1996年以来、内部告発サイト「Cryptome」は政府や企業の機密文書を公開してきました。しかし、CryptomeはMicrosoft Online Services Global Criminal Compliance Handbookを公開したことで、Webから削除されました。これは、Microsoftが保有、保管、そして開示できるデータを詳細に記した、法執行機関向けの「スパイガイド」です。皆さんのほとんどはMicrosoftユーザーでしょうから、Xbox Liveポイントを購入したり、Office Liveにログインしたり、Hotmailでメールを送信したりする前に、知っておくべき情報がいくつかあります。(編集者注:この問題の最新情報については、「Microsoft Relets, Cryptome Returns」をご覧ください。)
「スパイガイド」とは何ですか?
グローバル刑事コンプライアンスハンドブックは、Microsoftが保管するユーザー情報へのアクセスを求める法執行機関関係者向けの、準包括的な解説文書です。召喚状のサンプル文言や、サーバーログの解釈方法に関する図表も掲載されています。
私がこれを「準包括的」と呼ぶのは、わずか 22 ページであり、Microsoft のシステムの細部まで説明しておらず、むしろ初心者向けのデータ探索ガイドのようなものだからです。
どの Microsoft サービスが影響を受けますか?
あらゆる種類があります。Microsoftは、オンラインサービスに関連するユーザー情報を保管しています。データは過去のメールからクレジットカード番号まで多岐にわたります。情報は指定された期間、場合によっては永久に保管されます。
参照されているサイトは次のとおりです。
- ウィンドウズライブ
- Windows Live ID
- マイクロソフト オフィス ライブ
- Xboxライブ
- MSN
- Windows Live スペース
- Windows Live メッセンジャー
- ホットメール
- MSNグループ
これらのMicrosoftサービスの中には、必ずしも多くの人には当てはまらないものもあるかもしれません。例えば、MSNグループを利用する人はいるでしょうか?しかし、例えばXbox Liveアカウントから個人情報にアクセスすることは、2,300万人の加入者にとって大きな問題となる可能性があります。特にXbox LiveはMicrosoftの他の多くのサービスよりも多くのデータを保持しているため、なおさらです。
Microsoft はどのような情報を持っていますか?
サービスによって異なります。ここでは大手企業を取り上げます。
Windows Live ID
Windows Live IDは、ユーザー情報を一括管理できるサービスであり、多くのサイトでユーザー名とパスワードの散在を防ぐために使用されています。しかし、その広範なアクセス範囲により、法執行機関がユーザーの膨大な個人ウェブ閲覧情報にアクセスできるようになる可能性があります。Microsoftは「過去10件のMicrosoftサイトとIP接続記録の組み合わせ(過去10件の連続したIP接続記録ではありません)」を保管しています。
総合的に考えると、悪くはない。むしろ悪化している。
ホットメール
文書には、「電子メールアカウントの登録記録はアカウントの有効期間中保持されます。インターネットプロトコル(IP)接続履歴記録は60日間保持されます」と記載されています。しかし、多くの方と同様にGmailに切り替え、Hotmailアカウントを失効させた場合、すべてのメールコンテンツは「通常、60日間の非アクティブ期間後に削除されます。その後、ユーザーがアカウントを再開しない場合、無料のMSN Hotmailアカウントと無料のWindows Live Hotmailアカウントは一定期間後に非アクティブになります」と記載されています。
180日以上経過した電子メールの内容は、「政府機関がECPAの顧客通知規定(18 USC §§ 2703(b)、2705を参照)に従う限り」開示可能です。181日未満の内容の場合は、捜索令状が必要です。
Xboxライブ
Xbox Live は多くの情報を保存します:
- ゲーマータグ
- クレジットカード番号
- 電話番号
- 氏名(姓・名)と郵便番号、シリアル番号(ボックスがオンラインで登録されている場合のみ)
- Xbox ホットラインからのサービス リクエスト番号 (例: SR 103xx-xx-xx)
- 電子メール アカウント (例: @msn.com、@hotmail.com、またはその他の Windows Live ID アカウント名)
- ゲーマータグの有効期間中の IP 履歴 (一度に 1 つのゲーマータグのみ)
この情報は、悪意のない目的であれば役立ちますが、あなたが完全にパラノイアに陥らないようにするためです。例えば、Xbox 360本体が盗まれた場合、Microsoftはあなたとあなたのマシンの膨大な追跡記録を使って、あっという間に追跡することができます。
Office Online と Windows Live SkyDrive
このハンドブックで最も恐ろしい部分はここにあります。Office OnlineとWindows Live SkyDriveはどちらも、ドキュメントやファイルをクラウドに保存するサービスです。これらのサービスについて書かれた2ページには、製品の概要しか記載されておらず、Microsoftが関連情報にアクセスできるかどうかについては触れられていません。Microsoftは何にアクセスできるのでしょうか? データはどれくらいの期間保存されるのでしょうか? 法的制約はどうなっているのでしょうか? これらすべてが不明確で、少し背筋が凍るような思いがします。
クラウドコンピューティングは、テクノロジーにおける次なる大きな潮流です。企業は、機密性の高い財務文書や人事文書をMicrosoftのクラウドに保存する傾向があります。政府からの要請があれば、Microsoftは(あるいはできないかもしれませんが)あなたのスプレッドシートに手を伸ばし、望むままに情報を引き出すことができるでしょう。
法律用語
文書の最後のページには、マイクロソフトの情報を入手するために必要な法的手続きが詳細に記されているが、最近では令状なしの盗聴が大流行しており(グーグルとNSAの不透明な関係からもわかるように)、政府が望むものを手に入れるためにどれほどの煩雑な手続きを省くことができるかは誰にも分からない。
簡単な症例履歴
いずれにせよ、マイクロソフトが勝訴した。CryptomeのホストであるNetwork Solutionsはサイトを閉鎖した。ヤング氏は昨日、反訴を起こした。
個人的には、「グローバル犯罪コンプライアンス・ハンドブック」は、一部の人が描くほど悪夢のようなものではないと感じています(クラウドコンピューティングの部分は別として)。マイクロソフトは、危険が発生した場合に政府と連携するための対策を講じる必要があるのは明白です。しかし、これほど多くのデータが存在し、その多くがマイクロソフトによって「所有」されていることを考えると、私は無防備で脆弱な立場にあると感じずにはいられません。
インターネットの自由のために、Cryptomeを再び野生に戻すことは極めて重要です。このサイトは明確かつ重要な目的を果たしており、今回の最新版、そしておそらく最後のリリースがそれを証明しています。
