Apple、Google、Snapchatなどの企業は、犯罪者が使用する警察の電子メールデータ提供要請に応じたが、犯罪者は入手したデータを使って未成年者に対して嫌がらせや性的コンテンツの強要を行っていた。
電子メールなどの盗まれた警察の認証情報を介して行われた緊急データ要求により、テクノロジー企業は機密性の高いユーザーデータを犯罪者と共有する事態に陥っています。緊急データ要求は通常誠意を持って行われるため、テクノロジー企業は正式な召喚状がなくても対応できる場合がありますが、召喚状が偽造されることも知られています。
ブルームバーグの報道によると、盗まれたデータは、関係者に応じて様々な手口で恐喝に利用されたという。報道で引用された情報筋によると、偽のリクエストは主に金融詐欺に利用されているようだが、女性や未成年者に対する性的恐喝にも利用されている割合は不明だという。
提供されるデータは企業によって異なりますが、一般的には氏名、IPアドレス、メールアドレス、住所などが含まれます。企業によっては提供内容が異なる場合もありますが、基本的にはリクエストの範囲内で必要なデータのみを提供するのが一般的です。
例えば、犯罪者が個人の名前、住所、ユーザー名を入手した場合、直接連絡を取り、危害を加えると脅迫したり、警察を自宅に派遣して虚偽の告発(俗にスワッティングと呼ばれる)をしたり、あるいは脅迫のために露骨な画像を既に持っていると示唆したりすることができます。これは、被害者に対する様々な形の恐喝、操作、そして支配につながる可能性があります。
「緊急データ要求は、日々、命に関わる緊急事態で利用されていることを私は知っています。この仕組みが児童の性的搾取に悪用されているのは悲劇です」と、Facebookの元最高セキュリティ責任者であるアレックス・スタモス氏は述べた。「警察は、多要素認証とユーザー行動のより詳細な分析によって、アカウントの不正利用を防ぐことに注力する必要があるでしょう。また、テクノロジー企業は、確認コールバックポリシーを導入するとともに、法執行機関に対し、アカウント乗っ取りをより効果的に検知できる専用ポータルの利用を促すべきです。」
アップルはプライバシーを基本的人権と呼び、ユーザーデータを安全に保つよう努めている
Google、Discord、Facebookは報道に対し、それぞれが受け取ったリクエストに対して検証プロセスを設けていると述べた。TwitterとAppleはこの件についてコメントを控えたが、Appleは政府からのデータ提供要請への対応方法に関する詳細な文書を公開している。
政府当局は、このような攻撃を防ぐための様々な方法を検討している。カリフォルニア大学バークレー校のニコラス・ウィーバー氏は、FBIをすべての州および地方の法執行機関の唯一のIDプロバイダーとして活用することを提案している。しかし、この提案でさえ、特に時間的制約のある捜査においては、身元確認に関する問題を抱えている。
米国議会は2021年7月に、州裁判所および部族裁判所がデジタル署名技術を導入するための資金を提供する法案を提出した。この法案により、犯罪者は専用の署名ソフトウェアへのアクセスが必要となるため、不正な申請の発生が減少するだろう。
「偽造された緊急命令が、セキュリティの脆弱な外国の法執行機関から発信され、脆弱な立場にある個人を標的にするために利用される可能性を特に懸念しています」と、ロン・ワイデン上院議員は述べた。「誰かの安全が危険にさらされている時に、テクノロジー企業が正当な緊急要請を拒否することを望む人は誰もいません。しかし、現在のシステムには明らかな弱点があり、対処する必要があります。」
