警察は犯罪者をハッキングすべき？

「善意のハッカー」がハッキングで児童ポルノを摘発するのはOKのようだ。だが、警察が容疑者のマシンをハッキングするのはどうだろうか。

[Larry Seltzer，eWEEK]

　ここ2〜3年のバージニアとカリフォルニアでの判決を見ると、第三者（世界中のどこにいようと）が児童ポルノ摘発のためにコンピュータをハッキングするのはOKのようだ。警察はそれを推奨し、裁判所は見ないふりをする。だが、警察の場合はどうだろう？

　F-Secureの探求心旺盛なミッコ・ヒッポネン氏は最近のブログで、警察は容疑者のコンピュータをハッキングするべきかという疑問を考察した。同氏はまず、そのような案への反感が大きいことを示す最近の欧州の調査を引用したが、警察が正当な令状を持っていれば反発は和らぐと暗に述べている。

　もちろん、警察は令状なしで容疑者のコンピュータをハッキングするべきではない。それは当たり前だ。だが、令状がある場合は？

　ここでは大まかに2つのハッキングの問題がある。コンピュータに関係しない（捜査の）問題とだいたい似ている。1つは、コンピュータに何が入っているのかを突き止めるための侵入だ。通信の監視や、ローカルファイルを読み取ろうとすることが問題になるかもしれない。もう1つは、キーロガーなどの監視ソフトを容疑者のコンピュータにインストールすることだ。

　これは、一方は家宅捜索、他方は電話あるいは住居の盗聴に似ていると思う。コンピュータへの侵入が、物理的な捜索や監視よりも容疑者の権利を侵害するということはない。しかもこれらの物理的捜査は明らかに、適切な令状の下で行える。そうした捜索で、警察は犯罪を立証する証拠を押収できる。その意味では、警察がハッキングしてはいけない理由は分からない。

　このため、わたしとしては、法的枠組みがないという理由から2月に警察によるハッキングを禁じたドイツの裁判所よりも保守寄りの立場だ。この決定は、そのような枠組みが確立される可能性をもたらしている。

　弁護士のジョシュア・ドラテル氏にこの件に関する法的な問題について聞いてみたところ、同氏はこの問題――ドイツの問題と似た状況だ――に対処する法的な基準を知らないと語った。

　「法律はないし判例も少ない。分析も浅い。米検察のマニュアルと関連マニュアルには、コンピュータの捜索方法と手順はたくさん載っているが、わたしの知る限り、このテーマ（コンピュータへのハッキング）はほとんどカバーされていない」（同氏）

　わたし個人の見解としては、米国の司法当局が制約を受けないように法的基準を確立しようと躍起になることはないはずだ。ドラテル氏が言うように、「1960年代に、訓練された特殊な捜査員が電話の盗聴をしていた（数十年ほど行われていたが、表だっては指摘されなかった）ことがついに連邦議会によって問題にされ、Title IIIという法律が制定された。これはプライバシー保護を規定した米国憲法修正第4条（今も憲法上の根拠として機能する）よりも高い基準を設けており、具体的なルールと盗聴令状の要件を規定した（つまり、これは最小化の――録音をせず、無関係の会話を監視しないようにする――ためのものだった）。この法律は現在も適用される。おそらく警察のハッキングに関しても、同じような包括的なアプローチが必要だろう」。

　警察のハッキングについては、現実的な問題が2つある。1つは、コンピュータに副次的なダメージを与え、不安定にするようなことがあまりにたやすく起きるということだ。マルウェア同様のものをインストールすると、システムが第三者の攻撃に対しても無防備になる可能性がある。もう1つは、警察が巧みに証拠をねつ造できる立場に立ってしまうということだ。

　後者の懸念は、ドラテル氏が言うような手順や基準を設ければ軽減できる。この問題は少なくとも、わたしが初めに触れたような自警団的ハッカーに当てはまるが、もちろん裁判所でそれを主張しても賛同は得られないだろう。

　ダメージの問題の方が対処が難しい。家の中に隠しマイクを仕込む（そして取り除く）のと、ユーザーが気付かないキーロガーやトロイの木馬をインストールするのは別の話だ。おそらく警察は、rootkitを使って検出されるのを避けなくてはならなくなるだろう。坂を転げ落ちるがごとく、だ。

　警察のマルウェアやハッキングの大半は犯罪者に検出され、当局の役に立たないと考えざるを得ない。だから彼らに残されているのはコンピュータを押収して、それを調べるというあまり高度ではない方法だ。しかしそのような場合、少なくともすべてを保存できる。警察に合法ハッキングをさせるよりも、ハッキングをさせない方が現実的のようだ。おそらくは、それが一番いいだろう。

原文へのリンク