「ツイッターにも通信傍受?」に関しての雑感

   このエントリをはてなブックマークに登録    2010/9/29-2

時事通信: ツイッターにも通信傍受?=政権が法制化を検討−米紙」という記事がありました。

【ワシントン時事】28日付の米紙ワシントン・ポストは、オバマ政権がインターネットの簡易ブログ「ツイッター」や会員制交流サイト(SNS)「フェースブック」などのソーシャル・メディアやインターネット電話を対象に、司法当局による通信傍受を可能にする技術導入の義務付けを模索していると報じた。
 現行法では、犯罪やテロ捜査に当たる司法当局の盗聴を可能にするため、電話やブロードバンド・サービスの会社にこうしたシステム整備が義務付けられているが、ソーシャル・メディアは対象になっていない。(2010/09/29-06:26)

asahi.com: 米、ネット傍受強化へ法案 ブラックベリー解読も視野」も見ましたが、何の事だか良くわかりませんでした。

「あれ?Lawful Interceptってもう既にあるし、Webとかクラウドのデータはそもそも現状でもアメリカ政府が取得する方法があるんじゃなかったっけ?」というのが最初の感想でした。 しかし、色々と外国の記事を読むと、何となく「こんな感じだろうか?」という風な理解ができてきました。

まだ検討段階とのことですが、今回の話題は、今までのような令状をもとにしたデータ提供から、リアルタイムに傍受を行えるようにするという話だと思いました。

もやは、TwitterやFacebookはプラットフォームとみなされ、従来のような令状を取得してから数日後にデータを得るのではなく、リアルタイムに「傍受」を行うことを検討される対象となったということのようです。 そして、TwitterやFacebook以外のソーシャルネットも同時にリアルタイム傍受の対象となるのかも知れません。

さらに、これだけではなく、SkypeやBlackberryなども傍受の対象になりそうです。 SkypeはP2Pで接続しつつ暗号化を行って傍受できないようになっていますが、傍受を行うとしたら中国で行われているようなことが行われるのかも知れません。

中国で行われているSkypeへの検閲に関しては「中国国内ルートDNS停止事件 雑感」で書きましたが、Skype社公認でSkype互換の盗聴機能入りSkypeモドキ以外をブロックすることで、盗聴機能入りSkypeの利用を強制するという方法がとられているようです。

テロリストとソーシャルネット

ここ数年、テロリストがFacebookを利用しているというニュースがあります。 このような状況も、ソーシャルメディアに対して通信傍受を行おうという動きが出る背景にありそうです。

今回のニュースとはあまり関係がなさそうですが、テロリストがソーシャルメディアを利用するのとは逆に、米国諜報機関がFacebook風のシステムを構築して情報分析を行うという記事もありました。

既存のソーシャルネットワークとテロリストに関しても、色々と調査や研究が行われているのかも知れません。

Blackberryと通信傍受

Blackberryと通信傍受に関しては、今月初めにGIGAOMでも記事になっていました。

GIGAOM: How Your Cloud Dream Is Becoming a Security Nightmare

こちらは、アメリカの法律の話では無く、サウジアラビア、インド、レバノン、アルジェリア、インドネシアなどがBlackBerryの通信傍受を望んでいるという記事でした。 その中で、ロシアと中国に対しては既にモニタリング用の機能が提供されているのではないかという記事も紹介されています。

これらの背景として、テロリストがBlackBerryやインターネットを使っているという懸念があるものと思われます。 2008年にインドのムンバイで発生したテロでは、テロリストがBlackBerryを利用していました。

GIGAOMの記事では、インド政府などがSkypeの傍受に興味を示しているとも書かれています。 諸外国がBlackberryやSkypeなどの傍受を行える体制を整えるなかで、アメリカがその能力を持たないという状況が出来つつあったという背景があるのかも知れないと、GIGAOMの記事を再度見ながらぼんやりと思いました。

Lawful Intercept

インターネットと傍受という意味では、通信の傍受そのものはアメリカ国内で新しい話ではありません。

多くの記事が1994年のCALEA(Communications Assistance to Law Enforcement Act)に言及しています。 CALEAによって、アメリカ国内の電話会社やブロードバンドネットワーク会社は通信傍受を出来るように準備しておくことが義務づけられています。 いわゆるLawful Interceptというヤツです(wikipedia: Lawful Interception)。

このようなLawful Interceptを実現する方法を記述したRFCもあります。 「RFC3924: Cisco Architecture for Lawful Intercept in IP Networks (2004年10月)」です。

Lawful Interceptに興味があるかたは、慶應義塾大学(SFC)の村井純先生と奈良先端科学技術大学院大学の山口英先生による2005年の共同授業の映像アーカイブの42分30秒ぐらいの位置から見ると、Lawful Intercept(合法的傍受)についての授業が見られます。

アメリカにあるキャリアやISPは、Lawful Interceptを可能とするために、ネットワークの各所にポートミラーリングがいつでも可能な環境を作っています。 実は、最近流行の「クラウド」というのは、そういった環境にあるアメリカへ海外からパケットを送る行為だったりもします。

日本や世界での通信傍受

今回の話題がアメリカの法律なので、「アメリカが」という印象を受けるかも知れませんが、通信の傍受という側面だけを見ると、世界各国で行われている話だろうと思います。

まず、日本にも「犯罪捜査のための通信傍受に関する法律」があります。

また、たとえばNokia Simens Networksが2009年6月に出している「Provision of Lawful Intercept capability in Iran」というプレスリリースを見ると、以下のように書かれています。

In most countries around the world, including all EU member states and the U.S., telecommunications networks are legally required to have the capability for Lawful Intercept and this is also the case in Iran. Lawful Intercept is specified in standards defined by ETSI (European Telecommunications Standards Institute) and the 3GPP (3rd Generation Partnership Project).

これは電話や携帯電話に関してですが、世界中でLawful Interceptが行われているのがわかります。

総務省:地方公共団体ASP・SaaS活用推進会議

総務省の「地方公共団体ASP・SaaS活用推進会議」では、データの物理的な位置とクラウドに関して以下のように触れられています。

これに対し、インターネットASPについては、昨今のクラウドコンピューティングの活用の進展を受け、地方公共団体においてもこれまで以上に柔軟な情報システムの利用や業務の効率化を可能にするものと期待されるところである。しかしながら、地方公共団体におけるインターネットASPの利用については、よりグローバルにネットワーク資源を確保しているインターネットASPほどシステムの柔軟性や利用料金の低廉化を期待できる一方、例えば地方公共団体の業務に係る情報が海外の場合も含めてどのデータセンターで処理されているのか地方公共団体側では把握できないことも事実である。特に海外のデータセンターは、ASP・SaaS事業者の事業所の場所にかかわらず、データセンターの存在地の国の法律の適用を受ける場合があることに留意する必要がある。例えば、海外のデータセンターにおいて、当該国の政府当局などによる情報開示の命令などがなされた場合、地方公共団体が処理する住民情報をはじめ各種申請や納税などに関する個人情報及び日本における現行の個人情報保護法制の下では開示が想定されない情報についての適正な取扱いを確保しきれない(外国政府に対して開示されてしまう)ことも想定されるところである。

地方公共団体が扱う住民情報が海外データセンターに置かれたときのリスクが述べられています。

既に日本国外に住民情報は出てるかも

とはいえ、実は既に日本国外で処理されている住民情報はありそうな気がしています。

たとえば、以前、SalesForceに関する記事がありましたが、「publickey: セールスフォース社長がつぶやいたエコポイント申請サイトの裏話。失敗したら日本撤退も」恐らくエコポイント申請者データは日本国外にありそうだと思います。

というのは、エコポイントサイトがオープンしたのが2009年の7月1日とありますが、 2009年11月20日の記事で「ImpressクラウドWatch:米salesforce.com副社長が語る、日本にデータセンターを設置する時期 」SalesForce副社長が以下のように答えています。

日本に関しては、常に検討しています。実際、シンガポールとの距離を考えると、設置に適しています。ですから、日本のお客さまには1年以内に設置する可能性があることは伝えています。ただし、最終決定した話ではないことは理解しておいてください。

2009年11月時点では、SalesForceのデータを扱うデータセンターは日本国内にはなかったようです。 もしかしたら2000万人分のエコポイント登録者情報は海外にあるのかも知れません。

Googleもアメリカ政府にデータ提供

傍受ではなく、裁判所の令状を取得してからデータ取得もあります。

Googleのエリック・シュミット氏が「知られたくないことがあるのであれば、最初からすべきではない」とCNBCのインタビューで語ったのは有名ですが、実はその続きもあります。

GAWKER: Google CEO: Secrets Are for Filthy People」にあるビデオから文字起こしをしてみると以下のような感じです。

If you have something that you don't want anyone to know, maybe you shouldn't be doing it in the first place,

But, If you really need that kind of privacy, the reality is, that, search engines including google, do retain this information for some time , and it's important, for example, we are all subject to the United States and to the patoriot act, and it is possible that the information could be made available to the authorities.

「しかし、本当にそのようなプライバシが必要だと思っても、現実は、Googleを含む検索エンジンは、そういった情報を取得してしまうこともあり、そして我々はアメリカのパトリオット法に従わなくてはならないため、当局にそういった情報を提供することもあるということだ」という感じの発言をしています。

で、実際に今年の4月にGoogle DocsのデータがFBIに提供されてspammerが逮捕されたという事例が報道されています。

WIRED: Spam Suspect Uses Google Docs; FBI Happy

この記事によると、令状によって「電子メールと被告に関連する全てのGoogle Appsコンテンツ」を提供することが求められ、10日後にそれらが提供されたそうです。

最後に

個人的には、「クラウドが悪い」とか「ソーシャルメディアが悪い」とは思っていません。 どちらかというと、一カ所に非常に多くの情報が集まる事で、その一カ所を制御する強いインセンティブが生まれてしまうという話だろうという感想を持っています。

ソーシャルメディアやクラウドは便利ではありますが、データの物理的な位置が時として意味を持つことがあると思う今日この頃です。

   このエントリをはてなブックマークに登録