ベルギー行きの船が2020年秋、ツナ缶が詰まった大量の箱を積んでエクアドルを出港した。ところが、その積荷はベルギーに到着するやいなや法執行機関に押収されてしまう。缶詰の中身は一本釣りされたビンナガマグロではなく、きれいな円盤状に小分けされた合計1,300ポンド(約590kg)を超えるコカインだったのだ。

「FBIが運営する通信ネットワークによる“おとり捜査”は、暗号化を巡る議論に深刻な問題を提起する」の写真・リンク付きの記事はこちら

この押収は幸運によるものでもなければ、定期検査によるものでさえなかった。ベルギー当局は、摘発された犯罪者たちが送っていたとされる暗号化されたテキストメッセージを読み、そこに麻薬があることを把握していた。

荷物の輸入要件や輸送コンテナの物流などに関する情報は、「ANOM」と呼ばれる暗号化された通信ネットワーク経由でテキストメッセージでやり取りされていた。このデータの内容を、米連邦捜査局(FBI)が10月からすべて把握していたのだ。

FBIの捜査官たちは、ANOMの暗号化を突破したわけでも、周到に準備された“缶詰取引”にかかわっていた人物を買収して情報を流させたわけでもなかった。実はオーストラリアの警察と共に、FBIはANOMのシステム全体を過去3年にわたって丸ごと運営していたのである。

FBIが仕掛けた“罠”の正体

蓋を開けてみれば今回の“ツナ缶”の取引の摘発は、このANOMという広大なネットワークの大海におけるたった1滴にすぎなかったことが明らかになっている。FBIが主導する国際捜査チームが6月上旬、計800人以上を逮捕したと発表したのだ。

そのうち500人以上の犯罪行為が最近のもので、当局がANOMのオーナーで運営者という立場から収集した情報に基づいて、逮捕につながったという。当局はANOMを通じて約12,000台の機器から2,700万件以上のメッセージを傍受し、それらの情報に基づいて4,500万ドル(約50億円)の国際通貨、銃器250丁、32t以上の違法薬物を押収している。

FBIは、いかにANOMに罠を仕掛けたのか──。それ自体が興味深い話だ。

裁判所に提出された文書によると、FBIは犯罪者向けにマーケティングされていた別の機密性の高い通信システムを摘発し、情報提供者になるよう開発者のひとりを説得したという。FBIの要求を受けたこの身元不明の人物は、密かにANOMにある仕掛けを施した。それは、ANOMで送信されるあらゆる通信をFBIへと中継する計算アプリだった。

闇に紛れる犯罪者たち

今回の当局によるANOMの乗っ取りは、まさに大胆な情報活動と呼ぶにふさわしいものだった。また、より広い目で見た暗号化を巡る議論にとって深刻な問題を提起するものでもある。

米司法省と世界中の法執行機関はここ数年、エンドツーエンドで暗号化された通信プラットフォームへのアクセスを求めるべく圧力を強めてきた。エンドツーエンドの暗号化とは、インターネット上を移動する暗号化されたデータが、いかなる地点においても解読できないようにする技術である。

エンドツーエンドの暗号化が施されたメッセージや通話は、送信者や受信者のデヴァイスにおけるローカルなデータとしてのみ暗号化を解除できる。このため法執行機関がリモートで解読したり、令状を発行して手に入れたりすることは難しい。また多くの場合、こうしたサーヴィスは暗号化された通信の単なる通り道として機能しており、一切のデータを保存していない。

こうした透明性に欠ける仕組みについてFBIは、「闇に紛れてしまう」と表現している。このためFBIや世界各国の法執行機関は、各企業がシステムに「バックドア(裏口)」を仕込み、政府機関が特別にアクセスできるようにすることが好ましいと繰り返し主張してきた。

一方で、サーヴィス内の全データのセキュリティを危機に晒すことなく、こうした意図的な脆弱性をつくり出すことはできないという点において、すべてのセキュリティ研究者の意見は一致している。そして今回のANOM作戦や、ここ数年で発生したいくつかの主要な事件は、たとえ犯人が“闇に紛れている”状態にあっても、法執行機関が主張するほど大きな障害にはならないことを示唆している。

「犯罪者によるエンドツーエンドの暗号化通信にアクセスするためには、企業にバックドアを仕込ませる必要があると法執行機関は主張しています。しかしANOMのような事例は、その必要がないことを示しています」と、非営利組織であるインターネットソサエティ(ISOC)のシニアヴァイスプレジデントで、ウェブセキュリティと暗号化の研究に取り組んでいるジョセフ・ロレンツォ・ホールは語る。

“裏口”の設置を求める政府当局

確かにFBIと司法省は、これまでにもバックドアの必要性を誇張してきたことで知られている。世間に注目された16年のアップルとの対立の際には、カリフォルニア州サンバーナーディーノで起きた銃撃事件の犯人のひとりが所持していた「iPhone 5c」のロックを解除するツールをつくるよう、FBIがアップルに要求していた。

アップルはこれを拒否したが、法廷闘争は最終的に引き分けに終わっている。というのも、FBIが犯人のデヴァイスにアクセスするためのサードパーティ製ツールの購入に成功したからである。同じような事態は昨年も起きている。このときは司法省がiPhone解除用の万能ツールを開発するようアップルに強制せずとも、必要としていたデータを入手できていた。

関連する物理的なデヴァイスを法執行機関が入手してロックを解除できるなら、やはり暗号化された通信のデータへのアクセスは可能になる。また、クラウド上のバックアップデータは、数え切れないほどの事例で重要な証拠をもたらしてきた。Facebookのような主要プラットフォームは、暗号化されたメッセージの実際の内容を見ずに悪意あるアクティヴィティーを検知する方法を積極的に開発している。

このようにFBIは、犯人が「闇に紛れてしまう」という問題を、これまでにも何度も克服してきた。こうした事実は、この問題が極めて深刻な脅威であるというFBIの主張が、実は誤りであることを示している。ある意味でANOMのような事例は、必ずしも企業にバックドアをつくらせなくとも、FBIは実にさまざまな次善の策を用いてこの問題を解決できることを示しているのだ。

しかし、デジタルバックドアの設置を義務づける権限を獲得しようと目論む政府は、世界中でますます増えている(オーストラリアをはじめとする一部の国は、そうした法律をすでに導入している)。こうしたなか、当局への特別なアクセス権の付与が効果的である証拠として、政府当局がANOMの件を持ち出す可能性があると研究者らは指摘する。

「ANOMのような事例を引き合いに出した上で、『今回とてもうまくいったのだから、あらゆるアプリにバックドアを設置するのはいいことではないか?』という主張に至るには、それほど大きな発想の飛躍はないように思えます。そしてこれは文字通り、米国の法執行機関が要求していることでもあるのです」と、スタンフォード大学インターネット観測所の監視およびサイバーセキュリティ部門でアソシエイトディレクターを務めるリアーナ・プフェッファーコルンは語る。ANOM上でのあらゆるメッセージを監視できたことがこれほど効果的だったのなら、単にもっと多くの場所でこうした活動を増やしてもいいのではないかと、FBIは言うかもしれないのだ。

ANOMから得られる教訓

ANOMの教訓をから、あまり発想を飛躍させすぎないことは重要だろう。このほど公開された文書によると、FBIは3年に及んだ今回の計画において外国の法律に従って活動し、米国民への監視を避けるために絶えず多大な努力をしてきたという。それにFBIが米国内に完全なバックドアシステムを展開できるようになるという差し迫った脅威も、いまのところはない。

合衆国憲法修正第4条は「不合理な」押収から国民を保護しており、また政府の令状に関する義務について明確な規定を定めている。さらに、盗聴のような継続的な監視を認める令状に関しては、法執行機関による取得がより一層困難になるよう意図的に定められている。なぜなら、そうした令状は広範囲にわたる大規模な監視を認めるものだからだ。しかし、米国家安全保障局(NSA)の監視プログラム「PRISM」が示したように、米国内で歯止めの効かないデジタル監視プログラムが実行される可能性がないとは言えない。

ANOMの件からの教訓がひとつあるとすれば、それは次のようなものだろう。多くの面で効果的であった一方で、まったく罪に問われていない人々のプライヴァシーに副次的な被害を引き起こす可能性のある手法でもあった、ということである。

そのサーヴィスが犯罪者を狙っていたとしても、法律に違反していない一般の人々が利用する可能性はある。真の犯罪者を捕らえようとする過程において、そうした人々が厳しい監視の不慮の標的になってしまう可能性もあるのだ。たとえ非常に限定的な場面においてであったとしても、政府に対して全面的なアクセス権を付与することを当然視するようなあらゆる取り組みは、プライヴァシーの侵害に歯止めが効かない事態を招くきっかけとなりうる。

「令状の取得が義務づけられ、調査の実施まで労力とリソースが必要になることには、それなりの理由があるのです」と、プフェッファーコルンは言う。「政府当局が何の抵抗もなく人々を調査対象にできればどんな結果を招くのか、わたしたちは目の当たりにしてきました」

反発にあった当局の提案

各国政府がバックドアの設置権限を幅広く積極的に求めているように見えるなか、そうした懸念が強まっている。

実際にオーストラリアのほか、米国と情報共有している機密情報共有の枠組みである「ファイブ・アイズ」に加盟する英国なども、法執行機関が主要なエンドツーエンドで暗号化されたサーヴィスにアクセスできるよう、さまざまな提案をしている。例えば19年には、当局が目をつけたチャットやその他の通信において法執行機関が“見えない参加者”として参加できるようなメカニズムを各サーヴィスが構築してはどうかと、英国の情報機関である政府通信本部(GCHQ)が提案した。

つまり、そうすることで企業は自らの暗号化プロトコルを破る必要がなくなると、GCHQは主張したのである。グループチャットにメンバー1人を追加するなどして、別のアカウントが会話に参加できるようにするだけで済む、というわけだ。

この提案は、すぐに強い反発にあった。研究者や暗号作成者、プライヴァシー活動家、人権団体、それにグーグルやマイクロソフト、アップルをはじめとする企業などが反対を表明したのだ。

なぜなら、法執行機関がチャットに“ゴースト”を追加できるツールは、悪意ある人物に発見されて濫用されるリスクもある。さらにはサーヴィスの全ユーザーをリスクに晒し、エンドツーエンドの暗号化による保護という目的を根本から壊すことになるからだ。

専門家が恐れていること

法執行機関は、通信への大規模なアクセスを確保するという大きな野望を抱いている。今回のANOMの件のように、法執行機関が機密性の高い通信サーヴィス会社を秘密裏に運営するような行為は、そうした野望を満たすまでにはいかないかもしれない。

だが、それでもなお政府当局は自身が求める情報を手に入れるさまざまな手段をもっているということを、ANOMのような事例は示している。こうした手法は度を越してしまったり、グレーな領域に入ってしまったり、潜在的なプライヴァシーへの影響を伴ったりする。犯罪者たちが潜む裏社会は、見かけほど深い闇に紛れてしまったわけではない。

「特殊な用途のために暗号化された犯罪者向けの暗号化アプリを、犯罪者たちが愚かなことにこぞって利用している現状を喜ばしく思っています」と、ジョンズ・ホプキンス大学の暗号作成者のマシュー・グリーンは語る。「わたしが本当に怖れていることは、いずれ一部の犯罪者たちが知恵を付けはじめ、さらに優れたシステムに移行してしまうことです」

※『WIRED』によるセキュリティの関連記事はこちら。