悪徳警官、データ結合ソフトを使ってネットストーカー行為とセクストーション詐欺をする
データ収集と横行する監視は悪いことだが、テロリストや性犯罪者といったカスを捕まえるにはそれしかないと、どの政府も多かれ少なかれそう国民に言っている。
私たち一般人はこれを妥協点として受け入れることに慣れ、ソーシャルメディアに自分のデータを預けるほど自己満足するようになり、そのうちソーシャルメディアはこれらのデータを法執行機関と共有することもできるのです。
いずれにせよ、善良な一般市民として、疑わしい検索履歴などもなく、私たちは何も心配することも隠すこともないはずですよね?
警官の不正
残念ながら、大量監視とデータ収集の機会が存在すれば、それが様々な形で悪用され、全く罪のない人も被害に遭う可能性があることは、歴史が何度も示していることです。
強力なデータ収集ツールで武装した米国の警察官が、複数の女性のSnapchatアカウントにアクセスして脅迫したという事件も、その一例です。
米国の元刑事アンドリュー・ウィルソンはこの夏、女性をサイバーストークするための共謀罪1件で有罪を認めた。
今週、彼はこの犯罪ともう1つの無関係な犯罪について、30ヵ月の禁固刑と120時間の社会奉仕活動を言い渡された。
今、彼が具体的にどのように犯罪を犯したのか、詳細が明らかになった。
ウィルソンは、法執行機関のアクセス権を利用して、『Accurint』というツールを使い、被害者の情報を掘り起こしたのだ。
AccurintはLexisNexisによるデータ集約プラットフォームで、公共および非公開のソースからデータを取り込み、何百万人ものアメリカ人の詳細なプロフィールを提供するものである。
この情報には、名前、住所、電子メール、電話番号、職歴、ナンバープレート、不動産記録、犯罪記録、ソーシャルメディア情報などが含まれます。
Accurintのユーザーが利用できるLexisNexisのSocial Media Locatorツールは、「何百ものソーシャルネットワーキングサイトを含む何百万ものウェブサイトとディープウェブをスキャンして、個人とその人が関係している可能性のある企業や組織に関する情報を明らかにする」と主張しています。
FBIによると、ウィルソンは少なくとも25本のSnapchatアカウントのハッキングに関与していた。
そのために、彼は自分の代わりにアカウントに侵入してくれるハッカーのサービスを募った。
Snapchatはまだサービスを利用するために多要素認証を必須としていないので、おそらくそれほど難しいことではなかったのだろう。
ハッキングされたアカウントに性的な写真が含まれていた場合、ウィルソンは被害者に直接連絡を取り、自分のプライベートな写真を家族や友人、同僚に送られたくなければ、もっと親密な写真を送るよう命じていた。
ウィルソンは少なくとも6人の女性から写真やビデオを盗み、場合によってはオンラインで公開するという脅迫を実行した。
ある被害者は、自分の親密な写真が雇用主に送られ、仕事を失いそうになったと主張した。
ウィルソンが被害者の情報を入手した方法は異常だが、彼がSnapchatを選んだということは異常ではない。
若い女性のSnapchatアカウントに攻撃者が侵入し、被害者が(かなり不注意に)保存していたヌード写真を盗むことに成功したという報告は多数ある。
写真 Bastian Riccardi/Unsplash
検察は、ウィルソンが2020年秋にネットストーキングを行ったとしているが、警察は当時、彼はもう警察にはいなかったと主張している。
警察はCNNへの声明で、ウィルソンがAccurintをまだ持っていることがわかった時点で、「直ちにアクセス不能にした」と述べている。
悪のネクシス?
Accurintで得られる情報の範囲を考えると、ウィルソンがターゲットについて百科全書的な知識を得るのに、それほど時間や労力を必要としなかったはずである。
LexisNexisは、個人と結びついた2億8300万件のLexID番号を作成したと主張している。
ちなみに、2022年の時点で、アメリカの総人口は3億3200万人である。
レクシスネクシスは、米国政府機関との業務で主に知られているが、そのために多くの非難を受けてきた。
なかでも、同社は国家機関による不当な大規模監視を「可能にした」ということで非難されてきたのだ。
昨年、米当局がAccurintを国外追放対象の移民の居場所を特定するために広く利用したことを『The Intercept』が明らかにした。
ICE(米国移民税関捜査局)との協力は「重大な犯罪歴のある人々」対象に限るという、LexisNexisの以前の保証に反しているように見えた。
また、移民権運動家たちが、何百万人もの人々のセンシティブな個人情報を本人の同意なしに収集し販売していると非難し、同社は訴訟に巻き込まれている。
原告側は、NexisLexisのようなデータブローカーは、法執行機関が司法の監視を回避し、大規模な監視を継続するのに手伝っていると主張している。
「Accurintを使えば、法執行官は、多くの場合、召喚状や裁判所の命令、その他の法的手続きなしでは入手できないような情報に基づいて、人々を監視し追跡することができる」と訴状には書かれている。
さらに、LexisNexis社は、民間企業に対しても自社のソフトウェアを宣伝している。
Accurint for Private Investigatorsと呼ばれるツールは、「犯罪者や容疑者を特定し、負債や隠し資産を明らかにし、企業や潜在的なビジネスパートナーを理解する」ための「重要な情報」を専門家に提供すると約束するものである。
ガードを固めよう
政府も企業も、大量のデータ収集は大義のためだと言って正当化しようとします。
データ収集は、手掛かりを見つけ、犯罪を阻止し、違反者をより迅速に罰するのに役立つと主張します。
また、悪意のある者がこの巨大な個人情報プールを利用しないように、チェックとバランスが行われていると主張します。
しかし、現実には、巨大な監視機械のすべての歯車が、国民の利益を最優先に考えているとは限らない。中には、私利私欲のために自分の立場を悪用しようとする腐敗した者もいるだろう。
そして、データを収集するテック大手や政府機関が力を蓄えれば蓄えるほど、それをチェックすることは難しくなっていくだろう。
不正な個人はシステム全体を代表するものではない、と主張する人もいるだろう。
しかし、1つの悪いリンゴが樽全体を台無しにする。それに、一人いれば、何人もいる。
このような現状を考えると、安心しきってしまうのはよくありません。
デジタルでも現実でも犯罪者ではなく、億万長者でもAリストのセレブでもなく、警察やハッカーに関心を持たれないと思うかもしれません。
そのような思い込みは慰めにはなりますが、間違いです。
現実には、誰もが危険にさらされているのです。
しかも、この問題はソーシャルメディアに限ったことではありません。大量の顧客データを保管している大企業は、情報漏えいの結果、データが流出する可能性があります。
そして、Lapsus$グループのハッキング悪用の話が示すように、どうやらレベルの高い専門家でなくても流出等を引き起こすことはできるようです。
データの取り扱いを誤ったとして第三者を非難することもできますが、データを安全に保つのは私たちユーザーの責任でもあります。
強力なパスワードの作成、多要素認証の有効化、アンチウイルスソフトウェアやVPNなどの既知のセキュリティツールの活用など、守るべき基本的なルールが存在します。
また、広告ブロッカー やDNSフィルタリングソフト を使って、あなたに関して収集されるデータの量を制限するのもよいでしょう。
しかし、あらゆるデジタル衛生規則に従って、フィッシングの罠をかわす方法などを学んだとしても、メッセージをやり取りする相手があなたと同じように用心深く、自分とあなたのデータを守ってくれるという保証はどこにもありません。
ですから、ご家族や友人にもリスクを認識させることが大切です。
なお、おそらく最も重要なルールは、SNSで何かを共有する前によく考えることです。
一回公開されたものに対して、インターネットはめったに忘れる(許す)ことはないのです。
例えば、誰かがあなたの古いSNS投稿を掘り起こし、10年後にあなたのキャリアを台無しにしようとするかもしれないのです。
これは既に起こったことがあります。
だからといって、永久にログオフしてインターネットを全く使用しないほうがいいというわけにもいきませんが、常に注意してガードを固めておくに越したことはないでしょう。
