Watch

デジタル監視会社がシアトル警察と連絡を取っていたことが流出したメールから判明

デジタル監視会社がシアトル警察と連絡を取っていたことが流出したメールから判明
リークされたハックスクリーンショット_7910
Hacking Teamのプロモーションビデオのスクリーンショット。提供:Hacking Team

スマートフォンからノートパソコンまで、「あらゆるデバイス」を監視するデジタルツール。「ユーザーからは見えず、ウイルス対策ソフトやファイアウォールを回避し、デバイスのパフォーマンスやバッテリー寿命に影響を与えない」もの。

漏洩した文書によると、この「政府傍受用ハッキングスイート」の製作者は、ここ数カ月、シアトル、タコマ、ポートランド、ユージーンの警察署、キング郡とピアース郡の保安官事務所など、北西部全域の法執行機関と連絡を取っていたという。

問題のツールは「ガリレオ」と名付けられ、イタリアのミラノに拠点を置くHacking Team社によって開発されました。同社は「リモートコントロールシステム」、つまり悪意のある高度なコンピュータウイルスを専門としており、スマートフォンやコンピューターに侵入して、法執行機関がデバイスを密かに監視・制御し、カメラやマイクの起動などを行うことを可能にします。

RCS は、電子メール、単純な USB スティック、協力的な通信会社などの手段を通じて埋め込むことができます。

トロント大学に設置された研究プロジェクト「シチズン・ラボ」が昨年発表した一連の詳細な報告書によると、ハッキング・チームはこれらのツールを米国および世界中の法執行機関や諜報機関に販売している。また、同社の製品が数十人のジャーナリストや活動家を標的とした攻撃に利用されていることも報告書は示唆している。

ウィキリークスが今月公開した文書には、同社のサーバーから100万通以上の社内メールが含まれており、地域警察の特定の警察官の連絡先情報が含まれています。クロスカットによるメールの調査では、地域警察がハッキングチームのサービスを購入したことを示す証拠は見つかりませんでした。

しかし、これらの警官が同社の連絡先リストに載っていること、また彼らがそこに載っている理由から、国内の法執行機関がいかにしてコンピューターハッカーのツールを理解し、潜在的に利用しようとしているかを垣間見ることができる。

ハッキング・アトキンス1
Hacking Teamの監視ツール「技術者向けガイド」の画像。監視オプションには、通話、訪問したウェブサイト、メッセージ、パスワード、デバイスのカメラで写真を撮る機能などが含まれます。

例えば、シアトル警察のベテラン刑事が、昨年10月にワシントンDCでインテリジェンス・サポート・システムズ社が開催したサイバーセキュリティ会議の後、ハッキング・チームの連絡先リストに追加されていた。このことは、刑事が会議で同社の代表者と接触していたことを示しているのかとの質問に対し、シアトル警察のスポークスマン、ショーン・ウィットコム氏は否定した。

「私たちの刑事はサイバー犯罪捜査会議に出席し、登録参加者として電子メール配信リストに登録されました」とウィットコム氏は述べた。

漏洩したメールは、それほど個人的なやり取りはなかったことを示唆しているようだ。イベント関連のメールの中で、ある会社の代表者は「ISSではそれほど多くの連絡はなかった。様々な会議で忙しかった」と説明していた。会議後、ハッキングチームの連絡先リストに追加されたのはわずか5人だったようだ。

Hacking Teamが登録参加者リストから連絡先を抽出していた場合、時間や業務上の制約は少なく、追加されたメールアドレスのリストはより長くなった可能性があります。このメールから考えられる解釈の一つは、同社が会議中に直接連絡を取る時間が限られており、その中にシドニー警察の刑事が含まれていたというものです。

捜査官が同社社員と会ったかどうかに関わらず、会議でのハッキングチームの「さまざまな会議」を通じて捜査官は同社のサービスについて知ることができたはずだ。

カンファレンスのスケジュールのキャッシュされたコピーには、Hacking Team 代表者による 3 つのプレゼンテーションが含まれています。2 つは「侵入する通信デバイス」に関するもので、もう 1 つは「暗号化され、ソーシャルでクラウド化された世界」におけるデータの傍受に関するものです。

ハッキングストーリー4

ハッキングストーリー2

会議でのその他のプレゼンテーションは次のとおりです。

—「あらゆるインタラクションで顧客の脈動を感じ取る:獲得したIPからより多くのターゲットインテリジェンスを抽出する」

—「遠隔ステルス監視で脅威に先手を打つ方法」に関する説明

—「ビッグデータ分析と標的型合法傍受・捜査の融合」

—ソーシャルメディアネットワークに侵入して情報収集を行う方法に関する数多くのプレゼンテーションやセミナー

タコマ、ポートランド、ユージーンの警察署、そしてキング郡とピアース郡の保安官事務所の職員が、昨年サンディエゴで開催された全米技術アドバイザー協会(NATIA)の年次展示会に続いて、ハッキングチームのリストに追加されました。この展示会のプレゼンテーションや出展者に関する情報は公開されていません。しかし、ハッキングチームのウェブサイトによると、彼らは昨年と今年の両方に参加したようです。

漏洩したメールの中で、地域の法執行機関の担当者がハッキングチームに連絡を取った唯一の記録は、ピアース郡保安官事務所の刑事からのものでした。この刑事は、ハッキングチームのメーリングリストから削除するよう要請しました。

Vice Newsとオンラインの政府透明性団体Muckrockは、ウィキリークスのメール公開で発見された州および市の住所を地図にまとめた共同公開を行いました。この地図は、ユーザーが漏洩した記録を検索できるようになっています。しかし、この地図は、ベルビュー警察とエバレット警察の担当者がHacking Teamの連絡先リストに含まれていることを示唆しているように解釈できます。

実際のところ、彼らとその会社は、別の組織からの同じプロモーション メールに単に含まれていただけなのです。

ハッキングマップ3

Wired、Vice Newsなどが報じているように、FBIとDEAはHacking Teamのサービスを利用しているほか、外国政府や組織も利用しています。流出したメールには、少なくとも1つの地域法執行機関(フロリダ州フォートローダーデール近郊の保安官事務所)がHacking Teamの製品のデモを求めている様子が記録されています。

会議後のメールでは、捜査当局は「[彼らのサービス]に間違いなく感銘を受けた」と述べられており、「質問のほとんどは法的な側面に関するものだったが、最終的には、この製品が捜査に使用できると確信しているようだった」としている。

地元法執行機関の監視能力は、この地域で激しい議論の的となっている。2013年、The StrangerとGeekWireは、シアトルのダウンタウンに無線「メッシュネットワーク」が設置されたと報じた。このネットワークは、警察がモバイルデバイスを使用する個人を追跡するために利用できる可能性がある。この報道は激しい抗議を引き起こし、警察はこれらのデバイスを停止させた。

シアトル警察は、購入した2機のDragonflyer X6監視ドローンの運航停止を余儀なくされ、最終的にロサンゼルスへ輸送されました。シアトル・ウィークリー誌に掲載されたこの記者による記事では、警察がナンバープレートスキャナーを用いて車両の動きを追跡・記録できることが報じられています。

ウィキリークスによるハッキングチームの内部メールの公開を受け、ハッキングチームのCEO、デビッド・ヴィンチェンツェッティ氏は同社を擁護し、「ハッキングチームが10年以上にわたり法執行機関に提供してきた合法的な監視システムは、犯罪やテロリズムの予防と捜査に不可欠です。今日のインターネットは、ハッキングチームを攻撃したような犯罪者だけでなく、テロリスト、性的人身売買業者、殺人犯、麻薬密売人、その他の犯罪者にとっての安全な隠れ家となっています。当社ほど包括的で、使いやすく、強力な合法的な監視機能を提供している企業は他にありません」と述べました。

法執行機関がデジタル化を進める必要性は議論の余地がありません。しかし、機関が個人データを収集する方法を規制することになると、強力な監督と法的規制が整備されていると主張するのは難しいでしょう。

ウィキリークスが公開したメールは、ハッキングチームの活動の断片的な断片に過ぎず、地元の法執行機関が彼らのような監視能力をどの程度活用してきたかは不明です。私たちは、この件に関する記録の開示を地域の法執行機関に要請しました。