サイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ (1)

「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ」(案)が公表されています。

このとりまとめは「電気通信事業者が通信の秘密等に配慮した適切な対応を行うことが可能となるよう、ワーキンググループを設けて技術的・制度的な観点から議論を行った上で、電気通信事業者がより能動的にサイバー攻撃に対処できるような取組の実施に向けて条件や留意点等を整理した。」というものです。

さかのぼれば、14年前に「通信の秘密」の憲法の意味についての調査をなして、インターネットウィーク2005で、議論の重要性を説いたことからみると「通信の秘密」のもつ意味に対して社会の注目やら総務省の留意等は、まるっきり別物というべきくらいに変化してきました。

「大量通信等ガイドライン」(2007)から、「サイバー攻撃ガイドライン」への進化(2011)をへて、そのベースとなっている研究会のとりまとめも第三次にいたっています。

このとりまとめは、第1章 最近のサイバー攻撃に係る課題と対策例 と第2章 具体的な検討 第3章 おわりに、という構成になっています。

第1章 最近のサイバー攻撃に係る課題と対策例 においては、

(1) マルウェアに感染している可能性が高い端末の利用者に対する注意喚起
(2) マルウェアに感染している可能性が高い端末の検知
(3) C&C サーバである可能性が高い機器の検知
(4) マルウェアに感染し得る脆弱性を有する端末の利用者に対する注意喚起

について、それぞれの他の手法との経緯、伝統的な通信の秘密の解釈との衝突点などが紹介されています。
そして、第2章具体的検討 第2節以下 において、それぞれの行為について違法性阻却事由が検討されています。

なお、同章 第1節 通信の秘密の利用等に関する違法性阻却事由等について では、お約束の伝統的な立場(といっても、単に昭和62年以降である点について誰もふれないのですが)からの一般抽象論がふれられています。抽象論としては、同意、正当業務行為、正当防衛・緊急避難なわけです。

なお、ここで、「伝統的な立場」といっていますが、実は、有効な同意論で、事前の同意でもいい場合があるというのは、結構新しかったりします。この有効な同意のためには、個別具体的な同意でなければならないというのがきちんとうちだされたのは、「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」(いわゆるライフログ研究会)第二次提言なので、2010年5月のことなわけです。(DPIをめぐるぐだぐたは、さておくとしましょう)。

もっとも、よく考えたら、私は、批判ばっかりで、どうも野党的な感じのスタンスになっちゃっているので、きちんと解釈論をたてないとなあ、ということも思ったりします。

「積極的な取得」や「漏えい」「自己または他人の利益のため」の解釈でもって、個別具体的な妥当性を考えるという立場なのですが、論文にまとめていないので、ごめんなさいとしかいいようがないです。通信の秘密の論考をまとめてキンドル出版するときにでも、まとめましょう。来年の夏の課題でしょうか。(今年の夏の課題は、日本初のアマゾンの法律スキルだったのですが、クリアして気持ちが大きくなっているとしかいいようがないです)

ということで、具体的に、個別の部分をみていきましょう。

まずは、(1) マルウェアに感染している可能性が高い端末の利用者に対する注意喚起 になります。

一次とりまとめ(2014)では、「攻撃者が用意した C&C サーバに記録されたマルウェア感染端末の IP アドレスとタイムスタンプの情報等に基づいて、マルウェア感染端末の利用者に注意喚起を行うことについて整理がなされ」たとされています。

このブログでも、ボットネット対策のエントリで、テイクダウンについてふれたことがあります。たとえば、ドイツのテイクダウンについては、「対ボットネットの法律問題の総合的考察 その4-法執行機関の積極的行為」や「同 その7 -ドイツにおけるハニーポットとC&Cサーバのテイクダウンの合法性」でふれています。

学問的には、テイクダウンという用語は、DNS名称の消去、宛先トラフィックのブラックホールへの移動による利用停止、物理的差押、 ISP等のプロバイダによる接続停止を含む多様な用語になります。

でもって、一次とりまとめをみると、「ISP と連携したセキュリティ事業者や捜査機関等が C&C サーバ等をテイクダウン」する事例もでてきている、として論じられています。そこでは、テイクダウンの説明について「C&C サーバやボットネットの機能を停止させる行為を指す。」とされています(9頁)。失効後のドメインを合法的に買い取ってしまえば、通信の状況とかは見えるのですけど、この場合については、発信者と受信者の間のC&Cサーバの通信ログになりますね。セキュリティ事業者がISPや警察と連携して、失効後のドメインの買い取りをして、このような履歴を分析して、ボットになっているユーザに注意喚起ということになるわけで、一次とりまとめとしては、緊急避難として、整理されています。個人的には、この場合においては、行為としては、セキュリティ事業者としては、自らのサーバとして運営するので、その端末における他人の秘密の取得ということになります。でもって、自らの端末なので、電気通信事業者の取扱中の通信にかかるのか?というが問題になると思います。実は、一次とりまとめも「テイクダウン」という言葉の影で、見逃していたことがあったような気もします。

それは、さておき、三次とりまとめです。「マルウェアに感染している可能性が高い端末が把握できた時点における対策の実施」について検討する必要があるとしています。

そして、

「信頼できる第三者機関からの情報提供を受けること、自ら調査を行うこと等により、ISP がマルウェアに感染している可能性が高い端末を認識した場合」において、

「当該端末による通信の送信元 IP アドレス、ポート番号及びタイムスタンプと当該 IP アドレス及びポート番号の割当て状況を確認して当該端末の利用者を割り出し、電子メールの送付等の方法で個別に注意喚起を行う方法が考えられる」としています。

「信頼できる第三者機関からの情報提供を受けること」は、多分、NICT法のことをいっているのだよね、(ITリサーチ・アートのエントリね) という感じでしょうか。

この注意喚起の方法については、上記の「通信の送信元 IP アドレス、ポート番号及びタイムスタンプと当該 IP アドレス及びポート番号の割当て状況」については、通信の秘密として保護されるので、どのような場合であれば、許容されるのか、を検討する必要があるとしています(5頁)。

でもって、この場合は、契約約款等によるであって有効な同意といえる、また、正当業務行為ということがいえると整理されています(15頁)。

実質論としては、ミライボットネットの事件でも問題になったように、特定のIoT機器がボット化するわけで、それは、ネットワーク管理をしていれば、客観的にデータとして取得できる(積極的に取得するわけではない)ということがいえると思います。それを教えてあげるのに、法的なお墨付きが必要(違法性阻却事由に該当することをわざわざ明らかにしないといけない)というのは、どうも、根本的な枠組が、ずれているような感じがします。

(理論的には、信頼しうる主体が、安全のために行為を行うのは、消費者からすると効用と理解されるので、ISPという主体に負担をかけるのは、社会厚生からいって妥当ではありません-って、誰が、この意味理解できるのかな)

なお、契約約款等による同意ですが、伝統的には、通信両当事者の同意でなければならなかったはずなのですが、ここ何年かは、この解釈論は、どこかに消えている(今度、調べておきます)ので、それは、OKになっているかと思います。

個人的には、通信データ部分なので、「他人の秘密」の利用ということになるかと思います。この場合、ISPは、「他人の秘密」を託されるのは、当然のことなので、それを利用するのは、「自己または他人の利益」のためでなければ、許されると介しています。そして、具体的には、情報セキュリティ行為規範とかを消費者行政課が全面的に作成して、それに基づいている限りは、ISPは、情報セキュリティ的な活動をなしうる、解釈論としては、「窃用」には、該当しないとしたほうがスマートだよね、と思っています。

(2)以下は、次のエントリで。