JVNVU#95089754 Animas OneTouch Ping に複数の脆弱性

Animas OneTouch Ping インスリンポンプには、遠隔の第三者によって、患者の治療情報や機器のデータを取得されたり、機器を操作されたりする脆弱性が存在します。

特に、IoTが無線との関係で脆弱性がつかれると、結果として、身体・生命・財産の被害が発生してしまうということは、スケートボード脆弱性でもふれました。

このレベルになると、電波法や医薬品医療機器等法(薬機法)という個別法の対応準備ができているのだろうか、という疑問がでてきますね。

電波法は、混信を防ぐ仕組みはありますが、その定めといっても、電波法施行規則6条の2・3号は、「同一の構内において使用される無線局の無線設備であつて、識別符号を自動的に送信し、又は受信するもの」というものです。その意味で、重要な情報に対する仕組みには、なっていません。暗号通信は、それが、解読されない程度に安全に設計されているか、というのは、電波法の技術基準とは、趣旨が異なるということでしょう。(なんといっても電波法は、傍受のみでは、秘密侵害にならないという仕組みをもとにできてますし)

では、薬機法では、どうかというと、「医療機器におけるサイバーセキュリティの確保について」という通達がなされて、検討がなされていることはなされています。基本的な考え方として「サイバーリスクについても既知又は予見し得る危害としてこれを識別し、意図された使用方法及び予測し得る誤使用に起因する危険性を評価し、合理的に実行可能な限り除去する」「医療機器の開発に当たっては、リスクマネジメントとして必要な対策を実施し、サイバーセキュリティを確保すること、また、既に製造販売を行っている医療機器に関しても、同様にサイバーセキュリティを確保すること」が必要であるとしています。そうはいっても接続環境における脆弱性が、そのもともとの「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第 41 条第3項の規定により厚生労働大臣が定める医療機器の基準」(平成 17 年厚生労働省告示第 122号。以下「医療機器の新基本要件基準」という。)との関係で、どのように考えられるかという整理は、まだされていません。能動型医療機器に対する配慮(12条)の規定があって、「電子プログラムシステムを内蔵した医療機器は、ソフトウェアを含めて、その使用目的に照らし、これらのシステムの再現性、信頼性及び性能が確保されるよう設計されていなければならない。」とされていくのですが、この場合に、具体的な適用があるのか、という点もかんがえてみないといけないかもしれません。このポンプは、この規定が該当しそうですが、そうだとすると、機器を操作されるというのが、基準との関係で、信頼性が確保される設計といえるのか、もしかすると、設計として不十分であるおそれが生じた場合といえるのではないか、という分析もできるかと思います。(そのおそれを利用の方法、注意の方法で対処するというのであれば、それもそれかと思いますが、そのリスク評価は、この制度のなかで、どの仕組みがなすべきなのか、難しい問題であるといえるでしょう)

さらに、IPAの報告書(「医療機器における情報セキュリティに関する調査」報告書)をみると、セキュリティパッチが、改造に該当すると解釈されて、それを当てることができないという話になっています。このあたりは、どうにか、具体的な対応ができるようになるといいです。

カテゴリー: 未分類 | JVNVU#95089754 Animas OneTouch Ping に複数の脆弱性 はコメントを受け付けていません。

責任分界点

電気通信業界・プロバイダー業界の人たちと話していて、戸惑う言葉の一つに「責任分界点」ということばがあります。

そもそも「責任」という言葉自体は、(1)行為をなすべき義務を負う、という場合と、(2)一定の問題が起きたときに、誰が責任を負うか(liable)か、という場合の二つの場合があります。

クラウドで、情報漏洩が起きたときに、その責任分界点は、どこなのか、とか、業界の人から聞かれて法律家としては「?」となるわけです。どうも、近頃では、ロボットや自動運転自動車にまで、このような用法が広がっているようです。Liablityを考えるときには、各行為者が、どのような予見可能性があって、具体的な回避可能性は、どうなのという具体的な事案に応じて、Liablityが決まっていくので、どこかの一点を基準に、行為者の責任が100対ゼロということにはなりません。なので、このような問題を検討する時には、「責任分界」という用語は、使うべきではないと思っています。(どうも、素人談義に聞こえてしまいます)

でもって、「責任分界」という概念は、法的な言葉ではない、というのか、というとそうでもないのです。特に通信とかの世界では、 設備についての技術基準適合義務を負うという意味では、よく使われる用語です。電気通信事業についてみていくと

電気通信事業法だと「第四十一条  電気通信回線設備を設置する電気通信事業者は、その電気通信事業の用に供する電気通信設備(略)を総務省令で定める技術基準に適合するように維持しなければならない。」という義務が定められているのですが、この5項で
「5  第一項、第二項及び前項の技術基準は、これにより次の事項が確保されるものとして定められなければならない。
 (略)  
 五  他の電気通信事業者の接続する電気通信設備との責任の分界が明確であるようにすること。」
と責任分界点を明確にしないとしているのです。

具体的に
事業用電気通信設備規則
(昭和六十年四月一日郵政省令第三十号)
では、
(分界点)
第二十三条  事業用電気通信設備は、他の電気通信事業者の接続する電気通信設備との責任の分界を明確にするため、他の電気通信事業者の電気通信設備との間に分界点(以下この条及び次条において「分界点」という。)を有しなければならない。
2  事業用電気通信設備は、分界点において他の電気通信事業者が接続する電気通信設備から切り離せるものでなければならない。
と定められています。逐条解説によると「電気通信設備の故障等の場合にどこに原因があるのか明らかにし、かつ電気通信設備の保守等の範囲の切り分けをはっきりさせておくことをいう」だそうです(電気通信振興会のやつ 230ページ)

また、電気事業法関係も責任分界というのは、基本的な概念となっているようです。

カテゴリー: 未分類 | 責任分界点 はコメントを受け付けていません。

安全なIoTシステムのためのセキュリティに関する一般的枠組

安全なIoTシステムのためのセキュリティに関する一般的枠組 が、NISCから公表されています(平成28年8月26日)
内容的にも、経緯的にも注目すべき政策かと思います。
内容的には、というのは、
「従来の情報セキュリティの確保に加え、新たに安全確保が重要となる」と明言している点
「早急にすべてのIoTシステムに係る設計、構築、運用に求められる事項を一般要求事項として明確化し、その上で、々の分野の特性を踏まえた分野固有の要求事項を追装する2段階のアプローチが適切である」としている点
ですね。少なくてもわが国における議論において、これだけ、セキュリティとセーフティの交錯を意識し、それを前提に議論を立論したものとしては、最初の重要な議論ではないでしょうか。
法律家的には、「接続されるモノ及び使用するネットワークに求められる安全確保水準(法令要求、慣習要求)を明確化する」という分析がなされており、従来の安全基準が、ネットワーク化によるリスクにたいして、どの程度対応しうるかを洗い出さないといけないという主張をしてきた身としては、鋭い分析をしているなあという感じです。
経緯的には、というのは、実は、この政策は、従来は「IoTセキュリティのための一般的枠組(案)」といっていたものを、正式決定に際して、タイトルまで変更して、IoTにおいては、安全を検討しないとだめだよというのを強調してきたという点で注目すべきという意味です。非常に興味深いです。
ITリサーチ・アートとしては、IoTという用語よりCyber Physical Systemsといったほうが、「安全」の問題を検討するのに、有意義でしょう、といいつづけてきたのですが、NISCにも支持してもらったようで、ちょっとうれしいです。
カテゴリー: 情報セキュリティ | 安全なIoTシステムのためのセキュリティに関する一般的枠組 はコメントを受け付けていません。

CSI:サイバーで学ぶ情報セキュリティ・ シーズン1 

CSI サイバーで気になったエピソードを分析してみます。

エピソードは、こちらで。

#ep2 コマンド・クラッシュ

テーマは、ブラック・ハッカー

ジェット・コースターのPLCの制御システムを乗っ取るのが技術的なエピソードです。

犯人がブルートゥースでコントロールした制御板を物理的に追加したというのがポイントです。ブルートゥースなので20メートル以内であること、12ケタのアドレスが識別されていること、スキャナーで、同じIDをもっているものを探索しうること、あたりがポイントでしょうか。

#ep3  悪意の同乗者
テーマは、Phising です

配車サービス・アプリのZoGOというあたりが、面白いポイントです。FBIから、ドライバー情報を提出するようにいわれたところ、アプリ提供会社であって、社内の行為については、責任を負いませんと答えたり、犯罪歴をきちんと調査しているのかと凸合わせがあったりと、Uberあたりをめぐる法的な問題が議論されているのもおもしろいところです。

トロイの木馬のやり方として、USBの置き忘れを装う(ランチで一緒に紛れ込む)、ピザにWiFiルーター(Evil Twinsルーター)をいれて会社に届ける、とかが紹介されています。
あと、犯人を追跡するのに、「セルキャッチを使って」と、犯人のスマホを特定しているのもあります。これは、”cell site simulators” や “IMSI catchers,”といわれる一斉の追跡装置をいっているんでしょう。代表的なものとしては、Stingrayでしょうか。

SCADAシステムをハックして、信号機をコントロールするのもお楽しみ(?)です。

#9 ロミスの攻撃

 

この回のポイントとなる攻撃技術は、Juice Jackingです。充電ポートを利用してマルウエアを仕込んだり、情報をぬきとったりする技術的手法です。

いま一つ、ダニエル捜査官が、「ロミス」のコンピュータに「リモート・アクセス・トロージャン」を仕掛けて、ロミスの部屋の写真をとったことが犯人特定の役にたったというところがあります。
いわゆる「リーガル・マル・ウエア」の問題になります。写真をとった段階で、違法な捜査をしたことになるというセリフがありました。これが、アメリカでも一般的な解釈なのか、いつの日が調査してみたいです。

カテゴリー: リスク, 情報セキュリティ | CSI:サイバーで学ぶ情報セキュリティ・ シーズン1  はコメントを受け付けていません。

outlook.comの設定変更

スケジュール等でメインで利用しているoutlook.comの設定変更 がなされつつあるようです。(Outlook.com アップグレード後に問題を修正するために Outlook 2016 または Outlook 2013 から Outlook.com に再接続する

これが関連しているのかどうか不明ですが、障害レポートが上がっています。

私はスケジューラー(outlook予定表)をoutlook.comにシンクロしているのですが、そのアカウント設定が変わっています。(eas.outlook.com だったりするし)

MSの上のページが設定変更後も自動で対応できるよとかいっていますけど、いろいろなアプリから利用しているサービスの場合には、うまくいかない方法を説明しているような気がします。むしろ、難しくても技術的に、どのように変更しているかをわかるような場所においてほしいです。

カテゴリー: 未分類 | outlook.comの設定変更 はコメントを受け付けていません。

中国のネットワークセキュリティ法のひとつの論点

中国の全人代で、ネットワークセキュリティ法(中华人民共和国网络安全法)が可決されています。

このネットワークセキュリティ法については、いろいろな報道がなされています。

中国の新サイバーセキュリティー法は企業にとって悪いしらせ
とか

中国サイバーセキュリティ法可決で統制がさらに強化、外資IT企業への影響も

などがあるようです。

具体的な条文の構成としては

第一章 総則(总则)
第二章 ネットワークセキュリティの支援および促進(网络安全支持与促进)
第三章 ネットワーク運営セキュリティ(网络运行安全)
第一項 一般規定(一般规定)
第二項 重要インフラの運営におけるセキュリティ(关键信息基础设施的运行安全)
第四章 ネットワーク情報セキュリティ(网络信息安全)
第五章 モニタリング・早期警戒および緊急対応(监测预警与应急处置)
第六章 法律上の責任(法律责任)
第七章 附則(附则)

という構成がとられています。

でもって、分析に興味深い条文がてんこ盛りだったりします。ここら辺のインテリジェンスな分析は、もう趣味の域を超えるのでさておき、他のビジネス分析とは違う、マニアな見地からの注目条文をご紹介です。

その条文は、60条になります。
违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:
(一)设置恶意程序的;
(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;
(三)擅自终止为其产品、服务提供安全维护的。

でもって、たぶんこの条文は、日本語に訳するときには、

本法22条1項、2項および48条1項の規定に反し、かつ、以下の行為のいずれかに反する場合において、権限ある当局が、命令をなし、警告がなされた場合において、是正することを拒絶し、または、危害が発生してネットワークセキュリティ侵害の結果を生じた場合においては、五万元以上五十万元以下の罰金、主たる責任を負うものについては、一万元以上十万元以下の罰金に処する
(1)悪意あるプログラムをインストールした場合
(2)その製品、もしくは、サービスにセキュリティ上の欠陥が存在し、それを回避する是正措置を直ちに採用することがない、もしくは、関連する当局の報告を利用者に伝えることのない場合
(3)製品を終了させることがない場合であって、セキュリティを維持する提供をなさない場合

ということになるかと思います。(これは、推測です-中国語のわかる方助けて)

このような意味だとすると、脆弱性について、これを修正する、もしくは、回避手段を提供することは法的な義務であって、それをなさないと当局が修正命令をなせるという立て付けになるかと思います。
我が国の脆弱性早期警戒パートナーシップが、みんなで努力しましょうねという感じですすめてきているのに対して法的な枠組みを整備している、と評価することができるかもしれません。

それ以外にも、いっぱい、分析したい事項がならんでいます。どこかから、調査ファンドが降ってこないかなあ。関係者様 よろしくです。

カテゴリー: 情報セキュリティ | 中国のネットワークセキュリティ法のひとつの論点 はコメントを受け付けていません。

動的IPアドレスは、「適法な利益 」のための利用(データ保護指令7条)を認めるべきという判断

動的IPアドレスの個人データ性を認めて(識別しうるときに個人データといっているだけですが)、さらに、「適法な利益 」のための利用を認めるべきという判断(指令7条)(これは、狭められない)というEU裁判所の判決があります。

ドイツ・テレメディア法の規定(利用・課金のためのみの収集)は、狭すぎると判断しています。重要な判断といえます。

テレメディア法の規定ですが、

—–

加入者データ(TMG14条)

サービスの提供者は、提供者とテレメディア利用者との契約関係の内容の修正や変更が必要であるとの理由がある限り、個人データの保有と利用が可能である(データの存在)

トラフィックデータ(TMG15条1項)

サービスプロバイダーが、サービス利用者の個人データを保有もしくは利用することは、テレメディアの利用および料金の請求に関連するものに必要性のある範囲で許される(利用のデータ)。特に1)利用者の身元確認のメルクマール、2)利用ごとの料金を請求するときの利用の開始から終了までのデータ、3)利用者がテレメディアに対して求めた事項、をいう。

—–

結局、ログは上述の規定に従って、トラフィックデータに分類されることになる。テレメディアを利用したデータであるため、故障の有無を見分けたり、故障を防ぎ修理するために把握されかつ利用される許可が認められるというのが解釈ですが、規定としては、セキュリティ目的利用として許容されるということは規定にないというのが、今回の判決の背景ということになります。

 

カテゴリー: 情報セキュリティ | 動的IPアドレスは、「適法な利益 」のための利用(データ保護指令7条)を認めるべきという判断 はコメントを受け付けていません。

2045 IT Odyssey

ITと社会の話を、できるかぎり分かりやすく説明するというアプローチとして、Star Warsを題材に、Security Warsをつくったのですが、次は、2001年宇宙の旅をもとに、人工知能とサイバーフィジカルシステムの進化において起きる問題をSF映画をとりあげようかと思います。

授業や講演で紹介した映画のリストは、以下のとおりです。

(1)弱いAI対強いAI

イミテーションゲーム

ブレードランナー

(2)自動運転自動車/手術ロボット

ナイトライダー

プロメテウス

Da Vinciは、こちら。

(3)人工知能の主体性

her/世界でひとつの彼女

チャッピー

(4)致死性自律型兵器の法律問題

ターミネイター

(5)シンギュラリティを超えて

2001年 宇宙の旅(スターゲート以降)

で、生徒さんから

マイノリティレポート

未来世紀ブラジル

のおすすめがありました。

カテゴリー: AI, Cyber Physical System | 2045 IT Odyssey はコメントを受け付けていません。

重版出来 仮想通貨(東洋経済) 

岡田先生、山崎先生との共著の「仮想通貨」が重版出来となりました。

これもみなさんのご支援のおかげとFinTechブームのおかげかと思います。著者らとしては、絶対の自信作ではありましたが、時代とシンクロするかまでは、わかりませんでした。結果がでると本当にうれしいです。

今後ともよろしくお願いします。

カテゴリー: 未分類 | 重版出来 仮想通貨(東洋経済)  はコメントを受け付けていません。

IS決済・市場インフラ委員会による報告書「デジタル通貨」の公表について

BIS決済・市場インフラ委員会(CPMI)は、11月23 日、報告書「デジタル通貨」(原題:Digital currencies)を公表し、その日本語訳が、日本銀行のサイトにでています

BISから、仮想通貨についてのコメントが出ているというのが、まず大きな意味かと思います。

(日本語訳をベースに読むと)

4ページの分類図は、私の図(仮想通貨 15ページ)と併せてみると、より理解が深まるかもしれません。

あとは、基本的に中央銀行との関係での議論なので、現在の流通程度では、あまり深刻な問題にはなっていない問題についての将来考察ということで理解するといいかと思います。

個人的には、

「多くの場合デジタル通貨は資産であり、需要と供給によって価値が決定される。概念的には、金等のコモディティに類似。しかし、コモディティと異なり、本源的価値はゼロ」という記載は、?です(日本語訳3ページ)。

「資産」っていう言葉をつかうって何よ、と思って原文を読むと「 digital currencies are assets with their value determined by supply and demand」ですね。私だと、「価値のある資産」といって価値を絶対に訳出しますね。このvalueは、書いている人は、monetary valueのつもりじゃないでしょうか。もしかすると、日本語の資産に伴う有体物感を払拭するのには、「貨幣価値のある取引対象」(金融商品っぽい)のほうが正確なんじゃないでしょうか。

ソブリン通貨だって、本源的価値があるの?とか思っています。

(この点は、貨幣を専門的に研究する人の間では、「本源的価値」とかいうような言葉って使うのかな、って思っています)

抄訳で読む限り、法律的な背景を念頭に分析はされていないという感じはします。英語も時間があったら読んでみたいなあと。(まあ、予算があったら読みますよ-いかがでしょうか>日銀関係者さま)

 

 

 

 

カテゴリー: サイバーペイメント, 電子商取引 | IS決済・市場インフラ委員会による報告書「デジタル通貨」の公表について はコメントを受け付けていません。