ハクソク

世界を動かす技術を、日本語で。

FBIが米国市民を追跡するために位置情報データを購入していると局長が確認

68日前原文(techcrunch.com)

概要

  • FBIが 米国民のデータと位置情報 を再び購入している事実が判明
  • データ購入は 2023年以来初の公式確認
  • データは主に データブローカー経由で入手
  • 令状なしでの情報購入に 憲法違反の懸念
  • 議会では 監視改革法案 が提案されている状況

FBIによる米国民データ購入の再開

  • FBIが 米国民の個人データや位置情報 を再び購入している事実が明らかに
  • FBIディレクターの Kash Patel が議会証言で認める
  • データは データブローカー から入手され、これらブローカーは主に スマートフォンアプリやゲーム から情報を取得
  • 2023年当時、前FBIディレクター Christopher Wray は、過去に位置情報を購入したが現在は行っていないと証言
  • 上院議員 Ron Wyden の質問に対し、Patelは「 全てのツールを活用 して任務を遂行」と発言
  • FBIは「 電子通信プライバシー法 および憲法の範囲内で商用情報を購入」と説明
  • Patelによると、購入データは「 貴重なインテリジェンス」に繋がるケースも存在

令状なしデータ購入の法的・倫理的問題

  • Wyden議員は、 令状なしでのデータ購入 は「 第四修正違反の抜け道」と批判
  • 第四修正は、 米国内の個人のデバイス検索やデータ押収からの保護 を規定
  • FBIはPatelの発言以外、 詳細説明やコメントを拒否
    • 購入頻度や利用ブローカーについても 回答なし

データブローカー経由の政府機関による情報取得

  • 通常、 裁判所の令状 が必要な情報取得プロセスを回避する手段として 商用データ購入 が利用される
  • 例として、 U.S. Customs and Border Protectionリアルタイムビディング(RTB)サービス 由来のデータを購入
  • RTB等の技術は 広告業界の中核 で、位置情報や識別情報を大量収集
  • 監視企業がこのデータを 観察・収集し、ブローカーや政府機関に販売
  • FBIは「 この情報利用に令状は不要」との法理を主張
    • ただし、この主張は 裁判所で未検証

政府監視改革法案の動き

  • Wyden議員らが 超党派・両院共同Government Surveillance Reform Act を提出
    • 連邦機関がデータブローカーから米国民情報を購入する際、 裁判所令状の取得を義務付け
  • FBIの対応や今後の法的動向に注目が集まる状況

参考・連絡先

  • 本記事は TechCrunchセキュリティ編集者 Zack Whittaker によるもの
  • 連絡先
    • Signal: zackwhittaker.1337
    • Eメール: zack.whittaker@techcrunch.com

Hackerたちの意見

FBIの仕事は国内の犯罪を調査することなんだよね。でも、なんで民間企業はそんなに進んで追跡システムに参加するんだろう?「違法なことをしてなければ心配することはない」って考えなんだろうね!でも、彼らが一番失うものが多いってことを理解してくれるといいな。

ビジネスってことさ。データを1ドルで買って、2ドルで売る。全部合法だし、データブローカーはほとんど知られてないか、すでに嫌われてる会社だから、失うものはないって感じだね。

信じられないかもしれないけど、みんなが刑務所廃止論者ってわけじゃないんだ。誰かを殺したら、他の人を殺さないために刑務所に入るべきだって思ってる人もいる。変だよね。私は彼らに賛成できないけど。一般的には、裁判官と陪審員が自分の目で犯罪を見た場合じゃないと有罪にすべきじゃないと思うし、刑務所は貧しい人たちから残されたわずかな尊厳を奪う悪の場所だと思ってる。オンライン広告が感覚を奪い、データセンターが水を盗んでるのに(ガザの悲劇も忘れないでね)、でも他の人はそういう考えを持ってるんだ。追記:なんでダウンボートしてるの?私はあなたたちに賛成してるよ。リッテンハウスやジマーマンのケースは良い前例だし、トランプの大統領恩赦も、自由な人々が尊厳を持って刑務所に入らないための一つの手段だけど、彼はもっと進めるべきだと思う。とはいえ、1月6日の抗議者たちのための彼の行動は、私たちにとって自由を得るための素晴らしい行動の一つだよ。これらは全部良いことだと思う、たとえ不完全で完璧じゃなくてもね。

違法に行われると悪いことが、合法に行われるともっと悪くなるし、義務感を持って行われるとさらに悪化するよね。

いや、FBIが市民を対象に大規模な監視を行うのは仕事じゃないよ。

これも新しいことじゃないよ。FBIは設立以来、興味のある人や権力を持つ人のファイルを保持してきた。今はもちろん、もっと簡単になってるから心配だね。

利益追求の組織は、株主価値を最大化する法律的な義務があるからね。多くの企業は、他ができないところで利益を絞り取るために法律の精神を悪用するだろう。FBIは、第四修正の「第三者ドクトリン」を利用して、まるで産業を作り出すかのように法律の精神と本来の意図を侵害してる。このドクトリンは最高裁によって作られたもので、議会はそれを法制化することを避けるために、あまりにも喜んでいる。

例を挙げるね。多くの小売サイトには「近くの店舗を探す」機能があるんだけど、これを第三者に外注してることが多いんだ。ジオロケーションや地理的な検索なんて、ちょっとしたことでね。この第三者はサービスを割引価格で提供するけど、同時にあなたの位置データを吸い上げて売ってるんだよ。

自由があるから嫌われてるんだよね。それに、これって憲法違反じゃない?令状なしで、客観的な疑いもなく進めちゃってるし。

それに、これって憲法違反じゃない?令状なしで、客観的な疑いもなく進めちゃってるし。いや、違うよ。あなたの個人情報は、他の人に渡されると、今や路上のゴミみたいなもんだ(文字通り、参照: https://en.wikipedia.org/wiki/California_v._Greenwood)。買うことで、NSAがそれを盗んで令状を逆に作るのとは違って、証拠の連鎖がクリアになるんだよね。

これって憲法違反じゃないの?最近はあんまり問題視されてない気がするけど。

最高裁はこれに関連して5対4の判決を出したんだよね。その判決の中で、何か特定の抜け道が残ってるのかな?

トランプ政権は、判決が気に入らないときに最高裁を無視する巧妙な抜け道を見つけたんだ。

そうそう、抜け道はいつも「国家安全保障」だし、最高裁も法律を守らないよね。

Carpenter v. United States (2018)は、政府が携帯電話キャリアから過去のセルサイト位置情報(CSLI)にアクセスするには一般的に令状が必要であるとした画期的な最高裁判所の判例です。これは、ユーザーが自分の位置情報の追跡に同意している場合、企業からデータを購入することとは大きく異なります。このスレッドでは、実際の問題がテクノロジーを使うためにプライバシーを簡単に手放してしまうことなのに、トランプ反対に飛びつく人が多すぎると思う。私たちがそれを使われるとすぐにショックを受けて怒るのはおかしいよね。

第三者ドクトリンを覆せるかもしれないね。できれば立法で。ついでに、データ収集や共有の根本的な問題も解決しちゃおう。

注目すべき別の視点は、製品開発者がユーザーデータに触れないツールやプラットフォームを作るべきだってことだね。そうすれば、消費者もそれを選びやすくなると思う。製品の質が同じかそれ以上なら、プライバシーを選ぶ人が増えるんじゃないかな。

データを売ってるのがもっと深刻な問題だね。背後にはかなりしっかりしたシンジケートがいる。サプライチェーンはこんな感じだよ:消費者向けアプリが広告SDKを埋め込む → そのSDKが位置情報をRTB広告取引所に送信 → 監視志向の企業がRTBパイプラインにいて、オークションに勝たなくても入札リクエストデータを収集 → そのデータは消費者と直接の関係がない集約者に流れる → そこから政府機関などに売られる。 この構造の天才的なところは、各レイヤーで責任が消えていくこと。各仲介者は「商業的に利用可能なデータを渡してるだけ」と主張できる。消費者が自分の位置情報が収集されて再販されることに同意したかどうかは誰も確認しない。 同意の確認はいつも他の誰かの仕事。実際の問題は、このデータが誰でも買えること、そしてそれが責任を持たないように設計された不透明な多層サプライチェーンを通じて流通していることだ。

おそらく、同意はあったんだろうけど、その内容はインストールしたアプリの利用規約の12ページ目に埋もれてるんじゃない?

本当に必要なアプリ以外は全部アンインストールしちゃうことが多いよ。時間が経つにつれて、どれだけのアプリがただそこにあるだけか、驚くよね。スマホから消しちゃおう。

数年後に、他の国(例えば中国やロシア)がこのデータを大量に買ってるっていう見出しを見ても驚かないだろうな。

AppleやGoogleはデータ販売を助長してるんだよね。具体的には、こういう大企業がアプリ会社と収益を分け合って、その結果、特に無料アプリを通じてプライベート情報を売ることでマネタイズを高めてる。Appleとかが超高いアプリストアの手数料を取る代わりに、取引先を審査するセキュリティプログラムや利用規約を運営してるって言ってるけど、実際には安全じゃないことを知ってるのにユーザーや裁判所には安全だって言ってる。電話のOSがこれらの企業が誰かを特定するのは簡単なことだし、iOSやAndroidのユーザーはすでにAppleやGoogleに追跡されてるから、どのアプリが参加してるかを三角測量するのも簡単だよ。

そして、これはまさに設計通りに機能してる。例えば、「あなたが持っているアプリは常にあなたを監視している」という真実の発言があったとする。これに対する反論は、「特定のアプリが私のデータを特にFBIに売っているわけではないから、監視されているわけではない」というもの。これに対する返答は、「それは正しいけど、集約されたデータは特にFBIや情報機関に売られているから、アプリ間で論理的な区別はできない」ということになる。その時点で、その人は別のリワードアプリをダウンロードして、運転免許証を追加してるんだよね。

実際には両方を責任追及できるよ。これは私たちの第四修正権の回避策であり、関与する企業にとっては違法であるべきだと思う。

今はどうかわからないけど、ジオロケーションデータは以前は購入できたよね。詳しくはここを見てみて:https://en.wikipedia.org/wiki/Skyhook_Wireless

うわぁ。なんで民間企業は大規模監視にこんなに喜んで参加するんだろう。

明らかだよね:その中にはたくさんのお金がある。企業は道徳的に無関心なサイコパスだよ。

数年前のカオスコンピュータカンファレンスで、これをDIYする方法について素晴らしい講演があったんだけど、残念ながら今はウェブ検索が死んでるから見つからない。誰か知ってる人いたら教えてほしいな。ドイツの研究者がドイツの政治家を追って、旅行パターンを面白おかしく(スキャンダラスに?)関連付けてたんだ。

https://arstechnica.com/cars/2024/12/whistleblower-finds-une... https://www.youtube.com/watch?v=iHsz6jzjbRc

政府は、自分たちが直接できないことを外注するべきじゃないよね。これを法律に盛り込んで、立法者を含む全員に対して資格免責をなくして、政府を制限するべきだと思う。

OSに年齢を教えなきゃいけないのに、こんな基本的なことを違法にする法律を作れないってどういうこと?全然代表されてない気がするんだけど。

これは誰にとっても驚きじゃないよね。嫌だと思うけど、特に新しいことでもないと思う。