いま実は米国内で司法省(DOJ)によって、FBIによるスパイウェアの使用を容易にするための法整備が進められているそうです。その詳細は明かされていないため、多くは謎に包まれているのも事実です。とはいえ、どうやらComputer and IP Address Verifier(CIPAV)なるマルウェアが、FBIの独自開発した代表的なツールの一例にあがっていますね。なんでもCIPAVを、ターゲットのPC内にインストールさせられれば、その情報を筒抜けにさせることが可能になってしまうんだとか。
あくまでもFBIが捜査目的でCIPAVを合法的に活用する……。ということは、さすがに勝手に金融機関のユーザー情報を盗み出したり、ソーシャルネットワーク(SNS)のユーザーページを乗っ取るなど、許可なく絶大な権力を行使することまでは認められません。犯罪の容疑者が特定されると、そのターゲットのPCへCIPAVのインストールを試みます。すると、容疑者がPCを利用するたびに、IPアドレス、MACアドレス、OSの詳細、使用したソフトウェアの種類、ブラウザーの履歴などなど、容疑者追跡のために必要な情報が随時送信されてくる仕組みになっていると説明されていますね。
問題点はないのか?
CIPAVについて公開されている情報は、あまりにも限られてしまっています。そもそも凶悪な犯罪者の追跡のため、捜査当局がマルウェアをフル活用することを合法化すると述べれば、少しは聞こえがよいのも事実でしょう。でも、そのターゲットには、怪しげに思えるだけの一般市民が多数含まれているかもしれません。まったく無実の人でも、いざFBIが狙いを定めてしまえば、そのあらゆるPCやネット利用を監視することが法律で許可されてしまってもよいものなのでしょうか?
FBIが活用するマルウェアのコマンド、プロセス、性能、仕様などの詳細なる情報は、司法機関が秘密裏に進める捜査技術に分類される。それゆえに、マルウェアの実体が明かされてしまうならば、進行中の捜査に支障をきたすばかりか、将来的な活用効果が薄れることにもなりかねない。
CIPAVの情報公開を求める声に対して、FBIはこのように説明を行ない、公然と拒否したとされています。もしもCIPAVの実体が判明してしまえば、その回避策なども講じられ、犯罪者の追跡が失敗する危険性があるというわけですね。
しかしながら、これまでにFBIが仕かけたとされるマルウェアの情報が漏れ伝わり、当初のCIPAVによる情報収集エリアを大きく上回る捜査が勝手に進められたことも指摘されてきました。例えば、FBIの監視ツールは、ターゲットのPCから、送受信されたメールの内容、保存されている写真やドキュメントファイルなどをダウンロードして入手することまで可能だったと報じられたことがあります。実際にはウェブカメラを遠隔操作でオンにし、勝手にリアルタイムの撮影を進めてユーザーの状態を把握する捜査まで進められていたんだとか! どんなホームページを訪れ、なにを書き込んだのかを知ることくらい朝飯前なんでしょうね~。
大きく譲って、CIPAVの使用そのものは法的に問題がなかったとしましょう。それでも大きく問題視されているのが、どのようにCIPAVを仕かけるのかというポイントです。まさかターゲットのユーザーに、これを捜査目的にインストールしてくださいなんて正直に頼めるわけがありません。では、どんな手法でユーザーを欺き、インストールを試みるのでしょうか? そのアプローチには、さまざまなアンダーグラウンドな手口が用いられることでしょう。犯罪者の疑いがあるというだけの段階から、合法的にプライバシーの大幅な侵害を行なうことは許されてもよいものなのでしょうか?
社会の安全秩序とプライバシーの保護は相いれますか? このトピックが、いま全米を巻き込む大きな論争となっているようです。ちなみに話を海外の遠い世界で起きていることと締めくくってしまうことはよくありません。日本国内でも治安維持のため、きっと捜査当局は似たようなアプローチを使わざるを得ないときがあるはずです。でも、それは法律で許されてよい行為なのか? いつのまにか監視対象となる可能性は、だれにだってあるわけですから、もっと十分な議論が尽くされるべき問題のようにも思えますよね。
Kate Knibbs - Gizmodo US[原文]
(湯木進悟)
