SCAN DISPATCH ：9/11後の米国は「1984」に？

　SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

　2005年、AT&TがNational Security Agency（NSA：国家安全保障局）と協力し、裁判所命令抜きで米国市民の電話やインターネット・トラフィックを盗聴した事件は世界的なニュースになった。米国ではその他にも、テロ防止を名目にした市民の行動の監視強化が進んでいるが、その実情はあまり報道されていない。

　「そんな実情を、一人でも多くの人に知ってもらいたい」と、Ms.Sherri Davidoff 氏が、8月にラスベガスで行われたDefConコンファレンスにてプレゼンを行ったのが、「匿名で外出はもうできない - Death of Anonymous Travel」だ。彼女とのインタビューを交えて報告したい。

　Ms.Davidoff 氏が指摘するのは、「米国では携帯電話のGPS、犯罪防止用カメラ、スピード違反用のビデオカメラ、クレジットカードやATMカード、車のナンバープレート認識機、地下鉄のカードや高速料金所のRFID課金機等が集めた個人情報が、民間企業によってセキュリティ監査もなく操作・管理されている」ということだ。これにより「個人の行動を簡単に追跡できるだけでなく、必要とあれば特定の個人の行動を制限できる」ようになっていることだ。

　まず、携帯電話などモバイル機器による「ロケーション・ベース・サービス（LBS）」をあげてみよう。携帯電話の位置を地図上で確認でき、予め設定した地域以外に携帯電話が出た場合、サービス加入者に通知するサービスだ。携帯電話ネットワークではVerizon社のChaperone、Sprint社の Mobile Locaterをはじめ、Accutracking、MapQuest Find Me、MobileSpy、Mologogo、Wherifoneなど、多くのサービスがある。中でもSkyhookというサービスは、GPSがないデバイスでも、近くのWi-Fiや携帯電話用タワーの信号などを基に、デバイスの位置をつき止められるし、MobileSpyは、電話履歴や内容、SMSの内容などもレポートする。デバイスの登録や、デバイスのユーザには存在が分からないソフトウェアを予めインストールする必要はあるが、「会社が社員を、親が子供を、あるいは疑い深い妻や夫が伴侶をモニタできる」技術である。同じく携帯電話を使ったものとして英国では、Path Intelligence社によるFootPathテクノロジーが、ショッピングしている顧客の携帯電話を使って、顧客の流れを24時間把握するサービスを行っており、収集された情報は店舗運営などに利用されている。

　交通機関のパスはどうだろうか？アメリカではRFID入りの高速料金課金機のEZPassやFastlaneが使われているが、使用者の車が料金所を通過した際のデータは使用者の姓名などの個人情報と共に保管されている。テキサス州やルイジアナ州では現金の使用ができない高速区間もあり、課金機無しでは高速を使用できない。また、NYのブルックリン橋などでは、EZPassを実際に交通のモニタに使用しているらしい。州によっては、デバイスが使用されたログは捜査当局の要請時のみ公開されるように規定されているが、規定されていない州では実際に、離婚裁判で弁護士がデータを入手し、夫の浮気の証拠として使われている例もある。また、ボストン市では、地下鉄のRFIDパス、”CharlieCard"はクレジットカードかATMカードでのみ買えるようになっており、それぞれのパスが使用された日時や場所を永遠に保管。クレジットカードや氏名などの個人情報は14ヶ月保管されることになっており、このどちらもが第三者企業に公開されているらしい。

　では、捜査当局による情報収集はどんなものがあるだろうか？まずあげられるのはFBIのDCSNet。1994年に制定されたCommunications Assistance for Law Enforcement Act（CALEA）により、電話会社はそのスイッチに、予めバックドアを設置する必要がある。そのバックドアを利用して、DCSNetは、スイッチ一つで任意の番号の電話を盗聴できるようになっている。捜査当局に向けたサービスでは、ThorpeGlen社のものがある。ThorpeGlenは、ターゲットになる人物の電子メール、電話、IPアドレス、MACアドレスやメタデータに、携帯のSIM、携帯電話などを含めた「全てのエレクトロニック・コミュニケーション」を追跡、モニタできる。特に、ターゲットの人物が携帯電話やSIMカードを交換した場合でも、Call Fingerprintingというテクノロジーによって追跡が可能だそうだ。

　上記のようなコミュニケーション・デバイスにリンクされるのが、クレジットカードやATMカードの情報だ。カード使用者のデータは、使用した店舗とクレジットカード会社だけでなく、顧客データベースとして売買されるため、誰もが入手可能だ。米国ではNSAが、クレジットカードの使用データを、電子通信データと同時に収集して分析していることが分かっている。

　さて、Ms.Davidoffとのインタビューで一番驚いたのが、ニューヨーク市マンハッタン地域のLower Manhattan Security Initiative（LMSI)だ。これは、ニューヨーク市警のセキュリティカメラであるCrime Eyeと、民間所有ビルなどに設置されているカメラ、全3,000基のネットワークと、100機の自動車のナンバープレート認識機を加えて、随時マンハッタン地域を走っている車のナンバープレートを、データベースと照らし合わせているのだ。この地域では今後新しいビルが建築される際、電気、空調、ビル外部だけでなく内部のカメラ、それぞれの部屋のアクセスコントロールのプランを市に提出することが義務付けられており、「LMSIのコーディネーション・センターがこれをすべてコントロールできるようになっている」ということだ。

　「Redflexという会社が、全米240市のスピード違反カメラを運営しており、Redflex社は米国の運転免許センターにあたるセンターから、車の所有者と、運転免許証の情報を委託されており、これに基づいて違反チケットを発行している。「問題は、運転免許や車両登録者の個人情報を民間企業が取り扱うことについて、何らアカウンタビリティーが保障されていないこと」だそうだ。それだけでなく、「Redflexの違反者情報のWebインターフェースは、SSLも使っていないほどのセキュリティ度」である。

　Redflexによって運営されているスピード違反カメラは、ビデオカメラで、ナンバープレート認識もできる。そのため、高速に設置されたあるカメラを通過した車が、そこから100キロ離れたカメラを1時間以内に通過した場合は時速100キロ以上な訳だ。アリゾナ州では、実際にこのデータを使ってスピード違反のチケットの発行を開始しようとしたところ、市民の「プライバシー侵害」という反対にあってキャンセルになった。が、スピード違反用のカメラが…

【執筆：米国　笠原利香】
【関連リンク】
Ms. Sherri Davidoffのホームページ
http://philosecurity.org/
Death of Anonymous Travel - DEFCON 2009
http://philosecurity.org/2009/08/04/death-of-anonymous-travel-defcon-2009
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw