウェアを書き込んでいない可能性もあるが、機能は一致している。

 DigiTaskはこれまで、Skypeの会話を監視するための監視ソフトウェアを発表したりプレゼンテーションを行ってきている。 

⑪ R2D2トロイの木馬がLKAによって使用されたことを証明できるか? 

 ドイツ警察当局が関与を確認しない限り、マルウェアを誰が作成したかを証明することは実際には不可能である。しかし、それは彼らが関与していない可能性が高いように見え始めている。

⑫ R2D2トロイの木馬はどのようにコンピュータに感染するか? 

 このマルウェアはWindowsコンピュータをターゲットとしている。 通常、添付ファイルを含む電子メール、またはコンピュータに感染するWebへのリンクすることで起きる。 (注5)  

(3)  2011.10.11 Deutsche Welle(DW)記事

 ドイツの大手メデイアDWが政府スパイウェアの背後にあるドイツの会社DigiTaskがバイエルン州へのスパイウェアの販売の事実を認めたとする記事を載せている。

 前記(1)で述べた内容とかなり重複するのでここでは引用しないが、より詳しい事実関係の説明があるので、併読されたい。 

(4)  いわゆる「合法的とされる通信傍受(Quellen-TKÜ)源」と「オンライン捜査」に関する法的考察

 限られた時間のため、法学者ウルフ・ブルマイヤー(Ulf Buermeyer)氏(注6)のレポート「Quellen-TKÜ – ein kleines Einmaleins (nicht nur) für Ermittlungsrichter」をあえて参照し,仮訳した。なお、筆者はドイツ法の専門でもないし、また憲法裁判所の判決内容についての研究者でもない。その意味で神戸大学(当時)高橋和広「IT基本権に関する一考察(Eine Uberlegung vom IT-Grundrech)」神戸大学六甲台論集法学政治学篇,61(12):39-89 等を適宜参照した。 

Ulf Buermeyer 氏

① 検証:その法的根拠は? 

 「いわゆる合法的とされる通信傍受(Quellen-TKÜ)源」は、「古典的な」電気通信監視手段の特別なケースとして提示されることが多い。ただし、技術的な観点からは、これは「オンライン検索」と同じ手順である。Quellen-TKÜと更に進めた捜査手段の両方について、監視ソフトウェア(「トロイの木馬」)がターゲット・システム上で実行されるため、厳密性・完全性には違反する。 

 合法、違法の違いは、気づかないであろうが、唯一Quellen-TKÜで収集できるデータの性質のみによる。ターゲットシステムに侵入すると、単に電話を傍受するだけの捜査は、モジュールを再起動するという単なる問題に過ぎない。CCCは「国家によるトロイの木馬」の分析でこのことを印象づけている。 

 これは、トロイの木馬によるQuellen-TKÜの法的根拠の可能性を問ううえで、次の2つの思考を証明するステップにつながり、Quellen-TKÜとオンライン捜査の両方とも既に容認できなくなる可能性がある。 

(A)Quellen-TKÜにつき特定の許可基準とは何か? 

 ソース通信システムの場合、電気通信のモニタリングが関係しているので、刑事訴訟法§100a条の義務ならびに§100bStPOの手続き上の法的基準が明らかである。 しかし、これらの基準は、情報通信システムの完全性と機密性には影響しない(基本法第10条第1項)。これは、連邦憲法裁判所のオンライン上の決定 検索、・・・・・・ 

 しかし、連邦憲法裁判所はさらに同じ判決で、Quellen-TKÜのみが存在し、オンライン検索が全くないと述べている。 

 監視が進行中の電気通信プロセスのデータに限定されている場合、これは技術的な規定と法的要件によって保証されなければならない。 

 連邦憲法裁判所(BVerfG)によって策定された法的要件の要求は、法科学においてほとんど全会一致に導かれている(例えば、JurPCのAlbrecht、Buermeyer / Baker HRRS 2009、p.433、Becker / Meinicke StV 2011,50参照) 証拠)これらの法的要件を正確に含む具体的かつ法的な規制が必要である。 

 ドイツ刑事訴訟法第100a条および刑事訴訟法第100b条は、 Quellen-TKÜ の特別な特徴について言及しておらず、特に「技術的予防措置」による電気通信の制限を確実にするための保護措置を規制していないため、 これらの基準の拒否は、最初の検査段階である。 個々の裁判官がこれを違う方法で見れば、司法機関の自己エンパワメントがあり、それはすでにNetzpolitik.org とのインタビューで非常に疑わしいと批判されている。 

(B)「附属品の権能」

 ドイツにおいて非常に影響力のある裁判官(Lutz Meyer-Goßner)は、Quellen-TKÜの具体的な法的根拠は必要ないと主張する。ターゲットコンピュータにトロイの木馬を潜入させる許可は、それほど重要ではありません 電気通信の監視の付属品は、刑事訴訟法§100a,§100bに基づいても可能である。そうでない場合はプロバイダーのみが通信傍受(TKÜ)手段の使用が許可される。 

 ここでのキーワードは「附属品としての権能(Annex-Kompetenz)」である。この基準の裁判官が通信傍受(TKÜ)を手配することができれば、トロイの木馬使用につきTKÜを小さな付録として与えることは簡単であろう。 

 この見解が疑わしいほど、CCCは、データ主体のプライバシーのためのトロイの木馬の使用の劇的な結果を明らかにしただけでなく、ターゲットシステムのデータセキュリティ問題を明らかにした。 通常のTKÜと発信元TKÜは、関係者の権利における介入の重大度と比較されるべきではなく、常にトロイの木馬に関連するリスクがあるためである。ほぼ預言的であるが、連邦憲法裁判所が2008年にすでに「オンライン捜査」に関する決定を行っている。 

 「複雑な情報技術システムが電気通信監視のために技術的に浸透している場合(「情報通信監視」)、システム全体を偵察するためには侵入に大きな障害がある。現在の電気通信の単なる監視に接続されており、特に、パーソナルコンピュータに記憶されたデータは、システムの電気通信使用に関係しないことに留意されたい。 

 さらに、聴聞会で有能な専門家から提供された情報によれば、たとえこれが意図ではないとしても、現在の電気通信に言及することなく、浸透後にデータを収集することができる。その結果、従来のネットワークベースの電気通信監視とは異なり、関係者は電気通信の内容や状況を超えて追加の個人情報が収集されるリスクが常にあることになる。 

 これは実際には追加するものではない。 TKÜへの憲法上無関係な併合措置へのターゲットシステムの非常に繊細な浸潤をどのように描写するかは、私にとってはあまり驚くことではない。 

(C)結論

① ここに記載された見解によれば、これはすでにトロイの木馬(Trojans)によるQuellen-TKÜの認可に適した法的基盤が欠けている。 

②比例性についての検証

 通信傍受につき刑事訴訟法の§100a、§100bの適用を希望する者は、裁判官または検察官として、電気通信監視の比例性を検証しなければならない。 この検証には、テクニカルリソースの選択、特に通信傍受(TKÜ)に利用可能な他の制限の少ない可能性の検討も含まれる。 

 この場合、警察は、「通常の」通信傍受TKÜ命令によって、例えばDeutsche Telekomに実装されているのと同様に、「通常の」通信傍受TKÜ決定に基づいて通信事業者に連絡することができる。。Skypeから特定の ポートまたはユーザー名を得る可能性が存在するかどうかは、100%確実ではない(Skypeは公式に意見を述べていない)。一方、「スカイプの合法傍受」に関するGoogle検索の結果では、この可能性を示唆する多数の目標が明らかになっている。Thomas Stadlerはこの可能性についても言及している。この可能性は、Skypeのプライバシー利用条件で明示的に言及されている。 オーストリア警察当局はこのオプションを望んでいる。 すでにドイツメデイア”Heise.de”にもこの可能性について報告している。 

 しかし、スカイプはEUのルクセンブルクに拠点を置く企業でもあり、容易にアクセスできる。 裁判官または検察官の観点から見ると、これは、比例関係の文脈では、当初、Quellen-TKÜに対抗し、Skypeなどのプロバイダーと古典的傍受を実装するためのマイルドな方法であることを意味する。これは、一方では、ドイツ刑事訴訟法第100b条(3)号によって規定されている道でもある。 一方、これはトロイの木馬が拒否したターゲットシステムへのかなりの干渉のためです - 穏やかな介入の憲法的見地からもそうである。 Skypeが通信傍受(TKÜ)の司法上の許可を実施していないなどの事実も明らかになった場合にのみ、さらなるステップを検討することができる。 

 実際には、これは、Quellen-TKÜを開始するための「主な」要求が、検察官と調査官によって却下されるべきであることを意味する。 むしろ、前提条件がそれ以外の場合は、それぞれのVoice over IP事業者に対して「通常の」TKÜが適用されるか、注文されることになる。この対策が成功した場合にのみ、さらに拡大段階をコンピュータに浸透させなければならない可能性がある。 

③ 技術面からの検証

 実際に利用可能な他の技術的解決策がないことが明らかであり、刑事訴訟法の§100a、§100bが法的根拠とされるというさらなる仮定がある場合はBVerfGの判決文にあるとおり、電気通信サービスの制限について憲法裁判所上の問題するのが実際的である 

 一方、ドイツ基本法第10条(1)項(信書の秘密並びに郵便及び電信電話の秘密は、これを侵してはならない)は、モニタリングが進行中の電気通信プロセスのデータのみに限定されている場合、「ソース電気通信監視」の認可の評価に関する唯一の基本的な法的基準である。これは、技術的な規定と法的要件によって保証されなければならない。 

 しかし、これは問題のない形式ではない。Quellen-TKÜ.の全体の構成はこの制限に依存する。制限が満たされなかった場合は、代わりに不正なオンライン検索が行われ、自営の情報システム(「コンピュータ基本権(Computer-Grundrecht)」)の完全性と機密性に対する基本的権利が侵害される。 したがって、裁判官と検察官は、これを効果的に管理するためにすべてのことを行う必要がある。 特に、当局自身がソフトウェアの各メーカーによって完全かつ正確に情報が提供されているかどうかは不明であるため、警察だけの保証を信頼することはできない。 CCCによって分析された事件は、少なくとも司法機関(おそらく警察)でさえ、彼らが実際にハードディスク上で告発するため得られた「デジタル・バグ」(FAZ)を知らないことさえ示唆している。 したがって、ターゲットシステムの耐性状態の浸潤に対して、以下の最小要件を定式化することができる。 

◾それぞれ使用されているソフトウェアは、独立した場所のソーステキストと実行可能ファイル(「バイナリ(Binaries)」)を使用して分析されていなければならない。

◾このチェックはケースバイケースで行われなければならず、使用されるソフトウェアが法的要件を満たしていることを確かめられねばならない。 

 このためには、個々のケースではコントロールセンターから専門家の意見を得なければならず、意思決定プロセスにおいて裁判官が利用可能でなければならないため、すべての前提条件が満たされているかどうかを「ポイントごとに」チェックしうる。 

【結論】 

 いずれにしても、基本法の憲法上、州においては、Quellen-TKÜは一番困難な憲法上でのみ実施される。すべての裁判官、検察官は、上記の最低限の法的要件および技術的要件が「戦闘の熱意のなさ」ではないことを確実にするための積極的な措置を講じる責任がある。 

 残念ながら、犯罪は遍在しているが、私たちは起訴に尽力している。 しかし、法執行当局の法的違反は決して取られないかもしれないし、あるいは促進されるかもしれない。 さもなければ、私たちは保護しようとしている司法国家を改めて洞察する必要があろう。

 以下は、本論とは直接関係ないなので訳は略す。 

************************************************************

(注4) ”snooping”とは、通信・ネットワークの分野では、通信機器やコンピュータが、回線やネットワークを流れるデータのうち、自分宛でないものをこっそり取り込んで中身を見る仕組みや機能のことをいう。 

(注5) Sophosは自社の専門的視点から次の補足説明を行っている。

*ソフォスはR2D2トロイの木馬を検出しますか? 

はい。 ソフォス製品は、 Troj / BckR2D2-Aとして検出します。  

* Sophos製品を使用していない場合は、アンチウィルスベンダーに連絡して保護が追加されているかどうかを確認してください。 

 * 法執行機関と協力して意図的にマルウェアを検出してはいけませんか? 

 作者が誰であろうと、当社は知っているすべてのマルウェアを検出する。そのため、ソフォスラボでは、州主催であるかどうかにかかわらず、お客様のコンピュータに対する攻撃から保護する。  

*あなたがそれについて考えるなら、賢明な選択肢はありません。 サイバー犯罪者が法執行機関のトロイの木馬を召喚し、それを無実の当事者に対して使用させるのを止めるにはどうすればよいですか?  

お客様の保護が最優先です。 当局がマルウェアを検出しないようにしたいのであれば、私たちがソフトウェアを傷つけるのではなく、検出できないものを書き込もうとしている。 

(注6) Ulf_Buermeyer氏の略歴を紹介する。法学者で、ベルリンに住んでいる。戦略的に実施された法的手続きを通じて基本的および人権を擁護する非営利団体であるGesellschaftfürFreiheitsrechteeV(GFF)の会長兼法務部長である。彼は現在、ベルリン地方裁判所の裁判官としての地位を離れている。

の学術研究は、憲法(特に、コミュニケーションの自由、情報の自己決定、情報の自由)と、刑事手続や判決の執行を含む刑法に焦点を当てている。 彼はフランクフルト/マインのヨハン・ヴォルフガング・ゲーテ大学から、情報の自己決定と刑事制度における効果的な法的保護に関する論文で博士号を取得した。 2013/2014年、彼はニューヨーク市のコロンビア大学ロースクールでLL.Mプログラムの特別研究期間(Sabbaticals)でアメリカ法を学んだ。 2017年から2019年まで、彼はベルリン州憲法裁判所の研究助手であった。 2018年以来、彼は上院司法省、消費者保護およびベルリン州の差別禁止のために、ベルリン州の無線セルクエリ透明性システム(FTS)を開発しており、その一部は上院政権への代表団として現在も務めている。彼はホームページ(https://buermeyer.de/ulf/)を持っており、CCC(Chaos Computer Club)(1981年にハンブルクでバウ・ホラント氏(Wau Holland)を中心に電子技術マニア、ハッカー、技術フリークが集まり設立された団体)と社団法人Digitale Gesellschafte Vのメンバーである。

**************************************************************************************** 

Copyright © 2006-2017 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...