新たな雇われスパイウェア「Predator」の政治家やジャーナリスト所有端末へのハッキングが発覚

スパイウェア集団のNSO Groupがジャーナリストや活動家、人権擁護団体などの写真をハッキングしているとして激しく非難を受けている一方で、スパイウェアメーカーや雇われ監視グループ一般は相変わらず活動を続けており、ほとんどが気づかれていない。

こうした民間監視グループらは、これまで見たことのない侵入方法を開発し流通させて、被害者の携帯電話から通話記録、テキストメッセージ、メール、位置データなどのコンテンツを密かに盗み出している。多くの場合、雇い主は口うるさい批判者を標的にする権威を振りかざす政府だ。

関連記事:アップルがiPhoneの脆弱性を悪用するスパイウェア「Pegasus」のNSO Groupを提訴

このほどCitizen Lab(シチズン・ラボ)とFacebook(フェイスブック)の新しい親会社Meta(メタ)の研究者らによる捜査の結果、7つの雇われ監視集団がソーシャルメディア巨人のプラットフォームでユーザーをターゲットすることを禁止された。

Metaは米国時間12月16日、7グループに関連づけられた1500件以上のFacebookおよびInstagram(インスタグラム)のアカウントを削除したことを発表し、それらのアカウントが、偵察、ソーシャルエンジニアリング、および100か国以上数千人におよぶ被害者に対する悪意あるリンクの送信などに使用されていたことを明らかにした。

最近の監視業界に対する注目は、主としてNSO Groupなどの企業に向けられているが、Citizen LabとMetaは、もし規制が強化されなければ、雇われ監視業界は今後ますます拡大していくだろうと警告している。「NSOは巨大な世界的サイバー傭兵エコシステムのたった1つのピースにすぎないという認識が重要です」とTechCrunchが発表前に見たMetaの調査レポートは言っていた。

追放された会社の1つ、Cytrox(サイトロクス)は北マケドニア拠点のスパイウェアメーカーだ。Metaは、この会社が正規のニュースサイトを模倣したウェブドメインの膨大なインフラストラクチャーを使用して、被害者のiPhoneとAndroid端末をターゲットしていたことを発見したと話した。Metaは、Cytroxに法的通知を送り、当該インフラストラクチャーに関連するドメイン数百か所をブロックしたと語った。

MetaがCitizen Labの調査結果に基づいて行動した。そのCitizen Labも12月16日、亡命中のエジプト人2名が所有する携帯電話に対するハッキングの調査レポートを公開した。亡命者の1人は元政治家で、もう1人は人気ニュースショーのホストで匿名を希望している。Citizen Labによると、そのスパイウェアは2021年7月に被害者らの端末に侵入した「Predator」と呼ばれるものでCytroxが開発した。

Citizen Labが最初にスパイウェアを発見したのは、エジプトの政治家Ayman Nour(アイマン・ヌール)氏のiPhoneだった。同氏は、2013年の軍事クーデター以来エジプトを支配しているAbdel Fattah el-Sisi(アブドルファッターフ・アッ=シーシー)大統領の痛烈な批判者だ。トルコに亡命中のヌール氏は、自分の携帯電話が「熱を持つ」ようになったことで疑いを持った。Citizen Labは、ヌール氏の端末がPegasusという今や悪名高いNSO Group製スパイウェアに感染していることを突き止めだ。そこから、同氏の端末が新たに発見されたスパイウェア、Predatorにも侵入されていたことの発見につながった。

ヌール氏のiPhoneも、ニュースショウ・ホストが所有していたiPhoneもiOS 14.6が動作していた。これはハッキング当時最新バージョンのiOSであることから、スパイウェアがiPhoneソフトウェアの利用されたことのない脆弱性を利用して端末に侵入したことが示唆される。Apple(アップル)の広報担当者、Scott Radcliffe(スコット・ラドクリフ)氏は、同社がその脆弱性を修正したかどうかについて言及を拒んだ。

関連記事
【コラム】今現在も「ストーカーウェア」の大流出で数千人の携帯電話データが危険に晒されている
アップルがiPhoneの脆弱性を悪用するスパイウェア「Pegasus」のNSO Groupを提訴
自分のスマホがNSOのPegasusスパイウェアにやられたか知りたい人はこのツールを使おう

PredatorはNSOのPegasusと類似した機能を備えている。Citizen Labは、ヌール氏がWhatsApp経由で有害なリンクを送られたと語った。リンクを開くと、スパイウェアは端末のカメラとマイクロホンへのアクセスが可能になり、端末のデータを密かに持ち出せるようになる。Predatorは、Pegasusとは異なり、ユーザーの介入なしに密かに端末に侵入することはできないが、粘り強さで補っている。Citizen Labによると、PredatorはiPhoneをリブートしても生き残るという。通常はリブートすることでメモリ内に潜むスパイウェアは一掃されるが、iOSに組み込まれたショートカット機能を利用した自動操作を利用することで存続する。

研究者らは「珍しいことに」ヌール氏の端末はPegasuとPredatorに同時に侵入されていたが、2つの感染は無関係である可能性が高いと言った。

「Predatorのコードのずさんなつくりから見て、私たちが対していたのが二軍チームであることは明らかです」とCitizen Labの研究員で、マルウェアのPredatorを発見、分析したBill Marczak(ビル・マークザク)氏は言った。「それでもなお、Predatorは最新の完全に更新されてた端末への侵入に成功しています。私たちはエジプトやサウジアラビアなどの抑圧的政府がPredatorの利用者であることを知っても驚きません」。

Citizen Labによると、Predatorはエジプト、サウジアラビアに加えて、アルメニア、ギリシャ、セルビア、インドネシア、マダガスカル、およびオマーンの政府顧客が利用している可能性が高く、モバイル・スパイウェアを使って批判者を標的としていることで知られている国々だ。一方Metaは、捜査の結果ベトナム、フィリピン、およびドイツでPredator顧客を発見したと語った。

CytroxのCEO Ivo Malinkovski(イヴォ・マリンコフスキー)氏からはコメントを得られていない。本稿公開前に送ったメールは不達で戻ってきた。

Metaは、雇われ監視ビジネスに関与していた他のイスラエル企業4社も削除したと語った。Cobwebs、Cognyte、Black Cube、およびBluehawkだ。さらに、インドのハッキング集団、BellTroxも、政治家や政府関係者のメールアカウント数千件をハッキングしたとして追放し、中国の警察が使用したと考えられている中国拠点スパイウェア・メーカーも禁止した。

現在NSOは、複数の訴訟ビジネス取引の制限に直面しており、その大半は市民社会の一員に対する不正や監視行為(NSOは繰り返し否定している)が理由だ。しかし、それでも拡大する監視産業全体は増殖を続けるだろう、とソーシャルメディアの巨人は警告した。

「今後も私たちは、当社のアプリを悪用する何者に対しても捜査し措置を講じていきます」とMetaの報告書に書かれている。「しかし、これらの雇われサイバー集団はさまざまなプラットフォームや国境を越えて活動しています。彼らの能力は国民国家、民間企業どちらにも利用されており、事実上金さえ払えば誰にでも簡単に使うことができます。彼らの標的にとって、インターネットを通じて監視されていることを知るのはほぼ不可能です」。

関連記事:米国がスパイウェア「Pegasus」問題でセキュリティ企業NSOグループとの取引を禁止

本稿の執筆者には、SignalまたはWhatsAppを使って+1 646-755-8849 で安全に連絡できる。TechCrunchのSecureDropを使ってファイルを文書を送ることもできる。詳細はこちら

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

欧州議会が生体認証による遠隔監視の禁止を支持

欧州議会は、生体認証による大規模な監視を全面的に禁止することについて賛成の立場を採択した。

顔認証などのAIを使った遠隔監視技術は、プライバシーのように自由や基本的な権利に大きく関わる問題だが、欧州ではすでに公共の場での使用が浸透している。

「プライバシーと人間の尊厳」を尊重するため、欧州議会は公共の場での個人の自動認識を恒久的に禁止することを可決すべきで、市民が監視されるのは犯罪の疑いがある場合のみだとした。

また、欧州議会は、民間の顔認証データベースの使用を禁止するよう求めた。米国のスタートアップ企業であるClearviewが開発した、物議を醸しているAIシステムがその例だ(これも欧州の一部の警察がすでに利用している)。欧州議会は、行動データに基づく予測的な取り締まりも非合法化すべきだとしている。

加えて欧州議会は、市民の行動や性格に基づいて信頼性を評価するソーシャルスコアリングシステムも禁止したいと考えている。

欧州連合(EU)執行部は4月、高いリスクをともなう人工知能技術の利用を規制する法案を発表した。この法案には、ソーシャルスコアリングの禁止や、公共の場での生体認証による遠隔監視の原則禁止が含まれていた。

しかし、市民社会、欧州データ保護会議、欧州データ保護監督官、および多くの欧州議会議員は直ちに、欧州委員会の提案が十分に行き届いていないと警告した

関連記事:欧州議会議員グループが公共の場での生体認証監視を禁止するAI規制を求める

欧州議会全体としても、基本的権利に対する保護措置の強化を望んでいることが明らかになった。

現地時間10月5日夜に採択された決議で欧州議会議員は、市民の自由・司法・内務委員会の「刑法における人工知能」に関する報告書に377対248で賛成し、人工知能法の詳細を詰める今後のEU機関間の交渉で欧州議会が何を受け入れるかについて、強いシグナルを送った。

生体認証による遠隔監視に関する関連パラグラフでは、欧州委員会に次のことを求めた。

立法および非立法の手段により、また、必要ならば侵害訴訟により、法の執行を目的とした顔画像を含む生体データの処理で、公共の場での大量監視につながるようなものを禁止することを求める。さらに欧州委員会に対し、公共の場での無差別な大量監視につながる可能性のある生体データの研究や展開、プログラムへの資金提供を禁止するよう求める。

この決議は、アルゴリズムによる偏見にも目を向け、AIによる差別を防ぐために、特に法執行機関において、あるいは国境を越える場面で、人間による監督と強力な法的権限を求めた。

最終的な判断を下すのは常に人間のオペレーターでなければならず、AIを搭載したシステムに監視されている対象者は救済措置を受けることができなければならない、と欧州議会議員は合意した。

また、欧州議会議員は、AIベースの識別システムを使用する際に基本的権利が守られるよう求めた。AIベースの識別システムは、少数民族、LGBTI、高齢者、女性の誤認識が高いことが指摘されている。そして、アルゴリズムが備えるべき要件として、透明性、追跡可能性、十分な文書化が必要だとした。

公的機関に対しては、可能な限り透明性を高めるために、オープンソースのソフトウェアを使用するよう求めた。

さらに欧州議会議員は、EUから資金提供を受け、物議を醸している研究プロジェクトにも狙いを定めた。顔の表情を分析して「スマートな」嘘発見器を開発するという「iBorderCtrl」プロジェクトは中止すべきだと主張した。

関連記事:欧州司法裁判所で異議申立てされた「オーウェル的」AIうそ発見器プロジェクト

報告者のPetar Vitanov(ペーター・ビタノフ)氏(ベルギー、社会民主進歩同盟)は声明で次のように述べた。「基本的権利は無条件に与えられるものです。今回初めて、法の執行を目的とした顔認証システムの導入を一時停止することを要求します。この技術は効果的ではなく、しばしば差別的な結果をもたらすことが証明されているためです。私たちは、AIを利用した予測的な取り締まりや、大量の監視につながる生体情報の処理には明確に反対します。これは、すべての欧州市民にとって大きな勝利です」。

TechCrunchは欧州委員会に対し、今回の投票についてコメントを求めたところだ。

同議会の決議は、司法判断を補助するAIの禁止も求めている。これも、自動化がすでに適用されている大きな議論を呼ぶ分野だ。自動化により、刑事司法制度における偏見が体系的に固定・拡大される危険性がある。

世界的な人権慈善団体であるFair Trialsは、今回の採択を「テクノロジー時代の基本的権利と無差別のための画期的な結果」と歓迎している。

画像クレジット:Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

欧州人権裁判所は「大規模なデジタル通信の傍受には有効なプライバシー保護手段が必要」と強調

欧州人権裁判所(ECHR)の最高院は、デジタル通信の大量傍受が人権法(プライバシーと表現の自由に対する個人の権利を規定)に抵触することを本質的には認定せず、欧州の監視反対運動家たちに打撃を与えた。

ただし、現地時間5月25日に下された大法廷判決は、判事がいうところの「エンド・ツー・エンドの保護手段」を備えた上でこうした侵入的諜報権限を運用する必要性について強調している。

そのような措置を講じていない欧州各国政府は、欧州人権条約の下、こうした法令を法的な異議申し立てに一層さらしていくことになるだろう。

大法廷判決はまた、2000年捜査権限規制法(通称RIPA)に基づく英国の歴史的な監視体制が、必要な保護手段を欠いていたため違法であったとする判断を下した。

裁判所は「エンド・ツー・エンド」の保護手段の内容について次のように説明している。「大量傍受を行う権限は、プロセスの各段階において、講じるべき措置の必要性と比例性の評価を伴わなければならない」「大量傍受は、運用の対象と範囲が定義される最初の段階で、独立した承認を受けるべきである」「運用は、監督および独立した『事後』検証の対象とすべきである」。

大法廷判決は、RIPAの時代の中で英国で運用されてきた大量傍受体制に、いくつかの欠陥があることを明らかにした。大量傍受は行政機関から独立した組織ではなく国務大臣によって承認されていたこと、捜査令状の申請に通信の種類を定義する検索語のカテゴリを含めなくてよいとされていたこと、個人に関連する検索語(メールアドレスなどの特定の識別子)の使用について事前の内部承認が不要であったことなどだ。

裁判所はさらに、機密の報道資料に対する十分な保護が含まれていなかったことを理由に、英国の大量傍受体制が第10条(表現の自由)を侵害したと判断した。

通信サービスプロバイダーから通信データを取得するために使用された当該体制は「法に従っていなかったため」、第8条(プライバシーおよび家族、生活 / 通信に対する権利)と第10条に違反するとしている。

一方、裁判所は、英国が外国政府や諜報機関に情報提供を要請できるようにしている当該体制が、濫用を防止し、英国当局がこうした要請を国内法や条約に基づく義務を回避する目的で利用していないことを保証するという点では、十分な保護手段を有していることを認めた。

「現代社会において国家が直面している多数の脅威のために、大量傍受体制を運用すること自体は条約に違反していないと判断した」と裁判所はプレスリリースで付言した。

RIPA体制は後に、英国の調査権限法(IPA:Investigatory Powers Act)に置き換わり、大量傍受権限が明確に法制化されている(ただし監視の層の主張が盛り込まれている)。

IPAは、数多くの人権問題にも直面してきた。2018年、政府は英国高等裁判所から、人権法と相容れないとされてきた法律の一部を改正するよう命じられた。

今回の大法廷判決は、RIPAの他、いくつかの法的な異議申し立てにも関連している。ECHRが一斉に聴取を行うことになった、NSAの内部告発者Edward Snowden(エドワード・スノーデン)氏による2013年の大規模監視暴露を受けて、ジャーナリストやプライバシー活動家、デジタル権利活動家が英国の大規模監視体制に対して提起したものだ。

2018年に行われた同様の裁定で、下級審は英国の体制のいくつかの側面が人権法に違反すると判断した。過半数の投票により、英国の大量傍受体制は不十分な監視(選別者とフィルタリング、検査のために傍受された通信の調査と選択、関連通信データの選択の管理における不適切な保護措置など)のために第8条に違反するとした。

人権活動家らはこれに続き、大法廷への付託を要請し、確保した。大法廷は今回、そのときの見解を採択したことになる。

通信事業者から通信データを取得する制度について、第8条違反があったことを全会一致で認定した。

しかし、12票対5票で、英国の体制が外国政府や諜報機関に対して傍受された資料を要求したことについては、第8条に違反していないと判断した。

別の全会一致の投票においては、大量傍受体制と、通信サービスプロバイダーから通信データを取得するための体制の両方に関して、第10条の違反があったと大法廷は認めている。

しかし、繰り返しになるが、12票対5票で、外国政府や諜報機関に傍受された資料を要求したことについては第10条に違反していないと裁定したのである。

今回の問題の当事者の一員であるプライバシー擁護団体Big Brother Watchは、声明の中でこの判決について「英国の大量傍受行為が何十年にもわたって違法であったことが明確に確認され」、スノーデン氏の内部告発の正当性が示されたと述べている。

同団体はまた、Pinto de Alburquerque(ピント・デ・アルバーカーキ)判事による異議を唱える意見も強調した。

対象を定めない大量傍受を認めることは、欧州における犯罪防止や捜査、情報収集に対する我々の見方を根本的に変えてしまうことになります。特定できる容疑者を標的にすることから始まり、すべての人を潜在的な容疑者として扱い、そのデータを保存、分析、プロファイリングすることになりかねません【略】こうした基盤の上に築かれた社会は、民主社会というよりは警察国家に近いものです。これは、欧州人権の創立者たちが1950年に条約に署名したときに欧州に求めていたものとは、対極に位置します。

Big Brother Watchでディレクターを務めるSilkie Carlo(シルキー・カルロ)氏は、判決についてさらに次のように述べている。「大規模監視は、保護を装いながら民主主義に損害を与えるものであり、裁判所がそれを認めたことについて歓迎します。ある判事が述べたように、私たちは欧州の電子的な『ビッグブラザー』の中で暮らす大きな危険にさらされています。英国の監視体制が違法であったという判決を支持しますが、裁判所がより明確な制限と保護措置を定める機会を逸したことは、リスクが依然として存在し、現実的であることを意味するものです」。

「私たちは、侵害的な大規模監視活動の終結に向けて、議会から裁判所に至るまで、プライバシーを保護するための取り組みを継続します」と同氏は言い添えた。

この件の別の当事者であるPrivacy Internationalは、大法廷はECHRの2018年の判決よりもさらに踏み込んで「新たな、より強力な保護手段を設けるとともに、大量傍受には事前の独立した、あるいは司法による承認が必要であるとする新たな要件を追加している」と述べ、判決の結果を前向きに解釈する姿勢を示した。

同団体は声明で「承認は意味のある厳格なものでなければならず、適切な『エンド・ツー・エンドの保護手段』が存在することを確かめる必要があります」と付け加えた。

また、Open Rights GroupのエグゼクティブディレクターJim Killock(ジム・キルロック)氏は、公開コメントで次のように語った。「2013年に私たちがBig Brother WatchとConstanze Kurzとともに法廷に持ち込んだ時点で、英国政府の法的枠組みは脆弱で不適切であったことを裁判所は示しています。裁判所は、将来の大量傍受体制を評価するための明確な基準を定めていますが、大量傍受が濫用されないようにするためには、将来的にこれらをより厳しい判断基準に展開していく必要があると考えています」。

「裁判所が述べているように、大量傍受の権限は巨大な力であり、事実上秘密主義的で、制御するのは容易ではありません。技術的な機能性が深まりを続けている一方で、今日の大量傍受が十分に保護されているとは到底考えにくいです。GCHQは、テクノロジープラットフォームと生データを米国と共有し続けています」とキルロック氏は続け、判決を「長期的な道のりにおける1つの重要なステップ」と評した。

関連記事
グーグルがEUの圧力を受けAndroid検索エンジンの選択画面オークションを廃止、無料化へ
デジタルIDへ独自の道を歩む欧州、危ぶまれる実現性
EUが大手テック企業の「新型コロナ偽情報対応は不十分」と指摘

カテゴリー:パブリック / ダイバーシティ
タグ:EUヨーロッパプライバシーイギリス監視

画像クレジット:Vicente Méndez / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

アマゾン傘下Ringが警察に映像を取得されたユーザー数についての情報開示を拒否

Ring(リング)は、家庭用ビデオドアベルの大規模な監視ネットワークや、問題のあるプライバシーセキュリティ運用に対してだけではなく、ドアベルの映像を法執行機関に提供していることでも、多くの批判を受けている。同社は透明性を追求しようとしているものの、これまで何人のユーザーのデータが警察に提供されたかについては開示を拒否している。

2018年にAmazon(アマゾン)に買収されたビデオドアベルメーカーのRingは、少なくとも1800の米国警察部門と、警察がRingのドアベルからのカメラの映像を要求できる提携を行っている(その数は現在も拡大中だ)。今週行われた変更の前には、Ringが提携している警察署であれば、捜査のためにドアベルカメラの映像を、顧客には無断で要求することができていた。今回Ringは、提携先の警察警察が同社の「Neighbors」(ネイバーズ)アプリを通じて、顧客からのビデオ映像の提供を公に要求するように変更した

この変更は、表向きには、警察がドアベルの映像にアクセスできるタイミングをRingのユーザーがコントロールできるようにするものだが、警察が令状なしにユーザーの映像にアクセスできるというプライバシー上の懸念は無視されている。

市民の自由の擁護者や議員たちは、Ringのドアベルカメラの広大なネットワークは個人ユーザーが所有しているため、警察は合法的な裏口を使ってRingのユーザーのカメラ映像を入手できると長い間警告を行ってきた。いまでも警察は、犯罪の証拠がある場合には、基本的なユーザー情報の提出要求や、ビデオコンテンツに対する捜査令状や裁判所命令などの法的要求をRingに対して行うことができる。

Ringが2021年1月にひっそりと発表した透明性レポートによれば、2020年の間にRingが受けた法的要求は1800件を超え、その前年の倍以上となっている。Ringは販売台数を公表していないが、「数百万人」の顧客がいると述べている。しかし、この透明性レポートでは、Ringが法的要求を受けて映像を警察に提出したユーザー数やアカウント数などの、ほとんどの透明性レポートには含まれている内容が省かれている。

Ringに問い合わせたところ、何人のユーザーの映像が警察によって入手されたのかについては開示を拒まれた。

検索の対象となるユーザーやアカウントの数は、本来は秘密ではないが、政府がユーザーデータを要求したときに企業がそれをどのように開示のするか(もし開示するならばだが)、は曖昧な領域である。義務ではないものの、ほとんどのハイテク企業は、年に1、2回、ユーザーデータが政府に取得された頻度を示す透明性レポートを発表している。

透明性レポートは、データ要求を受ける企業が、政府による強制的な大規模監視疑惑に対して、政府の要求に応えているのは企業のユーザーのほんの一部であることを示して反論するための手段だった。

しかし、そこでは実際の対応が肝心だ。Facebook(フェイスブック)Apple(アップル)Microsoft(マイクロソフト)Google(グーグル)Twitter(ツイッター)の各社は、法的要求を受けた数を明らかにすると同時に、データが提供されたユーザーやアカウントの数も明示している。場合によっては、影響を受けるユーザーやアカウントの数が、受け取った要求数の2倍から3倍以上になることもある。

Ringの親会社であるAmazonは、大手ハイテク企業の中では珍しい例外で、情報が法執行機関に引き渡されたユーザーの具体的な数を公表していない。

電子フロンティア財団(EFF)の政策アナリストであるMatthew Guariglia(マシュー・ガリグリア)氏は、TechCrunchに対して「Ringは、表向きにはユーザーの家に設置できる機器を作る防犯カメラの会社ですが、犯罪捜査や監視を行う国家のツールとしての側面も強くなって来ています」とTechCrunchに対して語った。

ガリグリア氏は、Ringが法的要求の対象となったユーザー数だけでなく、過去に何人のユーザーがアプリを通じて警察の要請に応じたかについても公表できるだろうと付け加えた。

Ringユーザーは、オプトアウトを行い警察からの要請を受けないようにすることができるが、たとえこのオプションを選択しても、法執行機関が裁判官から法的命令を受けてユーザーのデータを入手することは止めることができない。ユーザーは、エンド・ツー・エンドの暗号化をオンにすることで、ユーザー以外がビデオにアクセスすることを防ぐことができる(Ringも例外ではない)。

関連記事
アマゾン傘下Ringの近隣住民監視アプリ「Neighbors」にバグ、投稿者の位置情報や住所に流出の可能性
Amazonのただでさえ透明でない透明性レポートがいっそう不透明になった

カテゴリー:セキュリティ
タグ:RingAmazonプライバシー個人情報警察アメリカ透明性監視

画像クレジット:Chip Somodevilla / Getty Images

原文へ

(文:Zack Whittaker、翻訳:sako)

今も米国の自治体は中国共産党に関連する監視技術を購入している

この記事は、映像監視ニュースサイトIPVMとの提携により発表された。

TechCrunchが入手した契約データから、米国の少なくとも100の郡や町、そして市が、米国政府が人権侵害と関連づけた中国製の監視システムを購入していることがわかった。

米国政府は、2019年にHikvision(ハイクビジョン)とDahua(ダーファ)という中国のテクノロジー企業2社を経済ブラックリストに追加したが、一部の自治体は、その後、数万ドル(数百万円)以上を投じて両社の監視装置を購入している。この2社は、ウイグル族のイスラム教徒が多く住む新疆ウイグル自治区の少数民族に対する、中国の継続的な弾圧と関連している。議会はまた、中国政府によるスパイ活動を助長する恐れがあるとして、米国の連邦政府機関がハイクビジョンとダーファのテクノロジーを新たに購入したり、契約を更新したりすることを禁止した

関連記事
ムスリム少数民族に対する人権侵犯に加担した8つの中国企業が米商務省の禁止リストに載る
米、政府内でのHuaweiやZTEの機器使用を新国防法で禁止

しかし、このような連邦政府の措置は、州や市のレベルにまでは適用されていない。連邦政府の資金が使われていない限り、地方自治体はビデオカメラや赤外線スキャナーをはじめ、そういった中国製の監視システムを特に制約なく購入できる。

この契約の詳細は、連邦政府や州政府の支出を追跡しているGovSpend(ガヴァスペンド)が、IPVM(アイ・ピー・ヴイ・エム)を通じてTechCrunchに提供したものだ。IPVMは、映像監視に関する主要なニュースサイトであり、ハイクビジョンとダーファの禁止令を注視している。

今回のデータ、およびIPVMが以前に報告したところによると、最大の支出はジョージア州Fayette(フェイエット)郡の教育委員会によるもので、2020年8月に公立学校での体温チェックに使用されるハイクビジョンのサーマルカメラ数十台を49万ドル(約5400万円)で購入している。

フェイエット郡公立学校の広報担当者Melinda Berry-Dreisbach(メリンダ・ベリードライスバッハ)氏の声明によると、カメラは、ハイクビジョンの正規販売店でもあり、以前から取引のあるセキュリティベンダーから購入したという。この声明では、教育委員会がハイクビジョンの人権侵害との関連性を認識していたかどうかについては触れられていない。また、ベリードライスバッハ氏は、フォローアップの質問には答えていない。

ハイクビジョンやダーファのモデルを含む多くのサーマルスキャナーについては、IPVMの調査により、測定値が不正確であることが判明し、誤った測定値による「深刻な公衆衛生上の潜在的リスク」があると、米国食品医薬品局(FDA)が、公衆衛生上の警告を発するに至っている。

人口9万5000人のノースカロライナ州Nash(ナッシュ)郡は、2020年9月から12月にかけて4万5000ドル(約490万円)以上を投じてダーファのサーマルカメラを購入した。郡長のZee Lamb(ジー・ラム)氏は、購入とその機材が郡内の公立学校に配備されたことを認めるメールを転送してきたが、それに対するコメントはなかった。

また、ニューオーリンズ市の一部を含むルイジアナ州のJefferson(ジェファーソン)郡は、2019年10月から2020年9月にかけて、ハイクビジョンの監視カメラとビデオストレージを3万5000ドル(約380万円)で購入したことがデータからわかっている。しかし、郡の広報担当者からのコメントはない。

連絡を取った自治体のうち、購入したテクノロジーと人権侵害との関連性について答えたのは1地区だけだった。カリフォルニア州のKern(カーン)郡は、2020年6月、保護観察局のオフィス用としてハイクビジョンの監視カメラとビデオ録画機器に1万5000ドル(約160万円)以上を支出した。契約のデータによると、地元の業者であるTel Tec Security(テル・テック・セキュリティ)がハイクビジョンの製品を同郡に販売していた。

カーン郡の最高行政責任者であるRyan Alsop(ライアン・アルソップ)氏は、ハイクビジョンと人権侵害との関連性について問われると「ハイクビジョンに関する問題についてはまったく知らない」という。

「繰り返すが、当郡はハイクビジョンと契約したのではなく、テル・テック・セキュリティと契約したのだ」とアルソップ氏は答えた。

カーン郡では、郡の保護観察所で使うハイクビジョンの機器購入に1万5000ドル(約160万円)以上を費やしている。(データ提供:GovSpend

フロリダ州Hollywood(ハリウッド)市では、ハイクビジョンのサーマルカメラに3万ドル(約330万円)近くを費やしたが、同市の広報担当者は、中国のこのテクノロジーメーカーが「すぐに納品可能で、規定のプロジェクトスコープに合致し、プロジェクト予算内でソリューションを提供する唯一の大手メーカーだった」と述べている。このカメラは、新型コロナウイルス感染症の拡散を抑制するために、従業員の体温の測定に使用された。広報担当者は、人権侵害との関連性については言及しなかったが。連邦政府の禁止令は同市には適用されないと述べている。

Human Rights Watch(ヒューマン・ライツ・ウォッチ)のシニア研究員であるMaya Wang(マヤ・ワン)氏は、地方レベルでのプライバシー規制が不十分であることが、自治体がこのテクノロジーを購入する一因になっていると指摘する。

「問題の1つは、この種のカメラが、原産国や人権侵害に関連しているかどうか以前に、プライバシー基準に準拠しているかどうかを確認するための規制がないまま、国内のさまざまな地域、特に州や市のレベルで導入されていることだ」とワン氏は電話で語り、そして「また、企業の実績に基づいて、その企業が人権を侵害していないかどうかを厳密に調査し、より良い企業を選択することにより、プライバシー保護を重視する企業が勝ち残るような規制の枠組みもない」と付け加えた。

ウイグル族を抑圧する中国政府の継続的な措置の一環として、ウイグル族を監視するための監視テクノロジーの供給をハイクビジョン、ダーファなどに大きく依存していると米国政府は強く主張しているが、中国政府はこれを繰り返し否定している。

国連の監視機関によると、中国政府は近年、100万人以上のウイグル人を収容所に拘留しており、これが米国における監視テクノロジーメーカー2社のブラックリスト入りにつながっている。

米国商務省は、政府の経済ブラックリストに両社を加える際、ハイクビジョンとダーファが「中国政府によるウイグル人、カザフ人、その他のイスラム系少数民族に対する弾圧、恣意的な大量拘束、ハイテクを駆使した監視などの活動が行われる上で、人権侵害や虐待に関与してきた」と述べている。Biden(バイデン)政権は、この人権侵害を「ジェノサイド(大量虐殺)」と呼んだ。

この報道について、上院情報委員会の委員長を務めるMark Warner(マーク・ワーナー)上院議員は、TechCrunchに次のように述べている。「中華人民共和国の企業は、本当に『独立』しているわけではない。そのため、米国の団体が中国企業の機器を購入する際には、中国での民族抑圧を助長する企業を支援しているだけでなく、この監視機器を介して収集されたデータが中国共産党と共有される可能性があることを認識するべきだ。以前から、企業や大学を含むアメリカの団体が、新疆ウイグル自治区などに対する中国共産党の監視・検閲活動を助長していることに心を痛めていた」。

「しかし、これは問題の一部に過ぎない。米国人は、中国共産党がさまざまな手口でアメリカ市民のデータ収集に取り組んでいることにも関心を持つべきだ。このような機器を購入することのリスク、そして人権や安全保障との密接な関係について、地方自治体を含めアメリカ人を啓蒙する必要がある」とワーナー上院議員は述べる。

IPVMは、各社の監視技術がウイグル人の弾圧にどのように使われているかも大きく報じてきた。ダーファ製品には、警察に「リアルタイムのウイグル人警告」を提供するために人種検知のコードが含まれていることが判明した。

2021年初め、Thomson Reuters(トムソン・ロイター)財団は、ロンドンの議会の半数と英国の最大20都市が、ウイグル人の虐待に関連した技術を使用していることを明らかにした。また、Guardian(ガーディアン)紙は、英国の学校でハイクビジョンの監視技術が使用されていることを報じた

ダーファは、この報道を受けて、ブログに声明を掲載し「メディアでの一部報道とは異なり、当社は特定の民族をターゲットとするテクノロジーやソリューションを開発したことはない」と主張した。そして声明には「これに反する主張は単なる誤りであり、そのような主張を裏付ける証拠は、これまで確認されていないと認識している」と付け加えられている。

ハイクビジョンは、コメントの要請に応じていない。

Signal(シグナル)とWhatsApp(ワッツアップ)で安全にヒントを送るには、+1 646-755-8849まで。また、当社のSecureDrop(セキュアドロップ)を使ってファイルや文書を送ることもできる。詳細はこちら

関連記事:中国のとあるスマートシティ監視システムのデータが公開状態になっていた

カテゴリー:パブリック / ダイバーシティ
タグ:アメリカ中国プライバシー個人情報監視

画像クレジット:Zhengshun Tang (opens in a new window)/ Getty Images

原文へ

(文:Zack Whittaker、翻訳:Dragonfly)