通信の秘密と「トロイの楯」作戦の法的枠組-保存通信データの捜査令状を読む

米連邦捜査局(FBI)、欧州刑事警察機構(EUROPOL)、オーストラリア連邦警察(AFP)は6月8日(各現地時間)、E2EEチャットが可能と謳うスマートフォンを闇市場に販売し、やり取りされるメッセージを傍受することにより多数の犯罪組織を摘発したと発表しました。

報道の記事としては「FBI、EUROPOL、AFPがおとり暗号化アプリ搭載スマホで犯罪組織を多数摘発」(IT Media News)という記事とか、「国際おとり捜査で800人超を逮捕 FBIが端末配布し情報傍受」(BBC)とかの記事が出ています。

FBIとかは、何を販売していたのか、ということですが、記事によると

FBIとAFPは2018年に新たな暗号化チャットプラットフォーム「AN0M」を立ち上げ、AN0MアプリだけがインストールされているスマートフォンをWebサイト(現在は閉鎖されている)で販売した。100カ国以上で1万2000台以上のスマートフォンを販売したとしている。

ということだそうです。FBIとEUROPOLはこの作戦を「Trojan Shield」と、AFPは「Operation Ironside」と読んでいます。

 

事案の概要

まるちゃんのサイトでは、FBIのニュースの始めのところが訳されています。個人的には、続きのところが面白いので、訳しておきます。


FBIのサンディエゴ支局は、暗号化電話プロバイダーであるファントムセキュア社のテイクダウンから始まった作戦のためにプールされた100人以上の捜査官とアナリスト、80人の言語学者の拠点となりました。2018年、FBIとカリフォルニア州南部地区連邦検事局は、暗号化されたデバイスを犯罪者に提供することで、多国籍な麻薬の輸入と流通を促進したとして、同社の幹部を告発しました。
この告発により、主要なデバイス・プロバイダーは閉鎖されましたが、FBIサンディエゴ支局のジェイミー・アーノルド副特別捜査官は、組織がすぐに再編成されるのを見ていたと言います。「2018年にPhantom Secureを破壊したとき、犯罪組織はすぐに他の暗号化されたプラットフォームのバックアップオプションに移行したことがわかりました。」 Phantom Secureの後、捜査官は、組織的犯罪集団がSky GlobalやEncroChatなどの異なるプラットフォームに移行する以上の解決策を考えました。

アーノルドは、「暗号化されたデバイスは、これまでも、そしてこれからも、犯罪組織、特にこれらの組織のリーダーにとって安全な避難場所であり、我々がアクセスできないコミュニケーションのためのプラットフォームを提供している」と述べています。「調査チームの捜査官、そして連邦政府や国際的なパートナーにとって、今回の事件は、ファイヤーウォールの内側に入り込み、これらの犯罪組織のリーダーの間で何が起こっているのかを確認するための、創造的で革新的な方法でした」と述べています。

これらのデバイスは、通常、口コミで紹介されたネットワークを通じて購入され、強固なデータ暗号化ツールを備えています。また、法執行機関の手に渡れば、遠隔操作でデータを消去することもできます。1,200ドルから2,000ドルで販売されているこれらのデバイスのすべての機能は、最大限の機密性を確保し、法執行機関が必要とする裁判所の許可を得たアクセスを回避するように設計されています。しかし、「トロイの楯」に搭載されたデバイスは、FBIが評価・分析できるように、各メッセージのカーボンコピーを生成します。

適切かつ許可された場合、FBIはパートナー機関に情報を送信しました。その結果、世界中の法執行機関が数千キログラムの麻薬と数百万ドルの犯罪収益を押収することができました。

米国連邦検察当局は、これらのプラットフォームを提供している他のプロバイダーを告発する可能性があります。FBIサンディエゴ支局は、今回の作戦は、これらの組織や、彼らの犯罪活動を伝達し調整する能力に対して、広範囲かつ長期的な多国籍的影響を与えるだろうと述べています。

アーノルドは、これらのネットワークの信頼性を低下させることと、貴重な捜査情報を収集することが最大の目的であると述べています。”暗号化された通信を利用して法の執行を妨害している犯罪集団は、もはやその空間で安心していられないはずです。”我々は、世界中の犯罪者が、FBIや他の法執行機関が実際に彼らのプラットフォームを運営しているのではないかと恐れるようになることを願っています」。さらに、FBIとそのパートナーは、国際的な組織犯罪者がどこにいようと、どのような通信手段を選ぼうと、その組織を解体し続けることを強調しています。


Europol関係は、まるちゃんのサイトに訳出されています。

AFP関係では面白いのは、「ネットワーク壊滅の方法(HOW WE SMASHED THE NETWORKS)」かと思います。

機会
2018: Phantom Secure Networkのテイクダウンにより、暗号化通信の市場に穴が開いてしまった。オーストラリアには14,000台以上のPhantom Secureデバイスが存在していました。犯罪者は、法執行機関から通信を隠すための新たな方法を必要としていた。

アイディア
IRONSIDE作戦のコンセプトは、Phantom Secure Networkが破壊された後、AFPとFBIが協力して作り上げたものです。

開発の経緯
AFPは、法執行機関がANØMプラットフォーム上の通信にアクセスし、解読し、読み取ることができる機能を構築し、FBIがそれを秘密裏に運営しました。

オペレーション
ANØMは市場に導入され、犯罪ネットワークによって配布されました。AFPは、メッセージを監視して犯罪の主要なテーマや脅威を発見するためのコンピュータを構築し、訓練しました。

顧客
このプラットフォームは犯罪市場に導入され、組織犯罪の中で有機的に成長していきました。

騒動
2019年、「IRONSIDE」作戦で初の逮捕者が出ました。

成果(THE OUTCOMES
2021: IRONSIDE作戦は、オーストラリアのコミュニティを脅かす組織的犯罪ネットワークを大幅に破壊しました。犯罪者は、より大きなリスクを負って、別の通信手段を考えなければならなくなるでしょう。

AFP(連邦警察)は容赦なく攻撃します。
我々は組織犯罪の裏をかきます。
そして、一歩先を行くのです。


そしてこのページでは、テバイスの説明があり、

のイラスト(ちゃんとAn0mって書いてある)ともに

デバイス
デバイスは普通の携帯電話のように作られており、暗号化されたメッセージングアプリは電卓アプリの後ろに隠されていました。このアプリには、以下のようなさまざまな機能がありました。

  • 有効期限のあるメッセージ
  • 写真を撮影してピクセル化し、他のユーザーに送信する機能
  • 声を変えて話すことができるプッシュトーク機能
  • 安全なファイルストレージ

という説明がついています。

トロイの楯作戦と「通信の秘密」を考える

この報道をみた際に、世界の法執行機関はすごいね、というリアクションと、日本では、「通信の秘密」が憲法で保護されているので、こんなことは許されないという方々からのコメントがありそうです。

ところで、個人的には

日本では、「通信の秘密」が憲法で保護されているので、こんなことは許されないという方々

って、世界における対応の枠組をわかっていっているのかなと思うところではあります。それはさておき、アメリカの法執行機関の「適法なアクセス(Lawful Access)」の体系についてまとめて、その上で、「トロイの楯」作戦における保存通信データの捜査令状が公開されていますので、その令状を読んでみたいと思います。

アメリカの法執行機関の「適法なアクセス(Lawful Access)」の体系

電子通信に対するアメリカの法執行機関の法に基づくアクセスの体系は、まずは、そのアクセスが、リアルタイムなのか、保存通信に対するアクセスなのかで、分かれることになります。

保存された情報 リアルタイムでの取得
通信データ(アカウント情報を除く) 保存通信法(提出命令又は(d)命令) 傍受禁止.(政府)ペンレジスタ/逆探知装置
内容情報  保存通信法(令状又は通知付き提出命令) 傍受禁止. (政府)タイトルⅢ

保存通信(Stored Communication)というのは、通信の第三者(送信者・受信者以外のもの)のコントロール下において、電磁的に記録されたデータに対して、受信者がアクセスして意思の伝達を行う場合のコミュニケーションに対する枠組ということです。これに対して、リアルタイムでの取得ということであれば、タイトルⅢといわれている通信傍受法の規制がかかることになります。保存通信についてのマトリックスは、こんな感じです。

自発的開示の許容性 政府に提供を義務づけるメカニズム
公共のプロバイダ 非公共のプロバイダ 公共のプロバイダ 非公共のプロバイダ
基本加入者、セッションおよび請求情報 § 2702(c)の例外の適用のない限り、政府に対しては、不可

[§ 2702(a)(3)]

 

[§ 2702(a)(3)]

提出命令、2703(d) 裁判所命令、捜索令状

[§ 2703(c)(2)]

 

提出命令、2703(d) 裁判所命令、捜索令状

[§ 2703(c)(2)]

他の取引およびアカウント記録 § 2702(c)の例外の適用のない限り、政府に対しては、不可

[§ 2702(a)(3)]

[§ 2702(a)(3)]

2703(d) 裁判所命令、捜索令状

[§ 2703(c)(1)]

2703(d) 裁判所命令、捜索令状

[§ 2703(c)(1)]

プロバイダに残るアクセスされた通信(明けられた電子メールおよびボイスメール)および他の記録されたファイル § 2702(b)の例外の適用のない限り、不可

[§ 2702(a)(3)]

[§ 2702(a)(2)]

通知ありの提出命令、2703(d) 裁判所命令、捜索令状

[§ 2703(b)]

提出命令、ECPAの適用なし

[§ 2711(2)]

 

電子メールおよびボイスメールを含む検索されていない通信(電気的記録180日間を超える) § 2702(b)の例外の適用のない限り、政府に対しては、不可

[§ 2702(a)(3)]

[§ 2702(a)(2)]

通知ありの提出命令、2703(d) 裁判所命令、捜索令状

[§ 2703(a,b)]

通知ありの提出命令、2703(d) 裁判所命令、捜索令状

[§ 2703(a,b)]

電子メールおよびボイスメールを含む検索されていない通信(電気的記録180日間以下) § 2702(b)の例外の適用のない限り、政府に対しては、不可

[§ 2702(a)(3)]

[§ 2702(a)(2)]

捜索令状

[§ 2703(a)]

捜索令状

[§ 2703(a)]

詳しい解説は「「アメリカにおけるハイテク犯罪に対する捜査手段の法的側面」報告書」(第3章司法省マニュアルと日本法の比較のための基礎的考察)をごらんください。

利用された「ANOM」スマートフォンの通信の仕組みからいうと、

プラットフォーム上のすべてのメッセージはFBIのサーバにルーティングされ、FBIが管理するマスターキーによって復号された。18カ月で2700万件のメッセージを傍受・復号したという。

ことだったので、前に第三者のもとでの電磁的記録されたデータということになります。

このような知識のもとに具体的な令状をみていくことにします。

「トロイの楯」作戦の令状

題名は、「電話またはその他の信頼できる電子的手段による令状の申請(APPLICA TION FOR A WARRANT BY TELEPHONE OR OTHER RELIABLE ELECTRONIC MEANS)」となります。(別に書面で、とはいっていないわけなんですね)

以下、要点をピックアップしていきます。

私、連邦法執行官または政府の弁護士は、捜査令状を申請し、偽証罪の適用を受けることを前提に、以下の人物または財産(捜査対象となる人物または財産を特定し、その場所を示す)についてカリフォルニア北部地区に所在する以下の人物または財産(捜索対象となる人物または財産を記述し、その場所を示す)が隠されていると信じる理由があることを述べます。

ということで、添付資料Aが引かれていて、そこでは、グーグルが記載されています。FBIのサーバにルーティングされていたということですが、そこでは、グーグルを使っていたということかもしれません。これ自体では、コロニアルパイプライン事件のように執行管轄権の限界の問題とかは考えなくていいのです。もっとも、宣誓供述では、このサーバーが第三国にあって、それを令状によって米国に転送していたという趣旨が出てきます。

添付資料Bを参照のこと。

というので、添付資料Bをみると

ATTACHMENT B

I. Service of Warrant 令状の送達

令状を執行する役員は、下記のセクション II に記載されているコンピュータ・ファイルの管理者である Google LLC に、ファイルの所在を確認し、デジタル・コピーを役員に提供することを許可するものとする。

II. Google LLCから提供される項目

契約者および/またはユーザー情報、電子メール、画像、テキストメッセージ、履歴、電話およびVoIPログ、連絡先または友人リスト、プロファイル、支払方法、詳細な請求記録、アクセスログ、バックアップデータ、トランザクションデータ、および以下のアカウントとスクリーンネームに関連するその他のファイルまたは記録: expliamdavis@gmail.com

III. 本令状に基づきGoogle LLCから提供されたデータの捜索は、本捜索令状の裏付けとして提出された宣誓供述書の「電子的に保存された情報に関する手続き」に規定された通りにFBIが行い、2021年1月1日から2021年5月17日までの期間に限定して、以下のものを押収します。

a 規制物質の流通を隠すため、またはそのような出荷のテストランを設定するための事業、記録、請求書、取引、船荷証券情報、出荷情報の作成を議論または立証する傾向のある通信、記録、および添付書類、

b.麻薬の流通を隠すため、またはそのような出荷の試運転を行うために使用される合法的な貨物または輸送手段の詳細について議論する傾向のある通信、記録、および添付書類。

c.隠した麻薬を調達する個人や場所、隠した麻薬を受け取る個人や場所、Portsを特定するような通信、記録、添付ファイル

d. 上記III(a)~(c)の活動に関与したスクリーンネームTOM FORD、Sion、および共謀者(Liam Davisなど)のユーザーを特定するような通信、記録、添付ファイル

e. 上記のコミュニケーションの背景となるコミュニケーション、記録、添付ファイル(関連する電子メールに一時的に近接して送受信された電子メールや、対象アカウントのユーザーを特定する傾向のある電子メールなど)。 これらは、Title 21, United States Code, Sect 841(a)(1), 846の違反の証拠となります。

今回の捜索は、連邦刑事訴訟規則41条(c)に基づいていて、具体的には、捜索の根拠は、 犯罪の証拠、 禁制品、犯罪の果実、その他不法に所持されている物品とされています。

ちなみに、それ以外も法令上は、 犯罪を行うために設計された、使用を意図した、または使用された財産, 逮捕されるべき人または不法に拘束されている人に対して可能です。

被疑事実としては、 21 USC § 841, 846の禁制品の流通の謀議になります。

宣誓供述書の部分をみていきます。

パラ1から、パラ8は、令状を求めている事実と捜査官の経験等なので、省略。

パラ9以下が、相当な理由の陳述です。

A ハードニングされた暗号デバイスの刑事的利用の背景としてパラ9からパラ11まで記載がされています。

ハードニングされた暗号デバイスというのは、

「ハードニングされた暗号デバイス」とは、(1)暗号化された電子通信を送受信する、または(2)機器に保存されたデータを暗号化する通信機器のことである。Phantom Secure社の製品は、他社ブランドの暗号化機器と同様に、通常の電話やインターネットの閲覧ができないなど、機能が限定されていた。Phantom Secure社は、2ヶ月から6ヶ月間の暗号化サービスプランを提供しており、6ヶ月間のサービスプランの場合、デバイスは1台1,500ドルから2,000ドルであった。デバイスは一般の店舗やオンラインでは購入できず、ユーザーがデバイスを入手するための最初の会話を始めるには、既知の販売業者とのつながりが必要であった。Phantom Secureデバイスのユーザーは、クローズドループシステムで運営されていた。つまり、デバイス間のコミュニケーションは、他のPhantom Secureデバイスを使用している自分で選ばれたクローズドグループに限定されていたのである。

と、されています(4ページ 注1の部分 )。

9. 2017年、FBIサンディエゴ支局は、強化された暗号化デバイスを提供するPhantom Secureという会社の調査を開始しました1。調査の結果、Phantom Secureは、暗号化デバイスを犯罪組織のメンバーに限定して販売していたことが判明しました。同社は、顧客層を多国籍犯罪組織(以下、「TCO」)(主に麻薬密売人)に絞り、法執行機関が合法的に通信を監視し、犯罪行為の証拠を収集する能力を阻害することを目的とした一連のサービスを提供していました。調査の結果、犯罪組織が世界中でPhantom Secureデバイスを使用していることが判明しました。

10. 2018年3月、カリフォルニア州南部地区の大陪審は、Phantom Secure社のCEOであるヴィンセント・ラモスをはじめとする4人のプリンシパルに対し、RICO法違反およびコカインの流通を幇助した罪で起訴状を提出しました。ラモスは2018年3月に逮捕されました。2 2018年10月2日、ラモスは起訴状に対して罪を認めました。司法取引の変更聴聞会において、ラモスは同社の罪を認めました。 同社は、(1)世界中の違法薬物の輸出入および流通を幇助し、(2)法執行機関からの証拠を破壊・隠蔽して司法を妨害し、(3)薬物取引の収益を洗浄しました。ラモスは懲役9年の判決を受け、この犯罪行為の収益を構成する資産である800万ドルの没収を命じられました。

11.. 暗号化機器は、法執行機関の監視・検知から逃れることができないため、TCOにとって需要の高いサービスです。Phantom Secure以外の暗号化通信サービスプロバイダーは市場に存在し、繁栄し続けています。私のトレーニングと経験に基づき、犯罪者によるこれらの暗号化されたデバイスプラットフォームへの継続的な需要が大きいことを認識しています。これは主に、組織犯罪者、特にTCOが、法執行機関の監視や傍受技術から逃れ、安全であるとみなす信頼できる通信手段を必要としているからです。TCOがこの技術のターゲットとなるのは、彼らの不正な活動の成功が法執行機関の摘発を避けることを前提としているからです。特に麻薬取引は、複数の関係者による国際的かつリアルタイムな調整に依存しています。国際的な麻薬取引では莫大な不正利益が得られるため、閉ループ環境で安全な暗号化されたメッセージを送信するという唯一の機能を持つデバイスに2000ドルを支払うことも厭わないのです。Phantom Secureの調査では、暗号化されたデバイスの機能が限られていることや、デバイス1台の価格が高いことから、プライバシーを重視する個人が、暗号化されたデバイスを使用することは知られていませんでした。

このあとFBIは、機密人的資源(Confidential Human Source (“CHS”))をリクルートします。

ちなみに、注では、

CHSは、CHSが直面している罪に関連して刑期が短縮される可能性と引き換えに、2018年からFBI捜査官のために働いています。CHSは、FBIからサービスの対価として12万ドル、生活費や旅費に関する費用として5万9,508ドルを受け取っています。本件でCHSが提供した情報およびサービスは、一部、録音されたコミュニケーション、インタビュー、および業務記録によって裏付けられているため、信頼できるものと考えられます。なお、CHSには麻薬を輸入した前科があり、6年間の懲役刑を受けています。

という説明がなされています。

12. ラモスが逮捕された後、サンディエゴのFBI捜査官は、「次世代」の暗号化通信製品を開発していたコンフィデンシャル・ヒューマン・ソース(以下、CHS)を採用し、既存の強固な暗号化デバイスの競合他社と市場シェアを争う態勢を整えました。当時、Phantom Secureの解体によって生じた空白は、犯罪ユーザーが新しい安全なブランドのデバイスに乗り換える新たな機会となっていました。CHSは、Phantom SecureとSky Globalの両方のデバイスをTCOに配布していましたが、新たな強化型暗号化デバイスの開発に多額の資金を投じていました。CHSは、「Anom」と名付けられたこの次世代デバイスをFBIに提供し、現在進行中の捜査や新たな捜査に活用してもらっています。また、CHSは、TCOと直接つながっているCHSの既存の暗号化通信機器販売業者のネットワークの一部に、Anomデバイスの配布を提案することにも合意しました。暗号通信機器は、法の執行を逃れるために存在しているため、その流通には信頼が前提となります。この影の流通システムは、法執行機関がこれらの機器からコンテンツを入手する能力を妨げるために設計されています。Phantom Secureの調査では、法執行機関による機器の入手を防ぐために、多くの場合、配信者はこれらの機器の購入希望者を審査しなければならないことが明らかになりました。このような審査は、購入者との個人的な関係や、過去・現在の犯罪行為を前提とした評判によるものです。FBIは、犯罪組織が信頼するCHSのディストリビューターにAnomを紹介することで、これらのネットワークを通じてAnomの使用を有機的に拡大することを目指した。

13. FBIは、「トロイの楯」作戦という新たな秘密捜査を開始しました。この作戦は、Anomを犯罪ネットワークに挿入し、オーストラリア連邦警察(AFP)などの国際的なパートナーと協力して通信を監視することで、Anomを利用することを中心としています。しかし、FBI、AFP、CHSは、この装置を使用する前に、既存の暗号化システムにマスターキーを組み込みました。このマスターキーは、各メッセージに密かに添付され、法執行機関が送信中のメッセージを解読して保存することを可能にします。Anomのユーザーは、この機能に気づくことはありません。トロイの楯の調査の一環として、米国外に設置されているデバイスの場合、メッセージの暗号化された「BCC」は、米国外に設置された「iBot」サーバーにルーティングされ、そこでCHSの暗号コードから復号化された後、直ちにFBIの暗号コードで再暗号化されます。新たに暗号化されたメッセージは、次にFBIが所有する第2の「iBot」サーバーに送られ、そこで復号化され、その内容が第1回目の閲覧に供されます。

14. Anomの各ユーザーは、CHSまたはAnom管理者によって特定のJabber ID(「JID」)に割り当てられる。JIDは、Blackberry Messengerの「PIN」のようなものです。JIDは、固定されたユニークな英数字の識別であるか、最近のデバイスでは2つの英単語を組み合わせたものである。Anomのユーザーは、自分でユーザー名を選択することができ、ユーザー名のリストを時間の経過とともに変更することができます。「トロイの楯」の捜査の一環として、FBIはAnomユーザーのJIDと対応するスクリーンネームのリストを管理しています。

CHSの犯罪的な流通業者は、アノムデバイスをTCOのみに提供している

 15. CHSは、FBIと協議の上、Anomデバイスの流通をコントロールしてきました。2018年10月から、CHSは、主にオーストラリアの犯罪組織とのつながりを持つ3人の元Phantomのディストリビューターにこれらのデバイスを提供し始めました。この3人は、Phantomを配布していたときの専門知識を頼りに、莫大な報酬を目当てに同意しました。この最初の「ベータテスト」のために、AFPは、オーストラリアにいる、あるいはオーストラリアとの関連性が明らかな人物のAnomデバイスを合法的に監視する裁判所命令を取得しました。ベータテストの一環として約50台の端末が配布され、成功を収めました。これらの通信を傍受することで、AFPはオーストラリアで最も洗練された2つの犯罪ネットワークに侵入しました。AFPは、Anomを介して交わされた会話の内容をサンディエゴFBIと一般的に共有しており、その中には、麻薬密売活動(数百キログラムの麻薬の輸送について話し合うことを含む)、銃器の購入、その他の違法行為が含まれていました。さらに、FBIがPhantom Secureで確認したように、オーストラリアの法執行機関によると、テスト段階のAnomユーザーの100%がAnomを使って犯罪行為を行っていました。傍受された会話には、TCOのメンバーが、オーストラリア国外に居住する組織犯罪グループの上級メンバーにAnomを提供する意思があることも明らかになっています。

16. オーストラリアでのデバイスの成長は、当初は遅かった。CHSの犯罪者向け販売店やその他のエンドユーザーからの口コミをもとに有機的に成長していきました。2019年の夏までに成長が加速しました。オーストラリアでのテストが成功している間、CHSはオーストラリアの内外でデバイスの需要が増加していることを確認しました。CHSはFBIと連携して、CHSの流通ネットワークに属する他の犯罪関係者へのデバイスの配布を増やし始めました。オーストラリアはこれらの通信を監視し続けました。

17. しかし、FBI自身は、アノムの犯罪者ユーザーの復号されたコンテンツをまだ一切確認していなかった。また、2019年の夏までに、捜査チームは第三国の代表者に、独自のiBotサーバーを受け取り、Anomのユーザー間で発生した通信内容を入手することを依頼した。2019年秋にかけて、第三国での物流や法的枠組みに関する交渉が進みました。第三国は、自国の法的枠組みに基づいて裁判所の命令を得て、そこにあるiBotサーバーをコピーし、そのコピーを相互法的支援条約(以下、MLAT)に基づいてFBIに提供することに合意しました。オーストラリアでのベータテストとは異なり、第三国では最初にコンテンツを確認することはありません。FBIは米国をジオフェンスで囲っていました。すなわち、米国のMCCを搭載した端末からの発信メッセージは、FBIのiBotサーバーには一切通信されませんでした。しかし、米国内に拠点を置く端末があった場合、AFPは通常の方針と手続きに基づいて、これらの端末が生命を脅かすものではないかと監視することに同意しました。

18. 2019年10月、第三国は裁判所の命令を得て、2~3日ごとにiBotサーバーのコピーとその内容の受信を可能にしました。米国と第三国の間の最初のMLATでは、FBIに2019年10月7日から2020年1月7日までのデータ受信が認められていました。復号化やコンテンツを使用可能な形式にする際に技術的な問題があったため、FBIが第三国から実際のサーバーのコンテンツを受け取り始めたのは2019年10月21日でした。この時点では、Anomのユーザーは数百人おり、その大半は依然としてオーストラリアに存在していました。2019年10月以降、第三国は自国の法律に基づいて追加の裁判所命令を得てiBotサーバーをコピーし、米国は追加のMLATに基づいてサーバーデータを入手しました。第三国は、毎週月曜、水曜、金曜にAnomサーバーデータをFBIに提供しており、2021年6月7日に第三国の裁判所命令が失効するまで継続して提供しています。このデータは、いくつかの例外を除き、アノムの全ユーザーの暗号化されたメッセージで構成されています(例えば、米国の約15人のアノムユーザーが他のアノムデバイスに送信したメッセージは、FBIによって確認されません)。

19. 2019年10月以降、FBIはMLATに基づき、第三国のiBotサーバーからのコンテンツをレビューしています。彼らはメッセージを翻訳し(必要に応じて、翻訳が利用可能な場合)、90カ国以上に設置された合計11,800台のデバイス(現在約9000台がアクティブ)からの2,000万以上のメッセージをカタログ化しました。次の図は、世界中の Anom ユーザーの所在地を示しています。現在、Anom デバイスが使用されている上位 5 カ国は、ドイツ、オランダ、スペイン、オーストラリア、セルビアです。

20. トロイの楯の調査では、Anom社のデバイスがTCOによって麻薬の取引やその売上金の洗浄に使われていることが明らかになりました。また、これらのデバイスの販売者は、法執行機関がデバイスを押収した際に、デバイスのコンテンツを遠隔操作で消去することで、司法を妨害しています。さらに、Anom社のメッセージの見直しにより、複数の国で多数の高レベルの公的汚職事件が発生しています。最も著名な配信者は、国際的な麻薬取引、マネーロンダリング、司法妨害を促進する企業に参加しているとして、現在FBIによって調査されています。FBI は、欧州警察のタスクフォースの協力を得て、イタリアの組織犯罪、アウトロー・モーターサイクル・ギャング、さまざまな国際的な麻薬の供給源、輸送、流通のセルなど、300 以上の異なる TCO が Anom を使用していることを特定しました。また、内容を確認した他のFBI捜査官とも話しました。私は、FBIが国際的なAnomユーザーのコンテンツをレビューしていることに精通しており、多国籍犯罪組織を調査してきた経験から、Anomデバイスは犯罪計画を公然と議論するため、あるいはそれらの計画を促進するための関係を維持するためにのみ使用されていると考えています。

21. トロイの楯の調査では、犯罪組織が複数のブランドの暗号化されたデバイスを使って活動を区分けする方法が明らかになりました。例えば、ユーザーの中には、麻薬取引の異なる部分に異なる種類のデバイスを割り当てる人もいます。例えば、薬物輸送の物流にはAnomが使用され、不正な収益の隠蔽を調整するためにCiphrやSkyが使用されたという会話を目にしたことがあります。このような区分けは、暗号通信機器業界の相互関連性を示している。この相互関連性は、トロイの木馬の捜査で2つの主要なプラットフォームが解体されたときの需要の増加にも現れています。まず、2020年7月に欧州の捜査当局がEncroChatの捜査を発表し、解体に至りました。この発表の後、犯罪グループからのAnomデバイスの需要が増加しました。さらに、2021年3月には、Jean Francois Eapの告発とSky Globalの解体が発表されたことで、犯罪組織によるAnomデバイスの需要が大幅に増加しました。Skyが解体される前は、約3,000人のアクティブなAnomユーザーがいました。2021年3月12日以降、Sky Globalの告発の直接的な結果として、現在は9000人近いAnomのアクティブユーザーがいます。ハード化された暗号化デバイスを使用する犯罪者は、常に次の安全なデバイスを探しており、これらのデバイスの販売業者は、何年にもわたって犯罪者がこれらのデバイスで不可解な通信を行うことを可能にしてきました。トロイの楯の調査の目的は、FBIがこの空間に入ってメッセージを監視することを望んでいるため、この業界全体の信頼を揺るがすことです。

以下、D 犯罪者たちのAn0m上での会話の例(パラ22からは、29)、E 対象となるアカウントおよび捜索の相当の理由の記載(パラ30から、36)、捜索令状によって得られる証拠の基礎(パラ37)、証拠の毀損のリスク、サービスプロバイダ(パラ40から42) などになります。この部分は、省略します。

次に興味深いのは、43以下の「電子的保存情報の手続」の記述です。

43. 連邦捜査官や捜査支援担当者は、捜査中の犯罪に関連する通信を特定するための訓練を受け、経験を積んでいます。Googleの担当者はそうではない。連邦捜査官が Google の広大なコンピュータネットワークを検索して関連するアカウントを探し、Google LLC の敷地内でそれらのアカウントのコンテンツを分析することは不適切かつ非現実的である。Google LLC のビジネスへの影響は、破壊的で深刻なものとなるだろう。

44. したがって、添付ファイルBに記載されているように、電子メールや添付ファイル、保存されたインスタントメッセージ、保存されたボイスメッセージ、写真など、Googleアカウントのすべてのコンテンツを押収する権限を求めます。 Google LLCの事業活動への干渉を最小限に抑えて捜索令状の目的を達成し、アカウントの捜索が許可されていないISP加入者のプライバシーを保護し、本調査を効果的に進めるために、FBIはGoogle LLCが押収の対象となるアカウントの全コンテンツのデジタルコピーを作成することを許可する権限を求めます。そのコピーは、私または権限のある連邦捜査官に提供されます。コピーは画像化され、その画像を分析して、添付ファイルBに従って差し押さえの対象となる通信およびその他の電子記録を特定します。関連する電子記録は別のメディアにコピーされます。元のメディアは封印され、必要に応じて真正性を確立するために維持されます。

45. Google LLC から提供されるデータの分析には、特別な技術的スキル、機器、およびソフトウェアが必要となる場合があります。また、非常に時間がかかる場合があります。例えば、キーワードで検索すると、何千もの「ヒット」が出てくることがありますが、データが令状の範囲内にあるかどうかを判断するためには、それぞれの「ヒット」を審査官が文脈に沿って検討する必要があります。関連性のある「ヒット」を見つけただけでは、審査のプロセスは終わりません。キーワード検索では、スペルミスのある単語を見つけたり、コード化された言語の使用を明らかにしたり、俗語を考慮したりすることはできません。電子記録が外国語で書かれていたり、外国語を使用している場合、キーワード検索はさらに制限されます。また、ファイル形式によっては、キーワード検索に適さないものもあります。キーワード検索のテキスト。一般的な電子メール、データベース、スプレッドシートなどのアプリケーションの多くは、電子メールに添付されたファイルであっても、データを検索可能なテキストとして保存しません。そのようなデータは、テキストではない独自の形式で保存されます。また、サービスプロバイダーが割り当てるストレージの容量が大きくなると、復旧したデータを適切に分析するために必要な時間が大幅に増加します。また、ISP は、提供する電子ファイルを必ずしも時系列に整理していないため、レビューにさらに時間がかかり、また、審査官が応答可能な資料を求めて各ページやレコードをレビューしなければならない場合もあります。

46. 上記に基づき、本令状に基づき押収される情報のために復元されたデータを検索するには、様々なデータ分析技術が必要となり、数週間から数ヶ月かかる可能性があります。キーワードは、得られた結果に基づいて継続的に修正される必要があり、ISPから提供された記録の構成、形式、および言語によっては、本法廷へのさらなる申請がない限り、検査官は、サービスプロバイダからデータを受け取ってから90日以内に分析に応答するかどうかを決定するために各記録を確認する必要があるかもしれない。

47. 私の経験と訓練、および私が連絡を取った他の捜査官の経験と訓練に基づき、対象アカウントのユーザーを特定するすべての電子メール、および証拠となる電子メールに文脈を提供する、証拠となる電子メールに時間的に近接して送受信されたすべての電子メールを調査し、押収する必要があります。

48. イメージされたデータのフォレンジック分析はすべて、この令状の範囲内のデータの特定と抽出のみを目的とした検索プロトコルを採用します(添付資料B参照)。

あと、面白いのは、封印と通知なしの要求です。

49. これは、ターゲットが知らないところで進行中の調査です。具体的には、この洗練された極秘のFBI捜査は、現在90カ国以上で行われています。FBIは、Anomプラットフォームの管理者と販売者の約20人を捜査対象としています。他の国では、これらのデバイスの犯罪者であるエンドユーザーの調査を開始しています。対象アカウントは、FBI の捜査対象者に直接つながっています。「トロイの楯」の捜査は、2021年6月7日の第三国の令状期間の満了をもって終了し、2021年6月8日に捜査内容が公表される予定です。それまでの間、捜査が継続的に成功するかどうかは、FBIのアノムに対する役割を秘密にしておくかどうかにかかっています。本令状の通知が対象アカウントのユーザーおよび/または加入者に直ちに送達された場合、対象アカウントのユーザーおよびその共謀者の訴追からの逃亡、証拠の隠滅(多くの暗号化されたデバイスを含む)、あるいは捜査対象者がデバイスに託した信頼を損なうことで進行中の捜査を著しく危険にさらすことになります。さらに、早急な開示は、CHSの生命と安全を危険にさらす可能性があると考えられています。以上のことから、捜査対象者の管理下にあるコンピュータやデバイスには、捜査対象となっている犯罪の証拠が存在している可能性が高いと考えられます。以上のことから、令状の存在を早急に開示すると、その証拠が破壊または改ざんされ、捜査の成功が著しく損なわれると考える理由があります。したがって、本令状およびその関連資料は、裁判所の追加命令がない限り、2021 年 6 月 7 日まで封印されることが要請されます。

50. さらに、同じ理由で、合衆国法典第18編第2705条(b)に従い、当裁判所は、本令状の送付先である電子計算機 サービス・プロバイダーに対し、裁判所の追加命令がない限り、2021年6月7日まで、本令状の存在を、本令状の執行を遵守するために必要な要員以外には知らせないよう命令することを要請する。

ここで、もっとも興味深いのは、

FBIは米国をジオフェンスで囲っていました。すなわち、米国のMCCを搭載した端末からの発信メッセージは、FBIのiBotサーバーには一切通信されませんでした

というところでしょうか。

「タイトルⅢ」は、一定の例外を除いては、基本的には、通信への参加当事者でない第三者(政府などの)が、プライベートな通話を「電気、または機械その他の装置」を使用して傍受することを禁止しています(18U.S.C.第2511条(1))。すなわち同法では、

何人も、有線通信、口頭の会話又は電子的通信を、意図的に傍受し、傍受を試み、又は他の者を説得して傍受させ、若しくは傍受を試みさせてはならない

と規定されています。そして、「傍受」(intercept)とは、

電子的機械的その他の装置の利用を通じて、有線通信、電子的通信又は口頭の会話の内容を音声その他の形態で捕捉すること

とされています。かかる規定に反した場合、民事上の損害賠償責任のほか、刑事罰として、罰金若しくは 5 年以下の拘禁刑、又はその併科になります。通信の途上のデータについてこの通信の内容を捕捉すること自体は、上記違反になるわけです。

そこで、このサーバーに流れ込む情報に対して、米国内の情報が流れ込まないようにしているものと思われます。全体像を描くとこのようになるものと考えられます。

大規模でもあり、また、法的にも、種々の事項に配慮した仕組みであることがわかります。

 

関連記事

  1. 医療機器におけるサイバーセキュリティの確保について
  2. 政府、サイバー被害の深刻度指標 対抗措置の判断基準に
  3. CyCon2017 travel memo 10) Day3
  4. CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能…
  5. 日経のハンコに関する社説は、一次情報にあたる必要がある
  6. 大規模な国際的サイバー攻撃に対するユーロポールの対応
  7. e証拠規則の検討(中) as 通信のデータについてのクラス分け(…
  8. “ウイルスのプログラム” 公開で罰金刑 研究者から疑問の声
PAGE TOP