GCHQは火曜日の朝に始まった公聴会で、攻撃的なハッキング行為をめぐって異議を申し立てられている。この異議申し立ては、捜査権限裁判所で審理されている。同裁判所は、諜報機関に関する苦情を審理する権限を持つ国内唯一の司法機関である。
昨年、プライバシー・インターナショナルとISPおよび関連団体の世界連合から、GCHQが違法に実施したとされる攻撃的なハッキング行為に関して2件の苦情が提出された。
プライバシー・インターナショナルは、これらの訴訟が提起された当時、GCHQがコンピュータネットワーク・エクスプロイト(CNE)作戦を実行する明確な法的権限はなかったと主張している。その後、政府はコンピュータ不正使用法の改正案を提出したが、プライバシー・インターナショナルは、この改正案は「不正かつ非民主的」であり、「GCHQのハッキング作戦を合法化しようとするもの」だと主張した。
内務省の広報担当者は、この修正案が「諜報機関の合法的なサイバー犯罪捜査能力を増大させたり拡大したりする」ものではないと否定した。
MI5の定義によると、CNEは「敵対者が遠隔地から、安価に、そして産業規模で情報を窃取することを可能にする。これは、敵対者の海外諜報員やエージェントにとって比較的リスクの少ない方法で実行できる」。
Privacy International によると、政府は機器干渉実施規則 (PDF) の草案を発表することで法的な空白を埋めようとしており、一方で新たな捜査権限法案 (PDF) の草案では、CNE を「『機器干渉』 (パート 5) と『バルク機器干渉』 (パート 6、第 3 章) の規定を含め、法定の基盤の上にしっかりと置こうとしている」とのことです。
ドラフト機器干渉実務規範、第1.9項
GCHQの攻撃的セキュリティ対策と防御的セキュリティ対策の潜在的な相反性は、技術者の間で常に懸念されてきた。GCHQの情報保証部門であるCESGが主催した情報保証会議IA15で講演したGCHQ長官は、GCHQの行動が英国のセキュリティ・エコロジーに悪影響を及ぼしているという非難を一蹴した。
当時、プライバシー・インターナショナルの技術者リチャード・タイナン博士はザ・レジスター紙の取材に対し、次のように述べた。「ハニガン氏は、GCHQはシステムの脆弱性を助長しておらず、発見された脆弱性を定期的に報告していると主張するが、その言葉遣いには極めて微妙なニュアンスが含まれている。GCHQによる強制行為の全容は永遠に解明されないかもしれないが、その兄貴分であるNSAが暗号化製品を提供するRSAに1,000万ドルを支払ったことは確かだ。」
タイナン博士は続けた。
エドワード・スノーデンの暴露から、GCHQは発見した脆弱性をすべて公開せず、攻撃的なハッキングに利用していることも明らかになりました。GCHQは、ウイルス対策ベンダーから世界中のオンラインブログやフォーラムで一般的に使用されているソフトウェアまで、様々なプロバイダーを標的にしてきました。
現行法上、あるいは提案されている捜査権限法案上、GCHQが国民のプライバシーとセキュリティを保護する義務を怠ることを認める根拠は存在しません。さらに、このような行為は、サイバー犯罪者や政府を含む、欠陥に気付いた者によってユーザーがいつでも裏切られる可能性があるため、デバイス、ネットワーク、サービスへの信頼を損なうものです。
GCHQは、NSAがゼロデイ攻撃を蓄積するために使用しているような脆弱性公平ポリシーの存在についてThe Registerから質問されたが、コメントを拒否した。
プライバシー・インターナショナルは、CNE は「装置への侵入に成功すれば、エージェントがさらに多くの情報を入手するのを妨げる技術的な障壁がないため、現在諜報機関が展開しているどの監視技術よりもはるかに侵入的である」と主張している。
キャンペーングループの言葉によれば:
[GCHQ] のエージェントは、文書、電子メール、日記、連絡先、写真、インターネット メッセージのチャット ログ、モバイル機器上の位置情報記録など、保存されているあらゆるデータにアクセスできます。
エージェントは、パスワード、インターネット閲覧、共有するつもりのないドラフト文書や通信など、デバイスに入力されたすべての内容も確認できます。
削除されたファイルにアクセスしたり、マイク、ウェブカメラ、GPS ベースのロケーター テクノロジをオンにするなど、デバイスの機能を制御したりできます。
CNE は、個々のコンピュータや携帯電話に対して使用されるだけでなく、通信ネットワーク全体に対しても使用され、プライバシーとセキュリティを全体的に侵害する可能性があります。
公聴会は今朝10時30分に始まります。®
