かのエドワード・スノーデンも使用していたことで知られる匿名化とプライバシー保護にフォーカスしたDebianベースのOS「Tails」。接続経路を匿名化する「Tor」をWebブラウジングだけでなく、すべてのインターネット接続に使用し、USBメディアなどからの起動が可能であるため、センシティブな情報を扱うジャーナリストやIDの特定を避けたい活動家などにユーザが多いが、その匿名性を隠れ蓑にする犯罪者の間でも当然ながらよく使われる。
2017年に逮捕された"Brian Kil"ことBuster HernandezもTails/Torの匿名性を利用して犯罪行為を繰り返していた人物のひとりだ。ターゲットは10代の少女たちで、ソーシャルメディアを通じて偽名で彼女たちに近づき、性的な写真や動画を送るように脅迫する(送らなければ裸の写真を友人に送りつける/レイプする/家族や友人を殺しに行く、etc.)、いわゆる「セクストーション(sextortion)」を繰り返していた。2012年から2017年の5年間、カリフォルニアの自宅からオンラインで数百名の少女たちを脅していたという。現在、Hernandezは少女たちに対する41の罪に問われている。
FBIがHernandezの捜査を開始したのは2015年12月からで、インディアナ州ブラウンズバーグの警察署からある少女に対する"Brian Kil"名義のセクストーションの捜査協力を依頼されたことがきっかけである。当時、HernandezはBrian Kilの名前でおもにFacebookを活動の場として少女たちに犯罪を繰り返していたと見られる。この被害者の少女は約16ヵ月間に渡ってHernandezから脅迫を受け続け、何度も写真を送信させられていたという。
FBIはこれをきっかけにHernandezの捜査を続け、2017年の逮捕にこぎつけているが、Tailsで巧妙に足跡を消していたHernandezの犯罪の証拠をどうやって集めていたのか - 実はFacebookのセキュリティチームがFBIに技術協力していたことがカナダのテクニカルメディア「Motherboad」により明らかにされた。
- Facebook Helped the FBI Hack a Child Predator -VICE
FacebookはMotherboadの取材に対し、「外部のセキュリティエキスパートと組んでFBIによるHernandezへのハッキングに協力した」ことを認めている。FacebookはTailsのゼロデイ脆弱性を利用してHernandezのリアルIPを突き止め、これが逮捕への大きな決め手となった。なお、Facebookがこのハッキングのために外部のセキュリティエキスパートに支払った金額は数十万ドルにも上るといわれている。
なお、Facebookが発見したTailsの脆弱性はTailsには現在に至るまで伝えられていていないという。その理由は「すでにTailsのアップデートでその脆弱性が修正済み」だからで、あえてどのコードに穴があったかを知らせる必要がないというFacebookの判断のようだ。
ソーシャルメディアを犯罪の活動の場として使うケースは世界中で増え続けており、警察や捜査機関に対してどこまでユーザ情報を開示するか(またはしないのか)はプライバシー保護の観点からつねに議論されている問題だ。今回のケースは10代の少女たちに対する卑劣な犯行を繰り返していた犯罪者がターゲットであったため、Facebookの対応を非難する声はあまり聞かれない。しかし、その判断基準が微妙なラインの上にあるケースも多く、判断を間違えればサービス事業者は大きな代償を払うことにもなりかねないため、つねに細心の注意が求められる。犯罪者特定とユーザプライバシーの保護はどちらが優先すべきなのか ―事業者だけでなく技術者にもその信念が問われる時代となった。