分析: 2013年、カナダ人のジョン・ダレル・クロコスは、大規模なコカイン密輸組織を率いた罪で米国で11年半の懲役刑を言い渡されました。2年後、彼の同僚であるザイド・ワキルは20年の懲役刑を言い渡されました。
彼らの事件、そして米国麻薬取締局(DEA)の捜査で逮捕された他の20人の事件の特殊性は、彼らがどのようにして逮捕されたか、つまり盗聴された携帯電話を通じてだった。
クロコス事件に関連する宣誓供述書の中で、レイチェル・バークドール特別捜査官は、クロコスに暗号化されたブラックベリーを販売し、クロコスがそれを秘密通信手段として同僚に提供していたことを明らかにした。バークドールは、クロコスが政府職員であり、米国政府がすべての携帯電話の暗号化キーを保有していたこと、つまり両氏間の電子メールとテキストメッセージの内容すべてにアクセスできることを全く知らなかった。
当局がチーム全員を逮捕し、何十年も刑務所に送るのに十分な証拠を手に入れるのは時間の問題だった。
ちなみに、宣誓供述書[PDF]には、関係者の興味深い偽名リストが掲載されています。一例を挙げると、「ジョン・ダレル・クロコス、別名ハルク、別名ヨーヨー・ハルク、別名JJ、別名ウォルター、別名ロード・オブ・ザ・ビーチズ、別名パイロット、別名エイプ、別名キャプテン、別名チューター、別名エイミー、別名ヘビーディー」などです。
これは大成功だったが、同時に極めて困難だった。麻薬密売人に自分のエージェントを信頼させ、携帯電話を購入させること自体が、そもそも難しいことだったのだ。バークドールがクロコスを投獄するためにこの手法を暴露せざるを得なくなった後、他の麻薬密売人たちは携帯電話の入手先について飛躍的に慎重になったと言っても過言ではない。
そして、この技術が明らかになったのとほぼ同時期に、DEA は容疑者の携帯電話に侵入する別の方法を検討し始めた。
ハッキングの支援
ヒューマン・ライツ・ウォッチが本日発表した特別報告書によると、アメリカの麻薬取締班の捜査員が、悪名高いイタリアの会社ハッキング・チームに接触し、他の携帯電話にマルウェアをインストールする手助けを依頼したという。
特にDEAは、ハッキング・チームの監視ソフトウェアを「おそらく1,000台」の携帯電話、具体的にはBlackBerry 10用に購入したいと考えていた。BlackBerry 10は当時、ラテンアメリカの麻薬密輸業者が好んで使っていた携帯電話だった。
Hacking Teamのメールがハッキングされ、その後Wikileaks全体に拡散されたため、私たちはこれを知っています。最も明らかになったのは、「Re: DEAとの2回目の会議」というタイトルでした。
その後、DEAがハッキングチーム社と240万ドルの契約を結んでいたことが明らかになり、議会で質問が起こり、司法省は、問題となっている国の政府職員が「標的のデバイスを提供」し、DEAがソフトウェアをインストールすることを認めた。司法省は、このソフトウェアが「リアルタイムの書面による通信と位置情報の収集」に使われ、16回もそのような行為が行われたことを認めた。
驚くべきことに、司法省がハッキングソフトウェアの使用について説明した書簡を出す数日前に、DEA は Hacking Team との契約を解除していたことが判明した。
これらすべてが、ヒューマン・ライツ・ウォッチのより大きな疑問につながる。これらの技術は有用かもしれないが、それをめぐる法的制約は何なのか?
司法省はこれまで、クラッキングされた携帯電話の提供や容疑者の携帯電話へのマルウェアの埋め込みに関する方針を明らかにしていません。DEAは、詳細が明らかになった時点でHacking Teamとの契約を解除した可能性がありますが、契約の背景にある技術については言及しておらず、現在、同様の行為を行う別の企業と別の契約を結んでいる可能性が非常に高いです。
それで、えーと、法的手続きですか?
DEAやその他の政府機関が容疑者の携帯電話のリアルタイム監視を認可するためにどのような法的手段や解釈を用いているのか、また彼らが事前にどの程度の法的権限を求めているのかは明らかではない。
そんなに難しくなかったでしょう?英国はスパイ対策で「大きな進歩」を遂げた
続きを読む
ヒューマン・ライツ・ウォッチは、麻薬を密輸していない人々を監視するのに同じ手法が使われている可能性があると指摘している。「これには、政府の監視の危険にさらされている可能性のある平和的な活動家や、侵入された携帯電話を入手する可能性のある非容疑者などが含まれる」
言い換えれば、麻薬密輸業者に関して多くの人が正当とみなすような侵入的な技術の使用に対して十分な安全策が講じられていないとしたら、同じ技術が他の人に対して使用されていないことをどうやって確信できるのでしょうか?
これは理論的な演習でもありません。法執行機関の職員は、特に成功した場合には、特定の演習をどのように実行したかの詳細を共有することがよくありますが、その情報はその後必ずしも最適に活用されるわけではありません。
メリーランド州の警察が、50ドル分のチキンウィングを盗んだ男を追跡するために携帯電話追跡技術を活用した例をご紹介します。この技術は本来、テロ対策に関わる機密性の高い事件にのみ使用されるはずでしたが、管理体制が不十分だったため、食品窃盗犯の捜索にも利用されてしまいました。
そして、イラク用に開発されたカメラや技術を使ってボストン大都市圏の全員を常に監視し、警察はテキサスの億万長者から資金を受け取ることで世間の監視を回避していた。
限定?
奇妙だけど本当だ。ということは、億万長者が金を出したせいで、あるいは地元の保安官が管轄区域内の誰かと確執しているせいで、電話やメールを常時監視されている一般のアメリカ国民がいるということなのだろうか?
それは十分にあり得ることです。だからこそ、ヒューマン・ライツ・ウォッチは、クラッキングされた携帯電話やマルウェアの背後にある政策を明らかにしたいのです。
「監視に関しては、国際人権法は、プライバシーや通信への干渉を行う政府に対し、国内法および国際法を遵守することを義務付けている」と報告書は指摘する。「また、監視措置は正当な目的の達成に必要な範囲に限定され、かつ相応でなければならない。」
「監視は、法執行機関、諜報機関、または監視を実施するその他の機関から独立した裁判所またはその他の機関によって承認される必要があります。」®
