読売新聞 「IoT攻撃 情報共有」の記事

読売新聞で、「IoT攻撃 情報共有」の記事がでています。

記事としては、「電気通信事業法を改正し、攻撃を受けた機器の情報を通信会社などの間で共有しやすくする」というのがポイントです。

そのために、「サイバー攻撃などの情報を共有できる組織を法律上明確にして、その組織に所属する企業の間では、簡単な同意手続きのみで情報をやりとりできるようにする」という趣旨だそうです

記事としては、なかなか、どのような部分を問題にしているのかが分かりにくいところがあります。「攻撃を受けた機器の情報」ということなのですが、乗っ取られてしまった「IoT機器」の情報なのか、それともターゲットになっているIoT機器なのか、というのもよく分かりません。また、攻撃を受けた機器の情報って、誰が持っている情報を考えているのかなというのもありそうです。

最後のところに「発信源の機器に関する情報」ということが書いてあるので、ボットになってしまっている機器の情報(たとえば、監視カメラであるとか)の話かなとおもいます。

電気通信事業法4条(秘密の保護)は、その「侵してはならない」というのが、秘密に関する事項の取得の禁止および窃用の禁止の二つの内容をもつものと解されています。具体的には、「秘密」にかかる事実を「通信当事者以外の第三者が積極的意思をもって知得してはならず(積極的取得の禁止)」「第三者にとどまっている秘密をそのものが漏洩(他人が知りうる状態にしておくこと)することおよび窃用(本人の意思に反して自己または他人の利益のために用いること)してはならない(漏えいおよび窃用の禁止)」ということです。

たとえば、感染死してしまった監視カメラについていえば、その監視カメラから、特定のサイトに対するDos攻撃を考えれば、そのDos攻撃をしているのが誰か(監視カメラ?)ということは、まさに上記の秘密ということになります。それを、共有ということで「他人が知りうる状態にしておく」ことになるので、法の改正が必要だと考えているということになるかとおもいます。

もっとも、個人的には、公共目的のための情報共有が、上記の漏洩なのか、ということを考えています。。個人的には、解釈論としては、「(自己または他人の利益のために)他人が知りうる状態にしておくこと」が漏洩と解されるので、むしろ、今後の被害の発生を止めるための他人が知りうる状態にしうる行為は、そもそも「漏洩」という概念に該当しないといいたいところです。

実際のところは、自己または他人の利益のために他人が知りうる状態にするのか、それ以外なのかという点については、関係者の実務規範(コード・オブ・プラクティス)にゆだねたほうがいいとおもうのですが、全体の枠組みでというと、それほど本質的という問題ではないというのは、そのとおりですね。

 

 

It's only fair to share...Share on LinkedInTweet about this on TwitterShare on Facebook
カテゴリー: 情報セキュリティ, 通信の安全/プライバシ パーマリンク