- Cellebriteは、世界中の捜査機関が携帯電話のロックを解除し、データを確保するために使う電話ハッキング技術を提供してきており、顧客に対して技術とその使用事実を表立てずに扱うよう求めている
- 流出した法執行機関向けの研修動画で、従業員は法廷での開示手続きや証言を通じてアクセス手法が明らかになる状況を避けたいと述べている
- 法律専門家らは、このような秘密保持が捜索承認、証拠採用、被告人の反論可能性を曖昧にし、刑事手続きの透明性を弱めるとみている
- Cellebriteは、ツールは適法な利用、証拠保全の連続性、司法手続きの尊重のために設計されていると回答したが、研修内容を変更したかどうかについては答えなかった
- Harris Corporationのstingrayに関する秘密保持契約の前例のように、強力な捜査技術では営業秘密の保護と法廷での検証要求が正面から衝突している
Cellebrite研修動画における秘密保持の要請
- Cellebriteの技術は、警察や政府機関が携帯電話のロックを解除し、内部データを取得するために使われてきた
- 同社は政府機関の顧客に対し、自社技術とその使用事実を秘密に保つよう求めている
- 流出した法執行機関の顧客向け研修動画では、Cellebrite Premiumの使用前に機密保持と運用上のセキュリティが強調されている
- Cellebrite Advanced Servicesは、世界9か国に10の研究所を持つと紹介されている
- Premiumの機能はCellebriteの営業秘密であり、法執行機関が継続して活用するには保護されなければならないと説明している
- 顧客に対し、当該手法を「law enforcement sensitive」として扱うか、各国・各機関の基準に従ってより高い保護等級に分類するよう求めている
法廷での開示と証言を避けようとする点
- 研修動画の核心は、法廷で技術的手法が明らかにならないようにすることにある
- 「最終的に抽出したのはデータであり、犯罪を解決するのはそのデータだ」という趣旨で説明している
- 「どうやって入ったのか」は可能な限りhush hushのままにしておこうと述べている
- 法廷での開示手続きや証言の中で携帯電話へのアクセス方法を議論し、その結果として技術が漏れる状況は望まないと明かしている
- 文書作成も最小限に抑えるよう案内している
- 法廷提出用の報告書には、一般人が基本概念を理解できる程度の最小限の情報だけを入れるよう求めている
- Premiumの使用事実とバージョンには言及してよいが、携帯電話への操作内容やPremiumのグラフィカルユーザーインターフェースに表示された詳細は書かないよう指示している
- 標準作業手順書も外部監査や情報公開請求の対象になり得ると警告している
- ISO 17025の外部監査
- 各機関・各国の法律に基づくFreedom of Information Act請求
法律専門家が見る手続き上のリスク
- 法律専門家らは、Cellebriteのような強力な技術と法執行機関による使用方法が公開され、検証可能でなければならないと考えている
- Stanford University Internet ObservatoryのRiana Pfefferkornは、この種の製品の結果が刑事裁判で有罪・無罪を立証するために使われると指摘している
- 被告人側は、弁護士や専門家を通じてCellebrite装置がどのように動作するのかを理解し、検証できなければならない
- 装置が適切に動作したか、結果に影響し得る欠陥があったかどうかを判断できなければならない
- 宣誓の上で証言する者は、会社の事業上の利益を守るために、被告人に有利となり得る重要な情報を隠してはならない
- 刑事弁護士Hanni Fakhouryは、証拠取得の方法が公開されてこそ、弁護側が法的問題の有無やその証拠に異議を唱えられるかを判断できるとみている
- 秘密主義は、裁判官が捜索を承認したり、法廷で特定のデータや証拠の使用を認めたりする過程の透明性を弱める可能性がある
Cellebriteの理由と公式回答
- 研修動画に登場する従業員は、機能が流出すれば世界中の法執行機関全体に害を及ぼしかねないと説明している
- 犯罪者が端末へのアクセス手法や、特定の暗号化メッセージングアプリを復号できる可能性を知れば、より困難あるいは不可能な手段へ移行するおそれがあるとしている
- 携帯電話メーカーが製品のセキュリティを継続的に強化しているため、現在でも課題は難しいと述べている
- 失敗したエクスプロイトがネットワークに接続されると、メーカーに対して端末が攻撃を受けているというシグナルを送る可能性があるとしている
- 十分な情報が集まれば、メーカーがCellebriteのアクセス手法を突き止める可能性があると警告している
- Cellebriteの広報担当Victor Cooperは、同社は倫理的な法執行の支援に専念していると回答した
- ツールは、適法な利用、証拠保全の連続性、司法手続きの尊重のために設計されていると述べた
- 顧客に対して、いかなる法律、法的要件、フォレンジック基準にも違反するよう勧めることはないとしている
- 営業秘密と独自の機密情報を保護し、顧客にもそれを尊重してほしいと考えていると述べた
- 不適切に解釈され得る文言を特定するため、研修資料と公開資料を継続的に改善しているとしている
- 研修内容を変更したかどうかという質問には答えなかった
他の監視技術における秘密保持の前例
- Electronic Frontier FoundationのSaira HussainとCooper Quintinは、Cellebriteが脆弱な端末を悪用できる世界を作ることに寄与しているとみている
- 権威主義国家
- 犯罪集団
- サイバー傭兵
- これらが犯罪を犯し、反対意見を封じ、人々のプライバシーを侵害する可能性を懸念している
- Cellebriteが顧客に技術の秘密保持を求めた最初の企業というわけではない
- Harris Corporationは、stingrayとして知られる携帯電話監視ツールを使おうとする法執行機関に秘密保持契約を求めてきた
- 一部の事例では、当局に対して使用したツールを開示するくらいなら訴追を断念するよう求める趣旨が含まれていた
- こうした要求は2010年代半ばまでさかのぼり、現在も効力を持っている
- 捜査機関向けのハッキング・監視技術は、営業秘密や作戦上の安全保障を理由に隠されることがあるが、法廷では証拠の取得方法とその信頼性が争える必要がある
1件のコメント
Hacker News のコメント
弁護人なら、Cellebrite のような「ハッキング企業」がフォレンジックを正しく行ったという検察の主張を、そのまま信じろというのか掘り下げると思う
自分なら Cellebrite の評判を揺さぶって、そのツールが生成した証拠全体を信頼しにくいものにしようとするはず
火災鑑識、咬傷痕鑑定、多くの DNA ベースの鑑定、銃器の弾道鑑定、うそ発見器、現場での飲酒テストや「薬物識別専門家」認定に至るまで、疑似科学に近いものが実際の有罪判決に使われてきた
名前の後ろに PhD が付いていたり、白衣を着ていたり、もっともらしい認定を持つ人を証言台に立たせると、検察側には効きやすい
検察がプロプライエタリソフトウェアで生成された報告書を提出し、会社の従業員が結果は正しく、偽陽性の確率は100億分の1だと証言する
弁護人がその主張を検証しようとソースコードへのアクセスを求めると、会社は営業秘密だと言い、裁判官はアクセスを認めない一方で証拠は排除しない、という具合
陪審員として参加した裁判で、弁護人が信号無視カメラ会社の専門家証人を完全に崩したことがある
警察はカメラのセルラー/GPS 時刻を使って、時刻が合っていない複数のカメラ映像10〜12本をつなぎ合わせていたが、時刻の信用性が崩されると事件全体が崩れ、依頼人の過失致死容疑は棄却された
ほとんどの事件ではメッセージ内容とタイムスタンプが核心で、これは携帯電話そのものや別のソフトウェア、会話の双方の記録によって外部検証できる
位置情報のような他のデータは確実性が低いため検証が必要で、その証拠が何を意味するのかをめぐって争いが生じる
Cellebrite ソフトウェアは費用を払えば双方が使え、教育動画でも捜査機関に対して実際に結果を検証するよう勧めている
携帯電話の抽出とパースは常に変化するいたちごっこなので再確認と検証が重要だが、捜査機関はたいてい技術力がないまま机上で携帯電話の抽出だけを行い、データを検証しないことが問題なのであって、ツール自体が問題なのではない
陪審員として参加した裁判で、Cellebrite、GrayKey、基地局三角測量が広範に使われていた
法執行機関でこれがどれほど日常的なのか、iPhone からどれだけ多くのものを取り出すのかを見て驚いたし、実質的には全部だった
事件はもう終わっていて、その証拠によって終結した
こういう情報が外に出る最良の方法かもしれない
最後に知られていたところでは、FBI でさえロックされた iPhone 4S へのアクセスに苦労しており、その後の保護機能ははるかに強化された
それ以降は、GrayKey がパスコード入力制限を迂回できるとしても、英数字パスコードを使えば総当たりには太陽の寿命より長い時間がかかるようにできる、という程度だった
古い iPhone、おそらく現在基準で2世代ほど前のモデルでは、すべてを取り出せた
正確なモデルは覚えていないが、最新の iPhone ではフルディスクイメージは取得できず、「一部」のデータ、おそらくメタデータ程度を取り出せると聞いた
GrayKey は継続的にソフトウェアを更新して新しい抽出方法を探しており、携帯電話の電源が一度でも切れていると動作しないと言っていた
動作する場合はディスクからすべてを抽出したあと、Cellebrite がそのデータを解析してユーザーに表示する
GrayKey の装置は携帯電話に接続する方式で、携帯電話の電源が切れたことがない必要がある
信頼されていない USB 設定も動作を防ぐのに役立つ
以前は、どの Verizon 店舗にも連絡先などを新しい携帯電話へ移す用途でそういう機器があった
一度、警察に使ってあげたら「Cellebrite を使っているんですね?すごいですよね?」と言われたが、当時はこれが大ごとなのかまったく分からなかった
実際には使いにくくて遅いと思っていた
古いフィーチャーフォンから写真を移すには何時間もかかり、スマートフォンが出始めてからは写真の移行を断っていた
携帯電話がロックされていれば何もできず、Android では今では設定の中に隠れているUSB デバッグを有効にする必要があった
低い段階の製品は店舗向けのデータバックアップを行い、上位製品は最新の iPhone に侵入する
Nintendo Switch の Tegra X1 脆弱性を商業化した人たちは十字架にかけられるように処罰されたのに、こうした脆弱性を商業化する人たちは各プロセスで青信号をもらっている、という点が興味深い
この世界では、著作権と企業秘密が個人のプライバシーや秘密保持より優先されるようだ
今でも興味深い記事: https://signal.org/blog/cellebrite-vulnerabilities/
特に茶目っ気のある一文が笑えた
「信じがたい偶然だが、最近散歩していると、前を走るトラックから小さな包みが落ちるのを見た。近づくと、ぼやけた企業向け書体が徐々にはっきりしてきた: Cellebrite。中には最新の Cellebrite ソフトウェア、違法コピーを防ぐためのハードウェアドングル(彼らの顧客について何かを物語っているようだ!)、そして妙に大量のケーブルアダプターが入っていた」
本当にすごい読み物だった
証拠保全の連続性が途切れているのに、裁判所がどう受け止めるのか分からない
iPhoneユーザーは、後で捜査のために複製されないよう、端末にペアリングロックをかけておくのがよい
https://arkadiyt.com/2019/10/07/pair-locking-your-iphone-wit...
私の理解では、Cellebriteは極秘バージョンでなければ、実質的には高度な iTunesバックアップ装置に近く、自宅で手動でスマートフォンをバックアップする際に必要な条件より少ない条件で動作するわけではなさそう
法廷に持ち込むのは事実であって、その事実をどう得たかについてのもっともらしい話ではない
弁護側がその事実は誤っていると考えるなら、収集方法に異議を唱えることができ、その時点で専門家証人が法廷で収集手順を説明することになる
いずれにせよ、今はCellebriteで最新のスマートフォンから直接抽出することはできない
スマートフォンを研究所に送るとイメージを受け取り、それを Physical Analyzer に入れる方式で、実際のスマートフォンの脆弱性利用はCellebrite側が処理し、流出を心配しなくて済むようにしている
警察が証拠をもっともらしい手続きで得たように見せるためにどこまでやるかを見るには、パラレル・コンストラクションを見ればよい
[0]https://en.wikipedia.org/wiki/Parallel_construction
被告人には、抽出過程に欠陥があったことを示す権利があり、そうでなければ誤判につながり得る
米国の刑事手続きにおいて、秘密めいた魔法のような ブラックボックス手続きが証拠能力のある証拠を生み出すことはできない
証拠保全の連続性が必要だ
そうでなければ、悪質な警官が誰かを陥れることができてしまう
こうした検査の大半は、有効な裁判所発付の 捜索令状 の権限の下で行われる
警察には端末データへアクセスする権限があり、その方法はあまり関係ないという立場だ
CellebriteやGreyshiftのような企業が脆弱性を極めて秘密裏に扱う理由の一つは、AppleやGoogleがセキュリティ機構の迂回方法を把握した瞬間に、アップデートで塞いでしまうからだ
終わりのないいたちごっこ
ファイルシステムのメタデータのようなものが影響を受ける可能性がある
彼らは 曖昧さに依存したセキュリティを要求し、それが長続きすると考えているわけだ
記事では製品デモの研修動画に触れているが、見たところ含まれていなかった
なぜ公開しないのか分からない
警察に会社の財産を守れと言っている録音ではなく、この会社が私の財産に不正アクセスするとき、何にアクセスできるのかを見たい
権限のないコンピューターシステムにアクセスすれば、つまりハッキングすれば連邦犯罪を犯すことになるはずだが、ある企業はまさにその能力を大規模に法執行機関へ合法的に販売し、秘密にしておけと言っている
最後に確認した限り、法律は法律であり、普通の人々だけでなく全員に適用されるものだった
「premiumを必ず言及しろ」という部分もあきれる
違法ハッキングの内部構造は公開しないが、premium製品は政府や法執行機関の人たちが見て加入するよう宣伝してくれ、というわけだ
証言台に立ってpremiumと紹介コードWHOWATCHESTHEWATCHERSに言及すれば、初月60%割引でももらえるのかと思う
こういう企業がどうして許されているのか分からない
本来なら彼らを逮捕すべき人たちが顧客なので、法律を破っても構わないという構図だ
San Bernardino銃乱射事件後、AppleとFBIがiPhone復号問題をメディア上で Apple対FBI の構図に仕立てたのはおかしい
実際にはFBIはiCloudを通じて望むすべてのデータにアクセスできており、Appleが明示的に残していた暗号化バックドアによってそれが可能だった
https://www.reuters.com/article/us-apple-fbi-icloud-exclusiv...
今のAppleは当然、こうした装置をリバースエンジニアリングして脆弱性を見つけ、パッチを当てたいはずで、Cellebriteが装置を売っている地方警察のかなりの数は、Apple/FBIのプロパガンダによってAppleが法執行への協力に反対していると信じるようになっているため、こうした条件に従う可能性が高い
それでも長期的には Appleのセキュリティが勝つと思う
一度でも流出すればAppleは脆弱性をパッチできるし、Appleは資金も潤沢で、FBI/DHSなどとの協力もある
記事で引用された研修内容を見るだけでも、Cellebriteは結局、負け戦をしていることを分かっているようだ
情報は時間が経つほど秘密性が増すのではなく、ただ秘密性が薄れていくだけだ
当局は端末そのものへのアクセスを望み、iCloudバックアップにはないかもしれないものを得るために、「善人だけが使う」端末バックドアを要求した
Appleはこれを拒否し、その時点で論争とニュースが生まれた
Appleは法執行機関がiCloudバックアップにアクセスできることを公に明らかにしており、あなたが示した記事にもその内容が出ている
FBIのために「明示的に保存していたバックドア」があったのではなく、当時のiCloudバックアップが エンドツーエンド暗号化されていなかっただけだ
これも当時はある程度広く知られており、そのためiTunesでバックアップすることを勧める声が多かった
iTunesにはバックアップを暗号化するオプションが残っていたからだ
スマートフォンを送ると、彼らが代わりに突破してくれる