![[レポート]ノンプライベート・チャット: フラットな世界での警察捜査手法 – CODE BLUE 2021 #codeblue_jp](https://devio2023-media.developers.io/wp-content/uploads/2021/10/CODEBLUE2021_logo.png){kind=logo}
[レポート]ノンプライベート・チャット: フラットな世界での警察捜査手法 – CODE BLUE 2021 #codeblue_jp
CODE BLUE 2021の下記セッションのレポートです。
ノンプライベート・チャット: フラットな世界での警察捜査手法
法の執行と国家安全保障が関わる場合、公序良俗とプライバシーとのバランスが議論の俎上に載せられることとなる。警察の捜査能力が認められ、コミュニケーション方法の革命により、より技術的な要素が追加された。今日では、メッセンジャーアプリが人々の間で人気のあるコミュニケーション手段となった。犯罪捜査では、メッセンジャーアプリ内の通信内容を対象とし始めている。しかし、このような技術的な捜査手法の合法性は、世間から異議が唱えられている。
講演では、まず、メッセンジャーアプリの技術的な部分と警察の監視の可能性について論じる。さまざまな地域で人気のあるメッセンジャーが存在する。これらのアプリでは、個人情報がデータ収集者側であるサービスプロバイダーに保存されるだけでなく、家族や友人とのプライベートなチャットメッセージも保存される。メッセンジャーアプリの企業は、技術的にユーザーのプライバシーを保護するため、ポイント・ツー・ポイントの暗号化(エンド・ツー・エンドの暗号化、E2EE)を使用していると言うが、実際のところ、E2EEとは何なのだろうか? メッセンジャーアプリのE2EEには違いがあるのだろうか? また、監視(スパイ)アプリの中には、E2EEの範囲にあるデータに到達できると明らかにするものもあるが、これはどのように実現しているのだろうか? 多くのスパイアプリが存在するからこそ、警察の監視が可能となる。このパートでは、プライバシー保護とスパイ活動の技術的な部分についても議論する。この議論は、技術的な観点から「現実の世界で警察が何をどのように把握しているのか」を指摘することとなる。
第2パートは、台湾の技術調査法の草案から始める。2020年9月8日、台湾法務部が発表した「技術調査法」草案では、「情報源の通信監視」を含むさまざまなハイテク捜査手法が紹介されている。ここでは、技術調査法の草案を紹介し、情報源の通信監視のルールを紹介する。また、ドイツの刑事訴訟法、日本の「通信傍受法」、米国の「通信保存法(Stored Communication Act)」、豪州の「電気通信およびその他の法改正(Telecommunications and Other Legislation Amendment Bill)」などを参考に、これらの法律に関連する事例を紹介する。ここでは、上記の法律に関連する事例を紹介する。
(1) 公共の利益のために個人の通信を取得するのであれば、プライバシー保護と公共の利益との間にはどのような線引きがあるだろうか。また、個人の通信を取得するための法的根拠とは何だろうか。
(2) 政府は、テクノロジー企業に対して、個人のコミュニケーション・コンテンツを提供するよう要求したり、強制したりできるだろうか?
(3) 暗号化されたものについてはどうだろうか?以上の3つの問題を議論することで、本講演では、プライバシー保護と警察の捜査とのバランスを見つけたいと考えている。最後に、台湾の警察がCOVID-19測定のために収集した個人情報を事件の捜査に利用した事例を紹介する。
Presented by : ヴィック・ファン - Vic Huang、ジョイ・ホー - Joy Ho
レポート
ヴィック・ファン - Vic Huang さん
- 警察の捜査能力の歴史は長い
- 捜査は紀元前から存在
- マイステールで基地局の信号を傍受 など
- 一方でプライベートの問題も発生
- 現在では、メッセンジャーアプリは様々な用途に利用されている
- おそらく犯罪用途にも利用されている
- メッセンジャーアプリの重要な情報
- 個人情報(本名が存在する場合もある)
- 電話番号
- Profile
- Location
- アカウント/パスワード
- センシティブな情報(通信の秘密)
- テキスト
- 画像
- 動画
- 電話
- ボイスメッセージ
- IPアドレス/デバイス情報
- サービスプロバイダーも機密を保持しようとしている
- End to End Encyption (E2EE)
- Diffie–Hellman key exchange
- End to End Encyption (E2EE)
- アプリごとのE2EE比較
- ほとんどのメッセンジャーアプリで、テキストはデフォルトでE2EE有効
- FacebookとTeregramは特定の場合に有効(ユーザが秘密の会話機能を使ったとき等)
- ほとんどのメッセンジャーアプリで、ビデオ通話はE2EEは利用していない
- ほとんどのメッセンジャーアプリで、テキストはデフォルトでE2EE有効
- Backup 機能
- ローカルのストレージにプレーンテキストが存在している
- 攻撃の標的はローカルのストレージになる
- 攻撃者はローカルストレージを狙う他に、スパイウェアやアプリの脆弱性を利用して攻撃
- サマリ
- なぜメッセンジャーアプリが警察捜査で重要なのかについて触れた、情報のため
- E2EEの範囲について述べた
- 警察捜査で情報を獲得するための技術的可能性について述べた
ジョイ・ホー - Joy Ho さん
- 弁護士であり、法律とアプローチの観点で話す
- 台湾のケース
- GPS情報を捜査に利用して有罪になった事例
- 犯罪捜査にハイテクを利用することの議論を呼んだ
- TIA (Technology Investigation Act) につながった
- 個人は合理的なプライバーの確保を期待している
- TIA 法では車の社外は Pulic 空間
- 社内は Private 空間
- 伝統的なモニタリング
- 電話を傍受
- 令状を出して捜査
- ハイテクなモニタリング
- 携帯電話の情報を取得
- ドイツの法制度
- 捜査側の通信モニタリング、警察は事前に承認を求める必要がある
- 発信するコミュニケーションへのアクセスに限定される
- オンラインサーチ:保管されているあらゆるデータにアクセス可能
- 携帯のデータにもアクセス可能
- 2008年以降に特定の条件下で認められた(重大なリスクがある場合)
- 裁判所のリザベーション原則への遵守が必要
- プラベートな生活の保護が前提
- 捜査側の通信モニタリング、警察は事前に承認を求める必要がある
- 日本の法制度
- 通信傍受法
- 重罪人のみにしか対象にできない
- 通信傍受は最低限とする
- 2016の改正により、適用範囲に拡大して、注目された
- 詐欺や窃盗、放火、殺人も対象になった
- 通信傍受法
- アメリカの例
- 2013年にMicrosoftに対して情報提供の令状
- 地理的な条件を対象に含めるかどうかは論点(最高裁で保留中)
- 2013年にMicrosoftに対して情報提供の令状
- オーストラリアの法制度
- TARs, TANS, TCNs
- 政府と個人の問題
- チャットのモニタリングはプライバシーの侵害となるので、対策(保護)が必要となる
- テクノロジー調査は誰ができるのか
- 誰が承認するのか
- どこで利用するか など
- チャットのモニタリングはプライバシーの侵害となるので、対策(保護)が必要となる
- 政府とISP
- 政府はISPに対して協力依頼できるが、ISPはバックドアを準備する必要があるのか
- 国によって異なる
- 日本は強制できない(情報を保存しておく必要がある)
- アメリカ、オーストラリアは矯正できる
- まとめ
- 重要犯罪の捜査のためにプライバシー情報は必要であるが、権限については常に制限を行うべき
- 常に手続きがあること、原則を持つこと
感想
- プライバシーの問題について考えるよいきっかけとなりました。
![[レポート]NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp](https://images.ctfassets.net/ct0aopd36mqt/Zons7RQD2xcZVq9pUY8Dp/4d05341e17a1eb3ccf108b25f8044b03/eyecatch_codeblue_2024_1200x630.png)
