マイクロソフトは、司法令状の提示があった場合、BitLockerの回復キーが自社のインフラ内に存在することを条件に、FBIへそれを引き渡す慣行を確認した。この認めた事実は、グアム島での詐欺捜査(COVID-19失業給付の救済資金の不正流用をめぐるもの)に関与する米当局からの正式な要請を受けた後に明らかになった。捜査当局は、統合ディスク暗号化システムで保護されたWindows搭載ノートPC3台について、復号キーの入手に成功した。
BitLockerは、ハードドライブのテレメトリを保護するため、多くの最新Windowsデバイスで標準的に有効化されている。ユーザーはキーをローカルに保存する選択権を持つ一方、マイクロソフトは、資格情報を紛失した場合でも容易にデータを復旧できるよう、クラウドでの保管を推奨している。だが皮肉にも、この利便性が法執行機関の要請に対してデータを脆弱にする。同社は、こうした要請を年に約20件受けるものの、キーがクラウド環境にエスクローされていない場合は、しばしば応じられないと述べた。
グアムでの手続きは、暗号化キーが国家当局に引き渡されたことが公に確認された初の事例であり、この事実は技術者や政策立案者から鋭い反発を招いている。ロン・ワイデン上院議員は、暗号化されたユーザーデータへの技術的な「バックドア」を保持する製品を設計することは危険な前例だと非難し、そのようなアーキテクチャ上の選択が個人のプライバシーと身の安全の双方を損なうと主張した。
ACLUのジェニファー・グラニックも同様の懸念を示し、こうした仕組みは人権状況に疑義のある外国政権に悪用され得ると指摘した。さらに、このアクセスが無差別である点にも懸念が向けられた。回復キーを入手すれば、特定の捜査に関連するデータに限定されるのではなく、ディスク内容の全体にアクセスできてしまうからだ。
これらの開示を受け、マイクロソフトのセキュリティ設計は同業他社のものと不利に比較されている。Apple、Google、Metaは、バックアップがクラウド同期されていても暗号化キーがユーザーの排他的な管理下に留まるようエコシステムを設計しており、その結果、法執行機関からの要請は技術的に実現不可能となっている。ジョンズ・ホプキンス大学のマット・グリーンは、保護の真の水準を決めるのはアーキテクチャの健全性であり、アクセス可能なキーが存在するだけで国家による強制を必然的に招くと述べた。
グアムの捜査が進む中、裁判記録にはすでに、マイクロソフトが提供したキーによって復号されたデータが利用されたことが記載されている。この展開は、サービスの利便性、法的義務、そしてデジタル上の機密性という基本的権利の間にある不安定な均衡をめぐる世界的な議論をいっそう激化させている。
翻訳元: https://meterpreter.org/the-cloud-keyhand-microsoft-confirms-surrendering-bitlocker-keys-to-the-fbi/
