米連邦裁判所が先頃下したある裁定がきっかけとなり,警察がコンピュータ上に忍ばせたスパイウェアをウイルス対策企業が意図的に無視してよいかどうかを巡って,議論が起きている。

 米連邦第9巡回控訴裁判所が7月初めに下した裁定の中で,連邦捜査機関がキーロガー(コンピュータのキー入力履歴を記録する)機能を持つスパイウェア(通称「フェドウェア」)を使い,違法ドラッグ「エクスタシー」製造の嫌疑がかかった容疑者のキー入力を記録していたことが判明した。この容疑者は,暗号化技術を利用して警察の捜査を逃れていた。

 CNET Newsが主要なウイルス対策ソフトメーカー13社を対象に行った調査によると,政府機関に非公式に協力したことがあると認めた企業は1社もなかった。しかし,中には,裁判所に沈黙を保つよう命じられれば,フェドウェアの存在を顧客に警告しないだろうと答えた企業もあった。

 調査では,小さな企業からSymantecやIBMのような大企業に至るまで,そのほとんどが,そうした裁判所命令を受けたことは今まで一度もないと回答した。調査対象となった企業は,「AVG」シリーズのGrisoft,CA,Check Point Software Technologies,eEye Digital Security,IBM,Kaspersky Lab,McAfee,Microsoft,Sana Security,Sophos,Symantec,Trend Micro,Websenseの13社だ。このうちMcAfeeとMicrosoftは,この質問への回答を拒否している(各企業の回答内容の詳細はこちらの記事(英文)で確認できる)。

 米国において警察がキーロガーを用いて容疑者を逮捕,起訴した事例はたった2件しかないことから,重要な法的規則はまだ確立されていない。しかし,キーロガー製品のメーカーは,警察などの捜査機関が得意先だと述べている。キーストロークを記録すれば,暗号化により通信やハードディスクを読み取り困難にするという,最近ますます一般的になった犯罪者側の妨害工作を回避できるためだ。Microsoftの「Windows Vista」やAppleの「Mac OS X」には,最初から暗号化技術が組み込まれている。

 調査に応じた企業の中には,顧客のプライバシー擁護に徹する姿勢を敢然と示すところもあった。「われわれの顧客が,当社が提供するサービスに対して金を払うのは,あらゆる種類の悪意あるコードから守ってもらうためだ」と,eEye Digital Securityの共同創設者で最高技術責任者(CTO)でもあるMarc Maiffret氏は言う。「法執行機関に成り代わってその務めを果たすことは,われわれに課せられた役目ではないので,現在も,そしてこれからも,捜査機関が利用するマルウェアなどのツールを例外扱いするするつもりはない」。eEye Digital Securityが25ドルで販売するセキュリティソフト「Blink Personal Edition with Anti-virus」には,ウイルス対策機能とスパイウェア対策機能が含まれている。

 一方,当局に対してより柔軟な姿勢を見せる企業もあった。人気のファイアウォールソフト「ZoneAlarm」を開発しているCheck Pointは,ホワイトリスト入りを求める合法的なサードパーティーベンダーに対するものと「同じ配慮を」連邦捜査機関に対しても行うだろうと語った。ただ,Check Pointの関係者は,これまでにそのような事態は「一度も起きていない」と話している。

 この問題は決して新しいものではない。連邦捜査員がキーロガーに頼ったことが裁判で判明し,注目を集めたケースは今のところ2001年が最後だが,その後も自発的にフェドウエアを検出しないように取りはからっているセキュリティ企業はあるといわれている。同じく2001年,Associated Pressは「McAfeeが連邦捜査局(FBI)と接触し,(中略)同社のソフトウェアが不用意にFBIの監視用ソフトウェアを検出することはないと約束した」と報じた。これに対しMcAfeeは,報道は不正確だと応じている。

 この件が報じられた後,FBIは「Magic Lantern」と呼ばれるスパイウェアを制作していることを認めた。これは,コンピュータに物理的に接触せずに,ウイルスを利用して捜査員が離れたところからキーロガーをコンピュータに仕込むためのツールだ(前述のエクスタシーに関する最近の裁判でも,ギャングが関わったと言われている,それ以前のキーロガーに関する裁判でも,連邦捜査員は,キーロガーをインストールするために建物に侵入することを許可する裁判所の命令を獲得している)。

 政府機関と,テクノロジ製品のいわゆる「バックドア」には,古くから,多くの場合は秘密裏の関係が結ばれてきたと言われている。1995年にはBaltimore Sun紙が,国家安全保障局(NSA)がスイスに本拠を持つセキュリティ企業のCryptoを説き伏せて,同社の暗号化製品にバックドアを作らせていると暴露した。また,James Bamford氏は,1982年に出版された自著「パズル・パレス―超スパイ機関NSAの全貌」の中で,NSAの前身となる機関が,1945年にWestern Union,RCA,ITT Communicationsに対し,電信のトラフィックを連邦当局に提出するよう強要していたと書いている。

 より最近の事例に目を移すと,2006年には,英国政府とMicrosoftがWindows Vistaへのバックドア設定について検討しているといううわさBBCが報じた。これに対しMicrosoftは,Windows Vistaの暗号化機能にバックドアを仕込まないことを確約した。

 FBIや麻薬取締局をはじめとする連邦捜査機関が,セキュリティ企業にフェドウェアのホワイトリスト入りを強要したことはないとしても,同じ内容の裁判所の命令が出るのは時間の問題だという声がセキュリティの専門家の間ではあがっている。

 ただ,現行法のもとで警察にそのようなことを行える根拠があるのかは,依然として不明確だ。AT&TがNSAの広範なテロリスト監視プログラムに協力したとして,集団代表訴訟を起こした電子フロンティア財団(EFF)の弁護士,Kevin Bankston氏は「そのような命令を手に入れようとしているのだとすれば,政府は法律の限界を押し広げることになる。そのような命令を許す判例は1つもない」と語る。

 ただし,通信傍受法の「裁判所は有線もしくは電気通信サービスの提供者,家主,管理人,またはその他の人に対し」電子機器を使った情報収集に協力するように命じること可能だとする条文が,このような命令の根拠として使われる可能性はある。

 「問題となっている条文の文言には解釈の余地があり,司法省はそれを利用するかもしれない」とBankston氏は言う。

 理屈の上では,政府機関は,自動アップデート機能の中で顧客にスパイウェアを送るようセキュリティ企業に義務づける,裁判所の命令を要求できるという話もある。最近のセキュリティ企業の多くは,OSを作っているMicrosoftとAppleを含めて,たびたびパッチやバグの修正を提供している。技術的に難しいかもしれないが,法的命令を受けた場合,ベンダーが顧客に対し汚染したアップデートを送るということもあり得る。

 そのような裁判所の命令を受け取ったらどうするかという質問に対し,Microsoftはコメントを避けた。「Microsoftは顧客および政府機関の双方と頻繁に内密の話し合いを行うが,そうした話し合いについてはコメントをしない」とMicrosoftの関係者は述べている。今回アンケート調査を行った13社の中ではMicrosoftとMcAfeeだけが回答を拒否している(また,米国時間7月17日午前の時点で連絡が取れていない会社が他にも2社ある)。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

関連記事