「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集について

内閣官房内閣サイバーセキュリティセンター(NISC)から「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集がでています。

これは、「サイバー攻撃によりシステムの不具合が発生し、それが「重要インフラサービス障害」(以下、「サービス障害」といいます。)にまで至ってしまった場合に、そのサービス障害が国民社会に与えた影響の深刻さを表す」ものになります。

「重要インフラサービス障害」とは、「システムの不具合により、重要インフラサービスの安全かつ持続的な提供に支障が生じること。」と定義されています。

「重要インフラサービスの安全かつ持続的な提供に支障」という要件に該当した場合に、どのような効果が発生するのか、というのが、気になります。

もともととしては、「重要インフラの情報セキュリティ対策に係る第4次行動計画」に基づいており、この計画は、「サイバーセキュリティ基本法」(平成26年法律第104号)の基本理念にのっとっているので、この要件に該当する場合は、「国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合」(サイバーセキュリティ基本法附則2条)ということになるかと思います。

この場合の法的な効果としては、「国民の生命、身体又は財産に重大な被害が生じ、又は生じるおそれがある緊急の事態への対処及び当該事態の発生の防止」(内閣法15条1項の内閣危機管理監の職務)に該当することになる、というのか組織法上の効果になるかと思います。

具体的な政府の対応手法を発動させるのか、という点についていえば、「我が国の平和と独立並びに国及び国民の安全の確保に関する法律(以下、事態対処法という)」についていえば、同法21条の「国及び国民の安全に重大な影響を及ぼす緊急事態」と上の「システムの不具合により、重要インフラサービスの安全かつ持続的な提供に支障が生じること。」が、同一であるのか、という解釈上の論点が発生します。

もし、この重要インフラ支障事態(?)が、上の「国及び国民の安全に重大な影響を及ぼす緊急事態」と同一であるならば、法的には、同法21条2項の
「一 情勢の集約並びに事態の分析及び評価を行うための態勢の充実
二 各種の事態に応じた対処方針の策定の準備
三 警察、海上保安庁等と自衛隊の連携の強化」
の措置をとることができることになります。

国際法的には、このサイバー攻撃が、主権の侵害をおよぼす(干渉)ものであれば、国際的違法行為として対抗措置を許容するということになりそうです。主権の絶対性の対象となる物に関する干渉(interference)は、国際法の侵害になるとされているわけです。ここで、干渉とは、そのものに損傷(damage)を与えるか、もしくは、その機能を重大に損なわせることをいいます。

でもって、この深刻度評価基準ですが、何の効果をもたらすのか、というのが、私のレベルでは分析できないので、基準として、妥当なのか、どうかというのもコメントできないですね。

(ちなみに、脆弱性に関しては、脆弱性自体の深刻度と、社会に対する影響度というのを分けています。用語も統一されていないというのも微妙な感じがしますね)

カテゴリー: Cyber Physical System, IoT, 対抗措置, 情報セキュリティ | 「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集について はコメントを受け付けていません。

CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」するか?(下)

CLOUD法の条文をみてきました。果たして、この法が、「政府は企業が保有する個人情報を容易にアクセス可能に」するための法なのでしょうか。私には、到底、そのように思えません。

法の骨格としては、有線ないし電子通信の内容を求める法的プロセスに関しては、105条において、外国の法的手続を米国の立場から検討して、一定のレベルを満たしている場合には、行政協定を締結することによって認証して、その外国の一定の命令を、米国の国内法のもとでも効力を有するものとして、プロバイダに対して、保存、開示等の義務を課すというものだと理解しています(103条(a))。

ここで、気がついたいくつかの点についてコメントしていきましょう。

(1)有線ないし電子通信の「内容」を求める
(2)命令と国内法の矛盾
(3)データへのアクセスと執行管轄
(4)行政協定
(5)外国の命令の効力

(1)有線ないし電子通信の「内容」を求める

私が、「通信の秘密」の数奇な運命で指摘したポイントになりますが、「通信」に関する構成要素は、大きくわけて、内容と通信データ部分があるわけで、CLOUD法は、その内容に関する外国の命令についての取り扱いに関する規定になります。
日本だと、令状(court warrant)によって求めるのは、当然だろうと思っている人がおおいわけですが、通信に対するデータへのアクセスについては法執行機関の命令(裁判所の関与なし)による場合もあったりします。
米国でも、通信データ部分については、裁判所の提出命令(subpoena)だったりします。英国は、法執行機関、情報機関その他が、独自に命令を執行可能です。あと、行政命令という立て付けの国もあったはずです。

これらに対して、発令国が、海外のプロバイダに対して、提出を命令した場合に、その命令の米国内の効力が、どうなるの?というのがメインの論点になるかとおもいます。そんな命令は主権侵害でしょ、だす発令国のほうがおかしいじゃん、かというと、そうとはいえないわけで、プロバイダが発令国に(営業)主体をもっていれば、その主体に対して、提出しなさい(保存場所をとわない)というのは、当然のように思えます。(MS事件が、この発令国・データ所在国が逆の場合)

(2)命令と国内法の矛盾
この場合に、海外発令の命令に従う場合の免責効力(104条)がないと、マークリッチ事件(裁判所侮辱とスイスの預金者保護の矛盾が発生した事件)のようなことになります。要は、提出に応じると米国で、個人情報漏洩だといわれて刑事罰、提出しないと、発令国で、裁判所侮辱です。(類似の事案として、Nova Scotia事件とかもあり、これも別のエントリでふれるべき事案ですね)

ちなみに、105条は、内容という文言がなくなっていたりして、解釈的には、どうなんだろうかと考えたりもするところです。
データに外国の法執行機関がアクセスしたとして、それに対して、このCLOUD法は、それを米国の執行管轄(主権)の侵害と考えるのだろうか、何か、語っているのだろうかという論点があります。

(3)データへのアクセスと執行管轄
一国の国の内部で保存されているデータについて、そのデータのアクセス管理権限について、管理者の意図に反してアクセスすることは、執行管轄権(主権)の侵害になるのか、という論点があります。この点については、ブダペスト条約(サイバー犯罪条約)の制定の際に、議論がもっとも白熱したところです。(クラウドなので、場所が特定できないというツッコミはなしで-ただ、)。
この点については、マリア博士の博士論文を紹介したところにも関連します。基本的には、主権侵害と解する立場のほうが多いです。わが国では、国外保存がわかったら、捜査はしないというのが実務ですね。

この論点は、実は、いま、またホットになりつつあるような気がします。「アクティブ防衛」という用語のもとに海外における証拠の直接取得が議論になりつつあります。オランダ政府は、法執行機関における海外の所在不明のクラウド上の証拠取得を認めていたりします。このCLOUD法は、(なんらの認証行為をへていない段階においては、)それを米国の執行管轄(主権)の侵害としているように思えます。

あと、この論点を聞くと、実務家だと、証拠開示手続のコモンロー国とシビルロー国の対立を思い出します。米国は、外国の手続に関連して、地方裁判所が、ディスカバリ命令を発令するかという点についての争いがあって、いわゆるインテル基準によって多判断がなされているということもあります(この点については、また、別のエントリで、ふれます)。

(4)行政協定

そもそも、日本の枠組みでいえば、刑事に関しての相互共助になります。刑事共助とは、「一般に、外国の刑事事件の捜査、訴追
等に必要な証拠(証言、供述、物件等)が自国にある場合に、当該外国の要請により、当該外国の捜査当局に代わってこれらの証拠を取得し、提供することなど、刑事分野における国家間の協力」をいいます。

この点については、この「欧州 27 か国への刑事共助ネットワークの拡大 ~日・EU刑事共助協定~」が資料としてわかりやすいです。

でもって、わが国の枠組みとしては、
ア)刑事共助条約を締結していれば、その条約に基づいて。
イ)締結していない場合については、原則として、外交ルートを通じて国際礼譲による捜査共助を要請
ウ)日本政府が、外国の刑事事件の捜査に必要な証拠の提供等について外国政府から協力を求められた場合、「国際捜査共助等に関する法律」に基づき捜査共助を実施し得る
ということになっています。

わが国では、条約もしくは、外交ルートが、このような刑事捜査の枠組みであるのに対して、CLOUD法は、行政協定での命令の効力を認めるということになります。保存されたデータへのアクセスが、国民の権利義務に関するものであるとすれば、行政協定で、自動的に、外国の命令に効力を認めるというのは、なかなか理解しがたいところかとおもいますが、第三者にゆだねられているデータというのは、プライバシの「合理的期待」としては、低いし、そのレベルを決めるのは、法的な権利義務の問題とはいわないとすれば、行政協定ということになるのかもしれません。難しいところです。

(5)外国の命令の効力

この外国の命令の効力が、アメリカ国内でも認められるということは、法的には、その提出によって他の法的義務の不履行に対する抗弁となりうるということと、発令国において、不履行に対する制裁が、アメリカにおいても正当なものとして認識されるということになりそうです。

また、当然ですが、そのような命令をもとに、米国内で、外国命令を執行しようとしても、その執行行為は、米国における主権を侵害するものではない、ということになるかとおもいます。

この帰結になってきますが、たとえば、米国内のプロバイダに名誉棄損の証拠が存在している場合に、被害者が、被害届けを提出し、法執行機関が、その被害者の居住国のプロバイダの現地法人に対して令状や開示命令をもとめた場合に、その国の司法機関は、米国に所在するデータに対して開示する旨の命令を発令することは実益としても存在するということになってきます。
この発令国と米国とで、認定される行政協定が締結されていれば、その命令が直接に米国で執行されうるということになります。
(プロバイダーに対して命令が行われる)

将来的には、発令国において、その命令の行為が、海外に対して、一定の手続のともに、直接に証拠取得をなす行為が許容されているような場合については、そのような行為(たとえば、侵害行為に対して、追跡の上、盗まれたドキュメントにビーコンを埋め込んで追跡するような行為)が許容されていれば、米国におけるデータに対してのアクセスも許容されるということになりそうです。そのような法的枠組みが行政協定として認証されるのか、という問題はありそうですが、このような発展性のある法であるということは認識しておくべきだろうとおもわれます。

ということで、かなりの難問であり、またた、米国における捜査と開示の実務については、まったく実務の感覚がないのにかかわらず、分析するのは、極めて困難ですが、分析としては、このようになるのかなというところです。

カテゴリー: 情報セキュリティ, 通信の安全/プライバシ | CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」するか?(下) はコメントを受け付けていません。

CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」するか?(中)

104条は、「現在の通信法に対する追加修正条項」です。

119章の2511(2)条に、電気通信サーヒスのプロバイダーが、2523条を満たす行政協定に従った外国政府の命令に応じて通信内容を傍受し、開示することは、違法ではない。などの規定を追加し、その上で、この場合の開示等においては、プロバイダーが責任を負わないこと/裁判所命令に応じた場合が抗弁になることを記載しています。

105条は、外国政府によるデータへのアクセスについての行政協定です。

119章の2523条に外国政府によるデータへのアクセスについての行政協定を追加するという条項です。
(a)項の定義のあと、(b)項は、行政協定の要件というタイトルです。

そこでは、司法長官が、以下の事項について、国務長官の賛同を得て、以下の要件を満たす協定であることを認定して、議会に対して書面で、提出します。

その場合に判断される要件としては、
(1)外国の法が、プライバシー・市民の自由についての堅固かつ手続的な保障を有しているかどうか、
(2)外国政府がUSシチズンに関する情報を収集・維持・拡散を最少限化する適切な手続を採用しているかどうか、
(3)協定の条件が、暗号の解読の義務づけ等の義務を課すようなことがないこと
(4)外国政府が、その所在をとわず、米国パーソンを標的にしえないこと(AおよびB項)、外国政府によってなされる命令が、重要犯罪の防止、探知、捜査、起訴のためであること、人名、アカウント、住所、機器などによって特定がなされること、国内法に準拠していること、法的な根拠にもとづいてなされること、裁判所によって命令が審査されること、傍受に関する命令については種々の限定事項に関する命令によること(以上(D項)、外国政府は、相互保障のあるアクセス権限をみとめること(I項)、などです。
(c)項は、司法審査からの排除をうたっています。ただし、議会は、審査をなすことができます((d)項(4))。

また、司法長官は、行政協定を5年ごとに見直します((f)項)。

106条は、解釈の規則で、18巻の3512条、28巻の1782条に従う共助要請を排除するものと解されてはならないとされています。

さて、基本的な考察のための材料が揃いました。

この法律をどのような意味をもつものとして考えるのかについては、次のエントリで検討してみましょう。

カテゴリー: 情報セキュリティ, 通信の安全/プライバシ | CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」するか?(中) はコメントを受け付けていません。

CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」にするか?(上)

「米国でCLOUD法成立、政府は企業が保有する個人情報を容易にアクセス可能に」という記事がでています。

プライバシー関係の法に関するネットの記事は、条文にあたらないで、意図的な法律家の妥当ではない解釈に基づいたコメントを集めただけのがよくあるので、このような記事を見たときは、疑ってかかったほうがいいです。

日本でも、「ネットワーク監視法」騒ぎは、サーベイランス(通信途上の監視)とプリザベーション(過去記録の保全)を意図的に混在させる法律家(日弁連ともいう)が、社会を混乱させましたね。教訓にしましょう。

でもって、CLOUD法です。結論から言うと、この法律に素人さんは、コメントしないほうがいいとおもいます。

その理由ですが、条文を以下に述べていきますが、みてもらえれば、わかるとおもいます。

法律自体は、2018年統合適用法(とでもいうのかな)(Consolidated Appropriations Act,2018.)(条文自体が、2232ページ)のなかで、最後のディビジョンVの部分 CLOUD法に記載されています。(2201ページから)

各条文を見ていくと

101条は、タイトルです。「適法なデータの国外利用の明確化法(‘Clarifying Lawful 4 Overseas Use of Data Act’’ or the ‘‘CLOUD Act’’.)」といいます。

102条は、議会の現状認識(CONGRESSIONAL FINDINGS. です。
議会としては、
(1)通信プロバイダーの保有するデータへの適時のアクセスの重要性
(2) そのようなデータへのアクセスの可能性は、米国の法域に属するサービスプロバイダによって外国においてカスタディ、コントロールまたは、保存されているデータに対してアクセスが可能ではないことによって 害されている(being impeded)
(3) 外国政府は、米国のプロバイダーによって保存されている電子データに対してアクセスを求めていることが増加していること
(4) 電気通信プロバイダーは、外国政府からの電子データに対する提出要求に対して、米国法が、開示を禁止しているのに、法的利害衝突を感じること
(5)外国法は、 保存通信法が開示を拒絶する場合においてと同様の利益衝突を生み出しうること
(6)米国と外国政府が、法の支配とプライバシと市民の自由の保護の観点から、共通のコミットメントを共有する一方で、国際的合意が利害衝突に対して解説策を提供しうること 
としています。

103条は、「記録の保存(preservation)、法的プロセスの相互の互譲(comity)」です。

(a)項で、要求と通信および記録の開示、(b)項で、有線ないし電子通信の内容を求める法的プロセスの互譲分析について定めています。

(a)項は、合衆国法典18巻、121章2713条で、「保存(preservation)、開示等の義務に関しての保存通信法の改正条項」を追加します。具体的には、「電気通信プロバイダー等は、通信、記録、情報が、米国内に存しようがしまいが、本章に定める義務に準拠して有線・電気通信の内容の保存、バックアップ、開示しなければならない」としています。(これによって、条項の一覧も追加)

(b)項は、法的プロセスの互譲(comity)の規定をおいています。
具体的には、同2703条に、(h)項として 「有線ないし電子通信の内容を求める法的プロセスの互譲分析」を追加します。

その(1)は、定義規定であって、「認証外国政府‘qualifying foreign government’」「USパーソン(United States person)」の定義をそれぞれ定めます。

(2)は、電気通信サービスのプロバイダーが、本節の手続にしたがって開示を求められた場合の棄却もしくは変更の申立の規定です。(A)は、一定の場合にプロバイダーがそれらを求めることができるという権限に関する規定、(B)は、裁判所が、棄却もしくは変更を認めることができる場合についての規定です。具体的には、プロバイダーが、外国の法に違反することになる場合、総合的事情の判断のもとに、棄却もしくは変更がみとめられるべき場合であって、顧客等が、USパーソンではなく、合衆国に居住しない場合に、そのような判断をなすことができるとされています。

(3)は、互譲分析で、上の(2)の判断をなす場合の総合的に考慮されるべき事情を述べています。具体的には、(A)開示を求める調査の利益を含む合衆国の利益、(B)開示の禁止を解除することについての認証外国政府の利益(C)プロバイダーに課せられた相矛盾する法的要求に関して制裁が結果として課される可能性、程度、性質(D)通信が求められている顧客等の場所、国籍、彼らの合衆国との関連性、(外国において3512条に基づいて手続きがなされている場合)その外国との関連性、(E)プロバイダーが、合衆国に対して有する関連性および合衆国における存在、(F)開示が求められる情報の調査における重要性、(G)適時であって効果的なアクセスであって、より重大な否定的な影響を惹起しない手段による開示の可能性、(H)3512条に基づいて外国政府のために手続きがなされている場合において、援助要求をしている外国政府の調査の利益、があげられています。

(4)は、プロバイダーは、争っている場合において、裁判所が、特段の定めをしないかぎり、保全をなさなくてはならないが、開示を義務づけられないというものです。

(5)は、(A)認証外国政府における組織に対して、電気通信プロバイダー等が、この法的手続がなされていることを開示することは、保護命令(2705条)違反にはならないこと、(B)や(C)は、上記の保護命令の規定やコモンローの互譲分析を変更するものではないこと、を述べています。

以下、104条以下は、次のエントリです。

カテゴリー: 情報セキュリティ, 通信の安全/プライバシ | CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」にするか?(上) はコメントを受け付けていません。

オランダの責任ある開示ガイドライン

オランダのサイバーセキュリティのページをみていたら、「責任ある開示」のガイドラインに遭遇しました。

構成は、

1 脆弱性とは何か(Wat is een kwetsbaarheid)

2 責任ある開示(Responsible Disclosure)

3 責任(Verantwoordelijkheden)

4  責任ある開示のための基礎固め(Bouwstenen voor Responsible Disclosure)

この部分は、

4.1 組織

4.2 報告者

4.3 NCSC

となっています

機械翻訳を使って意味をみてみると、組織がみずから、脆弱性情報を受領する体制を整えて、報告者は、それに対して報告する、そして、組織と報告者でもって合意をなして、利用者に効果的に脆弱性情報を伝えるためにNCSCが一定の役割を果たす(報告書と組織のコミュニケーションの仲立ちもするようですが)という仕組みに見えます。

日本の早期警戒パートナーシップが、IPAやJPCERT/CCの積極的な役割を前に打ち出していたのに比較すると、NCSCが控えめな役割と見えるかも知れません。

具体的に、どのように動いているのか、聞いてみたいような気もしますね。

なお、このガイドラインは、2012年のようですLetter of the letter of the Responsible Disclosure

カテゴリー: 情報セキュリティ, 脆弱性対応 | オランダの責任ある開示ガイドライン はコメントを受け付けていません。

JNSAセキュリティ十大ニュース

JNSAセキュリティ十大ニュースがでています。

個人的には、チャットボットを作ったこともあって、AIが完全に次の30年の大きなテーマになるだろうと直感した年でしたね。AIによる攻撃とAIによる防御でしょうね。

(ただ、AIといったって、どんな技術かという話なので、だまされてはいけませぬ。偽陽性とかもあるからね。)

IoT(10月4日 総務省が「IoTセキュリティ総合対策」を発表

個人的には、なぜ、MICの対策のみ?という感じですけどね。産業ITまわりとかで、イルベス元大統領がきたイベントとかも含めて、IoT全体とセキュリティに注目がなされたという位置づけでしょうか。

ランサムウエア(5月14日 IPAがランサムウェア「WannaCry」に関する注意喚起を発表 )

あたりが上位にきています。当然の結果ということでしょうか。ランサムウエアは、大きな問題ですね。

あと、時期の関係で入りませんでしたけど、BECの問題は、インパクトがありました(ブログだと、BEC v. SCAM

番外だと、政府関係者の経歴な話もありそうです。まあ、セキュリティ業界は、ホラと現実のバランスの上になりたっているなんていう自虐的な感じもしてしまいますが。

法的なテーマとしては、

12月20日 米国、サイバー攻撃に北朝鮮関与を断定(私のブログだと、「「ワナクライ」北朝鮮の国家行為と認定」)

10月31日 セキュリティ会社員がウイルス保管容疑で逮捕(同じく「お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について という会社のコメントについて」

ですね。

来年は、何が話題になるのでしょうか。

国家行為は、当然にエスカレートするでしょうね。(リアルな武力紛争時のサイバーの法的問題とかも起こりそうです。起きないことを望みますが)

宇宙まわりのセキュリティも出てくるかもしれません。(GPSを狂わせるとかが、起きたりとかね)

 

カテゴリー: 情報セキュリティ | JNSAセキュリティ十大ニュース はコメントを受け付けていません。

宇宙-サイバーセキュリティの最後のフロンティア ?(下)

チャタムハウスの「宇宙-サイバーセキュリティの最後のフロンティア ?」の報告書の最後の部分になります。

5章は「国際的協調の促進と他の政策手段(Promoting International Cooperation and Other Policy Measures)」です。

宇宙サイバーセキュリティレスポンスの原則

これは、体制と定義される伝統的なアプローチによるとされています。

政策の要求事項

種々懸念に関する要求を合わせる ものとなる。結局、関係者の共通の野望に対応するものとなり、ガバナンス、マネージメント、包含の原則によって発展され、促進されることになります。

体制行動のタイプ

宇宙サイバーセキュリティの運営・実装における重要な追加の原則および行動のタイプは、敏捷性およびイニシアチブ、行動者の中立性、リスクマネジメントです。

結局、ベスト・プラクティスをあげるとなると、以下のようになる。

意識を向上させる、

警戒(vigilance)を促す。

依存関係の特定。

脆弱性を認識する。

復元力と対応力を構築する。

将来的なハードウェアとソフトウェア。

調達戦略を策定する。

規制要件の特定。

軍事および民間の知識交換を含む経験の共有。

ベストプラクティスを確立する。

6章は、サイバーセキュリティ体制の実装(Implementation of a Space Cybersecurity
Regime)です。

そこでは、関連する国際組織やメカニズムというのは、ないために、宇宙のサイバーセキュリティの枠組みは、早急に、宇宙サプライチェーンとその提供物と調和される必要があります。

ワッセナーアレンジメントと二つの国連のプロセス(GGE-Space、GGE-Cyber)で発展しています。さらに、COPUOSにおいて宇宙とサイバーのガイドラインが議論されています。

これらの検討をもとに、7章において結論と推奨事項になります。

推奨事項としては、上記の10のベストプラクティスが詳細な事項とともに検討されています。

 

 

 

 

 

 

 

 

 

 

カテゴリー: 宇宙法 | 宇宙-サイバーセキュリティの最後のフロンティア ?(下) はコメントを受け付けていません。

宇宙-サイバーセキュリティの最後のフロンティア ?(中)

引き続いて、チャタムハウスの「宇宙-サイバーセキュリティの最後のフロンティア ?」の報告書をみていきましょう。

4章は人工衛星に対するサイバー脅威の技術的側面です。ジャミング、超物理的サイバー攻撃、なりすましが紹介されています。

ジャミングは、通信手段である信号を妨害することによって接続を困難にする試みをいいます。短波放送等で、聴取を邪魔するようなノイズ放送がながれているのもこのジャミングです。
報告書においては、衛星と受信者のいわば、「ダウンリンク」でなされるジャミング(地上ジャミング-Terrestrial jamming)と地上施設と衛星の間のアップリンクでなされるジャミング(軌道的ジャミング-Orbital jamming)に分けられます。
地上ジャミングは、テレビとラジオの受信が困難になりますし、また、携帯電話の通信/インターネット接続を困難にするということも可能になります。これは、安価で、邪魔―は、身元を簡単に隠せます。その一方で、現実的に妨害にある電波を送信することが困難であるということもいえます。
軌道的ジャミングは、地上局から、衛星に向けての通信を妨害するものです。これは、場合によっては、衛星が適切に機能を果たせなくなるということも起こり得ます。
また、ジャミングの信号は、付随的な影響を及ぼすこともありえます。

超物理的サイバー攻撃(Beyond physical cyberattacks)というのは、通信・ナビシステムの脆弱性を悪用する巧妙な攻撃手法です。結果としては、広範囲にわたるサービス妨害、標的のインテグリティ障害、そして、それらによってアプリケーションにおいて危険を惹起することになるです。
PNT(precise positional, navigation and timing -衛星即位システムサービス) は、即位測量・航行支援・時刻同期に関する単角システムで、10m-1ミリの測位精度を得られ、超高精度の 時刻情報を得られるシステムですが、これは、GNSSにより依拠しています。
そして、GNSSシステムは、無線や固定の通信ネットワークの同期のようなアプリケーションに利用されています。この同期精度が高いことは、電気通信事業者の単位時間あたりの接続呼の収入の差、金融の電子取引に決定的な差をもたらすとされています。
GNSS衛星からの信号は、受信機に対して非常弱い信号で伝え綿目に、ジャミングに対して弱いとされています。北朝鮮が、ソウル領域に対して、ジャミング攻撃をなすことによって携帯電話ネットワークを含めて、通信が脆弱になっているとされています。(もっとも、公共サービスや軍事レベルのGNSSは、種々の技術で堅固になっています)。

なりすましは、やりとりされる通信の情報を操作し、インテグリティを侵害するものである。ジャミングを超えて、信号を虚偽の信号に変えてしまう。なりすましが成功すると、国家の電力グリッドを標的として、損害を与えること/高頻度取引を標的として、間接的な経済損害を与えることに、成功してしまう。

同報告書は、国際的インシデントおよび脆弱性の意識(19頁)で、米国のGPSシステム、ロシアのGLONASSシステム、ヨーロッパのSBASシステム、EGNOSシステム、新しいGalileo、中国のBDS、BeiDou-2、インドのNAVIC(前は、IRNSS)、IRNSS-1G、日本の Quazi-Zenith Satellite System (QZSS)があること、そして、相互の干渉によって、15のGPS衛星の信号が、13マイクロ秒不正確であったこと、電気通信会社は、chronosのクライアントは、12時間数千のシステムエラーに悩まされたこと、また、BBCのラジオ放送にも影響を及ぼしたこと、にふれています(20頁)。

また、国際紛争が、原価・深刻化するにあたっては、通信システムの脆弱性が、外向的・軍事的なキャッペーンに利用されうることが説明されています。軍事戦略と戦略ミサイルシステムは、衛星と宇宙インフラに依存し、ナビゲーション/標的/指令・コントロール/作成モニターなどを行っています。衛星に対するサイバー攻撃は、戦略武器システムのインテグリティを低減し、抑止体制を不安定化させてしまいます。また、地上からの管制システムに、バックドアが仕込まれて、それが乗っ取られてしまえば、衛星が、操縦されてしまうことも可能になります。この場合に、他の衛星に衝突させられることも起こり得ます。ソーラーパネルを動作させることができ、そうすると、太陽照射が、取り返しのつかない損害を与えうることもありえます(23頁)。他の衛星への衝突は、宇宙兵器といえるとされます。
2014年には、ロシアは、ウクライナが、ロシアのテレビ衛星の軌道を妨害していると主張しました 。
このような前提のもと、2011年米国のサイバー国際戦略は、軍事システムに対するすべてのレンジのサイバー脅威を把握し、対処することが必要であるとしているのです(21頁)。

民間衛星システムの脆弱性については、対処が必要であることは、いうまでもありません。2014年10月の米国の気象衛星システムに対するサイバー攻撃は、戦略的な宇宙資産の脆弱性を明らかにしています(21頁)。なお、そのときの新聞記事は、こちら です。
同報告書においては、特に、脆弱性についての多様な分析・評価が必要なこと、脆弱性の緩和が、デザイン・実装されることが必要になること、GNSSの脆弱性を収集し、対応策を実際に積み重ねることなどが必要であるとされています(22頁)。

カテゴリー: 宇宙法 | 宇宙-サイバーセキュリティの最後のフロンティア ?(中) はコメントを受け付けていません。

宇宙-サイバーセキュリティの最後のフロンティア? (上)

Space-Final FrontierといえばStar Trekのオープニングがながれてこないといけないわけですが、(オリジナルシリーズのファンの方は、こちらをどうぞ

英国王立研究所が、「宇宙-サイバーセキュリティの最後のフロンティア ?(Space, the Final Frontier for Cybersecurity? )」という報告書をだしています。この研究は、笹川平和研究財団とチャタムハウスのパートナーシップによるもので、「人工衛星のセキュリティ-サイバー攻撃への脆弱性」をテーマにしています。具体的には、サイバー攻撃が、人工衛星やその他の宇宙資産を破壊し、機能を妨げるか、政策と技術のブレンドによって、国際協調を促進し、問題を解決するための方策はなるかを議論することを目的としたものです(5頁)。

基本的な認識としては、世界のインフラ(通信、航空、海上運送、金融およびビジネスサービス、気象環境モニタリング、防衛システム)が、宇宙インフラ(衛生、地上局、データリンク)に依存している。具体的には、 global navigation satellite system (GNSS) にいろいろな仕組みが依存していることが紹介されています(3頁)。

この認識をもとに、とくに3章は、脅威、リスク、傾向を論じています。

脅威のマッピングにおいては、

宇宙技術の発展自体、宇宙に民間企業や個人が参加しうるものとなってきていること。また、この脅威自体、従前は、国/軍事組織しか問題を起こし得なかったものが、現在は、国際犯罪組織、テロリストグループなどが脅威を引き起こしうるものとなってきていることが取り上げられています(9頁)。

そして、衛星に対してのサイバー攻撃としては、ジャミング、なりすまし、通信ネットワークに対するハッキングがある。これらの結果として、衛星を乗っ取り、「兵器化する」ことも可能であること、また、制御システムやミッション・パッケージ、また、衛星コントロールセンターなどの地上インフラを標的とする、ことがあげられています(同)。

その結果、衛星およびその他の宇宙資産は、サイバー攻撃に対して脆弱である。宇宙におけるサイバー脆弱性は、地上における重要なリスクを提起しており、宇宙環境のセキュリティの問題は、経済発展の阻害事情となり、社会にとってのリスクとなる。
報告書は、サイバーセキュリティの観点から興味深い案件も紹介しています(10頁)。具体的には、ランドサット7号地球観測衛星が妨害をうけた事件(20072008年)、Terra AM-1地球観測衛星が、一日に2分間妨害をうけた事件(2008年)、重大なハッキングの後に、衛星データ情報システムがオフラインになった事件(2014年)などがあります。

具体的な脅威の技術側面等については、続きます。

カテゴリー: 宇宙法 | 宇宙-サイバーセキュリティの最後のフロンティア? (上) はコメントを受け付けていません。

BEC v. SCAM

日本航空の事件をめぐって、SCAMと呼ぶべきではないの、といわれたので、ちょっと考察。

自分としては、仮想通貨まわりのネズミ講(Pyramid Schemes)やポンジスキーム(Ponzi Sceme)をSCAMといっていたので、日本航空の事件をSCAMというのは、どうも、語感がぴんとこなかったわけです。

でもって、オーストラリアでは、競争・消費者委員会が、SCAMWATCHというページを運営しています。ここでは、SCAMのタイプを出しています。

具体的には予期せぬ金銭、予期せぬ幸運、偽チャリティ、デート・ロマンス商法、購入・売却、就職・投資、個人情報取得詐欺、脅威およびゆすり になります。

アメリカだとCommon Scams and Fraudsに、電話詐欺、銀行詐欺、国税詐欺、チャリティ詐欺、チケット詐欺、宝くじ詐欺、ネズミ講、税金ID窃盗、投資詐欺、国政調査詐欺、ポンジスキーム、政府資金詐欺などが載っています。

SCAMは、ペテンにかけるという語感が強くて、Fraudは、不正行為という語感が強いということでしょうか。

なので、BECは、このSCAMの一類型ということですね。

FBIは、このような警告のページをもっています。あと、「海外サプライヤーや企業と定期的に海外送金による支払いを行っている企業を標的とした洗練/巧妙な詐欺(SCAM )」と定義しています。プレスリリース。

トレンドマイクロさんは、「業務メールの盗み見を発端とした送金詐欺」の総称としています。報告書のページ

対策としては従業員の意識・リテラシの向上という方もいるようですが、それは、多分、困難なのではないかとおもいます。むしろ、定期的に海外送金を行っているのであれば、その送金先の変更のプロセスをどのように構築するか、ということだとおもいます。

オンラインで完結というのであれば、別個の認証の仕組みを事前に作っておくということもあるかとおもいます。また、アナログとの組み合わせも合理的かもしれません。

カテゴリー: 情報セキュリティ | BEC v. SCAM はコメントを受け付けていません。