ネット傍受の強化が、セキュリティを危険にさらす

コメントする

05/19/2013 by kaztaira

先週の米メディアはこの話で持ちきりだった。米司法省により、AP通信の記者、編集者の電話の発信記録が2カ月文、事前通告なく押収されていたという事件だ。

GOV’T OBTAINS WIDE AP PHONE RECORDS IN PROBE (AP)

そして、議論は一方で、伝統的な電話回線の捜査からさらに広がりを見せている。

Exif_JPEG_PICTUREスカイプなどの、ピア・ツー・ピア(P2P)のネット通話の傍受を巡る攻防だ。ブルース・シュナイアーさんやフィル・ジンマーマンさんといった、だれもが知るセキュリティの専門家たちが、ネット傍受強化はセキュリティを危険にさらす、と声を上げているのだ。

まずは、AP通信の事件について。

AP通信自体の記事によると、押収されたのはニューヨーク、ワシントン、ハートフォード(コネチカット州)のAPのオフィス、米下院の記者席の20を超す電話回線の、2012年4月~5月の発信記録。それらのオフィスでは合わせて100人以上が働いているという。押収された中に着信記録や通話内容のものも含まれているかどうかはわからないという。

AP通信は5月10日に司法省からの通告で押収を知ったといい、「大規模で前例のない侵害行為」と非難している。

司法省は押収の理由を明らかにしていないというが、AP通信は、アルカイダによる米国行き航空機の爆破テロ計画をイエメンのCIAが未然に阻止した、との2012年5月7日の記事が関係しているのではないか、と指摘している。

CIA ‘foiled al-Qaida bomb plot’ around anniversary of Bin Laden death (AP)

通話記録は電話会社から押収されたもの、とAP通信は見ているが、司法省からの具体的説明はないという。

相当乱暴でひどい話だが、捜査手法として見れば、今回のような電話記録の押収は伝統的な範疇に入る。

このほかの手法としては、通話そのもののリアルタイムの傍受もある。そしてワシントン・ポストやニューヨーク・タイムズによると、米連邦捜査局(FBI)はネットに対応した通信傍受法制の強化を検討しているという。

Panel seeks to fine tech companies for noncompliance with wiretap orders (Washington Post)

U.S. Weighs Wide Overhaul of Wiretap Laws (New York Times)

 

強化のポイントは、電話回線のように傍受の捕捉ポイントがない、たとえばスカイプのようなP2Pのインターネット音声通話(VoIP)などだ。通信会社、ウェブサービス企業にこれらの通信傍受のための対応を求め、応じない場合には罰金を科すことを想定しているようだ。

議論の対象になっているのは、通信事業者に対して、通信傍受への対応を求めるCALEA(法執行機関のための通信支援法 Communications Assistance for Law Enforcement Act)と呼ばれる1994年の法律だ。同法は、電話だけを対象にしているわけではなく、本格的なインターネット時代を迎えた2004年には、米連邦通信委員会(FCC)がブロードバンドのVoIPもCALEAの対象になる、との判断を示している。

そして、スカイプなどの普及に対応してさらに同法の適用を強化する、というのが今行われている議論のようだ。

これに異議を唱えているのが、サイバーセキュリティーのブルース・シュナイアーさん、暗号ソフトPGP(Pretty Good Privacy)の開発者として知られるフィル・ジンマーマンさんら20人の専門家だ。

Concerns Arise on U.S. Effort to Allow Internet ‘Wiretaps’(New York Times)

AP通信が司法省からの押収通告を受け取った1週間後の17日、こんな報告書を公表した。「CALEA2:エンドポイントの通信傍受対応のリスク(CALEA II: Risks of Wiretap Modifications to Endpoints)」

 

その論旨は明快だ。

中央制御の設計になっていない、P2Pのような端末(エンドポイント)間を直接つなぐ通信の場合、それを傍受しようとすると、パソコンやスマートフォンなどの端末側に専用ツールを設定することなどで対応せざるを得ない。しかも、傍受していることが通信の当事者に検知されないような仕組みが必要だ。

だが、この傍受の仕組みがひとたびテロリストや敵対国に悪用された場合、逆に自国の機密情報などが傍受の標的となっても、その検知は難しくなってしまう。

また、この傍受ツールの運用場面を考えた場合、その「オン/オフ」をだれが管理するのか、という問題も出てくる。プロバイダーなどの通信事業者側で管理する場合には、捜査機関からの要請に対応する法務担当者を含めた要員が必要になってくるし、従業員による悪用の可能性にも対応しなければならない。

別の対応としては、政府(法執行機関)からは必要に応じて傍受できるように、あらかじめツールに「裏口」をつくりこんでおく、という選択肢もある。ただ、これはセキュリティ上の「穴」にもなり、このようなツールが広まれば、やはりテロリストや敵対国が悪用し、自国が傍受の標的となるリスクも抱えることになる。

もし、米国のソフト企業に傍受ツールの採用を義務づけた場合、海外のオープンソースコミュニティがそのソフトと同様の機能を持つ、傍受非対応のオープンソースツールを開発するかもしれない。傍受を嫌うユーザーは、その「安全」な方のオープンソースツールをダウンロードするだけだ。

そうなると、傍受を嫌うテロリストはセキュリティの強固な「安全」版オープンソースツールを使っているのに、米政府機関は、政府公認の「穴」のある脆弱版のソフトを使い続ける、という皮肉な事態にもなりかねない、と報告書は指摘する。

つまり、FBIの目指すCALEAの強化版「CALEA2」は、結果的に、敵対勢力に手を貸すために開発費を使うことにしかならず、ただでさえ低いサイバー攻撃への防波堤を、さらに下げることになりかねない、と。

本当の専門家の言うことは、現実的でわかりやすい。

————————————————
『朝日新聞記者のネット情報活用術』
cover3

 

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

アーカイブ

%d人のブロガーが「いいね」をつけました。