« ようやくBlog導入「消費者」という名の奴隷 »

警察庁電子メール盗聴装置の問題点(仕様書案バージョン)

2001/08/17

警察庁電子メール盗聴装置の問題点(仕様書案バージョン)

以下は昔書いたもので、今改めて書くのであれば議論が必要だけれども、
必要があってここに置きます。

警察庁電子メール盗聴装置の問題点
2001年8月17日

2002年7月31日追記: 以下の議論は、「仕様書案」に基づくものです。最終的な入札仕様書に基づいた議論を独立した文書としては用意していませんが、

で、差分についての議論を行っていますので、あわせてご参照ください。

2003年10月4日追記: 通信傍受用仮メールボックスの詳細については2002年に情報公開請求を行い、現在部分開示となったものについて異議申立て中です。開示されたものについてはhttp://liij.sakichan.org/FOIA/をご参照ください。開示されたものに基づいた議論については、近いうちに別に書いて、あらためてここにURLを追記します。

...

1. この文書の目的

この文書は、盗聴法(犯罪捜査のための通信傍受に関する法律、平成十一年八月十八日法律第百三十七号)にもとづいた警察庁の電子メール盗聴装置(名称「通信事業者貸与用仮メールボックス」)の入札仕様書(官報記載)について盗聴法と仕様の解離の可能性や盗聴装置の濫用可能性について述べるものである。

2. この文書の限界

ここであげる仕様書では『情通仕企第1号改2「情報通信局共通仕様書」』をあげ、「本仕様に規定のない事項については、次の仕様による。」としている(3.1項)。この「情報通信局共通仕様書」を以下では参照していない(入手していないため)。

3.. 装置の構成

まず簡単に、仕様書からわかる、盗聴装置、および「傍受記録」作成環境を含めた全体の構成を述べる。

仕様書によれば、「通信事業者貸与用仮メールボックス」と、「傍受記録作成用ソフト」があり、これらが「送信用1+受信用1」あるとされる。

「傍受記録作成用ソフト」は「通信事業者貸与用仮メールボックス」とは別のMS-Windows (NT 4.0/98/98SE/2000/Me)パソコンの上で動作するということなので、盗聴捜査ではこの入札の対称外のパソコンを2 台用意し、「仮メールボックス」装置と2台とパソコン2台をプロバイダに持ち込んで使うことになる。

作業のフローとしては、

  1. 原記録の作成
    1. 仮メールボックス装置2台の設置
    2. 「傍受対象」の初期設定
    3. 「傍受」開始。 フロッピーディスクをいれた状態で自動照合し、対象となるメールがあると書き込み、次のフロッピディスクの挿入を促す
    4. 「傍受」期間の終了まで1.3を繰り返す
  2. 傍受記録の作成
    1. 1.3 の作業で生成されたフロッピディスクをパソコンにセットする
    2. 編集用ソフトでスポット表示をして分類し、場合によって複製したり印字したりする

ということになる。

4. 問題点
4.1 「傍受の原記録」が改ざんされる可能性

盗聴法による盗聴は、警察が恣意的な情報収集するということではなく、あくまでも限定された犯罪についてその証拠を集めるために「通信傍受」という手段が認められている。そのため、人為的な編集の入らない「傍受の原記録」を作成して、捜査に供する「傍受記録」とは別に裁判所に保管して、あとで裁判のさいに「傍受記録」が正しいかどうかの疑義が傍受対象者・被疑者から出た場合に照合できるようになっている。

だから、「傍受の原記録」が真正のものであって改ざんされる可能性をなるべく低くすることが重要ということになる。とくに、電子メールの場合は複製・改ざんが極めて容易なデジタルデータなので、この点はアナログカセットテープによる電話での会話の傍受の記録よりも厳しく考える必要がある。

4.1.1 時計

盗聴装置では、傍受の原記録について時刻を付随して記録する。この装置の内蔵時計の時刻について、仕様書では「記録用ソフトウェア」のGUIから修正が可能であることをもとめている。これは、時刻について捜査員が任意に設定できるということになる。これは原記録の改ざんを、時刻に限定されるとはいえ行う余地を残していることになる。GPSを利用した時刻同期など、捜査員の恣意の入る余地のない時刻設定のほうが望ましいはずだ(なお、GPSは電波を利用する以上、プロバイダ施設内での設置場所によっては利用できないこともあるので、必ずGPSを利用すべきだと主張するものでもない)。

4.1.2 記録メディア

このシステムでは「傍受の原記録」や原記録に付随する装置のログ、そして編集ソフトの動作ログなど、全てフロッピディスクに記録されることとなっている。

ここで、フロッピディスクはランダムに読み書き可能なデバイスであることに注意する必要がある。盗聴装置で「原記録」を書き込んだ読み書き可能なフロッピディスクが、通常のパソコンにセットされて傍受記録を作られることになる。通常のパソコンでOSとしてMS-Windows を利用しているわけだから、編集ソフトと別のソフトを同時に走られることが当然できる。これによって、原記録の改ざんを行う余地がでてしまう。

改ざんは、一見難しいように思われる。原記録は暗号化されていて、編集ソフトでは復号化しかサポートしないからである。しかし、これは実は改ざんの歯止めにはならない。盗聴装置での暗号化が、一般的な対称鍵暗号によって行われることになっているからである。対称鍵暗号による暗号化は、暗号化と復号化で同じ鍵を使うわけだから、原記録を復号する鍵で原記録の改ざんも可能になってしまう。

この鍵の管理について、仕様書では何もふれていない。すなわち、警察庁で鍵をきめて管理するのか、納入メーカーが設定してソフト中に埋め込むのか、どちらかは仕様書だけではわからない。前者であれば、十分な準備をした上での組織的な改ざんは極めて容易だし、後者でも、警察庁のリソースでリバースエンジニアリングによって鍵の内容を容易に知ることができるはずである。

原記録の改ざんを防ぐのであれば、公開鍵暗号による電子署名を利用すべきである。具体的には、盗聴装置に署名用の耐タンパ性の公開鍵暗号装置を載せ、装置中の秘密鍵で原記録やログ等の記録すべてに署名を行う。暗号装置から取り出した公開鍵を裁判所に預託しておけば、原記録の署名を法廷で確認できることになる(原記録改ざんの可能性をさらに減じるには、フロッピディスクによる記録をやめ、記録を CD-R に行う、という方法もありえるかもしれない。ただ、この場合は ドライブとして CD-RW 機能のない CD-R を調達する必要があるので、逆に調達しにくい状態かもしれない)。なお、改ざんの可能性は編集ソフトのログ出力についても全く同様のことが言えるので、同様に公開鍵暗号ベースの署名を行うことが望ましいだろう。

また、原記録の暗号化は、もちろん、編集ソフトに依らない傍受記録作成以外の方法での内容閲覧を封じる意図があってのことである。しかし、暗号化すると法廷で傍受対象者や被疑者の要求によって原記録閲覧の必要が生じた場合、警察の協力なしには閲覧ができない可能性がある。よって、個別のケースが発生する前に編集ソフトを裁判所にも配布しておく必要があるだろう。

4.2 濫用の可能性
4.2.1 傍受対象となる通信の自動設定の問題

盗聴装置の初期設定で、傍受対象となる通信を、IPアドレスとポート番号、メー
ルアドレスと処理方式で指定している。この処理方式として「SMTP方式 」「メールヘッダ方式 」「別途指定方式」 のいずれか、ということになっている。これは、「傍受対象者」あてでもなく、傍受対象者から発せられたのでもない通信を盗聴する可能性がある。

そもそも、インターネットでのメールの処理は、SMTPプロトコルにしろ、メールヘッダにしろ、認証が存在していない。だから、確実なのは、「SMTPプロトコル上の RCPT TO」で指定されたメールアドレスにメールが配送されるだろう、ということのみである(SMTP プロトコル上の MAIL FROM は、エラーが発生した場合の通知先として用いられるが、当該メールの配送には何ら利用されない)。

また、メールヘッダについては、ユーザが利用するプログラムでは重視されるものの、メールの配送上は全く利用されない(配送プログラムがヘッダのアドレスを正規化することはある)。

だから、傍受対象者のメールアドレスに関係する RCPT TO での照合は確実に傍受対象者あてのメールだが、他の場合は傍受対象者の関係するメールとは必ずしもいえない。

MAIL FROM が傍受対象者と一致するケースで、実際の発信者が傍受対象者でない場合、これは第三者が傍受対象者をかたっているケースとなる、個人的にはこれをどう考えるかはわからない。

To: や Cc: に傍受対象者のメールアドレスが入るケースで、実際の受信者が傍受対象者でない場合、これは、多数への同報でたまたま該当セッションでは対象者が受信者となっていないケースがありうる。これは、実際にはRCPT TO による照合でほとんど同じメッセージが取得できるだろうから、実質的には問題でないかもしれない。

問題は、From: や Reply-To: での照合である。From: の照合で、実際の発信者が傍受対象者でない場合、これは、「かたり」のほか、第三者による転送や代理発信などがある。後者の場合、メールヘッダ上では実際の発信者は Sender: ヘッダに入れるのが通例となる。MAIL FROMでも実際の発信者となる。 Reply-To: の場合、傍受対象者とつながりのある人物が、特定の用件の返事を傍受対象者に送ってもらうことを意図して Reply-To: を傍受対象者とする場合がありうる。この場合、メール自体は傍受対象者の全く関係しないメールとなる。こういったケースを含みうる自動照合は、法律の枠から逸脱していると思われる。

さらに、「別途指定方式」は具体的な照合方法を書いていない。これは、全く「傍受対象」を限定できない可能性があり、法律の枠からの逸脱となる。

4.2.2 盗聴装置が入れ替え可能なソフトウェアで構成されていること

「仮メールボックス」は、汎用的なハードウェア構成の上に、CD-ROM で供給される基本ソフトと記録ソフトをインストールして利用する形態であり、このインストールは何度でもやり直すことができる。

従って、表面上は仕様に沿ったソフトど同一の構成にみせかけ、実は仕様外の動作をして令状にない通信を記録する違法盗聴ソフトを用意して差し替え、インストールすることが極めて容易である。

このような事態を避けるためには、特定の厳しい条件下で許可されたCD-ROM以外ではインストールできないようにする必要がある。これはソフトウェアで仕掛けることは無理があるので、例えば、CD-ROM ドライブが納められるベイにカギをかけ、許可されていないCD-ROM に差し替えられることが決してない監視下のもとでのみインストール作業を行う、といった具合にすべきであろう。しかし、この仕様書では何の措置もとられていない。