自業自得の米国：スノーデンの暴露してくれた善行と悪行と

 

中国のHuawei（華為）Technologies CompanyやZTEコーポレーション（子会社・関連会社を含む）の製造する5G関連設備などへの警戒が声高に叫ばれている。いかにも中国が悪いと言わんばかりの報道だが、これは明らかに間違っている。元凶は米国政府自体にあるのであって、はっきり言えば、自業自得なのである。そのことを教えてくれたのがエドワード・スノーデンだ。

日本のメディアはまったく不勉強だから、スノーデンが暴露してくれた善行と悪行をきちんと総括していない。そのために、現時点でなにが問題なのかをまったく理解していない。本当に困った事態なのである。

わたしは『サイバー空間の地政学』（仮題）という本用の原稿を執筆している。この内容の一部をここで紹介してみよう。12月14日のわたしの授業でも行う講義内容となっている。

 

スノーデンのやった善行　①NSAのハッキング行為の暴露

まず、スノーデンの「善行」について指摘したい。もっともよく似ているのは、スノーデンが暴露した、NSAが推奨した乱数生成アルゴリズム、Dual_EC_DRBGに暗号解除を可能にする秘密キーが仕込まれていた、あるいはバックドアが設けられていたのだが、そんなことはおくびにも出さずに多数の国がこれを利用してきた事実に現れている。このことは2013年に明確になった事実である。たとえば、ブラジルはこうしたNSAの関与する暗号利用を停止し、ドイツのブレインプール（Brainpool）という暗号システムに乗り換えている。

 

第二に、米国家安全保障局（NSA）がハッキング行為を行ってきたことを暴露したことである。いわゆる「パケット・インジェクション」という特殊なパケットをアクセスポイントに注入してそこで情報を収集するのだ。NSAはQUANTUM（クウォンタム、量子）というパケット・インジェクションを使ってハッキング行為をしていた。つまり、NSAは決して防御だけの仕事に専念してきたわけではなく、攻撃のための技術開発にも手を染めていたことになる。しかも、その技術はいまでは販売対象になっており、サイバー攻撃用の手段を販売しているHacking Teamのような組織はこうしたパケット・インジェクションを販売している。

NSA主導のハッキング行為はほかにも暴露された。SIGINT Enabling Projectというものだ。ターゲットの使用する、暗号システム、ITシステム、ネットワーク、末端コミュニケーション装置にバックドアのような脆弱性をもたせるように仕組む戦術である。その実績や効果についてはかっきりしないが、NSAは明らかに積極なサイバー攻撃を自ら仕掛けていたことになる。したがって、米国政府は華為技術（Huawei）がバックドアを仕込んだIT製品を輸出していると頻繁に非難してきたが、NSAが主導してそれと同じことを行っている可能性がきわめて高い。米国政府は商業上のスパイ行為に従事していないと主張しているが、これは嘘である。米国政府は経済的スパイ行為にかかわっており、外国企業のネットワークをハッキングして貿易交渉に役立てるのである。

NSAのなかでコンピューターのハッキングを担当しているのは、Tailored Access Operations group（TAO）という部署である。NSAのハッキング行為が明らかになったことで、ロシア、中国、北朝鮮、サウジアラビアといった国の政府だけがハッキングに加担しているわけではないことになった。つまり、こうした政府の行為自体を批判できなくなったわけである。なにしろ、米国政府自体が同じことをしてきたわけだから。

興味深いのは、NSAが中国と同じように世界中のコンピューター・ネットワークにハッキング行為をしてきた事実がスノーデンによって暴露されて以降、米国政府が自らの行為を記述するための言葉を和らげたという指摘である。具体的には中国の行為を「サイバー攻撃」とか、「サイバー戦争」といった言葉で表現してきたのに、「諜報活動」とか、「諜報収集」とか「スパイ活動」というモデレートな言葉に改めたのだ。わたしは拙稿「サイバー空間と国家主権」のなかで安易に「サイバー戦争」と騒ぎ立てる連中を実名あげて批判しておいた。わたしの見立てが正しかったことになる。この拙稿は検索すれば簡単にダウンロードできるのでぜひ読んでほしい。日本の御用学者や御用ビジネスマンはこの論文を無視しているが、心ある方々は高く評価してくれている。いわば、サイバー空間を論じるための出発点と言える画期的な論文だ。

 

世界に広がる各国政府の諜報機関による協力関係

スノーデンがNSAによるハッキングを暴露したことで、実は米国のNSAばかりか、多くの政府の諜報機関がNSAと同じようなことをしていることが判明した。たとえば英国政府は米国のNSAと同じような機関として政府通信本部（Government Communications Headquarters, GCHQ）をもっている。国内はもちろん、海外でも広範囲にわたるスパイ活動をしている。その証拠に、GCHQは世界中での通信コミュニケーションを集めるためのアクセスを提供してくれているBT（旧British Telecommunications）やVodafoneに対して支払いをしている。

現に日本の場合、2000年に通信傍受法が施行されている。憲法上、通信の秘密の保障が規定されている以上、傍受といっても当該者の了解なしに盗聴するわけだから憲法違反の恐れが強い。このため、傍受が許容されるのは、組織犯罪に限定されている。捜査機関が通信傍受しようとする場合、検査官または司法警察員（警視以上）が地方裁判所の裁判官に傍受令状を請求しなければならない。

他方ドイツでは、合憲の解釈に立脚して、1968年10月に通信傍受のための法律が制定されている。米国では、1994年に「法執行機関のための通信支援法」（Communications Assistance for Law Enforcement Act, CALEA）が制定された。捜査当局の盗聴要請に応じられるように通信事業者は通信設備の改造・付加によるその支援を義務づけられている。といっても、インターネット関連や電子メールの通信については、当面対象外とされていた。しかし、傍受された音声やデータを解読するために、バックドアが仕込まれた「クリッパーチップ」（Clipper Chip）が発明された。データ暗号化アルゴリズムを使用して情報を送信し、その内容は2カ所の機関に保管され、裁判所の審査後に傍受権限が認められた場合、政府機関に暗号鍵が渡されて送信済みのすべてのデータの解読ができるようにするものだ。クリントン政権になって、NSAとFBIに監視能力を高めるためにこのクリッパーチップの利用が推進された。しかし、アルゴリズムの脆弱性や政府による傍受への警戒からこの計画は頓挫してしまっている。

米国には、「スティングレイ」と呼ばれる、通信傍受に使用される「国際携帯電話加入者認証」（International Mobile Subscriber Identity, IMSI）キャッチャーもある。携帯電話の利用者の身元確認や会話内容などを傍受するために偽の基地局を装って、近くを通りがかった携帯電話と基地局との交信を行い、その携帯電話の情報収集するものだ。ハリス・コーポレーションが製造・販売しており、国土安全保障省の資金助成のもと、2006年ころからFBIなどが秘密裏に利用を開始したとみられる。

ほかにも、政府はデータを収集して販売しているデータ・ブローカーから情報を購入している。米国政府の場合、Torch Conceptsから航空旅客データ、ChoicePointからメキシコの投票者データなどを買っているのだ。法律に基づいて、現金1万ドル以上の取引を政府に報告するよう金融機関に要請しているほか、通貨交換所では、現金1000ドル以上が報告対象となっている。多くの国で、外国人宿泊者のIDカードやパスポートのコピー提出がホテルなどに義務づけられている。そればかりか、政府や自治体の側は納税データや運転免許データなどを販売する動きがある。医療サービス関連の情報を保険会社や製薬会社に販売する計画もある。

こうした各国政府の諜報機関の活動は政府間協力の必要性を高めている。その結果、オーストラリア、カナダ、ニュージーランド、英国、米国のいわゆる「ファイブ・アイズ諜報同盟」（Five Eyes Intelligence Alliance）が存在する。1943年の英米通信傍受協定（BRUSA Agreement）をもとにこれら5カ国は最初に1948年ころ、「エシュロン」という軍事目的の通信傍受体制を構築した（現在では、軍事目的以外のビジネス関連情報も傍受しているのは確実だ）。さらに、Nine Eyesとして、これらの5カ国にデンマーク、フランス、オランダ、ノルウェーを加えたグループもある。さらに、Fourteen Eyesとして、これらにドイツ、ベルギー、イタリア、スペイン、スウェーデンを加えた集団もある。このほかに、米国政府はイスラエル政府と特別の関係をもっている。NSAはイスラエルの秘密の「Unit 8200」という組織に未加工の「SIGINT」にかかわる情報をわたしているとみられている。

 

スノーデンのやった善行　②官民連携の破棄＝プライバシー保護の強化

第二の善行は、サイバー空間上の監視をめぐる官民連携（public-private partnership）に楔を打ったことである。NSAは、FBIとCIAによって本人確認された、海外に住む300から400人の爆弾製造者や武器の専門家、殺人請負人のような人物のリストによってターゲートを決め、これらの容疑者が米国に電話すると、NSAはその国内の電話番号の記録をチェックし、FBI向けに外国容疑者が米国にもつ契約リストを集めようとしていた。この仕事を迅速に処理するために、NSAは電話会社からすべての利用者の記録を入手し、それを蓄積していたのである。スノーデン関連の暴露記事として、2013年6月、英ガーディアンは、NSAが米通信業者Verizonのすべての顧客の電話記録を収集しているとの記事を掲載する。それは、4月25日付で秘密の外国諜報監視裁判所（Foreign Intelligence Surveillance Court）によって出されたFBIへの命令に基づく行為だった。7月19日までの3カ月間データを入手する権限をFBIに与え、それにしたがってFBIがVerizon から得たデータをNSAに渡してきたわけだ。なお、米国では、かなりの情報がNSA、CIA、FBI、DEA（Drug Enforcement Administration）、DHS（ Department of Homeland Security）間で共有されている。

もちろん、この監視のターゲットは外国のテロリストだったが、膨大な電話記録は不正に使用される潜在性をもっていた。提供されたのは、いわゆるメタデータと呼ばれるもので、「データに関するデータ」を意味している。電話の場合、電話の内容がデータそのものになりますが、いつどこでだれに電話をかけたかといった情報がメタデータにあたる。e-mailで言えば、メッセージそのものはデータだが、送信元や受信先のアカウントやその受送信の時期などがメタデータとなる。写真を送付するとき、その情報には写真をとった場所の位置情報や撮影時間などのメタデータも含まれている。

メタデータはデータ自体に比べて重要性が低いように感じるかもしれないが、メタデータだけでも人間関係や行動の範囲や形態が特定できるから、きわめて重要な捜査資料となる。だからこそ、スノーデンの暴露後になっても、記録はNSAではなく、電話会社のコンピューターに一定期間、保存されることになった。NSAはFISA（外国諜報監視法）に基づく秘密裁判所からの命令を入手すれば記録を探すことはできるが、将来の利用のためにデータを保存しておくことはできなくなったことになる。

こうしたNSAへの「協力」は米国の主なIT企業がみな行ってきた。この秘密は絶対に厳守されることを前提に、すべてのインターネット上でのメタデータのコピーをNSAに送っていたのである。これが「プリズム」と呼ばれるものだ。プリズムは、検索履歴、e-mailの送受信履歴、ファイル転送先、ライブ・チャットを含むメタデータをNSA職員が収集するシステムを意味します。最初に協力したのはMicrosoftであり、2007年にNSAによるMicrosoftからの情報収集が開始された。ついで、2009年にフェイスブック（Facebook）、PalTalk、グーグル（Google）、2010年にユーチューブ（YouTube）、2011年にスカイプ（Skype）とAOLが協力をはじめました。2008年にYahooは協力を拒み、秘密裏に裁判を起こした。2012年にはついにAppleもNSAの圧力に従わざるをえなくなる。

こうした「協力関係」がスノーデンによって暴露されたことで、関係する民間会社はNSAとの関係を見直さざるをえなくなる。多くの顧客の信頼を踏みにじる行為を行ってきたことに対する反省から、顧客のプライバシー保護に積極的に取り組む必要に迫られたわけだ。とくに、米国企業によるクラウドビジネスは大打撃を被った。海外の利用者が米国企業への信頼をなくし、企業を乗り換える動きが広がったのである。このため、米国企業は対応策を講ずる必要に迫られた。あるいは、IT企業側にITシステムにバックドアがないことを保証する契約を求める大企業が増加した。つまり、IT企業側がNSAと協力関係を継続すること自体が困難になったのである。

 

スノーデンのやった善行　③監視をめぐる官民のずぶずぶの関係を暴露

スノーデンの暴露はサイバー空間上の官民連携に楔を打ち込んだだけでなく、NSAがサイバー攻撃やハッキングを行うために米国の民間企業が大いにかかわっていることや、その結果、それらの民間企業がNSAなどからの天下りを受け入れている事実を白日の下にさらけ出してくれた。

やや古い資料だが、ワシントン・ポスト（Jul. 19, 2010）は、1271の政府機関と1931の民間会社が国内の一万を超す場所で反テロ、本土安全保障、諜報活動にかかわるトップシークレット・プログラムに従事していることがわかったと報じた。85万人を超えるアメリカ人がトップシークレットにアクセスできる機密委任許可をもっていることもわかった。これが問題になったのは、秘密を暴露したスノーデンがNSAの仕事を請け負っていたBooz Allen Hamiltonに一時期雇用されていたことである。2001年9月11日のテロ事件をきっかけにテロリストの点をつなぎ合わせてテロ防止をはかったNSAなどの諜報機関は民間諜報契約者を急増させた。民間に業務委託をする、いわゆる「アウトソーシング」によって政府はコスト負担を減らそうとしたわけだが、それが裏目に出たのである。政府機関は多くの民間会社と契約し、その会社がスノーデンを含む多くの人々を雇用したのだ。その結果、一度CIAに雇用されていた実績をもつスノーデンのような人物も民間会社経由でNSAの仕事の一端を任されていたことになる。

諜報機関と民間会社との請負契約は癒着を生む。たとえばBooz Allen Hamiltonの副社長を務めていたのは1992年から1996年までNSA長官だったマイク・マコーネルだ。2014年にNSA長官を退いたケンス・アレクサンダーは自らのインターネット・セキュリティ・コンサツティング会社を設立した。自分で発明したと主張するセキュリティ技術の特許を複数提出したことで知られている。

 

スノーデンのやった悪行

このようにスノーデンの暴露は明らかに個人のプライバシー保護にとってプラス効果を生んでいる。しかし他方では、スノーデンの暴露が「悪行」につながっている面もある。それは、これまでにテロ活動を事前に察知するのに役立ってきた「プリズム」を暴露したことだろう。イラク、シリア、アフガニスタン、パキスタンのテロ組織は暗号化や、Apple、Google、Twitter、WhatsAppのような巨大なインターネット関連会社によって利用されている保護手段をもっているとの自信から、NSAがかれらの情報交換を傍受・盗聴していることに気づいていなかった。2007年にNSAは、データが暗号化される前にデータを傍受・盗聴する方法を見つけ出していたのだ。「2013年までにNSAはデータが暗号化される前にインターネットの91%にアクセスできた」と言われている。そのなかには、Google検索、Twitterでのツイート、ソーシャルメディアのポスティング、Skypeでの会話、Xbox Liveでのメッセージ、WhatsAppで送られるメッセージ、インターネット経由のe-mailが含まれていた。さらに、NSAは写真やオンライン・ゲーム動画に隠されたメッセージを読み取ることもできた。しかも、2013年のこのプリズム・プログラムの実際の傍受・盗聴は事前に選別されたテロリストのコミュニケーションに主に限定されていたのだ。

にもかかわらず、プリズムが暴露されたことでテロリストは警戒感を強め、末端から末端までの暗号化（end-to-end encryption）の重要性に気づくようになる。その結果、テロリストの活動を事前に察知することがきわめて難しくなってしまったのだ。余談だが、2016年に表面化したiPhoneのロック解除をめぐるFBIとAppleとの対立についても紹介しておこう。2015年12月に起きた銃乱射事件に関係するiPhoneのロック解除の協力を求めるFBIとこれに慎重なAppleとの対立が生じ、FBIは訴訟に出た。結局、FBIはイスラエルのCellebrite社に90万ドルを支払ってiPhoneのロック解除に成功した。裁判所への要請を取り下げ、係争は停止されたのだが、ユーザーのセキュリティの確保と捜査協力とのバランスをどうとるかという問題が暗号解除をめぐって尖鋭化したことになる。FBIのこのやり方は「法を遵守したハッキング」（lawful hacking）と呼ばれて、カネでバランスをとろうとするもので好ましい解決方法ではない。

ホイッスル・ブローアーとして称賛に値する行動を行ったスノーデンだが、その過程でNSAのもっともレベルの高い機密まで盗み出したかれはその秘密を暴露するだけでなく、その機密をロシアに引き渡したことで米国政府の安全保障に大打撃を与えた可能性が強い。ロシアのプーチン大統領は2013年6月、スノーデンを受けいれる決定をくだし、その結果、ロシア側にスノーデンの入手した機密が渡された可能性が濃厚なのだ。

 

ちょっとサービスしすぎたかもしれない。ここで紹介したようなことを知ったうえで、はじめて今回の米中のITをめぐる対立を理解することができるのである。それにしても、なにも知らずにコメントするアホ、だれが優れた専門家であることさえ区別できない報道人もバカばかりである。「21世紀龍馬」たる者はとにかくもっと勉強してほしい。そのうえで、自分の考えを生み出してほしい。なにも知らない自分をバカと自覚し、勉強するところはじめなければならないのだ。