ハッカーパワーを法執行/サイバー防衛のために使うというのをセキュリティウォーズ エピソード8のテーマにしようと思っています。そのような視点でみたときに、新聞報道等において、問題とされている点がすべてつながるような気がしだしました。イメージとしては、赤でもあり、青でもあるライトセーバーのイメージです。
理論的には(?)スターウォーズの世界観では、リビングフォースを習得したフォースの姿ということになり、まさにどのような心で、そのフォースを使うのかということかと思います。
「機器干渉、国家トロイ、ボット武装解除、ビーコン-警察庁の新組織とダークサイドパワー」というエントリで、サイバー犯罪対応のための法執行手段の充実について、きちんと具体的な議論をしてもいいのではないの?という提案をしたところです(ちなみに、サイバー局関係では、まるやまさんのブログもあります)。
日経新聞でも
という記事で、この点についてふれられています。
知的財産やインフラ、国家を狙った国際的サイバー犯罪が相次ぐ。警察庁もサイバー局新設など体制強化に取り組むが、捜査権限の議論を欠き、頼りなさが残る。海外警察は容疑者にウイルスを送り込む「ポリスウエア」など様々な新手法で対抗する。
この点については、高橋としては、「リーガルマルウエアの法律問題」(2015)で検討したところです。
上のダークサイドパワーのエントリでもふれた論点ですが、もう一度、そして、2015年論文も見直して、2021年の段階において自分の考えをまとめてみます。
上では、ポリスウエアという名称になっていますが、私の論文では、リーガルマルウエアとしておきました。そこでは、
リーガルマルウエアというプログラムが存在する。具体的には、法執行当局が、標的のコンピュータに対してリモートで展開され、コンピュータのカメラ・マイクロフォーンを起動させたり/パスワードを集めたり/バードドライブ・RAMなどの保存媒体コンピュータの位置を送信したり、電話・メッセージ・ソーシャルメディアを傍受したりしようとする場合に利用するプログラムの総称
ということになります。
これを議論する前提となる令状主義、任意捜査との境界については、上の「機器干渉、国家トロイ、ボット武装解除、ビーコン-警察庁の新組織とダークサイドパワー」というエントリでふれています。
では、実例は、どうでしょうか。2015年論文では米国のリーガルマルウエアの議論を紹介しました。もっとも、その段階においては、不明確な議論が多いこと、また、司法委員会の議長Charles Grassleyは、2015年6月12日に、上述のリーガルマルウエアの各論点に関するFBI長官に対する公開質問書を送付したが、その時点では、回答がなかったことなどを紹介しています。
その後の米国の進展とかについて調べたいと思って、ちょっと検索したところ昔お会いしたジェニファー・グラニックさんの記事を発見。“Challenging Government Hacking: What’s at Stake”です。現在の国際的な議論では「政府のハッキング」という名称で論じるのがいいようです。でもって、ACLUのアミカス・キュリアがでています。
UNITED STATES OF AMERICA Plaintiff–Appellee, v. BRYAN GILBERT HENDERSON, Defendant–Appellant.
UNITED STATES OF AMERICA Plaintiff–Appellee, v. DAVID TIPPENS, Defendant–Appellant.
こごで、リサーチファンドが欲しい所とあいなりました。
が、ジェニファーさんのところにポイントが記載されています。
政府は、このマルウェアを「Network Investigative Technique」(NIT)という平凡な名前で配備する許可を得るために、バージニア州東部地区の判事に令状を求めた。この令状によってFBIは、ユーザー名とパスワードでログインした人にPlaypenからのコンピュータ指示を送信する許可を得たのです。これらの命令は、起動したコンピュータから個人情報を収集し、FBIに送信するものだと判事は説明した。(略)
今月、第9巡回区にある複数の関連会社とともに提出した準備書面(United States v. TippensおよびUnited States v. Henderson)の中で、私たちは、FBIが判事に対して誠実に対応する義務を怠ったため、捜査が違憲になったと主張しています。FBIが判事に伝えなかったことは、NITを機能させるためには、Torやその他のウェブブラウザが想定していないこと、つまりウェブページから送信されるコードをダウンロードし、インストールし、実行することを訪問者のコンピュータに強いる必要があったということです。そのために、NITはエクスプロイトコードを使用しました。エクスプロイトコードとは、Torブラウザの動作原理の欠陥を利用して設計されたソフトウェアです。さらに、TorブラウザはFirefox Mozillaコード上で動作しているため、このエクスプロイトは何百万人ものFirefoxユーザーに作用する可能性があります。
つまり、政府がハッカーとなって、国内や世界にエクスプロイトコードを送り、ブラウザのセキュリティを侵害し、コンピュータを検索して情報を得ていたのである。驚くべきことに、政府はこのようなNITの仕組みを裁判所に伝えていない。さらには、そのエクスプロイトによって、Tor(そしておそらくFirefox)の脆弱性を利用しようとしていたという事実さえ、判事には隠していたのです。
リサーチファンド待ちでありますが、その後、FBIも、「政府のハッキング」手法を用いるのに、裁判所に対して、相当程度、事実関係を明確にしているように見えます。
具体的には
- 供述書分析-FBIは、コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)をどのようにして押収したのか? における没収とそのための関連する手続 とか、
- 法的分析(FBIの未対策サーバのWebシェル削除を“代行”)
があげられます。
これらを参考にしたときに、どのようなことがいえるのか。2015年高橋論文では
抽象論の無意味さ
一般的にリーガルマルウエアの合法性と論じても法的には意味はないものと考えられるとして、個々の手法についてみていくべきとしました。
強制処分なのか、任意捜査なのか、という論点は、むしろ、侵害される権利・利益の重要性とその侵害ないし制約の実質性の二つの観点から、具体的に考察されるべき問題であるということができる。具体的には、リーガルマルウエアとして論じられているものが、どのような情報を取得しうるものであるのか、そのマルウエアのプライバシの侵害の程度はどうなのか、そのインストールに際して侵される法益の性質、刑罰法規の趣旨、行為と我が国の主権とのつながりなどの程度などが、侵害される権利・利益の重要性の観点から検討されるべきことになる。また、侵害ないし制約の実質性の観点からは、それらの手法を用いて捜査するにいたった契機との近接性、その侵害を最小限に抑える制度的な仕組み、その検証のシステムなどによって、その手法が、許容されるか否かが議論されていくべき性質のものということができよう。
これらの要素を考えて、法定の厳格な要件、手続きによって保護する必要のあるほど重要な権利・利益に対する実質的な侵害ないし制約を伴う場合といえるかどうかをもとに判断される。それにいたらない場合においては、仮に、法益の侵害があったとしても、正当な職権職務の遂行と解される(なお、警察官職務執行法1条)。
ここで、ふと思い出したのが、
カイバー・クリスタルが、ライトセーバー所持者のフォースと共鳴する特性
です。脆弱性が、あたかもカイバークリスタルとして、FBIの捜査能力(フォース)とあいまったときに、犯罪者をつかまえるのに貢献ができるわけです。この場合に、このエクスプロイットを利用するFBIは、
政府がハッカーとなって
ということで批判すればいいという問題ではないでしょう。(もっとも、これを隠していたということは、問題だろうと思います)
具体的な類型
具体的な対応ごとに考えていくべきかということで、2015年高橋論文で以下のような場合わけをして論じています。
でもって、具体的に考えていきます。
ア ツールによる通信データの積極的な取得
ツールを利用することによるパケット通信における通信データに対する覗き見については、そもそも、通信の秘密侵害における「侵す」の解釈である「積極的な取得」の意義が明確でないことも相まって正当な犯罪捜査活動としてなされるかぎりにおいて、高橋としては令状なしでおこなうことができると解しています。(STARTTLSでもここは、保護されないのかな。)
イ 覗き見・欺もうによるID/パスワードの取得
犯罪捜査に伴って、容疑者の(暗号化されていない)通信を覗き見してID/パスワードを取得する場合は、通信の秘密侵害罪における許容されない「積極的な取得」に該当するが、犯罪捜査のために取得する行為として、正当な業務行為として令状なしになしうると解していいと思います。(もっとも、今は、メール自体が、これが容易にできない仕組みになっていると理解しています)
また、フィッシングサイト等を準備して、欺もうによるID/パスワードの取得も同様です。これらを取得した上で、それらを利用してなす行為については、別途に考慮するものとなる。
ウ アクセス等の行為について
アクセス等の行為については、上記イの手法によってえた情報を利用してアクセスする場合/脆弱性情報を利用してアクセスする場合があります。この場合については、容疑者の電子計算機内に記録された情報についての全面的なアクセスをなすことになるので、捜索差押令状の手法によってなしうるものと考えられる。この場合、容疑者の電子計算機内に記録された情報を複写することになるでしょう。
RAT(リモート・アクセス・ツール)によって、容疑者のなす通信を、モニタリングすることになります。この場合は、将来にわたって、通信をモニタリングすることになる。その意味で、通信傍受令状の手法によってなしうるものと考えられる。ただし、通信傍受の仕組みにおいては、電話番号等によって通信手段を特定するということが前提になっている(通信傍受法3条)。RATによる情報取得は、別個の手法ということになるから、この手法を前提として立法的手当てが必要になるものと考えられる。今後の課題であろう。
エ 海外との関係
アクセス管理権限、コンピュータのインテグリティ、通信内容などの法益の主たる関連が、海外である場合、我が国の刑法等の解釈によって、それらの法益も我が国の法によって保護されるとしても、犯罪捜査のためにおこなう行為は、サイバー犯罪条約で議論されたように許容されないことになります。
しかしながら、我が国において上記イの手法によってID/パスワードの取得をなした場合において、そのアクセス可能になった被疑者の電子計算機が、当然に海外の保存されている通信にアクセスしうる設定になっていて、そのアクセス可能になった被疑者の電子計算機から、かかる通信にアクセスしうる場合においては、海外の法益が、「権力的」(coercive)に侵害されているとはいえないものとして、(仮に海外において通信がなされている場合であっても)いわゆる電気通信回線で接続している記録媒体からの複写の手法でかかる通信を取得しうるものと考えます(刑事訴訟法 99条2項)。
(2015年に追加)さらに、この保存しているデータがいわゆる仮想化技術によりどの法域に保存されているかがわからない場合があります。この場合についてコントロールしている主体を考えるのか、むしろ、侵害される被害国が不明とするのかという問題があるように思います。
オ 犯罪行為等による探知の契機のある場合
米国における電気通信プライバシ法タイトルIIIは、コンピュータへの攻撃が、なされたときに、その被害者は、「法の名のもとの行為者(acting under color of law)」が、コンピュータシステムにおいて、モニターすることを許容しています(18U.S.C.§2511(2)(i))。
米国の上記コンピュータ侵入者例外の規定をも考慮するときに、解釈論として、コンピュータ侵入などの犯罪が存在すると思慮される場合に、その犯人を特定するために、その侵入者の通信の内容が捜査に関連すると思料する合理的理由がある場合には、脆弱性を利用して/認証情報を利用して通信にアクセスする行為は、許容される捜査方法であり、令状を有しないと解することができるように思われます。
でもって、記事に戻ります。
警察幹部は「個人の端末に踏み込む捜査手法は理解が得られない」と漏らす。海外では通信傍受捜査の一種として導入する国が多い。日本は通信傍受対象を電話やメールの一部に限る。刑事手続きに慎重さは不可欠だが、議論もないまま日本と海外の差は広がる。
だそうですが、このように具体的な場合について、比較法的な見地も踏まえて検討しないで、できない、とあきらめているように思います。確かに
プライバシ
というマジックワードがメディアででると思考停止にあるという可能性はありますが、立法的措置を待たなくても許容される手法は、上でみたようにかなりあるものと考えます。
捜査上のログイン行為の規定がないことを問題視する。令状があれば可能だが「裁判所に手続きの不備を指摘されたこともあり、証拠収集が不正と判断されれば立証に響く。捜査員も萎縮する」と懸念する。
抽象的な議論ではなくて、具体的な議論がなされることを期待します。