Whistleblowing.jp (内部告発.jp)の構想(The concept of Whistleblowing.jp)
?Download as PPTX, PDF?
20 likes?12,250 views
Talk given at Waseda University, Dec. 19, 2014.
Whistleblowing.jp (内部告発.jp)の構想(The concept of Whistleblowing.jp)
- 2. Whistleblowing.jpの目的 ? 匿名化技術を用いて、身元が暴かれるリスクを最小化した内部告発 を可能とする ? もちろんリスクが皆無になるわけではない ? 具体的には、TorとGlobaLeaksを利用 ? Tor: http://torproject.org/ ? GlobaLeaks: http://globaleaks.org/ ? ウィキリークスとの違い ? このサイト自身が内部告発を検証したり、記事化したりすることはない ? 内部告発者とジャーナリストとの架け橋 ? 「土管」
- 4. Whistleblowing.jp / 内部告発.jp ? ドメイン名は取得しているが、一般的なウェブサイトとしてはまだ存 在しない ? そもそもHTTPサーバが動いていない ? Tor経由でのみアクセスできるTor Hidden Serviceとしてのみ存在 ? 今後、別途匿名化技術を用いた内部告発に関する情報を蓄積?紹 介するポータルのようなものにしていきたい
- 5. 設立の背景 ? 元々ハッカー思想やハッカー史に興味 ? 2008年頃、ウィキリークスの活動に興味を持つ ? Torや情報技術一般のジャーナリズムへの活用に関心 ? Torや同種の技術(I2P、Freenet等)を研究 ? 「ウィキリークスを支えた技術と思想」(「日本人が知らないウィキリークス」洋 泉社刊)所収、2011年) ? 近年世界的にTorへ注目が高まる ? スノウデン事件など ? 昨年あたりから、海外でTorを用いた内部告発支援サイトが設立され るようになった
- 8. 匿名化技術とは ? 簡単に言えば、「アクセス先に、アクセス元につながる情報を残さな いでアクセスするための技術」 ? いわゆる匿名掲示板のように、単に名前を書かないだけでは真に匿名とは 言えない(アクセスログが残る) ? 具体的には、アクセス先には(アクセス元とは全く無関係の)別の サーバから接続しているように見えるようにする ? 技術自体は30年近く前から研究されている ? 論文案内: http://freehaven.net/anonbib/topic.html ? いろいろあるが現在世界的に広く使われているのがTor
- 9. Torとは ? Tor = The Onion Router ? 元々は米海軍研究所の資金援助を受けて開発 ? 現在はオープンソース(全て公開、誰でも自由に利用可能) ? 米EFF(電子フロンティア財団)など開発支援 ? 中国やイランなどネット検閲が厳しい国で活用 ? 「オニオン?ルーティング」技術を利用 ? ミックスネット(経路ミックス) ? 階層的暗号化 ? (前提として)公開鍵暗号
- 11. 罢辞谤の経路ミックス
- 12. 経路ミックスの限界 ? 途中のリレーにはアクセス元の情報が残る ? 複数リレーを経由しても芋づる式に辿られる可能性が(低いとは言 え)残る ? アクセス先のみならず、中継者のアクセス元に関する知識を制限す る必要
- 14. 中継者たちは… ? リレー赤は、データがアクセス元(厳密にはアクセス元 かすらも分からない)から来たこと、リレー青に渡さなけ ればならないことは分かる。しかし青から先は分からな い(青の鍵で暗号化されているから) ? リレー青は、データがリレー赤から来たこと、リレー緑に 渡さなければならないことは分かる。しかし目的地も、ア クセス元が私であることも知らない(緑の鍵で暗号化さ れており、かつ赤用の宛先は赤のところで捨てられてい るから)。 ? リレー緑は、データがリレー青から来たこと、目的地に 渡さなければならないことは知っている。データの中身 も読める。しかし青より前のことは分からない。
- 15. 階層的暗号化の問題点 ? 暗号鍵の授受にリスク ? インターネットのような、信用できない(どこで盗聴されて いるか分からない)経路を通じて暗号鍵の授受を行わな ければならない(鍵配送問題) ? 暗号をかける键と解く键が同じ场合、これは致命的
- 16. 公開鍵暗号 ? 共通鍵暗号 ? 暗号化と復号化の鍵が同じ ? 鍵が授受時に第三者へばれるとすぐ復号されてしまう ? 公開鍵暗号 ? 暗号化と復号化の鍵が違う ? 暗号化用の鍵は公開可能(公開鍵) ? 復号化用の鍵はそもそも授受する必要なし(秘密鍵) ? 片方からもう片方を割り出すのが数学的に極めて困難 (一方向関数) ? 代表的な実装にPGP、GnuPG(GPG)
- 18. Torの悪用事例 ? 警視庁国際テロ捜査情報流出事件 ? Silk Road事件 ? PC遠隔操作事件 ? 踏み台攻撃 ? 出口ノード=通常のインターネットとの接点 ? 自ノードを出口ノードとして設定している場合、出口ノードとして選択されると、 自ノードから攻撃しているように見えてしまう
- 19. 世界的な動向 ? 歴史的なリーク ? ペンタゴン?ペーパーズ事件 ? ウォーターゲート事件 ? 西山事件 ? 2009年~ ウィキリークスの活動により、人間関係ではなく技術的に 匿名性を担保したリークの有効性が広く知られるようになる ? 2013年頃から本サイトと同種の、匿名化技術を用いた内部告発支 援サイトが世界各地で登場 ? スノウデン事件でTorにさらに注目が集まる
- 20. 同種のサイト ? SecureDrop(http://freedom.ress/securedrop)を利用 ? The New Yorker: strngbxhwyuu37a3.onion (2013/5~) ? Forbes: bczjr6ciiblco5ti.onion (2013/10~) ? ProPublica: pubdrop4dw6rk3aq.onion (2014/1~) ? The Intercept: y6xjgkgwj47us5ca.onion (2014/2~) ? The Washington Post: vbmwh445kf3fs2v4.onion (2014/6~) ? The Guardian: 33y6fjyhs3phzfjj.onion (2014/6~)
- 22. 同種のサイト ? GlobaLeaksを利用 ? PubLeaks: yn6ocmvu4ok3k3al.onion (2013/9~) ? Mafialeaks:2dermafialks7aai.onion (2013/11~) ? WildLeaks: ppdz5djzpo3w5k2z.onion (2014/2~) ? アムネスティが採用予定 ? 直接手本にしているのはオランダのPubLeaks ? オランダ国内42のメディアと提携 ? 地方議員の汚職告発を記事化 ? 谷口長世「あなたも安心して“スノーデン”になれます──オランダで大反響、 サイバー公益通報システム『パブリークス』 「世界」12月号
- 25. 従来の内部告発との関係 ? 先掲の図の「右半分」に相当するサイトは今までもあった ? 朝日新聞、NHKなどが開設 ? 今回の試みの新規性は「左半分」、匿名化の部分にある ? 公益通報者保護法 ? あるにはあるが、結局「冷や飯を食う」事例があると聞いている ? 内部告発者の身元をより強固に保護する必要
- 26. 特定秘密保護法との関係 ? 開設者当人としてはそれほど関係があるとは思っていなかった ? 企業や研究機関からの内部告発を主に考えていた ? 機密保護の強化には別に反対ではないが、現行の法律に様々な問 題があるということは承知しているので、改正を目指すべきとは思う ? 基本的には22条でカバーされるものと理解している
- 27. 現状 ? 技術的にはほぼ確立 ? マスメディアの記者を中心に15名ほどが関与、一部が受信者になる 意欲を表明 ? 「非」技术的な面でまだまだ準备が足りない
- 28. Whistleblowing.jpを利用するための知識 ? 内部告発者 ? Torの使い方 ? あるいはTailsの使い方 ? その他一般的な内部告発のノウハウ ? 受信者 ? 匿名化技術の仕組み ? 公開鍵暗号の仕組み ? 内部告発者と連絡が取りにくい状況での検証能力
- 29. 直近の予定 ? 関心のある方向けの種々ミーティングを開催 ? ハッカソン ? Tor自体など様々な関連ツールの翻訳 ? 内部告発者向けの手引き(Torの使い方など)を用意 ? 1月中を予定 ? 受信者(ジャーナリスト)向けトレーニングの準備と実験的な実施 ? 受信者の要件として、今のところ、何らかのトレーニングの受講を要件とする 予定 ? 1月中を想定
- 30. 中期的目標 ? 組織化 ? 年会費 ? サーバ代や万一の訴訟費用に充当 ? 個人1万円/年、組織10万円/年程度を想定 ? 寄付も受け付け ? ある程度の金額を扱う以上、組織化が必須と考える ? NPOにするのか、既存団体に引き取ってもらうのかは未定 ? きちんとした利用規約の作成
- 31. 中長期的な目標 ? 世界的に、匿名化技術や暗号技術によってプライバシーや人権を守 るという動きが活発化。こうしたツールの普及を促進したい ? NSAの一連の事件、いわゆるPRISM騒動 ? ジャーナリズムへの匿名化技術や暗号技術の導入を推進したい ? 匿名を前提とした検証の手法の確立 ? 統計理論を用いた捏造の検出など ? 情報技術者とジャーナリスト、一般人の交流の場を設けたい ? データ?ジャーナリズム ? ネガティヴな印象を払拭し、「健康診断」としての内部告発を確立