Digital surveillance
Organization
Website
デジタル監視
エリヤ・スパロウ (LEAP 暗号化アクセス・プロジェクト)
こ の報告書は、デジタル通信を、監視をしがちであるする特性を検討し、この監視がどこで、どのように起こるかの一般的な概観を提供する。ここの私たちの目的 のために、どんなインターネットあるいは電話に基づいたコミュニケーションもデジタル通信であると考えられる。しかし、私たちは、考察から直接観察または 写真術のような監視の他の形式を除外する。
デジタル通信の特性
それは、「監視」を言う場合に私たちが何を言いたいか正確に示 す容易な仕事ではない。最初の近似として、デービッド・ライアンは、監視を「影響、管理、保護あるいは方向の目的のための個人の詳細情報への集中し、系統 的・型通りの注意」として定義する。この定義は、非市民、健康なもの(クレジット・リスクから価値のある信用)からの病人からの市民をソートする際に、監 視が歴史上近代社会を養う必要な様相として機能した方法を例えば伝えようとする。その後、彼は、監視が頻繁ではないことに次に直ちに注目する、系統的で、 注目した、あるいはすべてで型通り - 例えばその効能の証拠なしですべての人のデジタル通信からの情報を捕らえる地引き網監視の場合には。私たちはデジタル時代(強力な俳優による個人情報の捕 獲と処理は型通りのだけでなく遍在であるということである)に監視に作るためにどういう人か。ますます、監視は、単純な「影響、管理、保護あるいは方向」 のために試みられた活動に見えないが、その代り、多くの民族国家の中核安全保障戦略、および最大のインターネット会社、クレジットカード会社および広告主 のためのコアビジネス・モデルを構成して、はるかにより多く見える。
有望な監視のほとんどの歴史家は、「デジタル・デバイスはただ監視の能力を増加させるか、時々、特別の種類の監視あるいはその文字を変更する支援を促進するのに役立つ」というライアンの主張に賛成する。
完全なデジタル・コピー
ア ナログとデジタル通信の間の中心的な違いのためのよい類似は、スピーチを印刷物と比較することである。現代のオーディオ装置なしで、スピーチをちょうど再 生することは人間にとって難しい。しかし、書面の言葉を再生するのは非常に簡単である。書面の言葉のように、デジタル情報は個別で複製可能なコンポーネン トへコード化される。このために、データが不正確で暫時の電圧あるいは頻度レベルによって伝えられた場合、デジタル情報はアナログ・コミュニケーションと 異なり、常に完全にコピーされる。適切により多くなので、デジタル情報はただコピーすることができる。ある場所から別の場所にデジタル情報を移動させると 必ず、完全本を作る。コピー行動はしばしば失敗する。しかし、過程はエラーのために常に監査され、コピーが完成されるまで繰り返した。
捕捉の多くのポイント
コミュニケーションがデジタルである場合、監視はそのまさに中心に位置する。
デ ジタル通信の送信と受理のあらゆるステップが完全本に帰着するので、すべてのステップの情報は容易な捕獲のために晒される。デジタルすべてのコミュニケー ションに移行するので、私たちは監視捕獲の潜在的なサイトの爆発で世界へ移動する。同時に、インターネットの中核バックボーンの比較的中心に集められた性 質は、世界の少数の重要拠点からのトラフィックのうちのほとんどを監視することを可能にする。さらに、現実世界の入力をデジタル信号に変換するセンサーの 急速に落ちるコストは、私たちの消費者装置から農業、そして都会生活を改善するように設計されたセンサー・ネットワークまで私たちの環境中のこれらのセン サーの増殖に帰着した。
データの不滅性
あなたの個人の装置は故障するかもしれないが、デジタル形式にサーバー上に効果的に格 納された情報は永久に生きている。物理的な記憶媒体はしばしば短縮寿命を持っている。しかし、情報はほとんど複写に常に格納される。その結果、ある物理デ バイスがいつ情報に失敗し始めるかは別の記憶装置に自動的に映される。エラー訂正プロトコルは、この無限の複写が不完全なコピーに帰着しないことを保証す る。1ドル当たり利用可能な記憶装置の量が指数関数的に成長し続けるので、多くの場合非常に大きなデータセットのためにさえ、常に何でも捨てる必要はな い。
自動化
デジタル情報の捕獲、保管および分析は利用可能な人間の労働の制限によって解かれて、大部分は自動化される。前の 東ドイツ秘密警察は200万人もの密告者を雇用した。しかし、今日、それは遠くにシュタージの範囲を越えるために重要拠点に置かれて、わずかに1握りの既 製のネットワーク・モニタ装置を必要とするだろう。この自動化の結果は、実際的な場合、ユーザ情報を貨幣化する国家情報局およびインターネット・ビジネス の両方がデータが今後有用かもしれないという考えと共に、すべてのことを捕らえる一般的なアプローチをとったということである。
なるほど、どれだけの情報を捕らえて効果的に分析することができるかの制限がある。
しかしながら、これらの限界は押された、より一層速く後退する、そして民族国家と民間企業の両方がより多くのデータを格納し処理する方法に、多額を投資したように、ほとんどの観察者が期待した。
高い機密性
過 去に、監視が労働集約的で、コミュニケーション過程の中で少数の特定の場所でのみ可能だった時、国家による監視をいつ、どこで、誰を、そしてなぜ監視する かを十分に認可しコントロールする法的枠組みを確立することは可能だった。デジタル通信は二つの点でこれを無効にした、第一に、監視のための情報を捕らえ るための参入障壁は非常に低い。また、次に、ほとんど誰にとっても監視を妨ぐただ一つの方法はデータを暗号化することである。しかし、これはさらに国家認 可の監視を妨げる。データは、様々な不正な関係者による監視に弱いか、あるいは、安全で暗号化され、国家管理を回避することができるかのいずれかである。 実際上、もちろん、ほとんどのセキュリティ製品は大いに欠陥があり、国家関係者や犯罪組織がこれらのシステムを回避することができるので、まだ完全には安 全と言えないい。しかし、より多くの人々が彼らの生活での監視のレベルを意識し高い安全性を要求するので、既存のセキュリティ製品の貧弱な品質は急速に変 わっている。
認可された監視を許容することができるが、裁可されない妥協を防ぐかもしれない、可能性のあるあるつの折衷案は、1990年代 米国政府によって促進されたクリッパーチップ・プログラムの下のいわゆる「鍵供託」技術である。実際上、この技術は、それ自体が安全であることを証明して いない。また、広範囲の採択は、恐らく最も抑圧的な情況における措置としての通常の暗号を違法にすることを必要とするだろう。
これまでのと ころ、OpenPGPやAESのような共通暗号標準の背後の数学は、一般に強固な状態を保っており、また、秘密情報を解読しようと努力するものは骨の折れ る戦いをしている。典型的には、暗号化された通信に対する攻撃は他の弱点を開拓するが、暗号化自体を破ることはできない。
低い匿名性
コ ミュニケーションが理論上多くの努力なしで高度に機密になることができる場合、反対側の人は真に匿名となる。例えば、すべての無線デジタル・デバイスに よって生成された無線信号のユニークなフィンガープリントを識別することが可能である。一般に、すべての電子機器は、それを識別し、かつしばしば遠隔に盗 聴するために用いることができる電磁波を放射する。私たちのウェブ・ブラウザさえ、ユニークなフィンガープリントを構成する属性のセットをすべてのウェブ サーバに知らせる。
政府と企業は、彼らが集めて維持するデータセットが人々の本名を含んでいないので匿名であると多くの場合主張する。実際 には、研究者が試してみるとほとんどすべてのケースでそのようなデータセットの匿名性を奪うことができることが証明された。所在地と人間関係のようなある タイプの情報については、多くの場合本名が知られている別のいくつかのデータセットと関連づけるだけで人の身元を暴露することができる。
イ ンターネットのようなパケット交換ネットワークの出現は、匿名化をさらに困難にした。アナログからディジタルの歴史上の推移には回線交換ネットワークから パケット交換ネットワークへの同様の推移が対応する。以前は、電話には単一の連続的な回路が必要だったが、現在は通話は何百万もの他の呼び出しを扱う設備 を通って送られて、ディジタル化され、何百万もの小さなパケットに変換される。ネットワーク中の装置がそれぞれどこでパケットを転送するべきか知っている ように、すべてのパケットはヘッダーに送り手と受け手の情報を含んでいる。パケットに基づいたルーティングはデジタル化が古い銅線ケーブルを、何百万倍も のデータを輸送することができるデジタル・ネットワーク用に再構成することへの大規模な投資がによりコミュニケーションを革新した。パケット交換ネット ワークの一つの結果は、ネットワーク中の多くの点および時間において、誰が誰とコミュニケートしているかのフローを見つけるのは非常に簡単であるというこ とである。
ネットワークを介して行う全てのデジタルデータは、電話、電子メール、金融取引のような上位層に異なる通信プロトコルを用いて、パケットに変換される。これらのより高いレベルの通信は、自 分自身と、関連の送り手、受けて、時間の情報を含んでいるが、一般的な考え方は同じである。最近の報道において「メタデータ」と呼ばれるこのタイプのトラ ンザクションあるいは関係データは、構造化され効率的に保管される。そして様々なタイプの強力な分析にかけると、一見無害のデータから驚くべき情報を暴露 することができる。
オニオン·ルーティングやデータ混合などのトリックを用いてこれらの関連をマスクする試みはまだまだ実験的 で、通信が非常に遅くなるので、ほとんど使用されない。これらの匿名化ネットワークが成功するかどうかは、その規模に依存するので、このようなアプローチ が一般的になるまでは、デジタル通信で匿名性を求める者は誰もが困難な戦いをしている。
要するに、デジタル通信の監視は、あらゆる場所で自動的に行われ、かつ情報は効果的に永遠に残る。将来的には、人々は、おそらく自分の通信内容を容易に暗号化するだろうが、通信のパターンや人間関係を隠し続けることは困難だろう。
デジタル通信監視の簡単な分類学
デジタル通信の監視が行われる場所調べる際に、我々は監視を攻撃と捕捉の2つのカテゴリーに分類する。
攻撃のポイント
攻 撃は、コンピューティング・システムが動作する方法を破壊しようとする試みである。攻撃は合法で裁判所の命令の下になされることもあるし、政府が法的承認 なしに、または完全に超法規的に実行されるかもしれない。攻撃は民間業者、政府機関、または組織犯罪によって実施されることもある。誰が何の目的で攻撃を 実行するかには関わりなく、攻撃は多くの共通の特徴を共有する。
ネットワーク介在: マン·イン·ザ·ミドル(MITM)攻撃では、攻撃者がデータを変更するために、2つの当事者間の通信ストリームに立ち入る。修正されたトラフィックは、 認証情報を盗んだり、Webアプリケーションを変更したり、対象のデバイスにトロイの木馬を注入するために使用される。ネットワーク介在攻撃は通常、、米 国の国家安全保障局(NSA)や英国の政府通信本部(GCHQ)(UK)のような強力な監視機関に関連付けられているが、小国の政府でさえも非常に限られ たリソースで反体制派に対してMITM攻撃を効果的に使用してきた(例えば、2011年のジャスミン革命におけるチュニジア政府)。ターゲットの物理的な 位置に関係なく、MITM攻撃はほぼどこからでも起動することができる。それはインターネット上の経路をネゴシエートするプロトコルの脆弱性を利用してお り、大した予算もかからない。モバイル機器はまた、法執行機関で広く使用される安価な「IMSIキャッチャー」からのMITM攻撃に対しても脆弱である。
物 理的盗聴: 大きな諜報機関は、機器の中に盗聴器を隠したり、機器を盗聴可能に変更したり、時には機器が顧客に届く前に盗聴器を仕込むことを可能にするハイテク機器の 何百ものトップシークレット製品カタログを持っている。しかし、物理的盗聴を行う攻撃者はNSAほどの予算を必要としない。誰でも、キーボードとコン ピューターの間に差し込みすべてのキーストロークを記録する小さなUSBドングルをオンラインで数ドルで注文することができる。物理的盗聴を検出すること は非常に困難であるため、攻撃者が所持するコンピューティング機器は信頼するべきではない。
リモートエクスプロ イト: ソフトウェアは、一般的には、発見されるのを待っている未知のセキュリティ脆弱性に満ちている。ほとんどの場合、これらの脆弱性は責任ある研究者によって 識別され、ソフトウェアの作者に通知される。そしてソフトウェアの作者は修正を利用可能にしたり、更新が自動的に適用されるようにする。攻撃者は、欠陥を 悪用し、コンピュータを乗っ取るか、情報を盗む場合、脆弱性が修正された時と修正プログラムが実際に適用された時の間の時間的ギャップを利用することがで きる。脆弱性は最初に攻撃者によって発見された場合、その脆弱性が公衆またはソフトウェア開発者に知られるまでゼロ日しか経っていないことになるので、そ れは、「ゼロデイ」と呼ばれている。多くの国の政府やいくつかの犯罪組織は、ゼロデイの開発や闇市場からそれらを購入するために多額の金額を費やしてい る。
ソーシャルエンジニアリング: 攻撃者は多くの場合、コンピュータシステムではなく、人間をだ ます「ソーシャルエンジニアリング」と呼ばれるプロセスに依存している。人間は非常に簡単に騙される。例えば、ある時研究者は駐車場でランダムUSBメモ リスティックをばらまいたが、見つけた人々のほとんどは彼らの組織のプライベートネットワークに差し込んだ。これはMITM攻撃につながるまたはトロイの 木馬のための簡単なエントリを提供することができ、非常に危険な行為である。非常に効果的かつ低コストのソーシャルエンジニアリングの一つは「スピア フィッシング」と呼ばれるもので、攻撃者が敵対的なトロイの木馬を開くようにターゲットをだましてターゲットの個人情報の一部を使用する。多くの人々は、 例えば、友人や同僚から来たように表示される電子メールの添付ファイルを開くだろう。ソーシャルエンジニアリングには、単に電話で誰かになりすますものも ある。
ソフトウェアの更新: ある場合には、装置にセキュリティ修正を適用することを目指したソフトウェア更新システムは、それ自体がトロイの木馬やその他の悪意のあるコードの配信経 路になりえる。悲しいことに、安全な更新システムはほとんどない。例えば、アラブ首長国連邦は、(ブラックベリーに知られず、またもちろん承認もなしに) 国のすべてのBlackBerryの顧客にリモート監視機能をインストールするためにブラックベリー更新メカニズムを用いた。
サー ドパーティによる漏洩: クラウドコンピューティングの最近の台頭に伴って、ほぼすべてのユーザーが安全に彼らの機密情報の一部またはすべてを維持するために、サードパーティに依 存している。統合は、個人データ、攻撃者と政府のこれまでより大きなキャッシュを保持している少数のサードパーティをもたらしたとして、監視データを効率 的に、集中型のソースとしてこれらのサードパーティに彼らの注意を向けている。データ侵害の見出しの毎日のパレードは、これらのサードパーティの多くのセ キュリティ対策が著しく不十分であることの証拠である。
トロイの木馬: トロイの木馬は良性のプログラムを装ったコンピュータウイルスの一種で、またはそれも、一般的なアプリケーションの修正版の中に隠れていることがある。 「フィッシング」攻撃では、ターゲットは、トロイの木馬自体は、アプリケーションが正当なものであると信じるようにだまされてインストールされる。政府に よって使用された場合、機器はその所有者の所有物の外、またはマン·イン·ザ·ミドルネットワーク攻撃を経由してあるときに、このトロイの木馬は、多くの 場合、手動でインストールされている。多くのトロイの木馬は、「スパム」または組織犯罪を送るものによって作成されているが、トロイの木馬も大きなビジネ スである。イタリアの監視会社 Hacking Team によって開発されたあるトロイの木馬は、60以上の政府によって使用され、ターゲットのモバイル機器のほぼすべての側面へのオペレータのアクセスを可能に されている。
ユーザビリティエラー: 現在では、あなたが安全に通信できるようにするほとんどのソフトウェアは、攻撃のために多くの機会を提供し、設定ミスや誤使用に非常に敏感である。多くの チャットアプリケーションは、例えば、攻撃者がクライアントとサーバー間の安全な接続をバイパスすることを可能にするデフォルト設定を有している。 2008年には、Thunderbird のデフォルトの設定では、インターネットサービスプロバイダ(ISP)が誤って(固定ので)安全な接続のネゴシエーションを混乱させたときにドイツの何千 人ものユーザーに対して転送の暗号化の解除を引き起こした。そのような公開鍵と秘密鍵や鍵のフィンガープリントなどの機密通信に必要な概念は、多くのユー ザーにとって大いに混乱させるものである。
捕捉のポイント
監視のいくつかの形態は、欠陥を悪用する攻撃よりも、むしろシステム自体の付帯的か核心付帯的か核心の機能である。
機 器: デジタル通信を容易にするほぼすべてのエンドユーザ·コンピューティング機器は、その通常の動作の一環として、豊富な個人情報を保持する。特にモバイル機 器の場合、この情報は、おそらく、ウェブ閲覧履歴、位置履歴、通話記録、写真、送受信メッセージのレコードを含む。ユーザ機器は、しばしばサードパー ティーによって格納された情報にアクセスするために使用できる認証資格証明のコピーを格納する。一部の機器は非常に小さいか目に見えない。例えば、基本的 なコンピューティング·ロジックとメモリ容量を含む「組み込みシステム」はUSBメモリスティック、いくつかのRFIDチップ、および器具で見つけること ができる。それらの単純性にもかかわらず、これらの組込みシステムは、利用者に関する情報を記録するようにプログラムすることができる。2006年ワール ドカップの場合、イベントチケットはその中に個人情報を記録したRFIDチップが組み込まれ、チケットがスキャナを通過したときはいつでも、当局とチケッ ト自体の双方にチケットの位置の履歴が報告された。
機器の個体情報の放出: 前述のように、すべての機器、及び多くのアプリケーションは、場所、動作または機器の内部動作を追跡するために使用できるユニークな署名を放出する。これ らのユニークな署名は、多くの形態をとる。設計によって、Webブラウザは彼らが訪問したすべてのウェブサイトへの識別情報を提示する。設計により、すべ ての携帯電話は、携帯電話の塔によって記録され、ユニークで不変の追跡識別子を持つ。偶然に、モバイル機器は遠隔から画面の内容を明らかにすることができ るユニークな電磁放射線を放出する。偶然に、中央処理装置(CPU)は、遠隔の聴取者が秘密鍵を抽出するために使用することができる低レベルのノイズを発 する、等々。衣類、時計家電やチケットなどの消費財は小さな組み込みシステムを含むようになる―食べ物でさえもはすぐにRFIDを経由して追跡することが できる―ので、何を機器とみなすかと定義することは困難になるだろう。
ネットワーク: 監視は、送信元から宛先へのデータパケットの行程のすべてのステップで行うことができる。ネットワークは、IMSIキャッチャーは、ターゲットモバイル機 器のトラフィックを監視するために使用される場合のようにISPレベルでは、エンドポイントに近い監視し、または最も多くのトラフィックが最終的に流れ、 インターネットバックボーンのレベルでもよい。インターネットは分散的であるため、ISPの間の接続のための大規模なキャリアの一握りに頼って、少数の戦 略的リスニングポストは、すべてのトラフィックを高い割合で監視することができる。一般的に、大規模な諜報機関がバックボーンの近くでトラフィックを監 視、小国の政府は内とその国のうち、(通常はISPレベルで)すべてのトラフィックを監視し、誰もが(組織犯罪を含む)エンドポイントへの綿密なモニタリ ングに参加している。米国と英国は、1日に約2億のテキストメッセージのすべての内容を収集するだけでなく、通信を行うすべての人のソーシャルネットワークグラフを構築するために、ネットワーク監視を用いてメタデータの非常に大規模なデータベースを構築する(他の諜報機関が同じような監視を行っていることはほぼ確実であるが、まだ一般に公開されていない)。いくつかの国では7年以内の間、ユーザが訪れるサイトおよび彼らのIPアドレスのような、あるメタデータの記録をとることをISPに要求するデータ保全法を持っている。より小さな国の政府にとっても、しかしながら、安い市販の設備を用いて、すべてのテキスト・メッセージおよびすべての電話での会話を含めて、同様にコミュニケーションのコンテンツを保持することは、完全に可能である。
サー ドパーティ: すべてのデジタル通信は、(特殊な状況を除き)サードパーティの仲介を持つ記録を残す。(多くのアプリは、サーバー上のユーザーデータを格納するので) サードパーティが電子メールプロバイダ、電話キャリア、ISPは、クレジットカード会社、オンライン小売、コンピュータのバックアップやファイルストレー ジ、および多くのモバイルアプリ開発者を含めることができる。サードパーティー・トラッキングの多くは広告と市場調査の目的で実行される。それらのうちの いくらかはロイヤリティ割引カードの場合には、ユーザの目に見える。その一方で広告ターゲティングなどの場合はユーザの目に見えない。ほとんどのウェブサ イトやモバイルアプリケーションは、同じ広告や追跡ネットワークを使用するため、サードパーティの広告ネットワークは、ユーザーが機器を切り替えた場合で も、ユーザーのインターネット行動を追跡することができる。商業的使用を目的としているが、政府の監視機関は、個人情報の監視の豊富な供給源として、コン ピュータ·サーバに送信される広告ネットワークおよびアプリケーションデータへ送られるトラッキングデータを使用することができる。
デジタル監視は成長する
デ ジタル監視はまだ始まったばかりである。政府は彼らが知っている方法で効果的に処理できる量よりも多くのデータを集める。顔認識はまだ正確ではない。ト ラッキングデータベースは虚偽の情報に満ちている。ある者にとっては、これは慰めであろう。監視ネットがどれほど多く拡大してもそれは穴だらけだろう (誤って有罪判決を受ける誤判定が増えるだろう)。
残念ながら、我々は、情報の管理と処理は、工業、農業、公衆衛生、軍事、そしてまもなく教育、の不可欠な要素となっている時代に生きている - つまり、国家管理や民間企業のほぼすべての側面を。
これらのシステムはすべて、機能への情報、およびより多くの情報が常に良くなっているこれらのシステムを供給するために設計された監視を必要としている。デジタル監視はまだ揺籃期にあるかもしれなよいが、それは急速に成長しようとしている。
デ ジタル監視のこの短いツアーが描いたむしろ悲惨な描写にもかかわらず、社会生活の多くの側面に監視が迅速に展開していくことを懸念している者は希望に対す る正当な理由を持っている。デジタル通信の未来のための闘争(ビットの流れを制御することができる者と、これらのビットへのアイデンティティを割り当てる ことができる者)は積極的に政治、法律と技術の領域で戦われている。これらすべての領域が重要だが、暗号化、ユーザビリティとオープンプロトコルの技術の 新たな進歩は、近い将来に一般のユーザーに強力な保護を提供する可能性がある。