追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 6057   昨日: 5889

2019年02月11日

改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない

先月のこと、NHKニュースが「総務省 IoT機器に無差別侵入」と報じたおかげで、一部のメディアが後追いし、プチ炎上して気の毒なことになっていた。その後もじわじわと延焼し、昨日になって、ひろゆき氏から「総務省のセキュリティ調査に「国が不正ログイン」と騒ぐ頭の悪い人たち」とのトドメ記事が出るに至った。これは最初のNHK報道が素人考えで偏向していたところに原因がある。

最初のNHKニュースが素人の偏向報道だというのは、以下の点がである。

サイバー攻撃対策の一環として、総務省は家庭や企業にあるインターネット家電などのいわゆる「IoT機器」に無差別に侵入して対策が不十分な機器を洗い出す、世界でも例のない調査を行うことになりました。しかし、実質的に不正アクセスと変わらない行為を特例的に国が行うことに懸念の声もあがっています。

(略)

それによりますと、調査は家庭や会社などにあるルーターやウェブカメラなどのIoT機器およそ2億台を対象に来月中旬に開始し、無差別に侵入を試みて、初期設定のままになっているなどセキュリティー対策の不十分な機器を洗い出し、ユーザーに注意を促すとしています。

(略)

一方、調査では予想されるIDとパスワードを実際に入力して機器に侵入する計画で、本来は不正アクセス禁止法で禁じられている行為だけに専門家からは懸念の声もあがっています。

(略)

今回の調査は、実質的に不正アクセスと変わらない行為を行うことから、国は去年5月、情報通信研究機構の業務を定める法律を改正し、5年間に限って行うとしています。

改正された法律は去年11月に施行され、他人のIoT機器にIDとパスワードを入力するという不正アクセス禁止法で禁じられた行為について、今回の調査に限る形で認めています。

総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も, NHKニュース, 2019年1月25日

「懸念の声もあがっています。」というのが、いったい誰が言っている話なのか明らかにされていないが、「実質的に不正アクセスと変わらない行為」「本来は不正アクセス禁止法で禁じられている行為」と繰り返し書かれているのは、不正アクセス禁止法の基礎を理解していない。

工場出荷時の「ID:admin Password: admin」といった初期設定のままになっているID・パスワードは、不正アクセス禁止法の「識別符号」(2条2項)に当たらず、そのようなIoT機器は「アクセス制御機能」(2条3項)による利用の制限があるとは言えないのであり、このことが理解されていない。私にひとこと確認の電話があったなら、そう説明していただろう。

「侵入」という表現(「中に入る」の意)もよろしくない。不正アクセス禁止法が禁止している行為を住居侵入に喩える素朴な感想が昔から後を絶たないが、これらは同一視できるものではない。なぜなら、住居侵入罪における囲繞地とは違って、どこからが入ってはいけない領域なのかの区分け(そもそもどこからが「入った」と言えるのか)が、インターネットに接続された機器においては(アクセス制御機能に着目しない限り)明確にすることが困難*1だからである。アクセス制御機能によってその区分けをするしかなかったのであるから、アクセス制御機能がない機器は区分けしようがない(「侵入」の概念が成り立ち得ない)のである。

不正アクセス禁止法が制定される(1999年制定)までの経緯を辿ると、この法の趣旨が理解できる。

1980年代から、日本でも、コンピュータネットワーク(電話接続を含む)が普及したことで、遠隔操作によるコンピュータの不正使用が発生し、問題となった。1980年に、岡山大学計算機センターのコンピュータが電話回線経由でID・パスワードを破られて無断使用された事件があったが、どの犯罪類型にも該当しないとして立件されなかった。刑法は「利益窃盗」を不可罰としている*2からである。こうした事態を受けて「コンピュータ無権限使用」に刑事罰を科すべきではないかとの議論が活発となった。当時の感覚においてそれ自体は犯罪ではなかったのである*3。しかし、「無権限」をどう画定するかが難しく、結局は、アクセス制御機能(ID・パスワード)による制限を乗り越えたら違法とするアイデアが実を結び、不正アクセス禁止法の制定へと展開して行った。

つまり、不正アクセス罪は「人工的な」犯罪類型なのである*4。このことは、不正アクセス禁止法の立案担当者らによる逐条解説書においても、次のように説明されている。

不正アクセス行為の禁止、処罰の法形式について

特定の行為を処罰することとする場合、その法形式としては、「〇〇した者は、〇年以下の懲役又は〇万円以下の罰金に処する」というように特定の行為をしたものを処罰する旨規定するものと、特定の行為について一定の作為又は不作為の義務を課した上でその義務に違反した者又は義務に違反して一定の行為をした者に対して一定の刑を科す旨規定するものとがある。別の言い方をすれば、犯罪の構成要件を表示する方法として、両者の方法があることになる。前者は、刑法第二篇に定められているいわゆる刑法犯がその典型であり、その他、火炎びんの処罰等に関する法律、航空機の強奪等の処罰に関する法律等の処罰法令にみられるところである。後者は、一般の行政法規に通常みられる形態である(注二)。

両者の区分については、現行法上必ずしも明らかであるとは言い難いが、前者はいわゆる自然犯(刑事犯)を、後者はいわゆる法定犯(行政犯)を表すといわれている。これは、いわゆる自然犯は行為それ自体が法令で定めるまでもなく社会的に悪とされる行為であり、法令においては、特にその行為をしないように命ずるまでもなく、その行為を処罰する規定を設ければ足りるものであり、他方、法定犯は行為それ自体の当罰性は法令の規定による義務履行違反に求められるため、法令においては、義務を課す規定と義務違反を処罰する規定とを設けることが必要であるとの理解に基づくものであると考えられる。

このように解する場合、不正アクセス行為については、処罰することとすることが適当な行為であると認めらるにしても(略)、前法律的に反規範性を有する行為であるとまではいえないと考えられるそこで、本法においては、不正アクセス行為の処罰については、犯罪の防止及び電気通信の維持*5という本法の目的を達成するために、本条第一項において「何人も、不正アクセス行為をしてはならない」との規定を置いた上で、第八条で同項の規定に違反した者を処罰する旨の規定を置くこととし、不正アクセス罪が法定犯(行政犯)であることを明らかにしたところである。

不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」(立花書房, 2001年10月)68頁

このように、不正アクセス行為は、行政的に禁止されているルールにすぎず、「前法律的に反規範性を有する行為であるとまではいえない」ものなのである。この法律の題名が「〇〇禁止法」となっている(「防止法」と呼び間違えられることが多いが)ことがそのことを端的に表している。

ところが、不正アクセス禁止法が運用されて20年近くが経ち、人々の間に「コンピュータの無権限使用は不正アクセス犯罪だ」との誤解が生じているように思われる。しかし、現在も、コンピュータの無権限使用自体は不可罰であり、そことは、この解説書でも以下のように説明されている。

1987(昭和62)年、コンピュータの普及に伴い、電子情報処理組織をめぐる不正行為が次第に増加しつつあったことから、この種の不正行為に対応するため、差し当たって立法的手当を要すると思われる諸点について、刑法に所用の処罰規定が新設された。その刑法の一部改正に際し、法制審議会では、‥甜的記録の改ざん(略)、電子情報処理組織に対する加害を手段とする業務妨害行為(略)、E纏匏彁撒,砲茲訃霾鷭萢によって、取引の決済、資金移動等が行われるシステムを利用した財産利得行為(略)、づ纏匸霾鷭萢組織により処理及び保存される情報の不正入手又は漏示を処罰の対象とする規定を設ける必要はないか、権限なく他人の電子情報処理組織を利用する行為を処罰の対象とする規定を設ける必要はないかの5つの問題を中心に審議が行われた経緯がある。

この5つの問題のうち、前三者については、従来の刑法の諸規定により(中略)ことから、緊急に刑法の一部改正により罰則を整備する必要があるとされた。

これに対し、後二者のうち、情報の不正入手及び漏示の問題に関しては、(中略)更に諸般の角度から検討を重ねる必要のある多くの問題が存するとして、また、いわゆるコンピュータの無権限使用に対する罰則の要否に関しては、刑法が、財物の占有移転や人に対する加害を伴わない無権限使用自体を処罰の対象としていないことから、コンピュータ以外の機器、システムの取扱いとの均衡を考慮するとともに、どのような観点から処罰の根拠、違法性の実質をとらえるべきかについて、今後なお諸般の角度から検討を要する事柄であるとして、いずれの問題についても将来の検討課題とすべきものとされた。(注一)

これらの趣旨に沿って刑法の一部改正が行われ、情報の不正入手及びコンピュータの無権限使用については、現在もなお処罰の対象とはされていないところである。(注二)

ところで、本法の規定により不正アクセス行為が処罰の対象となる結果、不正アクセス行為を手段として行われる情報の不正入手やコンピュータの無権限使用は、それぞれ不正アクセス行為の段階で処罰されることとなる。

しかしながら、本法は、言うまでもなく、情報の不正入手や電子計算機の無権限使用を処罰することを目的とするものではない。本法の目的は、前記の通り、アクセス制御機能に対する社会的信頼を確保して、犯罪の防止及び電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することにあり、それ自体が保護法益となるべきものである。

したがって、本法の不正アクセス罪においては、電子計算機に蔵置されている他人の情報を入手したり、他人の電子計算機を無権限で使用することは、成立の要件ではない。また、不正アクセス行為を手段としない情報の不正入手やコンピュータの無権限使用は、本法の処罰の対象に含まれていないところである。

このように、本法における不正アクセス罪の処罰は、法制審議会で問題とされた前記の事柄とは直接の関係を有しないものと言える。

不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」(立花書房, 2001年10月)23頁

したがって、冒頭に引用した弁護士の方のツイートにある「鍵のかかってない家が多いらしいから、国が一軒ずつドアを開けて侵入してみます」云々という批判は当たらない。家に喩えることが失当であるし、「侵入してみる」というような実質も関係しない。問題となり得るのは、あくまでも、人工的に作られたルールに違反しているかどうかだけである。

そして、IoT機器の管理者画面のパスワードが工場出荷時の初期設定のままである場合に、当該パスワードが不正アクセス禁止法の「識別符号」に該当しないというのは、以下の理由からである。

1号「識別符号」は、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号」と定義されている(2条2項1号)。IoT機器の管理者画面のパスワードの場合は、管理者も「利用権者等」の一人として自分自身に対して「その内容をみだりに第三者に知らせてはならないものと」している符号ということになる。「アクセス管理者」とは、「電気通信回線に接続している電子計算機(…)の利用(…)につき当該特定電子計算機の動作を管理する者をいう」(2条1項)とされており、IoT機器の場合、その設置者ということになる。

機器の製造者は「アクセス管理者」ではない。工場出荷時の初期パスワードは機器の製造者が付与したものであり、それをそのまま放置している設置者は、その存在をも認識していない*6とすれば、「アクセス管理者」たり得ず(そもそも「動作を管理」していない)、そのパスワードも「識別符号」に当たらないことになる。

(他方、機器のそれぞれに別々の初期パスワードが工場出荷時に設定されており、機器に貼られたシールなどに記載されている場合は、その初期パスワードが機器の設置者によって変更されていない状態であっても、機器の設置者がそのパスワードを自身の管理者パスワードとして是認していると言え、当該設置者が「アクセス管理者」として付与したものと見做すことができ、この場合は「識別符号」に当たると言えよう。今回はこのようなケースについては話題にしていない。)

次に、設置者がパスワードの存在を認識していて、取扱説明書に「ID: admin Passowrd: admin」と書かれているのを見て、全機共通の工場出荷時の初期パスワードであることを知りながら、あえてそのままでよいと是認している場合には、当該設置者が「アクセス管理者」として付与したパスワードと見做すことができるかもしれないが、「第三者に知らせてはならないものとされている」の要件を満たさず、1号「識別符号」に該当しないか、又は、アクセス制御機能による制限がないということになる。このことは、前掲の逐条解説書において以下のように説明されている。

(略)アクセス管理者や利用権者の符号の管理に絶対や完璧を求め、客観的におよそ第三者が知らないことを要件とすることは現実的でない。そこで、実際に第三者に知られていないことまでは必要とせず、「第三者に知らせてはならないものとされている」ことを要件としているものである。したがって、識別符号又は識別符号の一部であるパスワードがハッカーによりホームページで公開されるなどして第三者に知られてしまっている場合もこれが識別符号であることに変わりがない。ただし、このような状態をアクセス管理者があえて放置している場合には、もはや「アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている」とは言えないと解されることがあり得る

不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」(立花書房, 2001年10月)44頁

識別符号であるID・パスワードがハッカー(原文まま)によりホームページで公開されて第三者に知られてしまっている場合など、利用権者等でない第三者が当該識別符号の入力による特定利用ができる状態があったとしても、アクセス制御機能により特定利用が制限されていることに変わりはない(略)。ただし、ID・パスワードが広く知られてしまっている状態をアクセス管理者があえて放置していて、誰でもそのID・パスワードを用いて特定利用をすることができるようになっている場合には、当該特定利用については、アクセス制御機能による制限がないと言わざるを得ないと解されよう。

不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」(立花書房, 2001年10月)61頁

このように、「識別符号」による「アクセス制御機能」というのは、単にログイン機能という技術的な仕掛けの存否によって該当の有無が決まるのではなく、不正アクセス禁止法の趣旨に立ち戻った法的評価によって該当性が決まるのである。*7

以上のことから、NICTにこの業務を実施させるためにNICT設置法を改正するに際して、本来的には、不正アクセス禁止法の読み替え規定を置く必要はなかったと言うことができる。

「不正アクセス禁止法の読み替え規定」とは、改正NICT法附則8条(業務の特例)7項の「次の表」の2つ目のことである。

7 第2項から第4項までの規定により機構の業務が行われる場合には、次の表の上欄に掲げる規定中同表の中欄に掲げる字句は、それぞれ同表の下欄に掲げる字句とする。

不正アクセス行為の禁止等に関する法律第2条第4項第1号
を除く
及び国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第9条の認可を受けた同条の計画に基づき同法附則第8条第2項第1号に掲げる業務に従事する者がする同条第4項第1号に規定する特定アクセス行為を除く

国立研究開発法人情報通信研究機構法(平成30年5月23日公布(平成30年法律第24号)改正)

この規定は、不正アクセス禁止法が禁止する「不正アクセス行為」(2条4項1号)の定義から、NICTがこの法の規定に従い行う「特定アクセス行為」を除外するというものである。

NHKの報道が「実質的に不正アクセスと変わらない行為を特例的に国が行う」「本来は不正アクセス禁止法で禁じられている行為」と断じたのは、この規定を見て釣られたからだろう。このような規定を入れたばっかりに、悪目立ちしてしまった。この規定を入れずに「元々合法な行為である」で通していれば、NHKがしたような批判はできなかっただろう。

炎上を受けて、総務省はQ&Aを用意し、「このような調査は不正アクセス行為ではないのか」との問いに、「不正アクセス禁止法で禁止されている不正アクセス行為から除外されています。」との回答を用意しているが、これでは鎮火しないだろう。

  • 国によるIoT機器”侵入”調査、その名も「NOTICE」サイト公開 「不正アクセスではない」と理解求める, ITmediaニュース, 2019年2月4日

    「国による事実上の不正アクセス行為では」という指摘に対しては、「NICT法の改正により、今回の調査のために行うID・パスワードの入力は不正アクセス行為から除外されている」などと回答している。

  • ABOUT NOTICE - NOTICEについて, Copyright © 2019 NOTICE SUPPORT CENTER All Rights Reserved. ()

    FAQ よくあるご質問

    問4 このような調査は不正アクセス行為ではないのか

    ポートスキャンは不正アクセス禁止法で禁止されている不正アクセス行為ではありません。

    NICTが実施計画に基づき、容易に推測されるID、パスワードを外部から入力し、サイバー攻撃に悪用されるおそれのあるIoT機器を特定することは、昨年改正されたNICT法※において、不正アクセス禁止法で禁止されている不正アクセス行為から除外されています。
    (※)NICT法附則第8条第7項に規定

なぜなら、批判は、最初のNHKの報道からあるように、「本来的に犯罪である行為を、国が行うものを特例として、犯罪でないことにしてしまうなんて、言語道断だ。法改正したらどんな犯罪も国は許されるというのか。」(NHK報道への世間の反応から要約)というものなのだから、いくら、法改正で合法にしましたと説明したところで、納得してもらえない。

元から合法な行為であることを説明するべきであるし、また、不正アクセス禁止法が、防犯のための行政が決めたルールにすぎないのだから、行政が自ら(防犯のために)ルール変更することも普通のことなのだ(国家による犯罪を犯罪でなくしたわけではない)と、そういう説明が必要なところだろう。

とはいえ、話はそう簡単ではない。元から合法な行為なら、なぜ読み替え規定で上記の「特定アクセス行為」を「不正アクセス行為」の定義から除く必要があったのか。この規定を入れずに済ますことはできなかったのか。

実は確かにここに難しいところがある。上記のように、既知の工場出荷時共通初期パスワードだけを試すのであれば、元より合法と言えるとしても、この調査は何百万ものIPアドレスに対して機械的に行うのだから、アクセス先の機器がどこの製品なのかわからないうちにパスワードを試すことになるだろう。そうすると、Aという製品の工場出荷時共通初期パスワードとして知られている「admin」を試してみたところ、実際にはアクセス先の機器はAとは別のBという製品であり、その製品の初期パスワードは「admin」ではないが、設置者がアクセス管理をしていて、たまたまパスワードを「admin」に設定していたという場合があったとすると、上記の理屈で「不正アクセスではない」とは言い難い面が出てきてしまう。もっとも、「admin」などというパスワードは、前記の「アクセス管理者があえて放置している場合」に当たるとも言えなくもないが、ならば、製品Cの既知の工場出荷時共通初期パスワードが「xn283r72」である場合に、それを試して回る際に、別の製品Dの管理者パスワードとしてたまたま「xn283r72」を設定している管理者(製品Cのことを知らず)が居ないとも限らないじゃないか、などということが言えてしまう。

そのようなほとんど起き得ないことが起きてしまうのは「故意がない」とする整理も可能かもしれないが、さすがに、国の機関が実施するとなると、そのような整理では心許ないということになるだろう。ごく稀にしか起きそうにないことが起きる事態に備えて、結局は、不正アクセス行為から除外しておく規定は必要ということになる。

つまり、この読み替え規定は、念のために置かれた程度のものであって、不正アクセス禁止法の性質を本質的に変更するものではないと言うべきであり、NHKはそれを理解するべきであった。

以上、このように…………いや、そんなふうに考えていた時期が私にもありました。実はまだまだ話はそんな単純ではないのである。

今回の騒動をきっかけに、初めてちゃんと改正NICT法を読んでみた*8ところ、「特定アクセス行為」の定義に、こんな要件が混じり込んでいたことを知った。

一 特定アクセス行為 機構の端末設備又は自営電気通信設備を送信元とし、アクセス制御機能を有する特定電子計算機である電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備を送信先とする電気通信の送信を行う行為であって、当該アクセス制御機能を有する特定電子計算機である電気通信設備に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号(当該識別符号について電気通信事業法第52条第1項又は第70条第1項第1号の規定により認可を受けた技術的条件において定めている基準を勘案して不正アクセス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る。)を入力して当該電気通信設備を作動させ、当該アクセス制御機能により制限されている当該電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備の特定利用をし得る状態にさせる行為をいう。

国立研究開発法人情報通信研究機構法(平成30年5月23日公布(平成30年法律第24号)改正)

この強調部分は、「特定アクセス行為」で入力するパスワードがどういうものかを限定しているのだが、工場出荷時共通初期パスワードが規定されているかと思いきや、そうではなく、「不正アクセス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る」というのである。つまり、十分に強くないパスワードは全部対象だと言うのである。しかもその基準が、電気通信事業法52条(端末設備の接続の技術基準)に倣うというのであるから、もはや、当初目的*9と何の関係もない話になってしまっている。これは立法ミスではないのか。

その「総務省令で定める基準」がどうなったかを確認したところ、以下のように規定されていた。

(識別符号の基準)
第1条 国立研究開発法人情報通信研究機構法(平成11年法律第162号。以下「法」という。)附則第8条第4項第1号に規定する総務省令で定める識別符号の基準は、暗証符号を設定するものである場合、次の各号のいずれにも該当することとする。

一 字数8以上であること。

二 これまで送信型対電気通信設備サイバー攻撃のために用いられたもの、同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの以外のものであること。

国立研究開発法人情報通信研究機構法附則第8条第4項第1号に規定する総務省令で定める基準及び第9条に規定する業務の実施に関する計画に関する省令

これは「満たさないものに限る」の基準であるから、NICTが入力するパスワードは、この否定、すなわち、「字数8未満であるか、又は、『これまで…サイバー攻撃のために用いられたもの……その他の容易に推測されるもの』」ということになる。「いずれにも該当」の否定は「いずれかに非該当」である点に注意したい*10。つまり、字数7以下のパスワードは全て対象!なのである。おいおいマジなのか!?

オンライン認証用のパスワードの場合*11、ランダム生成の文字列(英大小文字数字記号からなる)であれば、7文字でも十分な強度があると言える。それなのに、この省令は、7文字のパスワードはどんな内容であっても「不正アクセス行為から防御するため必要な基準」を満たさないとし、アタックするぞと言っているのである。

これではさすがに国民が反発するであろう。まさに前掲の批判の声にあった「国が一軒ずつドアを開けて侵入してみます」の様相を呈しているし、しかも、「鍵のかかってない家が多いらしいから」ではなく、「鍵のかかっている家であろうとも抉じ開けてやるぞ」という基準が規定されているのである。

これはないわー。ただ、実際にNICTがどのようなパスワードを入力するかは、「実施計画」に記載されているようであり、「附則第8条第2項に規定する業務の実施に関する計画の許可申請の概要」によれば、「特定アクセス行為に係る識別符号の方針」には、以下のように記載されているようであり、前掲の省令1条の、2号(の否定)相当のものだけで、1号(の否定)相当のもの(7文字以下の全部とかいう)の記載はないようだ。

特定アクセス行為で入力する識別符号の方針・方針に基づき入力する識別符号

(1) 特定アクセス行為に係る識別符号の方針

  • 送信型対電気通信設備サイバー攻撃の実績のあるマルウェア(亜種含む)で利用されている識別符号
  • 同一の文字のみの暗証符号を用いているもの(1111、aaaa等)
  • 連続した文字のみの暗証符号を用いているもの(1234、abcd等)
  • 連続した文字のみを繰り返した暗証符号を用いているもの(12341234、abcdabcd等)
  • 機器の初期設定の識別符号(機器固有に識別符号が付与されていると確認されたものを除く。)

(2) (1)の方針に基づき入力する識別符号

(略)

総務省, 附則第8条第2項に規定する業務の実施に関する計画の許可申請の概要

つまり、当初目的*12は「機器の初期設定の識別符号」を対象に行うはずだったところ、どういうわけか、法律により、不正アクセス行為に(不必要に)大穴を開けてしまったものの、実施計画では当初目的に戻して、「機器の初期設定の識別符号」に準ずるようなパスワード*13のみを対象にすることになったように見える。

今回認可された実施計画からすれば、無難なパスワードのみを用いることとされ、「元々合法な行為である」とどうにか言い得るかもしれないが、省令上は、7文字以下のパスワードはどんな内容であっても対象にできることになっているので、この点を捉えて「国が暴走する」と危険視され続けることになりかねない。それを避けるには、省令を直ちに改正して、1条1号を削除したらよいのではないか。

とはいえ、1号を削除するわけにはいかない事情があるようにも見える。というのは、この省令で定める基準というのは、「不正アクセス行為から防御するため必要な基準として」(NICT法附則8条4項1号)であるので、1号の「字数8以上であること。」を削除してしまうと、2号のいう「これまで……サイバー攻撃のために用いられたもの、同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの以外」であれば、5文字や4文字程度のパスワードであっても「防御するため必要な基準」として適格と言っていることになってしまう(しかも、それが電気通信事業法第52条の「端末設備の接続の技術基準」を勘案したものだということになってしまう)ので、これは都合がわるい。何らかの強いパスワードの要件を(使わなくても)省令に入れておかないといけないということだったのかもしれない。

そうであれば、これは結局、法律の立案ミスということだ。本来、著しく弱いパスワードの要件を規定すべきだったところに、十分に強いパスワードの要件を書いてしまった。後から、著しく弱いパスワードだけ実施しようとしても、省令で辻褄を合わせられなくなってしまった。どういう経緯でこういうことになったのか。本来の目的がどの範囲にあるのかの認識をちゃんと共有できていなかったか、法制局にうまく対応できなくてねじ曲がったのではないかなどなど、立法技術学的に興味深い事例といえよう。

そうではなく、本気で初めから「十分に強いパスワード」でない機器の侵入テストを無差別に行うつもりでこう立法したというのであれば、現在聞こえてくる国民の非難の声は傾聴に値するものであり、今後も延焼し続けることになるだろう。

というわけで、鎮火させるならば、なすべきことは、本来合法的な行為に限っている*14*15ことを国民に説明することであるが、総務省らが今説明していることは、検査することの意義の説明ばかりで、強制的に「理解を求める」ものになってしまっているように見える。特に、理解を求めるためのポスターが作成されたようだが、これが悪手で、「家のカギかけるよな?」「サイフ置きっぱなしにしないよな?」などと書かれており、警戒する国民らの不信感を逆撫でするものになっている。

どうしてこうなった……。誠に気の毒だ。(-人-)

*1 もし、インターネットの世界を、住居侵入罪における囲繞地のように捉えるとすれば、家庭や会社のLAN内にある機器を対象とするといったことが考えられるが、そこにある機器の一部がインターネット側に露出している場合、それは機能としてあえてインターネット側から接続できるようにしている場合と区別ができない。

*2 山口厚「刑法における財物の意義」阿部純二他編『刑法基本講座第5巻財産犯論』(法学書院, 1993)は、その冒頭で次のように説明する。窃盗罪に「2項」(財産上の利益を客体とする利益罪)がないことから、刑法からあえて外されていることを指して「利益窃盗」の語が用いられる。

刑法235条の窃盗罪以下の財産犯の規定は財産を保護法益とするが、その財産は現行法上「財物」と(財物以外の財産である)「財産上の利益」の二つの形態に分けられている。強盗(236条)、詐欺(246条)および恐喝(249条)においては、1項で財物が、2項で財産上の利益がそれぞれ保護の対象とされ、この意味では財産は包括的に保護されている(「財産上の損害」を要求するに過ぎない背任(247条)においても同様である)。これに対し、窃盗(235条)、横領(252条以下)、賍物(256条)および毀棄(258条以下)においては財物(横領等における「物」も同様である)のみが保護されている。強盗、詐欺および恐喝においても、1項と2項のいずれを適用するかを決する点において財物の意義は問題となるが、窃盗や横領等においては、財物概念が処罰の範囲を決定するという点において重要な意味を有しているのである。

*3 南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(一)」日本法学第78巻第2号(2012年9月)84頁以下、同(二)33頁以下は、このことについて以下のように述べている。

1980年5月、マイコン・ショップの従業員が、岡山大学助教授の同大学計算機センター登録番号(ID)とパスワードを入手し、これを用いて数ヶ月の間、のべ45時間にわたり電話回線経由で同センターのコンピュータにアクセスし無断で使用していた(使用料約16万円)ことが発覚した。1981年8月、某公団職員らが、全国高等学校野球選手権大会の試合に関して、現金合計16万円余りを賭けて、いわゆる「野球トトカルチョ」と称する賭博を行い、その際、賭け金の計算処理を行う特別のプログラムを作成した上、どう公団のコンピュータを不正に使用していたことが発覚した。いずれも、コンピュータの不正使用については適用条文を欠くため立件されなかった(53)

このような利用権限のない者によるコンピュータの不正使用——マシン・タイムの盗用とも呼ばれる——は、一台のコンピュータを並行して同時に複数のユーザが利用できるタイム・シェアリング処理を用いて、本来の業務で稼働中の運転コストの高額なシステムを、不正に対価を支払わずに使用することとなる点で、ある種の「利益窃盗」とみることができる。そのため、発覚した事案のような大型のコンピュータでなくとも、勤務先のコンピュータを私的な目的で使用したり、外部から電話回線等を介して接続して使用したりする行為も含めて、処罰するためのいかなる刑罰法令も存在しなかったのである。しかし、この「無権限使用」の問題性は、他人の所有するコンピュータという重要な「資源」を無断で利用することに重点があるのではなく、利用するために無断でシステムに侵入するという側面にあったというべきであろう(54)

すなわち、上のコンピュータの無権限使用や、データの不正入手、データ・プログラムの消去や改ざんなどの多くの不正行為は、コンピュータ・システムへの不正な侵入(無権限のアクセス)を手段に行われるのであるから、犯罪化の要否が検討されなければならないのは、ハッキングなどの不正なアクセス行為ということになる。(略)

南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(一)」日本法学第78巻第2号(2012年9月)84頁

(1) 不正アクセス禁止法制定の背景

すでに見たように、1987年改正の際、コンピュータ・システムへの不法侵入(不正アクセス)行為については、今後の検討課題として犯罪化が見送られた経緯がある。そこでは、不正アクセスは結局のところ、データの不正操作・不正入手、コンピュータの無権限使用・破壊といった諸類型の予備的手段であり、コンピュータの情報処理機能に対する実質的加害とは必ずしも言えないということが理由とされた(74)。外部からのコンピュータへのアクセス行為が管理されている状態は、未だ刑罰的保護が必要なものとは評価されなかったのである。

しかし、1990年代半ば以降のインターネットの急激な普及により状況は一変する。(略)

1987年改正以来の状況の変化が、ネットワーク外部からのコンピュータへのアクセスが管理されている状態自体を刑罰で保護すべき、との認識を導いたといってもよい。無権限のアクセスを財産犯罪等の予備的な行為とする認識(78)は、ネットワーク社会の発展段階が、適正なアクセスコントロールが及んでいる状態自体に刑罰による保護の必要性を認めるほどに達していなかったからにほかならない。

南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(二)」日本法学第78巻第3号(2013年2月)33頁

*4 この罪が刑法典に盛り込まれず、警察庁・総務省・経済産業省が所管する行政刑法によって創設されたことは、構想前段階における議論において以下のように書かれていた点が興味深い。

情報の不正取得や漏示を犯罪化する規定を刑法典の中に入れることについては、外部に強い反対があり、又人間の自然的な反倫理行為を基本として法文化している刑法の中に、新しい社会現象であるコンピュータ関連犯罪の、しかも一昨年の刑法改正で積み残された部分に関する規定を入れることについては心理的な抵抗感もあって、当委員会で刑法改正の提案をしても、法務省は積極的に取り込もうとしないのではないか。

コンピュータ情報の不正取得・漏示に関する法制的対応——検討過程の中間報告——, 情報セキュリティと法制度調査研究委員会レポート, 日本情報処理開発協会(1991年3月)

*5 原文ママ。同書第2版(立花書房, 2012年7月)では、「電気通信に関する秩序の維持」(78頁)に修正されていた。

*6 設置者が管理者画面を使っていない機器も存在し得るし、さらに、製造者も公式には認めていない裏の管理者ログイン機能が存在する機器の事例もある。

*7 このことが意外に思われるかもしれないが、こうした不正アクセス禁止法の趣旨を巡っては、20年前から度々議論になっていた。「アクセス制限されていないものは、誰でも見ることができるのだから、不正アクセスとしてはいけない。」といった論調であり、2002年には、ググっただけで名簿のCSVファイルが見つかるWebサイトがたくさん発見され、2ちゃんねるにそのURLを暴露される事案が続発したことがあり、暴露されたWebサイト管理者は「不正アクセスされた」と警察に被害を訴えたが、警視庁が「名簿を道端に置くようなもの」「法的に不正アクセスと判断できるものはない」と一蹴(中日新聞2002年7月4日朝刊「相次ぐ個人情報流出 “お寒い”企業の危機管理 警視庁『道に置くのと同じ』」)して被害届を受理しなかったという事案があった。他方、2003年にはACCS不正アクセス事件があり、これはディレクトリトラバーサル脆弱性を突いて非公開ディレクトリのファイルをブラウザで閲覧したものであったが、これが刑事事件となって東京地裁で有罪判決(控訴取り下げ確定)が出たところ、「正義の脆弱性指摘が目的であればアクセスは許されるべきである」的な声が噴出(一例としてINTERNET magazine 2004年7月号 73頁)し、「日本はこの法律のせいで脆弱性発見ができなくされた」的な声が度々出るようになった。私の見解としては、目的によって正当化することはできず、この人工的な行政ルールに違反しているか否かだけが問題となるのがこの法律であるというもので、この事件における構成要件該当性の当否は「不正アクセス行為の2つの文理解釈について」(情報ネットワーク・ローレビュー第5巻1号37頁以下, 2006)で論じた(結論は「どちらとも言い得る」)。この事件と同じ時期にIPAに脆弱性届出制度ができたが、その運用においては、違法な手段により発見されたものは受け付けないとしつつ、適法な手段による発見手段は多々あるとして、そうした適法手段による発見の実績が積まれてきていた。しかし、それでもなお、いくつかの種類の脆弱性(ディレクトリトラバーサルやSQLインジェクションなど)については、違法な手段でなければ発見できないという声があり、不正アクセス禁止法がそうした「正義の」発見を萎縮させているという主張は繰り返し耳にする状況があった。そんな折の2014年、月刊FACTAに「上場企業5割に「サイバー脆弱性」天才ハッカー「ドラゴン・タトゥーの女」のように侵入できるか。本誌のテストで愕然とする結果が出た。」(FACTA 2014年11月号)との記事が掲載され(それに対する当時の反応として「とあるセキュリティ企業、上場企業100社に対し無断で攻撃を行っていた?」)、さらに続いて翌月「「サイバー脆弱性」霞が関は落第 ようやく「サイバーセキュリティ基本法」が成立。だが、システム音痴の政府機関のサイトは穴だらけだ。」(FACTA 2014年12月号)との記事が出た(それに対する反応として「FACTA、今度は政府機関にサイバー攻撃を仕掛ける」)。これらはスプラウト社が行ったことが明らかにされている。スプラウト社のことはよく知らなかったが、当時、有力政治家をバックに摘発されない自信がおありなのか、これに挑戦されていたようだった。警察の捜査があったかは知らないが、摘発されてはいないようである。後にHagex氏が刺殺される全く別の事件(2018年)があり、初めてHagexこと故岡本氏のスプラウト社でのご活動の理念を知ったが、後になって思えば、「正義の」ハッカー活動を積極的に推進していきたいという強い意思が同社にあったのであろうかと思った。このように、不正アクセス禁止法で禁止されている「不正アクセス行為」というのは、単純に住居侵入に喩えることのできないものであり、素人目にパッと見「不正アクセス行為」のように感じられるものであっても、正確にはこの人工ルールに違反していない場合もあるという性質のものなのである。このFACTA事案の際に、正義の脆弱性発見行為を全て合法化せよ的な声も耳にした気がするが、そのとき私が考えたのは、「いくつかの適法な発見手段を正式に法令化するという手はあるかもな」というものだった。それと同時期、IoT機器の工場出荷時共通初期パスワードが問題になりつつあり、それを発見する行為は正当なものだという声を耳にしたような気がする。そのとき私が考えたのは、上記のように「識別符号に当らず、アクセス制御機能による利用の制限がない」ということだった。これらのことがNICT法改正に繋がっているのか無関係なのかは知らない。いずれにせよ一つ言えることは、一般の人々が発見することを正式に合法と認めて欲しいという声があったにも関わらず、できたことは、NICT法に基づき国の機関が行うことについて適法化することであった。その結果、「一般の人々が行えば違法である」という反対解釈が出て来かねない状況が生じた。このような反対解釈は誤り(本文中に書いたように必ずしも全部を違法前提として立法されたのではない)であり、改正NICT法が制定されようが一般の人々については以前と変わっておらず、「識別符号に当らず、アクセス制御機能による利用の制限がない」ものについて発見することが不正アクセス行為に当らないことは現在も変わりない。

*8 なお、私はこのNICT法改正法の立案に関して業務として一切関与していないことを付記しておく。NICTが実施するという話になって以降、何ら見てもいなかった。もし関与していたならば、ここでこのように擁護する発言を書くことはなく、沈黙するしかなかったであろう。

*9 そもそも「当初目的」などというものがあったのか知らないが。

*10 さすがにこれが、「筆者のように理系の世界から超文系な世界に来ると、「理系の常識は文系の非常識」といった事態に直面する。その中でも理系では常識とされる論理思考・論理的直感が法曹などの超文系世界では非常識とされることにしばしば驚く。」(@IT, 2004年10月)のオチではなかろうとは思うが。

*11 ファイル暗号化用の鍵としてのパスワードの場合は、概ね倍の長さが必要であるのに対して。

*12 そもそも「当初目的」などというものがあったのか知らないが。

*13 それでも、「1111、aaaa等」「1234、abcd等」「12341234、abcdabcd等」を対象に含めてしまっているのは、「当初目的」の趣旨を踏み外しており、「元々合法な行為」と言い張るのは苦しいだろう。

*14 そうするためには、「1111、aaaa等」「1234、abcd等」「12341234、abcdabcd等」を対象にするのも中止したほうがいい。

*15 追記(2月15日):上2つの注釈に物言いがついたので、解説をツイートしたが、ここに改めて追記しておく。脚注13の「「1111、aaaa等」「1234、abcd等」「12341234、abcdabcd等」を対象に含めてしまっているのは、「当初目的」の趣旨を踏み外しており、」というのは、「1111、aaa」といった具体的な値のことを言っているのではなく、実施計画の「特定アクセス行為に係る識別符号の方針」に列挙されている2つ目、3つ目、4つ目の「同一の文字のみの暗唱符号を用いているもの(1111、aaaa等)」「連続した文字のみの暗唱符号を用いているもの(1234、abcd等)」「連続した文字のみを繰り返した暗唱符号を用いているもの(12341234、abcdabcd等)」という抽象的方針のことを言ったもの。これらの具体的な値が「過去に大規模なサイバー攻撃に用いられたID、パスワードの組合せが対象だから」というのなら、実施計画の「識別符号の方針」1つ目「送信型…サイバー攻撃の実績ある…で利用されている識別符号」に含まれるだけの話。それなのに、これらが実施計画の「識別符号の方針」に別個に記載されているのは、省令1条2号で、「これまで送信型対電気通信設備サイバー攻撃のために用いられたもの」の他に「同一の文字のみ又は連続した文字のみを用いたもの」を例示に入れてしまったせいだろう。これが「当初目的」を逸脱していると指摘したもの。脚注14の「「1111、aaaa等」「1234、abcd等」「12341234、abcdabcd等」を対象にするのも中止したほうがいい。」というのも、「1111、aaa」といった具体的な値のことを言っているのではなく、実施計画の「識別符号の方針」から上記の「2つ目、3つ目、4つ目」を削除するべきという意味であり、なぜそうなのかは、省令1条2号の「これまで送信型対電気通信設備サイバー攻撃のために用いられたもの」は「アクセス管理者があえて放置して」いると言い得る基準となり得るのに対し、「同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの」は広すぎて基準にならないからである。「工場出荷時共通初期パスワード」(実施計画の「識別符号の方針」では「機器の初期設定の識別符号(略)」と書かれている)は、「これまで送信型対電気通信設備サイバー攻撃のために用いられたもの」の一部という関係にあり、本文中に書いたように、前者は元より識別符号でないものであり、後者は「このような状態をアクセス管理者があえて放置している場合」に当たり得るもの。本当にそう言えるかは後者は前者よりは弱いが、これらは法的評価の程度問題であるのに対し、「同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの」は、不正アクセス禁止法の保護対象から外れる余地が全くない(「同一の文字のみ又は連続した文字のみを用いたもの」が「保護対象から外れる余地がない」と言っているのではない点に注意。この部分は「その他の容易に推測されるもの」の例示であり、「容易に推測されるもの」が本体。)ところに問題がある。これが省令に書かれている限り「当初目的」から逸脱しているということ。その意味では、本文中で「それを避けるには、省令を直ちに改正して、1条1号を削除したらよいのではないか。 」と書いた点は、1号を削除するだけでは足りず、2号を「機器の初期設定の識別符号(略)及びこれまで送信型対電気通信設備サイバー攻撃のために用いられたもの」という限定列挙に改正する(実施計画の「識別符号の方針」の5つ目と1つ目に合わせる)必要があると書くべきであった。

本日のリンク元 TrackBack(0)

2018年12月26日

情報法制研究4号に連載第3回の論文を書いた(パーソナルデータ保護法制の行方 その3前編)

1年前の日記「情報法制研究2号に連載第2回の論文を書いた」の最後で「次号から本題について論じていく予定」としていた続きの「第3回」を、ようやく情報法制研究4号*1に書いた。本誌はオンラインジャーナルとしても発行されており、情報法制学会のサイトにて、以下で閲覧できる。

表紙の写真 論文1ページ目の写真

今回書いたことは、4年前の「日記予定」で予告していた「パーソナルデータ保護法制の行方 その3 散在情報と処理情報」に相当する内容であり、その後も何度か「書く書く」と言っていた件である。

「書く書く」と言っていた「行方 その3」は、手元の日記の下書きフォルダを見ると、「20140906」付で書き始めて放置していた原稿がある。その書き出しは以下のようになっていた。

「宇賀先生が使う『散在情報』という言葉がある。」私が鈴木正朝先生からそう聞いたのは昨秋のことだった。初めて耳にしたときはピンと来なかったが、調べて行くうちに、探し求めていたものは初めから既に組み込まれていたことを理解した。「散在情報」の定義は文献[宇賀2013]の225頁にある。……

「探し求めていたもの」とは、個人情報保護法が本来対象とするのはデータ処理に係ることであるはずで、プライバシー権への配慮それ自体を事業者等に求める趣旨ではないはずであり、いわば「データプライバシー」などと呼んで「プライバシー」とは区別すべき何かであるはずと考えていたところ、その区別を想定しているかのような概念として「散在情報」と「処理情報」を区分する用語が既にあったという「発見」のことである。

鈴木先生からこのように聞かされた今から5年前の時点では、この用語を全く聞いたことがなかったし、鈴木先生も、宇賀先生の独自用語であるかのような口ぶりだった。宇賀本を索引から「散在情報」の語を辿って読み漁っていくと、他の本では知り得なかったことが多々書かれており、しばし貪るように読んだ。しかし、調べて行くうちに、宇賀本の記述には元ネタがあり、政府(行政管理局)の懇談会の報告書に書かれていた記載の抜粋だと気付いた。ここで、政府文書を確認することの重要性を思い知らされることとなった。そして、昭和63年法の逐条解説書を鈴木先生からお借りし、読んだところ、「初めから既に組み込まれていた」ことを理解したのであった。

しかし、それらの資料からだけでは、「個人情報ファイル」概念を完全に説明することはできなかった。いくつかのピースが足りず、そこの解釈がどうしても私の推測でしかなく、根拠を添えて言うことができなかった。それが、「行方 その3」を書くのを先延ばしにしていた理由であった。不完全な説明は、講演等で少しずつ話していたところ、翌年の法とコンピュータ学会で話したことを論文にする機会を頂き、翌々年の「法とコンピュータ」誌に書いた*2が、このときの説明も、本題に必要な要点だけを書いていたので、独自の見解にすぎないと思われたかもしれない。

それが、一昨年になって、情報法制研究所(JILIS)を設立し、その活動として、情報公開法に基づく行政文書の開示請求で法案の立案過程を分析する試みを開始したところ、開示された部内文書から、この「独自の見解」を裏付ける証拠が次々と見つかっていった。「ほらやっぱりそうだった!」と何度叫んだかわからない。

「情報法制研究」誌に連載を持たせて頂いたのは、それらを出し切ることにあった。とはいえ、情報公開で開示される文書は、分量が多く、開示決定までに半年前後かかるものも少なくなく、連載の執筆は、到着した分の開示資料でわかることから書いていくという、走りながら書くスタイルとなった。それが今回、ちょうどギリギリ間に合って欠けていたピースが揃い、「行方 その3」で言いたかったことの完全な説明が可能となったのである。

以下にその目次を示す。内容は、見出しの通り、大きく2つであり、個人情報ファイル概念の説明(「行方 その3」に相当)と、容易照合性の説明である。容易照合性の説明は、提供元基準(「行方 その2」で書いていた)の根拠を示しただけでなく、「容易に照合することができ」と「照合することができ」の違いについても根拠を示して説明できた。さらに、「行方 その20」の脚注6」で「また書く予定」と予告していた「散在情報的照合性 vs 処理情報的照合性 説」の件も根拠を示して説明することができた。

  • I. はじめに
  • II. 浮き彫りになった論点(以上・第1号)
  • III. 残された課題(以上・第2号)
  • IV. 個人情報ファイル概念と容易照合性(本号)
    • 1. 本章の概要
    • 2. 個人情報ファイルとは何か
    • 3. 散在情報の概念
      • (1) 研究会報告書による定義
      • (2) マニュアル処理情報とマニュアル情報
      • (3) 散在情報の具体例
      • (4) 入力帳票は散在情報か
      • (5) プロファイリングとの関係
    • 4. 検索性と体系性
      • (1) 「体系的に構成した」への批判
      • (2) 検索エンジンの該当性
      • (3) 個人情報ファイルと個人情報データベース等
      • (4) 検索とは何か
    • 5. 提供元基準と容易照合性
      • (1) 国会での説明
      • (2) 立案の経緯
      • (3) 内閣法制局の予備審査
      • (4) 各省との法令協議
    • 6. 処理情報の照合と散在情報の照合
      • (1) 行政機関個人情報保護法での定義
      • (2) 情報公開法での定義
      • (3) 処理情報的照合と散在情報的照合の2層構造
    • 7. 小括
  • V. 個人に関する情報と非個人情報性(以下・次号)
  • VI. 匿名加工情報と自治体条例
  • VII〜(表題未定)(次々号以降予定)

しかし、今回もページ数を使いすぎており、「行方 その3」で言いたかったことの半分と、「散在情報的照合性 vs 処理情報的照合性 説」の半分を、次号に先送りすることになってしまった。これらに加えて、4年前の「日記予定」で予告していた「行方 その4 特定の個人を識別するとは」で書くつもりだったことも合わせて次号に書くことにした。材料はすでに揃っているので、今から書くところである。

なお、こうした、情報公開制度を活用した法案の立案過程の分析という研究手法自体を紹介する報告を、「JILISレポート」として書いた。以下のJILISのサイトで閲覧できる。

その目次は以下である。

  1. はじめに
  2. 分析の視点と目的
  3. 開示請求した文書
  4. 内閣法制局保有の法令案審議録
  5. 立案当局保有の法制局審査資料
  6. 立案当局保有のその他資料
  7. ファイル管理簿に登録のない文書
  8. 開示文書を読み解く際の注意点
  9. 不開示部分の状況
  10. おわりに

「7.ファイル管理簿に登録のない文書」に書いたように、未だ存在が確認されていない肝心の文書が未開示であり、次々号以降で書きたい基本法(個人情報保護法)の立案経緯(法とコンピュータNo.34で書いていた本題の件)の根拠材料がまだ揃っていない。はたして次々号の原稿締切に間に合うだろうか。

ところで、このJILISレポートの刊行前日に、情報法制学会第2回研究大会で「JILIS報告」として、この内容を報告させていただいたところ、元役人の方々と現役の役人の方々が何名も会場にいらしており、本業の方々を前にしてこのような話をするのは甚だ恐縮であったが、報告を終えた後で貴重なコメントを頂くことができた。

ここで示した「内閣法制局保有の法令案審議録」には、手書きのコメントがあり、これを誰が書いたものと考えるのか、私の理解が間違っていたことがわかった。1年半前に書いた「匿名加工情報は何でないか・後編(保護法改正はどうなった その7)」においても、この法令案審議録の手書きコメントに言及しており、「こうした手書きメモは、法制局側から出た意見を立案省庁側(この場合は内閣官房IT総合戦略室)がメモしたもので」と書いていたが、この手書きコメントは、法制局参事官が書いたものなのかもしれない。「同じことが繰り返し書かれていることから、そうとうガミガミ・クドクドと指摘されたのではなかろうか。」と書いた件も、法制局参事官が法制局長官から指摘されたことを書いたメモではないかと、今になってみればそう理解でき、「法令案審議録」という文書名も腑に落ちる。

このことについては、翌日のJILISレポートには反映しきれなかったが、さらなる取材を試みて、いずれまた続編を書こうと思う。

*1 本来は半年前の3号に書くはずだったところ、「本務先の降って湧いた業務が火の車」の影響で延期になっていたもの。しかし、おかげで、その半年の間に新たな開示資料(行政文書の開示請求をしていた)が到着したことで、より明確な根拠を示すことができ、結果的にラッキーだったとも言える。

*2 2016年8月23日の日記「「法とコンピュータ」No.34に34頁に及ぶ論考を書いた」の件。

本日のリンク元 TrackBack(0)

2018年10月31日

業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ

トレンドマイクロ製品がApp Storeから締め出された事案が重大局面を迎えた。エバ・チェン社長兼CEOの声明が発表されると同時に、準備されていたZDNetニュースが報じられた。

これまでの説明とは異なり、もはやトレンドマイクロ社固有の事情を超え、情報セキュリティ業界の一般論として、業界が必要としている情報取得だったのだと正当化し、社会が理解すべきものだとして、世間に理解を求める声明になっている。

セキュリティ企業は、お客さまのセキュリティならびにプライバシーを改善する目的にのみ、お客さまから信頼いただいているセキュリティ企業としての立場と重要なお客さまのデータへのアクセスを利用すべきという考えに基づいたものです。これは、公然と行われる悪意ある活動や情報漏洩、不適切な形での広告収益化といった形で、許可なくお客さまのデータにアクセスして利益を得ようとするものからお客さまを守るためです。

(略)

ここで問題になるのが、どのようにして一般消費者の個人データやプライバシーを保護しながら、同時に効果的なセキュリティの提供を実現するか、ということです。

(略)

しかし、セキュリティはインフラのレイヤに属するものであり単一機能のアプリに制限するものではなく、エコシステム全体で考慮する必要があります。最善のセキュリティは、それが影響する領域に関する迅速な警告に基づくものであり、その実現に当たってはユーザからの自警団的なデータに依存することになります。

セキュリティとは関連性がないアプリ(例:バンキングアプリ)で悪いことが起きるのを適切に防ぐといった形で当社が一歩先を行くためには、一定レベルの状況把握が必要になると考えております。

App Store上の当社アプリに関する重要なお知らせ, トレンドマイクロ, 2018年10月31日

Chen氏は、同社のこれまでの対応に不十分な点があったことを認めるが、ユーザーのプライバシーに関わるデータをめぐっては、同社の見解がまだ十分に受け入れられていないとも主張する。

(略)

またセキュリティでも、巧妙かつ高度で複雑な脅威をとらえるためには、ユーザーの多様な情報が不可欠であり同社に限らず多くのセキュリティ企業がユーザーのプライバシーにも関わるデータを含めて収集・分析して脅威の検知や防御に役立てている実態がある。さらには、セキュリティ企業同士や警察などの法執行機関の間でも日常的にセキュリティ関連情報を収集、共有しており、サイバー空間の安全の確保のために利用している。

Chen氏は、「(略)企業ビジネスと同じように収集対象データの種類や利用方法といったものを厳格に規定すれば、現在のサイバー空間の安全を一丸となって確保していくセキュリティ業界の仕組みや役割を後退させてしまう懸念がある」と主張する。

トレンドマイクロのチェンCEO、App Storeでのアプリ削除問題に謝罪と説明, ZDNet Japan, 2018年10月31日

情報セキュリティ業界の末席に身を置く者として、このような見解は到底容認できない。百歩譲って、セキュリティ対策ソフトが利用者の同意なくあらゆる情報を抜き取ることに正当性があるとしても、「メモリ最適化」「電池長持ち」系のアプリがそのような情報収集をすることには一切の正当性がない。開発元がセキュリティ事業者であることはそのことを何ら正当化しない。

トレンドマイクロのこのような主張は、セキュリティ事業者であれば同意なくどんな情報を取得しても許されるべきとする一般論であり、情報セキュリティ業界全体の信用を傷つけるものである。

私自身、最近、インシデント対応の当事者としてセキュリティ事業者に業務を発注する立場を初めて経験したが、切迫する状況の中で、セキュリティ事業者にホイホイとデータを渡して分析を依頼するわけだが、後から思えば、契約の内容がどうなっているかをチェックする余裕などなかった。そこには、当然、セキュリティ事業者たるもの、当該事案に係る情報しか取得しないし、事案が必要とする限度を超えて保管し続けたり、流用することなどあり得ないだろうという信用によって、ホイホイとデータを渡すわけである。

トレンドマイクロのこのような主張が、情報セキュリティ業界の標準的な考え方だと世間からみなされれば、もはや、そのような信頼関係は崩壊してしまう。

情報セキュリティ業界は、業界団体を通じて、トレンドマイクロ社のこのような理念を「我々は共有しない」旨の声明を発表するときであろう。もっとも、おそらく全ての業界団体にトレンドマイクロが幹事として入り込んでいるので、そのような声明を取りまとめることは困難かもしれない。ここは、トレンドマイクロ社を除名してでも、「我々は共有しない」旨の声明を出すべきだ。

行政機関は今日こうしたセキュリティ事業者に頼り、様々な業務委託をしている。そのような業者の経営者が、セキュリティ目的であれば契約にないところのデータまで取得しても正当であると主張しているなら、そのような業者を使うことはリスクである。入室を許すことも危うい。このような業者は政府調達から排除するべきであるし、排除するための仕組みを準備するべきである。

医療分野において過去100年間にもたらされた目覚しい発展によって、我々は恩恵を受けてきました。この成功の要因の一つは、エコシステム全体での世界レベルでのコラボレーションにあります。医師は世界中の事例を分析しています。サイバーセキュリティの分野でも同様で、エコシステム全体が役割を果たすことに頼っています。

App Store上の当社アプリに関する重要なお知らせ, トレンドマイクロ, 2018年10月31日

戦前の人体実験ではあるまいに、何を言っているのか。21世紀の今日、どれだけ医療従事者・医学研究者がインフォームド・コンセントに神経を擦り減らしてきたか。

トレンドマイクロが主張していることは、病院に来た患者は、求められた診療以外についても、医療技術・医学の発展のためには、モルモットにして許されるべきというものだ。それどころか、病院に来た付添人や面会者(「メモリ最適化」「電池長持ち」系のアプリが相当)に対しても、同意なく医学研究のための介入調査を行なって構わないという主張だ。下手をすれば、病院の外にいる通行人(LANの盗聴等がこれに相当)に対してさえも介入調査の対象にする勢いだ。

このような危険思想を振りまいて憚らない業者にはNO!を突き付けなければならない。

いらすと

製品の透明性を高めるべく内部から解決を提案していた善良なエンジニア諸兄が不憫でならない。これから流出するであろうトレンドマイクロ難民を温かく迎える体制を業界の他の会社に期待したい。

追記(11月3日)

事実関係について事情のわからない人にもこれを読まれるようなので、追記しておこう。

その後、日経NETWORKのインタビュー記事が出て、エバ・チェン社長兼CEOは、トレンドマイクロの製品はその全てが(セキュリティに無関係の製品であろうとも)脅威情報を収集する「センサー」だと言い切った。

脅威情報の共有に必要だった

では、どうしてWebブラウザーの履歴を取得していたのか。エバCEOはその理由を、「セキュリティー企業としての同社のDNAだ」と説明した。

同社が提供するソフトウエアはどんな種類であっても、インストール先のユーザー環境が安全であるかどうかを判断したいという。最初に削除された6製品は、Webブラウザーが直前24時間の間にアクセスした履歴を収集して、ユーザー環境の安全性の確認に利用していたと主張する。

収集した情報は、同社の「Smart Protection Network(SPN)」にも利用していたという。SPNとは、同社の様々な製品から脅威情報を収集し、これを分析することで同社製品のセキュリティー機能へフィードバックし、新しい脅威に対応しやすくするというものだ。つまり、6製品は脅威情報を収集する「センサー」としても利用していたのだ

App Storeから消えたトレンドマイクロ、エバCEOの言い分, 日経NETWORK, 2018年11月1日

脅威情報の収集だからといって、不正アクセス行為が正当業務行為として違法性阻却されないのと同様に、刑法の不正指令電磁的記録作成・供用罪についても違法性阻却されないだろう。

そもそも、インストール直前24時間のWebアクセス履歴を確認したところで、「ユーザー環境の安全性の確認」になるはずもないことは、セキュリティ関係者には自明の理だ。加えて、Smart Protection Networkとやらの「センサー」とするのが目的なら、取得を24時間1回分に限る理由がない。さらに、Webアクセス履歴とは別にGoogle検索に入力された検索語も取得していた事実*1について、釈明が避けられている*2が、これがどう「ユーザー環境の安全性の確認」になり、どう「脅威情報の収集」に役立つと言うのか。明らかにエバ・チェン社長兼CEOは虚偽の弁明*3をしている。

インストール直前24時間に限った取得というのは、その本当の目的が謎でしかなかった(アフィリエイト説も出ていたが)が、以下の説が矛盾なく説明できるのではないか。

なるほど、広告に限らず、どのような検索で製品のダウンロードにたどり着いたかも含めて、利用者の直前の行動をトレースする分析のために収集していたのだろう。マーケティング目的で取得していたわけだ。実際、問題となったアプリは、Mac App Storeで不自然なランキング急上昇を繰り返していた記録がある。

これは許されることではない。警察庁ふうに言えば「社会的コンセンサスがあるとは言えない」だ。

トレンドマイクロは日頃から、セキュリティの脅威分析の目的でウイルス対策ソフトから吸い上げられるWebアクセス履歴の分析をしていることから、他人のWebアクセス履歴を見ることに慣れっこになっていて、感覚が麻痺しているのだろう。エバ・チェン社長兼CEOの「医師は世界中の事例を分析」の喩えに倣えば、要するうこういうことだ。『産婦人科医は日頃の診察で女性の陰部を観察し慣れているから院内の女子トイレに忍び込んで観察して構わない(院内掲示もしているし)』ということだ。気が狂っているとしか言いようがない。

日経NETWORKの記事の続く段落には次のようにある。

6製品の中にはセキュリティー機能を持たないソフトウエアが含まれる。そうしたソフトウエアは、SPNに情報を提供した恩恵を受けられない。この点について、「SPNで収集した脅威情報は、警察や他のセキュリティー企業と共有している。セキュリティー業界全体で脅威情報を共有すれば、新たな脅威に対応しやすくなり、ユーザーのメリットにつながる」(エバCEO)と反論した。

App Storeから消えたトレンドマイクロ、エバCEOの言い分, 日経NETWORK, 2018年11月1日

セキュリティ業界の必然であるかのような、このような暴言を放置してはいけない。警察や他のセキュリティ企業も、この事実を知りながらそのようなソースの情報に頼っているのなら、共犯である。違法な収集方法を警察が助長してはならない。全国の都道府県警察とJC3は、このような反社会的な思想を開陳して憚らない業者とは縁を切らなければならない。

*1 ちなみに、これらの製品は、盗み出すユーザデータを暗号化ZIP形式にして送信していたが、その暗号化の鍵(パスワード)は製品にハードコードされていて「novirus」という馬鹿げたものだったと、発見者の動画で笑い者にされていた。

画面キャプチャ 画面キャプチャ

*2 10月31日の準備されていたZDNetニュースでは、「ブラウザ履歴以外のユーザー情報も取得していたのではないか」との質問がぶつけられたようだが、「例えば、ライトクリーナーの場合、ユーザーのシステム情報などを取得している。」などと答えており、これに再質問しないZDNet記者の提灯ぶりが露呈していた。

*3 10月31日の準備されていたZDNetニュースでは、「「セキュリティ目的以外のアプリ」での情報の収集・利用は、当該アプリで提供する機能の実行において必要となるためだという。」とあり、完全に矛盾しているうえに、より悪質な虚偽弁明がなされている。

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|
追記