「総務省-サイバー防衛で公的認証」と無線機器の責任分界点

総務省が、「IoT機器のサイバー攻撃に対する安全性の度合いについて検証する。その上でウイルスの侵入を防ぐシステムを導入した製品に対して、20年までに公的機関による認証制度を作る計画だ」という記事がでています。記事としては「サイバー防衛で公的認証 総務省、IoT総合対策」になります。

脱線しますが、このリサーチ・アートのブログのなかでコンスタントに読まれている記事は、責任分界点の記事になります。それだけ、みんなが正確にどのような意味かを確かめずに、雰囲気で使っているのでしょうね。

法律家として言葉にセンシティブであるのであれば、責任分界点とは、「電気通信設備に関し、技術基準に適合するように維持しなければならない設備の物理的な境界もしくはその場所」ということになるかと思います。

このような立場から、思いを巡らせると、上の「サイバー防衛で公的認証 総務省、IoT総合対策」という記事が、責任分界点の観点から、きちんと検討しないといけないだろうな、という論点が出てくることに気がつくと思います。

IoTだと無線を使うので、基本的な枠組みは、電波法になるかとおもいます。その無線設備(第3章)は、電波の質、受信設備の条件や、義務船舶局の無線設備の機器について定めています。

具体的な規定として、同法38条は、その他の技術基準として「無線設備(放送の受信のみを目的とするものを除く。)は、この章に定めるものの外、総務省令で定める技術基準に適合するものでなければならない。」と定めていて、
無線設備の技術基準については、「送信設備に使用する電波の周波数の偏差及び幅、高調波の強度等電波の質は、総務省令で定めるところに適合するものでなければならない」( 28 条)
「受信設備は、その副次的に発する電波又は高周波電流が、総務省令で定める限度をこえて他の無線設備の機能に支障を与えるものであってはならない」(同法 29 条)という定めをしています。
そして、総務省令で定める技術基準の詳細については「無線設備規則」等において定められています。

ところでICタグがついているスマートメータがあったとして、そのスマートメータ自体が、特定小電力無線局とは思えません。本体が、脆弱性があって、本体が侵入される可能性があるというのは、上のような責任分界点の概念で考えたときに、電波法の予想している「無線設備規則」の枠の中に納まるのでしょうか。そもそも、ICタグにおいて、どこが無線設備になるの、というのは、考えたことがありませんね。

また、電波で、電気通信事業で使えわれる電気設備に接続するので、電気通信設備の技術基準の適用対象となるのかもしれません。

これらの点についての資料として 「日本における電気通信機器の基準認証制度の概要」という資料があります。

電気通信設備/無線設備ともに、セキュリティという観点から技術基準が決められているということはありません。今後、これらの制度に、IOTの認証制度というのが、どのようにつながっていくのかというのは、興味深いものといえるでしょう。

CODE BLUE Speakers

当社 代表取締役の高橋が実行委員をしておりますCODE BLUEですが、今年(2017)のスピーカーが発表されました。プレスリリースは、こちら

今年は、キーノート、ジェネラルトラックで、法と政策に関する発表が準備されています。

キーノートはパトリック・オキーフ さん(ドイツ NATO法律顧問)です。彼は、もともとは、スペースエンジニアだったので、今、法律顧問に転身しています。宇宙法にも興味を持っています。サイバースペースと国家主権の関わりということであれば、わが国では、なかなか注目されない分野(しかし、世界では、まさに一番のホットトピック)のお話なので、非常に、役に立つと思います。

あと、法律/政策分野からは、「サイバーセキュリティのための国家安全保障と官民パートナーシップ:強みと課題」と題して、ステファーノ・ミレ(イタリア大西洋委員会サイバーセキュリティ委員会委員長)さんが発表します。ミレさんは、10年ほど前から、私の調査でも度々お手伝いをしてくれました。ヨーロッパのセキュリティに関する政策についての専門家です。今回が日本の初訪問ということだそうです。私もあえてうれしいです。

ユーストラックでも「事例から考える脆弱性と法」  橋本早記&武田真之 (日本 慶應義塾大学)が、アクセプトされています。情報セキュリティと法律の分野は、なかなか、担当者が少ないのですが、ぜひとも若い人には、頑張ってもらって、わが国のサイバーセキュリティを牽引してもらいたいですね。

Japanese view for remote search and seizure of extraterritorial data

I read Dr.Maria Osula san’s article” Notification requirement in transborder remote search and seizure;domestic and international law perspective” and found  very interesting.So I wrote the Japanese law aspects.

1  remote search and seizure in Japanese law.

Code of Criminal Procedure(Part I and Part II-CCP ) was amended in 2011.Amended code prepard the remote search and seizure  of remote stored data.

Article 99

(1) The court may, when it believes it to be necessary, seize articles of evidence or articles which are considered to require confiscation; provided, however, that this shall not apply when otherwise so provided. (2)Where the article to be seized is a computer, and with regard to a recording medium connected via telecommunication lines to such computer, it may be reasonably supposed that such recording medium was used to retain electromagnetic records, which have been made or altered using such computer or electromagnetic records which may be altered or erased using such computer, the computer or other recording medium may be seized after such electromagnetic records have been copied onto such computer or other recording medium.

LEA has the same authority if get warrant.

Article 218

(1) A public prosecutor,a public prosecutor‘s assistant officer or a judicial police official may, if necessary for the investigation of an offense, conduct a search, seizure, seizure ordering records or inspection upon a warrant issued by a judge. In such cases, the inspection and examination of a person shall be conducted upon a warrant for physical examination. (2) Where the article to be seized is a computer, and with regard to a recording medium connected via telecommunication lines to such computer, it may be reasonably supposed that such recording medium was used to retain electromagnetic records, which have been made or altered using such computer or electromagnetic records which may be altered or erased using such computer, the computer or other recording medium may be seized after such electromagnetic records have been copied onto such computer or other recording medium.

In the remote access case,warrant require the prescribe the scope of the data.

Article 219

(2) In cases of paragraph (2) of the preceding Article, in addition to the matters prescribed in the preceding paragraph, the warrant set forth in the preceding Article shall contain the scope to be copied out of the electromagnetic records with regard to the recording medium connected via telecommunication lines to the computer which is to be seized.

2 Notice of warrant/seizure

Warrants shall be shown to the person.

Article 110

The search warrant, seizure warrant or seizure warrant ordering records shall be shown to the person who is to undergo the measure.

But we have to consider the protection of the remote stored data which is controlled by the third parties.

But there is no legal measures to make a notice to third partise.

At the forfeiture,notice system was prepaed at the amendment of CCP.

First-aid Measures Law on Procedures to Confine Third-Party Ownership in Criminal Cases set out the protection of the third party when LEA goes to forfeiture.

Article 2 (1)
 In the case that the prosecutor raises the prosecution, it is not clear whether it belongs to the owner of a person other than the accused(hereinafter referred to as "third party" (belonging to the accused or belonging to a third party) Hereinafter the same shall apply), the prosecutor shall promptly notify  the third party in writing  of  the  following  matters  when  forfeiture  is deemed necessary.

Article 1 bis set out
With regard to the application of this Act, electromagnetic records attributable to persons other than the accused shall be deemed to belong to that person.

3 Exterritorial stored data

Therefore, there is a problem of how to understand when data exists abroad, this point has already been discussed at the first session of the legislation council.  We can understand it from the discussion of  the council member and office  member.

Let’s see the discussion.

Office “The problem of domestic and overseas in relation to the seizure set out at the item No5 is the procedure law issue, especially to do seizure or search for foreign recording media causes both issues under the criminal procedure law and sovereignty. It is generally a matter of sovereignty to apply enforced disposition on the recording mediums existing in other countries.Cyber Convention premise that the international cooperation procedure should be carried out.So in the cases that it was discovered or being confirmed/confirmed in the course of the investigation that it is a recording medium with such a problem, in the case of the Cyber Convention, it will be said that we will request a cooperation in accordance with the Convention, that is the case it is. ”

Member: “Do you understand it after you (access and ) open it?”

Office “Although there may be times when you try to open it, or if you know earlier that it is somewhere else in the country that such a remote storage location is not in Japan, I think that ,when you are aware of,we will take the procedure of international cooperation”

(Skip)

Member “Do you mean that LEA will inquire the data location of the current IP, that is, if LEA can not find out what country the network is connected from the screen, so LEA shall take a procedure to confirm which country server is with chasing the IP?

Office “Regarding the location of the computer, perhaps because there are various kinds of information in the process of investigation, it will be decided based on it.But once it is revealed that the medium is located in other countries,that is to take such a procedure of mutual assistance. I think that it is probably a case-by-case and that there are many in what kind of evidence will show the location.”

In other words,Japan’s stand point is that when LEA find the probability(possibility ?) of exterritorial search and seizure,LEA shall use the  mutual assistance procedure.

In case of “loss of place”, I think that there may be no discussion in Japan.

A.M.Osula博士「越境捜査における通知要件の問題」論文 の示唆

マリア博士の共著論文で、「越境捜査における通知要件/国内法および国際法の観点」という論文が公表されています。

イントロ
開始されたデバイスもしくは、法執行機関みずからのデバイスから物理的に離れたデバイスに記録されたデータにアクセスする(遠隔アクセス)ことが、実際に増えています。捜索については、令状によって「捜索、差押え、記録命令付差押え、検証又は身体検査を行うに当たつては、当該処分を受ける者に対して、令状を示さなければならない。」とされています(犯罪捜査規範141条)。ところで、遠隔アクセスにおいて通知というのは、どのように考えられるのか、という問題を検討しているのが、この論文です。

この通知というのを国際法の観点から考え、国内法の観点からみていっています。オランダ、エストニア、アメリカの連邦刑事規則の改正の観点からみていきます。

国際法
国際法的には、サイバー犯罪条約32条b の越境アクセス(締約国は、他の締約国の許可なしに、アクセスが同意に基づく場合又は当該データが公に利用可能な場合に行うことができる)になります。この条文の起草者は、通知を必要としたとのことです。ただじ、説明書によるときは、具体的な通知は、国内法のゆだねられているとされています。この具体的な手続きが記載れているのは、ベルギーの刑事訴訟法になります。もっとも、実際には、ベルギーから、アクセスしうる場合においては、ベルギー国内で執行されているので、域外アクセスではないと考えられているようです。
他の国に対して通知するべきではないか、という点については、論拠を探すことはできないとしています。

国内法(エストニア、オランダ、米国)
エストニアでは、捜索・押収に関する刑事訴訟法91条の規定のみではデジタル環境におけるデータへのアクセスが可能かは明らかではないが、同法83条、86条(2)の「検査(inspection)」の規定によってアクセスが可能になります。しかしながら、捜索令状についての提示(同法91条7項)がリモートアクセスに適用されるか、どうかについては、明らかではないということになります。また、遠隔捜索において、データの場所が不明確である場合(場所喪失-loss of location)においてどのようにするかという問題があります。

オランダにおいては、オランダ刑事訴訟法94条-99条、110条によって規定されています。しかしながら、これらの規定は、有体物に対するものとされており、データ差押(data seizure )の分類のもとに、法執行の目的のために、保有もしくは複製が許容されるとなっています。遠隔において「自動的動作(automated works)」に保存されている場合には、真実を明らかにずくのに必要なデータは、その遠隔システムは、捜索することができる。ただし、具体的な例としては、(ローカルの)ネットワークに接続された記憶装置があげられているが、捜索場所からはなされた場所については、提供されていない。

また、データ差押については、同法125条mにおいて、通知が「関与当事者(involved parties)」になされなければならないとされている。これは、容疑者、データに責任ある当事者、捜索の対称たる物理的な場所の所有者・利用者・居住者である。(なお、容疑者は、状況において省略可能) また、データ所在地が不明である場合の通知要件の取り扱いについての具体的な法制度は、存在しない。

もっとも、現在、コンピュータ犯罪法が改正されている途上である。そこでは、データの遠隔捜査および押収についての権限は、8年以上の懲役の犯罪に限定される方向である。

米国においては、連邦刑事訴訟規則41条の改正によって、遠隔捜索・押収が可能になっています。

(高橋コメントです)この点ですが、改正前においては、連邦刑事訴訟規則 41 条(a)は、1 つの管轄区に属する令状裁判官は、「当該地区内にある物の捜索」ないし「ある物が令状請求の時点で当該地区内にあるが、令状が執行される前に当該地区外に移動する可能性がある・・・場合の、当該地区外にある・・・物の捜索」のための令状を発付できることを規定していました。そして、その元では、「データが50 州及びそれ以外の合衆国領土内の2 つ以上の異なった場所に遠隔的に保存されている場合には、捜査官は、連邦刑事訴訟規則41 条(a)の厳格な解釈に確実に従うため、データの各所在地毎に新たな令状の発付を受けなければならない。例えば、データが2 つの異なる地区に保存されている場合には、捜査官は、これらの2 つの地区において各別の令状の発付を受けなければならない。また、捜査官は、令状に添付された宣誓供述書において、データの所在についての周到な説明及び自らが提案する捜索実行手段を含めて示さなければならない。」
とされていました(なお、司法省ガイドライン2001版 70ページ前後)(コメント終了)

改正後の条文は、
「令状申立の場所(Venue for a Warrant Application. )
連邦法執行機関の管理もしくは政府の代理人の求めに応じ:

* * * * *

(6)犯罪に関連する行為の発生した場所の令状裁判官は、以下において、電子保存メディアを捜索するために遠隔アクセスを用い/その地域の内部であると外部あるとを問わず存在する電子的に記録されている情報を押収し、または、複製する令状を発する権限を有する。
(A) 技術的手段によって、媒体もしくは情報がどこに保存されているのか、隠されている場合; 」
となります。
また、手続きに関して、官吏は、令状のコピーと受領証を、捜索された人、捜索されたもの、複製された情報の保有者に対して送達する合理的な努力をしなければならないとされています。

この条文は、技術的に隠されている場合なので、域外である場合に常に捜索が避けられるわけではありません。この改正は、実質的な批判にさらされてきたとのことです。

論文は、これらの具体的な例をあげた後に、検討をしていきます。
具体的に検討されている事項としては
(1)「場所の喪失」案件においては、通知のスキームが直接に適用することが困難になってきている。
(2)「利害関係者」の特定自体が非常に困難になってきている。
(3)通知を遅延させる可能性が存在する。
(4)域外に存在するデータに対する捜索・差押えは、利害関係者としてのデータの存在国を加える可能性があることが意識されているにも関わらず、ベルギーの法律のみが、通知を規定しているのにすぎない。
(5)「場所の喪失」案件において、他の国家に対して通知する手段が検討されてしかるべきである。

というのが、論文の概要になります。

日本的には、いわゆる遠隔アクセスという場合については、「接続サーバ保管の自己作成データの差押え
差し押さえるべき物がコンピュータであるときで、当該コンピュータにネットワーク経由で接続している他の記録媒体に保管されていて、当該コンピュータで作成・変更・消去できる電磁的記録については、裁判所又は捜査機関は、それを一旦当該コンピュータにダウンロードさせた上で、当該コンピュータを差し押さえることができます(刑事訴訟法99 条2 項、218 条2 項)。この方法による差押えを行うためには、この方法が可能である旨の令状への記載が必要です(同法107 条2 項、219 条2 項)。

でもって、海外にデータが存在した場合には、どのように解するのか、という問題があって、この点は、既に、法制審議会の第一回で議論されています。その議論をみていくことにしましょう。

回答
「第五の方の差押えの関係での国内・国外の問題といいますのは,手続法の問題でございまして,特に外国にある記録媒体について差押えをする,あるいは捜索をするということは,刑事訴訟法上の問題と,それからもう一つは主権の問題,両方議論され得るわけでありますけれども,主として,他国に存在する記録媒体について強制処分を行うことは,一般的には主権の問題があり得るということで,その点については,サイバー条約でも国際共助の手続を行うという前提になっているものでございますので,そういう問題があるような記録媒体であるということが捜査の過程で判明し,あるいは確認されるような場合には,サイバー条約の場合であれば条約に従って共助の要請をしていくということになるという,そういうことでございます。」

質問「それは,あけて見てから分かるのでしょうか。」

回答「あけてみてということもあるのかもしれませんが,あるいはもっと前段階でそういうリモートの保存場所が日本国内にはないと,他国のどこかにあるということが分かれば,それについては共助の手続をとっていくということになると思います。」

(略)

質問「今のIPでどこかに問い合わせて,つまり,ネットワークでつながれているものは画面から見てどこの国にあるか分からない,そうすると,IPで追いかけて,そのIPがどこの国のサーバなのかを確認する手順をとってというふうなことが想定されているという,そういうことでしょうか。」

回答「コンピュータの所在場所については,恐らく捜査の過程でいろいろな情報があり得ますので,それをもとに判断するということになりましょうが,所在場所が他国にあるということがその過程で分かれば,そういう共助の手続をとるということでありまして,何の証拠で分かるかというのは,多分ケース・バイ・ケースでいろいろあるのかなというように思います。」

とういことで、海外に存在することがわかれば、そこで、この手続きは適用しなくなります、というのが、日本における見解ということになります。では、「場所の喪失」の場合は、どうかということになりますね。この点については、わが国では、具体的には、議論されていないと思うのですが、どうでしょうか。(ちょっとだけJemさんのページでふれられています)

でもって、次の週末は、日本の考察を英語でまとめることにしたいですね。頑張れ>自分

IoTのロスト・イン・トランスレーション

ロスト・イン・トランスレーションというのは、ある言語からある言語に翻訳する際に失われる意味で使われることが多いようです。

Communicationが「通信」と訳されたばかりに、遠隔通信に限られると解されたり、意思内容に限られないということも、この一つのようです。

でもって、IoTにもこの論点が関わってくるのです。というのは、ドイツ語に、「安全」と「セキュリティ」を区別する単語がないというのは、わかっていたのですが、フランス語にも、この区別がないということだそうです。これは、大使館の人に確認しました。

カタカナで、外国語をそのまま、もってくる日本語は、実は便利なのかもしれません。

 

White Motion Bon Voyage

蔵本さんが社長を務めるWhite Motion社の設立記念パーティ(@フランス大使館)にご招待されましたので、出席してきました。

まずは、大使館のお庭です。すごく広くてきれいです。

 

蔵本社長のご挨拶

伊東隊長は、@METIのお偉い人でした。

社長と2ショット

 

お食事もおいしかったです。

お土産ありがとうございます。

 

 

人工知能に教える手間は、誰のもの?

人工知能というのは、なんなのですが、法律相談支援チャットボットとか、法律論文調査チャットボットとかは、自然言語処理とかの手法を使いますね。

MicrosoftのAzureのマーケットプレースというところで、いろいろなサービスがあるのですが、「Academic Knowledge API (preview)」というのがあります。これは、マイクロソフトアカデミックグラフというのを使って知識探索サービスを提供しているそうです。

多分、実際は、このAPIを使って検索して、検索の候補から、検索者の行動をグラフ化して、その結果をフィードバックして、検索の正確性を高めているのでしょうね(実際、使ってみれば、わかるので、わかったら、あとで分析します)

それは、さておき、興味深いのは、このような行動の原理よりも、具体的なサービスの紹介ページのなかで、大きく出ているLegal Noticeの文字です。
具体的には、
マイクロソフトは、マイクロソフトの製品とサービスの改善のために、コグニティブサービスに送信するデータを使用します。 たとえば、コグニティブ・サービスに提供されるコンテンツを使用して、基礎となるアルゴリズムとモデルを絶え間なく改善します。 コグニティブサービスに個人情報を送信する場合、データ主体から十分な同意を得る責任があります。 オンラインサービス規約の一般的なプライバシーとセキュリティの条件は、コグニティブサービスには適用されません。

という「法的注意」が記載されています。(この点については、「MS、プライバシーポリシーに「Cognitive Services」の例外を追記」の記事も参照ください)

要は、この法的注意によるときは、MSのLUIS君(Language Understanding Intelligent Service )に、教育してくれた場合には、その教育の成果は、MSが持っていくからね、ということなのかなあと思います。

もっとも、利用関係については、一般的な約款も準備されていて、いろいろな派生サービスもあるので、教育の成果を自分の占有的な成果として保持しながら、人工知能を使うというのもできるのかもしれません。この点は、さらに調査研究をしなければならない点ですし、現実の人工知能の法的問題のなかで、ふれられていないが、大きな問題の一つのような気がします。

 

 

Line Developer’s Day

Line Developer’s Dayが、今度の28日、渋谷のヒカリエで開催されます。
HPは、こちら

Line Chatbotの開発者としては、ちょっと覗いてこようかとおもっています。

repl-AIは、どうすべきなのか、なんて情報がうまく聞けるといいなあ。

サイバーセキュリティ2017

サイバーセキュリティ2017が公表されています

脆弱性まわり、あと、法律関係まわりをメモしていきましょう。

脆弱性まわりだと1.経済社会の活力の向上及び持続的発展の1.1. 安全なIoTシステムの創出の(3) IoTシステムのセキュリティに係る制度整備において、

(ウ)経済産業省において、JPCERT/CCを通じて、インターネット上の公開情報を分析し、国内の 制御システム等で外部から悪用されてしまう危険性のあるシステムの脆弱性や設定の状況に ついて、その保有組織に対して情報を提供する。

とか

(エ)経済産業省において、IPA(受付機関)とJPCERT/CC(調整機関)により運用されている脆弱 性情報公表に係る制度により、ソフトウェアに係る脆弱性について、「JVN」をはじめ、「JVNiPedia」(脆弱性対策情報データベース)や「MyJVN」などを通じて利用者に提供する。さらに、能動的な脆弱性の検出とその調整に関わる取組を行う。また、海外の調整機関 や研究者とも連携し、国外で発見された脆弱性について、国内開発者との調整、啓発活動を JPCERT/CCにおいて実施する。

1.3. セキュリティに係るビジネス環境の整備 (3) 我が国企業の国際展開のための環境整備
(ウ)経済産業省において、情報システム等がグローバルに利用される実態に鑑み、IPA等を通 じ、脆弱性対策に関するSCAP、CVSS等の国際的な標準化活動等に参画し、情報システム等の 国際的な安全性確保に寄与する。

とかがあります。

2.国民が安全で安心して暮らせる社会の実現 2.1. 国民・社会を守るための取組 (1) 安全・安心なサイバー空間の利用環境の構築
では、

(オ)経済産業省において、経済産業省告示に基づき、IPA(受付機関)とJPCERT/CC(調整機関)により運用されている脆弱性情報公表に係る制度を着実に実施するとともに、関係者との連携を図りつつ、「JVNiPedia」(脆弱性対策情報データベース)や「MyJVN」の運用などにより、脆弱性関連情報をより確実に利用者に提供する。
(カ)経済産業省において、JPCERT/CCを通じて、ソフトウェア等の脆弱性に関する情報を、マネジメントツールが自動的に取り込める形式で配信する等、ユーザー組織における、ソフトウェア等の脆弱性マネジメントの重要性の啓発活動及び脆弱性マネジメント支援を実施する。
(キ)経済産業省において、IPAを通じ、情報システムの脆弱性に対して、プロアクティブに脆弱性を検出する技術の普及・啓発活動を行う。
あと、
(ソ)内閣官房及び関係省庁において、サイバー空間を安全に利用でき、また安全に発展させるよう、サイバーインシデント情報やその脅威情報を分析し、民間等の関係主体と共有することで着実にそのインシデント等への対応に繋げるため、情報共有・連携ネットワーク(仮称)の構築・運用に向けた検討を進める。

も面白そうです。

法律関係まわりでは

1.3. セキュリティに係るビジネス環境の整備
(エ)文部科学省において、著作権法におけるセキュリティ目的のリバースエンジニアリングに関 する適法性の明確化に関する措置を速やかに講ずる。
は、ぜひともお願いします。私が報告書作ってから、10年になりますね。

(2)公正なビジネス環境の整備
(エ)経済産業省及び外務省において、情報セキュリティなどを理由にしたローカルコンテント要 求、国際標準から逸脱した過度な国内製品安全基準、データローカライゼーション規則等、 我が国企業が経済活動を行うに当たって貿易障壁となるおそれのある国内規制(「Forced Localization Measures」)を行う諸外国に対し、対話や意見交換を通じ、当該規制が自由貿 易との間でバランスがとれたものとなるよう、民間団体とも連携しつつ働きかけを行う。

は、興味深いです。

2. 国民が安全で安心して暮らせる社会の実現 2.1. 国民・社会を守るための取組 の(3) サイバー犯罪への対策の全体

3. 国際社会の平和・安定及び我が国の安全保障 3.2. 国際社会の平和・安定の
(1) サイバー空間における国際的な法の支配の確立

(2) 国際的な信頼醸成措置
とは、すべてが興味深いところです

あと、4.横断的施策 4.1. 研究開発の推進では、「内閣官房において、各府省庁と連携し、信頼性工学、心理学等の様々な社会科学的視点も含めた「サイバーセキュリティ研究開発戦略」を策定する。」となっています。社会科学のなかに法律がはいっているのかは?ですが、横断的な分析が入ってくるのは、興味深いところです。

サイバー攻撃に「おとり」・・ウイルスを誘導

「サイバー攻撃に「おとり」・・ウイルスを誘導」という記事が読売新聞からでています。

この記事が具体的にどのような仕組みを念頭に置いているかというのは、よくわからないところです。

(9/04 2240追加ですが、「新たな対策では、企業のシステムを精巧に模した疑似サイバー空間を作り、そこにウイルスを誘導することで、侵入後の動きを観測する。観測で得られたウイルスの情報については、サイバー攻撃対策に取り組む企業間で共有して、防御方法を見つけ出して、感染を封じ込めようとする」という記述がありますが、それでも、よくわかりません)

「政府や実在する有名企業のシステムに似せた「おとり」システムを作り」となっているので、実は、実在のシステムに侵入されたときに、そのターゲットの通信経路を操作して、デコイのシステムに誘導して、その上で、
(1)その通信を取得し、分析し、発信元を突き止め、発信元から情報を取得し、
(2)場合によっては、いままでに取得されたデータを取り返して、もしくは、そのデータを偽物にすり替える
(3)さらに、別途のシステムを設置し、侵入者の証拠を取得する
などというのを考えているのかもしれません。

これらの仕組みを考えると「そのターゲットの通信経路を操作」自体が、通信の秘密との関係で、どのように整理されるのか、というのは、非常に興味があります。侵入された場合(不正アクセス禁止法違反があった場合)には、行為者を突き止めるのは、現行犯逮捕行為として許容されるのでしょうか、通信の秘密侵害は、そのために必然的に付随する行為になるのかもしれません。

(1)ないし(3)については、もっと、法的な整理が必要にも思えます。特に、(2)および(3)については、アクティブ防衛というタイトルのもとに議論されることも多いです。

また、これらの手法を活用する実態は、法執行機関なのか、諜報機関なのか、はたまた民間のセキュリティ会社なのか、ということも考えられるべきものに思えます。

技術的には、昔からの手法かもしれませんが、社会的には、なかなか新しい問題を提供していますね。