Last Updated: March 29,2021
⑥ ドイツ法執行当局が市民のコンピュータをトロイの木馬で偵察するのは合法か?
ドイツの法律は、警察はスパイウェアを疑いのある犯罪者にスヌーピング(注4)することを認められているが、厳格なガイドラインのもとでのみ行いうる。たとえば、当局は、暗号化される前にSkypeの会話を録音するために電話盗聴(phone wiretap)に相当するものについては法的承認を求めなければならない。
ドイツ連邦憲法裁判所は、判決等において捜査官のスパイソフトウェアで何を行いうるかを制限するとされる厳しい法的ガイドラインを設けている。たとえば、Skypeの会話を録音することは許可されているが、そのスパイウェアは被疑者のコンピュータ上のコードを変更してはならず、トロイの木馬が追加機能を含むようにするために保護装置を設置する必要がある。
⑦ R2D2トロイの木馬はSkypeの会話内容を覗いているのか?
Skypeの会話を記録するだけでなく、MSN MessengerやYahoo Messengerチャットクライアントのようなものも盗聴し、Firefox、Opera、Internet Explorer、SeaMonkeyなどのブラウザでのキーストロークを記録することもできる。
さらに、トロイの木馬は、ユーザーの画面の内容を取得し、アップデートをダウンロードし、リモートWebサイトと通信することができる。
⑧ トロイの木馬はどのウェブサイトと通信しているのか?
このトロイの木馬は、デュッセルドルフまたはノルトライン=ヴェストファーレン州ノイスにあるIPアドレス83.236.140.90に接続しているようである。
⑨ LKA Nordrhein-Westfalenはどこにあるのか?
デュッセルドルフである。
⑩ スパイウェアであるトロイの木馬を使用しているLKAについてさらに何を知っているか?
2008年初め、WikiLeaksは、LKAとDigiTaskと呼ばれるソフトウェア会社の間で秘密のメモがあるとリークした。このWikiLeaksによって漏洩された詳細は、CCCによって発見されたR2D2トロイの木馬の動作と一致するように見える。もちろん、DigiTaskがマルウェアを書き込んでいない可能性もあるが、機能は一致している。
DigiTaskはこれまで、Skypeの会話を監視するための監視ソフトウェアを発表したりプレゼンテーションを行ってきている。
⑪ R2D2トロイの木馬がLKAによって使用されたことを証明できるか?
ドイツ警察当局が関与を確認しない限り、マルウェアを誰が作成したかを証明することは実際には不可能である。しかし、それは彼らが関与していない可能性が高いように見え始めている。
⑫ R2D2トロイの木馬はどのようにコンピュータに感染するか?
このマルウェアはWindowsコンピュータをターゲットとしている。 通常、添付ファイルを含む電子メール、またはコンピュータに感染するWebへのリンクすることで起きる。 (注5)
(3) 2011.10.11 Deutsche Welle(DW)記事
ドイツの大手メデイアDWが政府スパイウェアの背後にあるドイツの会社DigiTaskがバイエルン州へのスパイウェアの販売の事実を認めたとする記事を載せている。
前記(1)で述べた内容とかなり重複するのでここでは引用しないが、より詳しい事実関係の説明があるので、併読されたい。
(4) いわゆる「合法的とされる通信傍受(Quellen-TKÜ)源」と「オンライン捜査」に関する法的考察
限られた時間のため、法学者ウルフ・ブルマイヤー(Ulf Buermeyer)氏(注6)のレポート「Quellen-TKÜ – ein kleines Einmaleins (nicht nur) für Ermittlungsrichter」をあえて参照し,仮訳した。なお、筆者はドイツ法の専門でもないし、また憲法裁判所の判決内容についての研究者でもない。その意味で神戸大学(当時)高橋和広「IT基本権に関する一考察(Eine Uberlegung vom IT-Grundrech)」神戸大学六甲台論集法学政治学篇,61(12):39-89 等を適宜参照した。
Ulf Buermeyer 氏
① 検証:その法的根拠は?
「いわゆる合法的とされる通信傍受(Quellen-TKÜ)源」は、「古典的な」電気通信監視手段の特別なケースとして提示されることが多い。ただし、技術的な観点からは、これは「オンライン検索」と同じ手順である。Quellen-TKÜと更に進めた捜査手段の両方について、監視ソフトウェア(「トロイの木馬」)がターゲット・システム上で実行されるため、厳密性・完全性には違反する。
合法、違法の違いは、気づかないであろうが、唯一Quellen-TKÜで収集できるデータの性質のみによる。ターゲットシステムに侵入すると、単に電話を傍受するだけの捜査は、モジュールを再起動するという単なる問題に過ぎない。CCCは「国家によるトロイの木馬」の分析でこのことを印象づけている。
これは、トロイの木馬によるQuellen-TKÜの法的根拠の可能性を問ううえで、次の2つの思考を証明するステップにつながり、Quellen-TKÜとオンライン捜査の両方とも既に容認できなくなる可能性がある。
(A)Quellen-TKÜにつき特定の許可基準とは何か?
ソース通信システムの場合、電気通信のモニタリングが関係しているので、刑事訴訟法§100a条の義務ならびに§100bStPOの手続き上の法的基準が明らかである。 しかし、これらの基準は、情報通信システムの完全性と機密性には影響しない(基本法第10条第1項)。これは、連邦憲法裁判所のオンライン上の決定 検索、・・・・・・
しかし、連邦憲法裁判所はさらに同じ判決で、Quellen-TKÜのみが存在し、オンライン検索が全くないと述べている。
監視が進行中の電気通信プロセスのデータに限定されている場合、これは技術的な規定と法的要件によって保証されなければならない。
連邦憲法裁判所(BVerfG)によって策定された法的要件の要求は、法科学においてほとんど全会一致に導かれている(例えば、JurPCのAlbrecht、Buermeyer / Baker HRRS 2009、p.433、Becker / Meinicke StV 2011,50参照) 証拠)これらの法的要件を正確に含む具体的かつ法的な規制が必要である。
ドイツ刑事訴訟法第100a条および刑事訴訟法第100b条は、 Quellen-TKÜ の特別な特徴について言及しておらず、特に「技術的予防措置」による電気通信の制限を確実にするための保護措置を規制していないため、 これらの基準の拒否は、最初の検査段階である。 個々の裁判官がこれを違う方法で見れば、司法機関の自己エンパワメントがあり、それはすでにNetzpolitik.org とのインタビューで非常に疑わしいと批判されている。
(B)「附属品の権能」
ドイツにおいて非常に影響力のある裁判官(Lutz Meyer-Goßner)は、Quellen-TKÜの具体的な法的根拠は必要ないと主張する。ターゲットコンピュータにトロイの木馬を潜入させる許可は、それほど重要ではありません 電気通信の監視の付属品は、刑事訴訟法§100a,§100bに基づいても可能である。そうでない場合はプロバイダーのみが通信傍受(TKÜ)手段の使用が許可される。
ここでのキーワードは「附属品としての権能(Annex-Kompetenz)」である。この基準の裁判官が通信傍受(TKÜ)を手配することができれば、トロイの木馬使用につきTKÜを小さな付録として与えることは簡単であろう。
この見解が疑わしいほど、CCCは、データ主体のプライバシーのためのトロイの木馬の使用の劇的な結果を明らかにしただけでなく、ターゲットシステムのデータセキュリティ問題を明らかにした。 通常のTKÜと発信元TKÜは、関係者の権利における介入の重大度と比較されるべきではなく、常にトロイの木馬に関連するリスクがあるためである。ほぼ預言的であるが、連邦憲法裁判所が2008年にすでに「オンライン捜査」に関する決定を行っている。
「複雑な情報技術システムが電気通信監視のために技術的に浸透している場合(「情報通信監視」)、システム全体を偵察するためには侵入に大きな障害がある。現在の電気通信の単なる監視に接続されており、特に、パーソナルコンピュータに記憶されたデータは、システムの電気通信使用に関係しないことに留意されたい。
さらに、聴聞会で有能な専門家から提供された情報によれば、たとえこれが意図ではないとしても、現在の電気通信に言及することなく、浸透後にデータを収集することができる。その結果、従来のネットワークベースの電気通信監視とは異なり、関係者は電気通信の内容や状況を超えて追加の個人情報が収集されるリスクが常にあることになる。
これは実際には追加するものではない。 TKÜへの憲法上無関係な併合措置へのターゲットシステムの非常に繊細な浸潤をどのように描写するかは、私にとってはあまり驚くことではない。
(C)結論
① ここに記載された見解によれば、これはすでにトロイの木馬(Trojans)によるQuellen-TKÜの認可に適した法的基盤が欠けている。
②比例性についての検証
通信傍受につき刑事訴訟法の§100a、§100bの適用を希望する者は、裁判官または検察官として、電気通信監視の比例性を検証しなければならない。 この検証には、テクニカルリソースの選択、特に通信傍受(TKÜ)に利用可能な他の制限の少ない可能性の検討も含まれる。
この場合、警察は、「通常の」通信傍受TKÜ命令によって、例えばDeutsche Telekomに実装されているのと同様に、「通常の」通信傍受TKÜ決定に基づいて通信事業者に連絡することができる。。Skypeから特定の ポートまたはユーザー名を得る可能性が存在するかどうかは、100%確実ではない(Skypeは公式に意見を述べていない)。一方、「スカイプの合法傍受」に関するGoogle検索の結果では、この可能性を示唆する多数の目標が明らかになっている。Thomas Stadlerはこの可能性についても言及している。この可能性は、Skypeのプライバシー利用条件で明示的に言及されている。 オーストリア警察当局はこのオプションを望んでいる。 すでにドイツメデイア”Heise.de”にもこの可能性について報告している。
しかし、スカイプはEUのルクセンブルクに拠点を置く企業でもあり、容易にアクセスできる。 裁判官または検察官の観点から見ると、これは、比例関係の文脈では、当初、Quellen-TKÜに対抗し、Skypeなどのプロバイダーと古典的傍受を実装するためのマイルドな方法であることを意味する。これは、一方では、ドイツ刑事訴訟法第100b条(3)号によって規定されている道でもある。 一方、これはトロイの木馬が拒否したターゲットシステムへのかなりの干渉のためです - 穏やかな介入の憲法的見地からもそうである。 Skypeが通信傍受(TKÜ)の司法上の許可を実施していないなどの事実も明らかになった場合にのみ、さらなるステップを検討することができる。
実際には、これは、Quellen-TKÜを開始するための「主な」要求が、検察官と調査官によって却下されるべきであることを意味する。 むしろ、前提条件がそれ以外の場合は、それぞれのVoice over IP事業者に対して「通常の」TKÜが適用されるか、注文されることになる。この対策が成功した場合にのみ、さらに拡大段階をコンピュータに浸透させなければならない可能性がある。
③ 技術面からの検証
実際に利用可能な他の技術的解決策がないことが明らかであり、刑事訴訟法の§100a、§100bが法的根拠とされるというさらなる仮定がある場合はBVerfGの判決文にあるとおり、電気通信サービスの制限について憲法裁判所上の問題するのが実際的である
一方、ドイツ基本法第10条(1)項(信書の秘密並びに郵便及び電信電話の秘密は、これを侵してはならない)は、モニタリングが進行中の電気通信プロセスのデータのみに限定されている場合、「ソース電気通信監視」の認可の評価に関する唯一の基本的な法的基準である。これは、技術的な規定と法的要件によって保証されなければならない。
しかし、これは問題のない形式ではない。Quellen-TKÜ.の全体の構成はこの制限に依存する。制限が満たされなかった場合は、代わりに不正なオンライン検索が行われ、自営の情報システム(「コンピュータ基本権(Computer-Grundrecht)」)の完全性と機密性に対する基本的権利が侵害される。 したがって、裁判官と検察官は、これを効果的に管理するためにすべてのことを行う必要がある。 特に、当局自身がソフトウェアの各メーカーによって完全かつ正確に情報が提供されているかどうかは不明であるため、警察だけの保証を信頼することはできない。 CCCによって分析された事件は、少なくとも司法機関(おそらく警察)でさえ、彼らが実際にハードディスク上で告発するため得られた「デジタル・バグ」(FAZ)を知らないことさえ示唆している。 したがって、ターゲットシステムの耐性状態の浸潤に対して、以下の最小要件を定式化することができる。
◾それぞれ使用されているソフトウェアは、独立した場所のソーステキストと実行可能ファイル(「バイナリ(Binaries)」)を使用して分析されていなければならない。
◾このチェックはケースバイケースで行われなければならず、使用されるソフトウェアが法的要件を満たしていることを確かめられねばならない。
このためには、個々のケースではコントロールセンターから専門家の意見を得なければならず、意思決定プロセスにおいて裁判官が利用可能でなければならないため、すべての前提条件が満たされているかどうかを「ポイントごとに」チェックしうる。
【結論】
いずれにしても、基本法の憲法上、州においては、Quellen-TKÜは一番困難な憲法上でのみ実施される。すべての裁判官、検察官は、上記の最低限の法的要件および技術的要件が「戦闘の熱意のなさ」ではないことを確実にするための積極的な措置を講じる責任がある。
残念ながら、犯罪は遍在しているが、私たちは起訴に尽力している。 しかし、法執行当局の法的違反は決して取られないかもしれないし、あるいは促進されるかもしれない。 さもなければ、私たちは保護しようとしている司法国家を改めて洞察する必要があろう。
以下は、本論とは直接関係ないなので訳は略す。
************************************************************
(注4) ”snooping”とは、通信・ネットワークの分野では、通信機器やコンピュータが、回線やネットワークを流れるデータのうち、自分宛でないものをこっそり取り込んで中身を見る仕組みや機能のことをいう。
(注5) Sophosは自社の専門的視点から次の補足説明を行っている。
*ソフォスはR2D2トロイの木馬を検出しますか?
はい。 ソフォス製品は、 Troj / BckR2D2-Aとして検出します。
* Sophos製品を使用していない場合は、アンチウィルスベンダーに連絡して保護が追加されているかどうかを確認してください。
* 法執行機関と協力して意図的にマルウェアを検出してはいけませんか?
作者が誰であろうと、当社は知っているすべてのマルウェアを検出する。そのため、ソフォスラボでは、州主催であるかどうかにかかわらず、お客様のコンピュータに対する攻撃から保護する。
*あなたがそれについて考えるなら、賢明な選択肢はありません。 サイバー犯罪者が法執行機関のトロイの木馬を召喚し、それを無実の当事者に対して使用させるのを止めるにはどうすればよいですか?
お客様の保護が最優先です。 当局がマルウェアを検出しないようにしたいのであれば、私たちがソフトウェアを傷つけるのではなく、検出できないものを書き込もうとしている。
(注6) Ulf_Buermeyer氏の略歴を紹介する。法学者で、ベルリンに住んでいる。戦略的に実施された法的手続きを通じて基本的および人権を擁護する非営利団体であるGesellschaftfürFreiheitsrechteeV(GFF)の会長兼法務部長である。彼は現在、ベルリン地方裁判所の裁判官としての地位を離れている。
その学術研究は、憲法(特に、コミュニケーションの自由、情報の自己決定、情報の自由)と、刑事手続や判決の執行を含む刑法に焦点を当てている。 彼はフランクフルト/マインのヨハン・ヴォルフガング・ゲーテ大学から、情報の自己決定と刑事制度における効果的な法的保護に関する論文で博士号を取得した。 2013/2014年、彼はニューヨーク市のコロンビア大学ロースクールでLL.Mプログラムの特別研究期間(Sabbaticals)でアメリカ法を学んだ。 2017年から2019年まで、彼はベルリン州憲法裁判所の研究助手であった。 2018年以来、彼は上院司法省、消費者保護およびベルリン州の差別禁止のために、ベルリン州の無線セルクエリ透明性システム(FTS)を開発しており、その一部は上院政権への代表団として現在も務めている。彼はホームページ(https://buermeyer.de/ulf/)を持っており、CCC(Chaos Computer Club)(1981年にハンブルクでバウ・ホラント氏(Wau Holland)を中心に電子技術マニア、ハッカー、技術フリークが集まり設立された団体)と社団法人Digitale Gesellschafte Vのメンバーである。
****************************************************************************************
Copyright © 2006-2017 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
