Whistleblowing.jp （内部告発.jp）の構想

八田真行駿河台大学経済経営学部

mhatta@gnu.org

2014/12/19 @早稲田大学

Whistleblowing.jpの目的

•匿名化技術を用いて、身元が暴かれるリスクを最小化した内部告発を可能とする• もちろんリスクが皆無になるわけではない

•具体的には、TorとGlobaLeaksを利用• Tor: http://torproject.org/

• GlobaLeaks: http://globaleaks.org/

• ウィキリークスとの違い• このサイト自身が内部告発を検証したり、記事化したりすることはない

• 内部告発者とジャーナリストとの架け橋

• 「土管」

http://4ge3uua3uaxuhhaq.onion基本的にはTor経由でのみアクセス可能

（プロキシTor2Webを用いれば、http://4ge3uua3uaxuhhaq.tor2web.orgで通常のウェブブラウザからも閲覧だけ可能）

Whistleblowing.jp / 内部告発.jp

• ドメイン名は取得しているが、一般的なウェブサイトとしてはまだ存在しない• そもそもHTTPサーバが動いていない

• Tor経由でのみアクセスできるTor Hidden Serviceとしてのみ存在

•今後、別途匿名化技術を用いた内部告発に関する情報を蓄積・紹介するポータルのようなものにしていきたい

設立の背景

•元々ハッカー思想やハッカー史に興味

• 2008年頃、ウィキリークスの活動に興味を持つ• Torや情報技術一般のジャーナリズムへの活用に関心

• Torや同種の技術（I2P、Freenet等）を研究• 「ウィキリークスを支えた技術と思想」（「日本人が知らないウィキリークス」洋泉社刊）所収、2011年）

•近年世界的にTorへ注目が高まる• スノウデン事件など

•昨年あたりから、海外でTorを用いた内部告発支援サイトが設立されるようになった

http://www.mintpressnews.com/journalisms-future-depend-tors-security/175683/

http://lifehacker.com/facebook-unveils-a-tor-friendly-onion-address-for-ano-1654081929

匿名化技術とは

•簡単に言えば、「アクセス先に、アクセス元につながる情報を残さないでアクセスするための技術」• いわゆる匿名掲示板のように、単に名前を書かないだけでは真に匿名とは言えない（アクセスログが残る）

•具体的には、アクセス先には（アクセス元とは全く無関係の）別のサーバから接続しているように見えるようにする

•技術自体は30年近く前から研究されている• 論文案内: http://freehaven.net/anonbib/topic.html

• いろいろあるが現在世界的に広く使われているのがTor

Torとは

• Tor = The Onion Router

•元々は米海軍研究所の資金援助を受けて開発

•現在はオープンソース（全て公開、誰でも自由に利用可能）• 米EFF（電子フロンティア財団）など開発支援

•中国やイランなどネット検閲が厳しい国で活用

• 「オニオン・ルーティング」技術を利用• ミックスネット（経路ミックス）

• 階層的暗号化

• （前提として）公開鍵暗号

Torの経路ミックス

アクセス元 アクセス先

リレー（ノード、サーバ）群（世界に1万台程度）

Torの経路ミックス

経路ミックスの限界

•途中のリレーにはアクセス元の情報が残る

•複数リレーを経由しても芋づる式に辿られる可能性が（低いとは言え）残る

• アクセス先のみならず、中継者のアクセス元に関する知識を制限する必要

階層的暗号化

ルーティング情報とデータ

各リレーは自分の色の皮（暗号）のみをはがすことができる。はがすと次の宛先が書いてある。はがした皮は捨てる。

中継者たちは…

リレー赤は、データがアクセス元（厳密にはアクセス元かすらも分からない）から来たこと、リレー青に渡さなければならないことは分かる。しかし青から先は分からない（青の鍵で暗号化されているから）

リレー青は、データがリレー赤から来たこと、リレー緑に渡さなければならないことは分かる。しかし目的地も、アクセス元が私であることも知らない（緑の鍵で暗号化されており、かつ赤用の宛先は赤のところで捨てられているから）。

リレー緑は、データがリレー青から来たこと、目的地に渡さなければならないことは知っている。データの中身も読める。しかし青より前のことは分からない。

階層的暗号化の問題点

暗号鍵の授受にリスク インターネットのような、信用できない（どこで盗聴されているか分からない）経路を通じて暗号鍵の授受を行わなければならない（鍵配送問題）

暗号をかける鍵と解く鍵が同じ場合、これは致命的

公開鍵暗号

共通鍵暗号 暗号化と復号化の鍵が同じ

鍵が授受時に第三者へばれるとすぐ復号されてしまう

公開鍵暗号 暗号化と復号化の鍵が違う

暗号化用の鍵は公開可能（公開鍵）

復号化用の鍵はそもそも授受する必要なし（秘密鍵）

片方からもう片方を割り出すのが数学的に極めて困難（一方向関数）

代表的な実装にPGP、GnuPG（GPG）

オニオン・ルーティング

出口ノード

Torの悪用事例

•警視庁国際テロ捜査情報流出事件

• Silk Road事件

• PC遠隔操作事件

•踏み台攻撃• 出口ノード＝通常のインターネットとの接点

• 自ノードを出口ノードとして設定している場合、出口ノードとして選択されると、自ノードから攻撃しているように見えてしまう

世界的な動向

•歴史的なリーク• ペンタゴン・ペーパーズ事件

• ウォーターゲート事件

• 西山事件

• 2009年～ウィキリークスの活動により、人間関係ではなく技術的に匿名性を担保したリークの有効性が広く知られるようになる

• 2013年頃から本サイトと同種の、匿名化技術を用いた内部告発支援サイトが世界各地で登場

• スノウデン事件でTorにさらに注目が集まる

同種のサイト

• SecureDrop（http://freedom.ress/securedrop）を利用• The New Yorker: strngbxhwyuu37a3.onion （2013/5～）

• Forbes: bczjr6ciiblco5ti.onion (2013/10～)

• ProPublica: pubdrop4dw6rk3aq.onion (2014/1～)

• The Intercept: y6xjgkgwj47us5ca.onion (2014/2～)

• The Washington Post: vbmwh445kf3fs2v4.onion (2014/6～)

• The Guardian: 33y6fjyhs3phzfjj.onion (2014/6～)

同種のサイト

• GlobaLeaksを利用• PubLeaks: yn6ocmvu4ok3k3al.onion (2013/9～）

• Mafialeaks:2dermafialks7aai.onion (2013/11～）

• WildLeaks: ppdz5djzpo3w5k2z.onion (2014/2～）

• アムネスティが採用予定

•直接手本にしているのはオランダのPubLeaks• オランダ国内42のメディアと提携

• 地方議員の汚職告発を記事化

• 谷口長世「あなたも安心して“スノーデン”になれます──オランダで大反響、サイバー公益通報システム『パブリークス』 「世界」12月号

Whistleblowing.jpの全体像

内部告発者

Tor ネットワーク

GlobaLeaks

内報（チップ）機能（内部告発者と受信者が匿名で交信可能）

告発資料は受信者の鍵で暗号化されて保管

告発資料は一定期間後に消去

登録したジャーナリスト（受信者）

GPGで暗号化された

メール

内部告発者は告発内容のコンテキスト

（分野）によって受信者を選択

Whistleblowing.jpの全体像

何らかの事情でWhistleblowing.jpが破られても、内部告発者にたどり着くのは困難

従来の内部告発との関係

•先掲の図の「右半分」に相当するサイトは今までもあった• 朝日新聞、NHKなどが開設

•今回の試みの新規性は「左半分」、匿名化の部分にある

•公益通報者保護法• あるにはあるが、結局「冷や飯を食う」事例があると聞いている

• 内部告発者の身元をより強固に保護する必要

特定秘密保護法との関係

•開設者当人としてはそれほど関係があるとは思っていなかった• 企業や研究機関からの内部告発を主に考えていた

•機密保護の強化には別に反対ではないが、現行の法律に様々な問題があるということは承知しているので、改正を目指すべきとは思う

•基本的には22条でカバーされるものと理解している

現状

•技術的にはほぼ確立

• マスメディアの記者を中心に15名ほどが関与、一部が受信者になる意欲を表明

• 「非」技術的な面でまだまだ準備が足りない

Whistleblowing.jpを利用するための知識

•内部告発者• Torの使い方

• あるいはTailsの使い方

• その他一般的な内部告発のノウハウ

•受信者• 匿名化技術の仕組み

• 公開鍵暗号の仕組み

• 内部告発者と連絡が取りにくい状況での検証能力

直近の予定

•関心のある方向けの種々ミーティングを開催• ハッカソン

• Tor自体など様々な関連ツールの翻訳

• 内部告発者向けの手引き（Torの使い方など）を用意

• 1月中を予定

•受信者（ジャーナリスト）向けトレーニングの準備と実験的な実施• 受信者の要件として、今のところ、何らかのトレーニングの受講を要件とする予定

• 1月中を想定

中期的目標

•組織化• 年会費

• サーバ代や万一の訴訟費用に充当

• 個人1万円/年、組織10万円/年程度を想定

• 寄付も受け付け

• ある程度の金額を扱う以上、組織化が必須と考える

• NPOにするのか、既存団体に引き取ってもらうのかは未定

• きちんとした利用規約の作成

中長期的な目標

•世界的に、匿名化技術や暗号技術によってプライバシーや人権を守るという動きが活発化。こうしたツールの普及を促進したい• NSAの一連の事件、いわゆるPRISM騒動

• ジャーナリズムへの匿名化技術や暗号技術の導入を推進したい

•匿名を前提とした検証の手法の確立• 統計理論を用いた捏造の検出など

•情報技術者とジャーナリスト、一般人の交流の場を設けたい• データ・ジャーナリズム

• ネガティヴな印象を払拭し、「健康診断」としての内部告発を確立

検証手法に関するハンドブック（翻訳予定）

匿名化や暗号化に関する手頃な日本語の手引きが必要

匿名化や暗号化に関する手頃な日本語の手引きが必要

海外における情報技術者とジャーナリスト、一般人の交流

https://groups.google.com/d/forum/whistleblowingjp-announce

アナウンス用のメーリングリスト

どなたでもご登録いただけます

ご静聴ありがとうございましたTwitter: @mhatta

Facebook: facebook.com/masayuki.hatta