政府自らが調査目的で国内IoTデバイス対象に事実上のサイバー攻撃を開始するらしい件
総務省が国内で運用されているIoT機器に「無差別侵入」して調査を行うという話が出て、見出しのあまりの過激さに懸念する声が広がっておりました。
総務省が実施予定の調査について、批判的ともとれる論調を交えてNHKがニュースで取り上げたことから、主にセキュリティ・プライバシー案件に目ざといネット民の間で話題になっております。
総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も](NHKニュース 19/1/25[https://web.archive.org/web/20190125110512/https://www3.nhk.or.jp/news/html/20190125/k10011791591000.html web.archive.orgログ)
この調査は、総務省が所管する情報通信研究機構が行うもので、25日、国の審議会をへて実施計画が認められました。なかなか興味深いのはこの調査の実施計画が認められた背景には“東京オリンピック開催”という名目が大きく影響していることでありまして、確かに近年はオリンピックのような世界的イベントがあるとサイバー攻撃の標的となりやすいという事実はあります。
(中略)
国は特例的に5年間に限って調査を行うとしていますが、無差別の機器に国が侵入する調査は世界でも例がありません。NHKニュース
2020年東京オリンピックを最大規模のサイバー攻撃が襲う!?(FINDERS 18/4/18)
いまやオリンピックは、サイバー攻撃の実行者にとって格好のターゲットになってしまったようだ。2016年に開催されたリオデジャネイロオリンピックや、今年2月に閉幕したばかりの平昌オリンピックでも、高度なサイバー攻撃による被害が報告されている。FINDERSこういう状況で、もし東京オリンピック開催期間中にでも国内の家庭や企業内にあるIoTデバイスが乗っ取られみっともない不祥事が起きてしまうようであれば、これは日本政府として面子が丸つぶれになるわけでして、そんな格好悪いことはなんとしてでも食い止めたいという思いが強いでしょうし、そのためには国民のプライバシーが多少侵害される程度のことはやむを得ないという流れなのかもしれません。当然ながらこうした姿勢に対しては批判の声も各所で出ています。
国がIoT機器を“無差別調査”へ、改正法で容認も三上洋氏「国がやるべきことではない」(AbemaTIMES 19/1/28)
今回の無差別調査について、ITジャーナリストの三上洋氏は「憲法で守られる国民のプライバシー『通信の秘密は、これを侵してはならない』に抵触する可能性もある」と指摘。また、「本来は本人の同意のもとプロバイダがする仕事。国がやるべきことではない。どうしても実行するなら、行動を監視する第三者機関の設置が必要。できないのであればやめるべき」との見方を示している。AbemaTIMESまあ、大義名分があって抜き打ち検査をやるにもやり方があるだろう、という正論が出るのも当然のことです。
そして、こうした問題を指摘する声に対して政府側では高邁な精神に基づく模範回答を用意しているわけです。
目的以外のデータを得たり、調査で得たデータが外に漏えいすることが一切無いように厳格なルールを設けている。この調査は国民の安全安心のためのものなので、ルールにのっとって運用していくNHKニュース掛け声は素晴らしいのですが、過去にあった実績を振り返ると本当に“ルールにのっとった運用”などを実現できるのかどうかは神のみぞ知るという感じでしょうか。理想通りにすべて物事が進めば良いのですが。
いまの政府のやり方で国民の個人情報管理を守ることは可能なのでしょうか(ヤフーニュース個人 山本一郎 19/1/6)
ちなみに、今回の問題の調査が実施される根拠となる法改正は昨年行われておりますが、当時はあまり注目されることもなく今回に至ったという印象が強いです。しかし、実は当時もこの件について問題があるのではないかと指摘する声が無かったわけではなく、ただ多くの報道メディアなどからはあまり注目されることなくスルーされてしまった可能性は否めないかもしれません。
NICT法改正と不正アクセス禁止法(IT Research Art 18/7/15)
電気通信事業法およびNICT法が改正されました。「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」ということになります。この件については今後遅ればせながら色々と議論されていくことになるのかもしれませんが、IoTデバイスについては国内に限らず広く世界中で多くの問題が指摘されながらエンドユーザーには関心を喚起することがむつかしいという現実もあり、今回のように国レベルで強制的な実力行使をもってして事態を改善していくしかないのかもしれないと悲観的に感じる部分もあり、どうやってバランスをとるのが最適なのかが悩ましいところです。
(中略)
気になるのは、この規定は、従来の不正アクセス禁止法との関係からいくとどう位置づけられるのか、ということになります。
(中略)
NICTが業務として、「弱いパスワードとして考えられたもの(不正アセクス行為から防御するため必要な基準として総務省令で定める基準を満たさないもの)」をいれて、アクセスする行為については、不正アクセスとして構成要件に該当しないとした、ということになります。
(中略)
アクセスされる側からすると、NICTがアクセスしたのか、どうか、というのは、よくわからないわけです。不正にアクセスされたとなれば、それに対して、対策をとらなければならないわけです。それに対して、「通信履歴等の電磁的記録を作成すること」を義務づけて、透明性を確保するのであるから、例外として認めましょう、ということで、セキュリティの機密性に対する侵害の例外を認めたわけです。IT Research Art
Wi-Fiルータの83%で既知の脆弱性放置、米NPOの実態調査で判明(ITmedia 18/10/3)
そして、改正NICT法に基づいてさえいれば、意外と何でもできてしまうんじゃないの?というのは、かねてプロバイダ系の法務部門の皆さんが憂慮してきた内容でもあり、ここにきてそれが的中した、と言えなくもありません。もちろん、政府が何らか悪いことをしようとして正面突破してきたというわけでもないので、方法が適法である限り、見守る以外にないのも事実ですが。