GCHQが捜査権限法廷に公開した文書によると、GCHQは単一の「テーマ別」または「クラス」の令状に基づいて英国内の複数のコンピューターをハッキングすることが許可される可能性があるという。
プライバシー・インターナショナルと世界7社のインターネット・通信サービスプロバイダーが起こした苦情に応えて、英国の諜報機関は法廷に対し、国務長官らに大量ハッキング令状を申請し、標的の個人をハッキングすることが必要かつ適切かどうかを内部で判断していると語った。
GCHQの攻撃的なハッキング活動に対する「ソフトタッチ」の監視体制がIPT公聴会で明らかになった。IPT公聴会では今週、プライバシー・インターナショナルからと、同インターナショナルが支援するインターネットおよび通信サービスプロバイダーの国際連合から、2組の苦情が寄せられた。
告発は、GCHQによる攻撃的なハッキング、すなわちコンピュータネットワークの悪用(CNE)行為に関するもので、1990年のコンピュータ不正使用法に違反し、欧州人権条約第8条および第10条にも違反しているとされている。GCHQはこれらの疑惑を否定している。
31 ページに及ぶ修正理由説明書 (PDF) の中で、7 つの ISP および CSP の原告は、訴訟は「GCHQ が大規模監視活動の一環として、インターネットおよび通信サービス プロバイダーを標的にし、そのネットワーク インフラストラクチャに侵入して不正アクセスしようとしていること」に関するものであると述べています。
プライバシー・インターナショナルの25ページにわたる修正声明(PDF)は、スパイのCNE活動について特に懸念を表明しており、これには「Warrior Pride」などのマルウェアの開発が含まれており、デバイスを「第三者(クレジットカード詐欺師など)による攻撃に対してより脆弱にし、ひいてはユーザーの個人データをより広範囲に危険にさらす」可能性があり、法的根拠がないにもかかわらず、そのような行為を行っていることが含まれている。プライバシー・インターナショナルは次のように述べている。
政府へのハッキングはノートパソコンや携帯電話だけに限りません。スマートウォッチ、自動車、テレビ、おもちゃ… https://t.co/ghfJ5NsnWH pic.twitter.com/yMEr6LDg4J
— PrivacyInternational (@privacyint) 2015年12月1日
プライバシー・インターナショナルは、GCHQ が作成した以前は秘密にされていた文書と証人陳述書が次のことを示していると主張しました。
- GCHQは、国務長官が海外でのハッキング作戦のほとんどを個別に承認することはなく、「追加の機密性」または「政治的リスク」が伴う場合にのみ承認することを確認した[キアラン・マーティンの証人陳述書(PDF)、65、72C段落]。
- 海外でのハッキングには、特定の機器や機器の個々のユーザーの名前や説明を記載するための許可は必要ありません[56]。
- コミッショナーは、2015年4月に初めて、海外におけるGCHQハッキングの個々の標的を正式に検討した[71I]。
- 2015年3月の諜報・安全保障委員会の報告書では、MI5とSISが海外でのハッキング活動の正確な記録を保持していないことは「容認できない」と述べており[ISC報告書、66ページ]、効果的な監視が不可能になるからである[71L]。
GCHQサイバーセキュリティ局長は、証人陳述書(PDF)の中でこれらの疑惑に対し、こうした干渉が更なる損害をもたらすことを認めた。しかし、GCHQは「リスクを最小限に抑える」ことのみに努めている。
この苦情は、GCHQの「オペレーション・ソーシャリスト」の暴露を受けて出されたもので、この作戦では、諜報員らがベルギー最大の通信会社ベルガコムを攻撃し、同社のコアGRCルーターへのアクセスを獲得した。その最終目的は、スマートフォンでローミングする標的に対して中間者攻撃を実行することだった。
連合の訴状は次のように述べている。「ベルガコムの従業員が標的にされたのは、国家安全保障上の正当な懸念を抱かせたからではないことに留意する必要がある。むしろ、彼らはベルガコムのネットワーク管理者としての地位にあったため、侵入的な監視の対象となったのだ。従業員をハッキングすることで、GCHQは顧客へのアクセスを確保できたのだ。」
GCHQの行為に関するすべての告発は、元NSA契約職員エドワード・スノーデンによる公開情報に基づいており、その情報はスノーデンが文書を託したジャーナリストによってさまざまなメディアで発表された。
IPTは今朝、原告側の意見陳述を聴取し、明日は反論を聴取する予定です。審理は12月4日(金)まで続く予定です。®
