約30人のサイバーセキュリティ専門家、暗号学者、学者らはジェームズ・クレバリー内務大臣に書簡を送り、英国の監視法の改正案を再検討するよう政府に要請し、コンピュータシステムのセキュリティ脆弱性を修正する際に重大な「官僚的ハードル」が生じると警告している。
スヌーパー憲章としても知られる2016年捜査権限法(IPA)の変更案は、世界中、特に英国のインターネットユーザーにとって「前例のない増大するサイバー犯罪の脅威」を悪化させるだろうと同団体は論文で述べている。公開書簡。
この書簡はまた、現在議会を通過している捜査権限(修正)法案で提案されている措置が、ハイテク企業によるメッセージングや電子メールサービスへのエンドツーエンド暗号化の導入を阻止したり遅らせたりするために利用される可能性があるとの懸念も提起している。
個人の立場で署名した署名者には、PGP 暗号化ソフトウェアの開発者であるフィリップ ジマーマン氏が含まれます。 ジョン・カラス、PGPの共同創設者であり、Appleの元上級科学者。 タラ・ウィーラー氏は、ワシントンに本拠を置くシンクタンク、外交問題評議会(CFR)のグローバルサイバー政策担当上級研究員である。
他の署名者には、テクノロジー企業Cloudfare Researchの客員教授兼研究主任であるMarwan Fayed氏、民主主義とテクノロジーセンターの主任技術者でインターネットアーキテクチャ委員会のメンバーであるMallory Knodel氏が含まれる。
通知制度
問題となっているのは、捜査権限法の2つの改正案である。 1つ目は「通知通知」の導入で、テクノロジー企業は政府機関に合法的なアクセスを提供するための既存の取り決めに影響を与える可能性のあるサービスに技術的な変更を加える前に、政府に通知することを義務付ける。
2 番目の要件は、テクノロジー企業が政府通知に対して控訴した場合、控訴の審査が完了するまで自社のシステムを変更できないようにするものです。
「(捜査権限法に対する)これらの提案が成立すれば、セキュリティアップデートの開発と展開を遅らせる官僚的ハードルが導入され、英国のサービスユーザーのセキュリティに悲惨な結果をもたらすことになるだろう。」
サイバーセキュリティの専門家、暗号学者、学者からの公開書簡
セキュリティ専門家らは、これらの措置を総合すると、新たなセキュリティ脅威に対応する企業のシステム更新が大幅に遅れる可能性があると主張している。
「もしこれらの提案が制定されれば、セキュリティアップデートの開発と展開を遅らせる官僚的ハードルが導入され、英国のサービスユーザーのセキュリティに悲惨な結果をもたらすだろう」と書簡は述べている。
「英国政府がテクノロジーの構築と維持方法を効果的に指示する状況を画策し、サービスと製品の安全性とセキュリティに対するユーザーの信頼を著しく損なうことになるだろう」と付け加えた。
公開書簡は、サイバー犯罪が消費者と企業に2025年までに年間8.4兆ポンドの損害を与えると指摘している。同省は2023年4月以降、中堅企業の26%、大企業の37%という科学イノベーション技術省の数字を引用している。過去 12 か月間、企業はサイバー犯罪の被害に遭っていました。
「これらの提案は、脆弱性にパッチを適用するためのソフトウェアアップデートを事業者が迅速に展開する能力を妨げることにより、英国の事業者だけでなく世界中のすべてのユーザーにとって、セキュリティ保護を弱め、これらのリスクを悪化させることになるだろう」と書簡は述べている。
調査権限(修正)法案には、システム変更を求める通知を受け取ったテクノロジー企業からの異議申し立てに対する政府の審査が完了するまでにどれくらいの時間がかかるかについては示されていない。
暗号化に対する脅威
政府報道官はComputer Weeklyに対し、捜査権限法を利用してテクノロジー企業にエンドツーエンドの暗号化サービスの弱体化を強制する意図はないと語った。
しかし、政府は近年、テクノロジー企業に対し、法執行機関に暗号化された通信へのアクセスを提供するよう求める声明も発表しており、これは暗号学者らの間で「暗号化を破ることになる」と主張している。
書簡によると、捜査権限法改正案の「通知と凍結」案により、エンドツーエンド暗号化をデフォルトで導入する製品アップデートを禁止またはブロックする権限が英国政府に与えられるという。
規制当局のオフコムに対し、児童虐待コンテンツの暗号化メッセージをスキャンするようテクノロジー企業に義務付ける権限を与えるオンライン安全法などの他の措置と組み合わせると、セキュリティ専門家らは、この新たな権限はエンドツーエンドの暗号化をブロックしたり弱めたりするために利用される可能性があると述べた。 。
たとえば、捜査権限法第 253 条第 5 部 (c) は、ハイテク企業が通信データに適用している「電子的保護」を削除または変更するための技術能力通知を発行する権限を政府に与えています。
「暗号学者やセキュリティとプライバシーの専門家は、IPAの通知当局が事業者にバックドアの構築を強制したり、事業者がサービスにデフォルトで復号化を採用することを妨げたりするために利用される可能性があることを長年懸念してきた」と書簡には述べられている。
署名者らは、この提案が「英国国民、企業、世界中のインターネットユーザーの最善の利益に反する」ものであることを「深く懸念している」と述べている。
メタ暗号化プランが標的になる可能性がある
書簡への署名者の一人である民主技術センターの首席技術技術者マロリー・ノーデル氏は、捜査権限法の改正案が成立した場合、大臣らがそれを利用して技術分野の計画を凍結したり遅らせたりするのではないかとの懸念があると述べた。企業はエンドツーエンドの暗号化を展開します。
Metaは、Facebook、Messenger、Instagramサービスにエンドツーエンドの暗号化を導入する決定をめぐって、英国を含む政府から繰り返し批判されてきた。
2023年4月、FBIや英国国家犯罪庁を含む15の法執行機関からなる仮想グローバルタスクフォースは、メタ社の暗号化導入計画は、子どもの安全を守る能力を弱める「意図的な設計の選択」であると批判した。
2023年9月、当時の内務大臣スエラ・ブレイバーマン氏は、オンラインで子どもの安全を守る技術を導入するか、エンドツーエンドの暗号化計画を完全に放棄するか、メタ社に異議を申し立てた。
クノーデル氏はComputer Weeklyに対し、「法律で何らかの対応が定められているにもかかわらず、そのような強い声明を出して何も行動しないということはありません。」と語った。
他のテクノロジー企業は、自社の暗号化計画について公に話す前に、メタに対する英国の反応を様子見していると理解されている。
その中には、X、Discord、Slack などの企業が含まれており、エンドツーエンドの暗号化でサービスを保護するよう市民社会団体からの圧力に直面しています。
「私たちは企業に対し、エンドツーエンドの暗号化を遅かれ早かれ早く採用するよう強く求めています。そのため、民主主義かどうかにかかわらず、政権が政策決定を利用してその技術を弱体化させようとする場合、非常に険しい山を登らなければなりません」とクノーデル氏は述べた。 。
事実上の権力
この公開書簡は、テクノロジー企業1,000社を代表するテクノロジー業界団体TechUKの介入を受けてのものである。 2023年1月30日、IPAの修正により、企業が英国およびその他の国で製品やサービスを変更することを拒否する事実上の権限が英国政府に与えられる可能性があると警告した。
「企業はユーザーのプライバシーとセキュリティの向上に注力するのではなく、政府の監視ニーズを満たすことに注意をそらさなければならないでしょう。 これは、ユーザーのデータセキュリティに対する脅威が増大し続ける世界において特に懸念されることである」とTechUKは声明で述べた。
内務省 – セキュリティ パッチを制限する予定はない
内務省は、セキュリティ パッチを捜査権限法の通知要件の対象とするつもりはなく、システムへのセキュリティ パッチの適用を決して停止するつもりはないと主張している。
政府報道官は「政府の第一の仕事は国の安全を守ることだ。 捜査権限は国民を守るために不可欠なツールであり、1980年代から存在しています。
「私たちは、技術革新と、エンドツーエンドの暗号化を含むプライベートで安全な通信テクノロジーをサポートしていることを常に明確にしてきました。 しかし、これが公共の安全を犠牲にすることはできず、民主的な説明責任を持つ人々によって決定が下されることが重要です。」
調査権限(修正)法案は下院での第二読会を待っている。