初心者の自己防衛マニュアル

■　その他
　　

　不正アクセス行為の禁止等に関する法律
　　

　警察が行うメール盗聴捜査
　　

　米連邦捜査局(FBI)の電子メール監視システム『カーニボー』
　　

　PGPに仕込まれたトラップドア

　■　不正アクセス行為の禁止等に関する法律

　（目的）
第一条　この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。

　（定義）
第二条　この法律において「アクセス管理者」とは、電気通信回線に接続している電子計算機（以下「特定電子計算機」という。）の利用（当該電気通信回線を通じて行うものに限る。以下「特定利用」という。）につき当該特定電子計算機の動作を管理する者をいう。
２　この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者（以下「利用権者」という。）及び当該アクセス管理者（以下この項において「利用権者等」という。）に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。
　一　当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号
　二　当該利用権者等の身体の全部若しくは一部の影像又は音声を用いて当該アクセス管理者が定める方法により作成される符号
　三　当該利用権者等の署名を用いて当該アクセス管理者が定める方法により作成される符号
　３　この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号（識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次条第二項第一号及び第二号において同じ。）であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。

　　（不正アクセス行為の禁止）
第三条　何人も、不正アクセス行為をしてはならない。
２　前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。
　一　アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為（当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。）
　二　アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報（識別符号であるものを除く。）又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為（当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。）
　三　電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

　　（不正アクセス行為を助長する行為の禁止）
第四条　何人も、アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでない。

　（アクセス管理者による防御措置）
第五条　アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該アクセス制御機能に係る識別符号又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに、常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。

　（都道府県公安委員会による援助等）
第六条　都道府県公安委員会（道警察本部の所在地を包括する方面（警察法（昭和二十九年法律第百六十二号）第五十一条第一項本文に規定する方面をいう。以下この項において同じ。）を除く方面にあっては、方面公安委員会。以下この条において同じ。）は、不正アクセス行為が行われたと認められる場合において、当該不正アクセス行為に係る特定電子計算機に係るアクセス管理者から、その再発を防止するため、当該不正アクセス行為が行われた際の当該特定電子計算機の作動状況及び管理状況その他の参考となるべき事項に関する書類その他の物件を添えて、援助を受けたい旨の申出があり、その申出を相当と認めるときは、当該アクセス管理者に対し、当該不正アクセス行為の手口又はこれが行われた原因に応じ当該特定電子計算機を不正アクセス行為から防御するため必要な応急の措置が的確に講じられるよう、必要な資料の提供、助言、指導その他の援助を行うものとする。
２　都道府県公安委員会は、前項の規定による援助を行うため必要な事例分析（当該援助に係る不正アクセス行為の手口、それが行われた原因等に関する技術的な調査及び分析を行うことをいう。次項において同じ。）の実施の事務の全部又は一部を国家公安委員会規則で定める者に委託することができる。
３　前項の規定により都道府県公安委員会が委託した事例分析の実施の事務に従事した者は、その実施に関して知り得た秘密を漏らしてはならない。
４　前三項に定めるもののほか、第一項の規定による援助に関し必要な事項は、国家公安委員会規則で定める。

第七条　国家公安委員会、通商産業大臣及び郵政大臣は、アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に資するため、毎年少なくとも一回、不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況を公表するものとする。
２　前項に定めるもののほか、国は、アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に関する啓発及び知識の普及に努めなければならない。

　（罰則）
第八条　次の各号の一に該当する者は、一年以下の懲役又は五十万円以下の罰金に処する。
　一　第三条第一項の規定に違反した者
　二　第六条第三項の規定に違反した者

第九条　第四条の規定に違反した者は、三十万円以下の罰金に処する。

　　　附　則
この法律は、公布の日から起算して六月を経過した日から施行する。ただし、第六条及び第八条第二号の規定は、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。

　■　警察が行うメール盗聴捜査

＊＊です。ご報告が遅くなり大変申し訳ありません。先週金曜に＊＊議員が警察庁を呼んで、主として電子メール盗聴についてのヒヤリングを行いました。その結果大変重要なことが明らかになりました。結論からいうともはや「ポップで盗聴する」という国会答弁を警察庁は放棄し、より重大なプライバシー侵害となるような方法をとることになりました。以下ヒヤリングの概要です。

警察庁の話しのニュアンスから、あきらかにすでに電子メールの盗聴は行われているもようです。現在の盗聴は次のようにして行われています。
　（１）令状を取得する。
　（２）ISPが、盗聴可能なように、メールの配送ルートを操作する。
　（３）捜査当局は、ターゲットのメールを、メールスプールで取得するが、説明のニュアンスでは、ターゲットのメールボックスに到着したメールをコピーするのではなく、その前に、配送経路を、捜査当局宛てと本来のあて先の二箇所に設定することで盗聴をおこなう。（すでにメールスプール、あるいはメールボックスに到着したメールは、盗聴令状ではなく、捜索押収令状で取得できると説明しされた）

しかしこの現状の方法では下記のような問題があるという。
　（１）プロバイダーのサーバーのメモリを利用するからプロバイダーに負担となる
　（２）ターゲットに盗聴捜査が漏洩する恐れがある。
そこで、「仮のメールボックス」とよばれる装置を導入することでこの問題を解決したい、というのが警察庁の言い分である。仮のメールボックスとはおおよそ次のようなものだという。

　（１）警察庁が盗聴に必要なすべてのプログラムをあらかじめ設定した装置＝仮のメールボックスを準備する。
　（２）警察庁はこの「メールボックス」をISPに貸与する。
　（３）ISPはこの装置を物理的にISPのネットワークに接続する。
　（４）このメールボックスは、このISPを流通するメールをすべてフィルターにかけて、ターゲットに関係するメールだけを選り分ける。
　（５）この「仮のメールボックス」の操作は、捜査官が行う。
　（６）盗聴捜査終了後、仮のメールボックスを回収する。

僕は＊＊さんには、警察が、臨時の郵便局を設置し、すべての郵便物がいったんこの郵便局を通過するように郵便配達トラックを操作し、この「仮の郵便局」に到着した郵便物からターゲットの（あるいはかれらが必要と考える）郵便のコピーをとり、本来の郵便局に配送する、といったしくみであろう、と説明しました。

これはかなり大掛かりな装置である可能性がありますが、米国のカーニボーやイギリスのRIPと酷似しています。

この「仮のメールボックス」に次年度１億４０００万の要求がだされていますが、その概要は全部で１５台分の価格
一台あたり８７５万円。
２台を警視庁、残りを主要な都道府県警に一台づつ配備。
この価格にはプログラムの開発費が含まれる。

＊＊さんは、さらに詳細な仕様を明らかにすること、プログラムを公開すること、８７５万の内訳を明らかにすることを要求しました。これらは多分国会での答弁で何らかの返答があるかもしれない。
その他、声紋鑑定については、法律上違法ではないとの返事がありました。
以上のように、盗聴法はきわめて深刻な運用が今後次々に画策されると思われます。僕は非常に強い危機感を感じています。以上、ご報告でした。

問題だらけの電子メール盗聴を許すな！　http://www.incidents.gr.jp/9908/mizoguchi990807/mizoguchi990807.htm

　■　米連邦捜査局(FBI)の電子メール監視システム『カーニボー』

　■　米連邦捜査局(FBI)の電子メール監視システム『カーニボー』その１：

2000年8月4日 3:00am PDT
　君は電子メールを暗号化してから送信しているだろうか？
　答えはきっと「ノー」だろう。ほとんどの電子メールは暗号化されておらず、簡単に読むことのできるテキストのパケット形式で、インターネット上で伝送されている。
　しかし、ある程度の技術を持つ侵入者であれば、電子メールのパケットを伝送途中に傍受してつなぎあわせることができる。そうすれば、電子メールのメッセージを自由に読めてしまう。
　だが、一般的なインターネット・ユーザーは、この危険をあまり警戒していないようだ。　結局のところ、犯罪者だけが暗号化を用いることになる。なぜなら、犯罪者だけがそのことを気にかけるからだ」と、ITおよび電子商取引を専門とするゴードン＆グリックソン法律事務所のパートナーの1人であるマーセロ・ハルパーン氏は語る。
　　犯罪者、もしくは「プライバシーに関してものすごく用心深くて、父親にも電子メールを読まれたくないと思っている人」だけが暗号化に関心があるというのだ。
　だが、米連邦捜査局(FBI)の電子メール監視システム『カーニボー』がここしばらく注目をあびていることから、電子メール・セキュリティー会社は、一般的な電子メールユーザーに対して電子封筒に封をすることを勧め、電子メール暗号化の市場拡大をすすめることを望んでいる。
　「カーニボー問題が突然現れて人々のプライバシーにとって真の脅威となっている。　これを見て、われわれのセキュア・サーバー製品である『ミスリル』(Mithril)を、形を変えて市場に出すことができるのではないかと思った」と語るのは、セキュリティー会社チェーンメール社の業務開発責任者、ショーン・スティール氏。
　FBIは、犯罪捜査において電子メール通信の傍受にカーニボーを使っている。　カーニボーは、容疑者のインターネット・サービス・プロバイダー(ISP)のネットワークにインストールされ、まず全ユーザーの電子メールを取り込んでから、目的の電子メールを選り出す。
　カーニボー・システムは最近、ニュースで頻繁に取り上げられている。2日(米国時間)には、プライバシー擁護団体である電子プライバシー情報センター(EPIC)がカーニボーの情報開示問題でFBIを提訴した。
　チェーンメール社は、カーニボーに怯える人々を利用するために、同社製品を『アンチボー』として売り出した。　また、プライベーダ社の製品もある。同社の電子メール暗号化ソフトは、ISP各社がFBIの召喚状に応じる際に、他の顧客のプライバシーを冒さずにすむようにするものだという。
　だが、アンチボーも、プライベーダ社の製品も、目新しいものではない。カーニボー問題で宣伝だが、アンチボーも、プライベーダ社の製品も、目新しいものではない。カーニボー問題で宣伝の仕方が変わっただけのものなのだ。
　「FBIのカーニボーのおかげで、われわれの仕事はとても簡単になった」と、チェーンメール社のスティール氏は語る。　「人々は、政府に電子メールを傍受されるのではないかとひどく恐れている」スティール氏によれば、FBIはアンチボーに関する基本情報について尋ねてきたという。同氏は、FBIの興味が高じて、提携を結ぶまでになってほしいと願っていると述べた。
　「FBIが我が社のような技術を受けいれるとすばらしい……実際、アンチボーとカーニボーをバンドルすることを提案したいと思っている」
　チェーンメール社は、最近行なわれた調査の結果を引用している。この調査はバージニア州リッチモンドにあるNBCの支局の依頼で行なわれたものだ。周辺住民500人を対象に非公式に行われたこの電話調査では、解答者の83％が電子メールの暗号化を望んでいると答えたという。
　だが、カーニボーに対する反応が大きくなる可能性があるにもかかわらず、暗号化ソフト会社が成功するためには、まずは安全な電子メールに関して積極的でない大衆の意欲を後押しする必要がある。
　電子メールのセキュリティー・ソフトウェアの基盤となっている暗号化システムは、決して目新しいものではない。各社は何年も前から、データ保護のために暗号化を使用する、ISP、ネットワーク、エンドユーザー向けの製品を提供してきている。エンドユーザー向けの一番有名な電子メール暗号化製品は、フリーウェアの『PGP』だ。
　だが、一般のインターネット・ユーザーはあまり関心を示していない。果たして、この邪悪そうな政府の監視システムの問題は、一般のこうした意識を本当に変えることができるだろうか。
　「隠すものが何もないのなら、なぜ気にする必要があるんだという疑問は一般的なものだ」と、ゴードン＆グリックソン法律事務所のハルパーン氏は語る。「電子メールはとても危ういものだ。……だが、カーニボーが一般大衆を怖がらせて、電子メールを暗号化させるようになるかどうかはわからない」
　それに、暗号化は今のところ、カーニボーに対するプロテクトとしてはあまり役に立たないとハルパーン氏は語る。

　■　米連邦捜査局(FBI)の電子メール監視システム『カーニボー』その２：

　最近FBIが作り出したCarmivore（食人鬼：命名者はレッキとしたFBIの係官だと言うところもアメリカ社会らしい）という愛称を持った電子メール盗聴装置について話題にしている。ピンポイントで盗聴する電話と違い、電子メールを盗聴しようとすると、水をせき止めるダムのように片っ端からメールをため込んで、その中から目的のメールを探し出す必要がある。
　犯罪に無関係なメールも、とにかく一度はFBIの開発した盗聴装置に入ってしまう。一般の通信利用者のプライバシーも何から何までＦＢＩに筒抜けになってしまうわけだ。そんなわけで、米市民的自由連盟(ACLU)や電子プライバシー情報センター（EPIC）などを中心に猛烈な反発があったという。そして、Carmivoreのソフトウェアそのもののを社会に公開せよと要求しているそうだ。最近のニュースでは、EPICの請求に対してFBIは、Carmivoreに関する文書の一部を公開せざるをえなくなったらしい。
　日本でも通信傍受法が施行され、警察は合法的に通信の盗聴が出来るようになった。不祥事続きの警察を「信用しなさい」と言われて、信用するほど日本社会もお人好しではないと思うが、盗聴装置の写真が公開されただけで、その後何の声も聞こえてこない。権力者の通信傍受を常に監視し、新しい盗聴装置が開発されれば、その装置のソフトウェアの公開まで求めるアメリカ社会。日本社会との違いを考えさせられるコラムだった。(10/23)

　■　PGPに仕込まれたトラップドア

　ＮＳＡ（米国安全保障局：アメリカの政府機関）の意向により、バージョン２．１以降のＰＧＰ全てに、ＮＳＡだけが秘密鍵がなくても暗号文を解読できるトラップドアが仕掛けてある可能性が高い、とのことです。暗号化をしても、ソフトにトラップドアがあれば内容は解読されてしまいます。
　暗号化をしても、そうした危険性があることを念頭において頂きたいと思います。
＜英文＞
NSA is able to Break PGP Encryption
A lot of people think that PGP encryption is unbreakable and that the NSA/FBI/CIA/MJ12 cannot read their mail. This is wrong, and it can be a deadly mistake. In Idaho, a left-wing activist by the name of Craig Steingold was arrested one day before he and others were to stage a protest at government buildings; the police had a copy of a message sent by Steingold to another activist, a message which had been encrypted with PGP and sent through E-mail.
Since version 2.1, PGP (Pretty Good Privacy) has been rigged to allow the NSA to easily break encoded messages. Early in 1992, the author, Paul Zimmerman, was arrested by Government agents. He was told that he would be set up for trafficking narcotics unless he complied. The Government agency's demands were simple: He was to put a virtually undetectable
trapdoor, designed by the NSA, into all future releases of PGP, and to tell no one.
After reading this, you may think of using an earlier version of PGP. However, any version found on an FTP site or bulletin board has been doctored. Only use copies acquired before 1992, and do NOT use a recent compiler to compile them. Virtually ALL popular compilers have been modified to insert the trapdoor (consisting of a few trivial changes) into any version of PGP prior to 2.1. Members of the boards of Novell, Microsoft, Borland, AT&T and other companies were persuaded into giving
the order for the modification (each ot these companies' boards contains at least one Trilateral Commission member or Bilderberg Committee attendant).
It took the agency more to modify GNU C, but eventually they did it. The Free Software Foundation was threatened with an IRS investigation, in other words, with being forced out of business, unless they complied. The result is that all versions of GCC on the FTP sites and all versions above 2.2.3, contain code to modify PGP and insert the trapdoor. Recompiling GCC with itself will not help; the code is inserted by the compiler into itself. Recompiling with another compiler may help, as long as the compiler is older than from 1992.

＜日本語訳＞
ＮＳＡ（米国安全保障局：アメリカ政府の機関）は、ＰＧＰ暗号を破ることが出来ます。
多くの人はＰＧＰ暗号は破られる事がなく、ＮＳＡやＦＢＩやＣＩＡやＭＪ１２もメールを盗み読みすることはできないと考えています。それは間違いで、致命的なミスです。アイダホでは、クレグ・ステインゴルドというある左翼活動家が、彼らが政府のビルで抗議運動をする前のある日に逮捕されました。警察はステインゴルドがほかの活動家に送ったメッセージをもっていました。そのメッセージは、ＰＧＰで暗号化され電子メールで送られていたものでした。
バージョン２．１以来、ＰＧＰ（Pretty Good Privacy）はＮＳＡが簡単に暗号化されたメッセージを解読できるように不正行為がなされていたのでした。１９９２年初頭、作者のポール・ズィマーマンは政府のエージェントによって逮捕されました。彼は従わなければ、麻薬売買の罪をでっち上げるといわれました。政府機関の要求は単純でした。彼は、ＮＳＡによって開発された、事実上発見することのできないトラップドアを以後のすべてのＰＧＰのリリースに組み込まなければならなく、また、その事を誰にも話し手はならない、というものでした。
これを読むと、古いバージョンのＰＧＰを使う事を考えるかもしれません。しかし、ＦＴＰやＢＢＳで見つけられるどのバージョンも改造されています。１９９２年以前に入手したものだけを使ってください、そして最近のコンパイラでそれをコンパイルしないでください。事実上すべての有名なコンパイラは２．１以前のすべてのＰＧＰにトラップドア（いくつかのわずかな変更から成る）を挿入するように改造されています。NovellやMicrosoftやBorlandやAT&Tやほかの会社の役員会の構成員は改造の命令を与えるよう説得されました。
ＧＮＵＣを変更するには政府はより手間取りました、しかし段々と彼らはそれを行った。フリーソフト財団は従わなければＩＲＳ捜査をすると脅しを受けた、言い換えるとビジネスを廃業に追い込まれるという事です。
結果は、ＦＴＰサイトのすべてのバージョンのＧＣＣと２．２．３以上の全てのバージョンはＰＧＰを改造しトラップドアを埋め込むコードを含むようになった。ＧＣＣ自身を再コンパイルしても意味がないです、コードはコンパイラ自身によってそれ自身に挿入されるからです。ほかのコンパイラで再コンパイルするなら意味があるでしょう、ただしそのコンパイラは１９９２年より古いものでなければなりません。