先月のこと、NHKニュースが「総務省 IoT機器に無差別侵入」と報じたおかげで、一部のメディアが後追いし、プチ炎上して気の毒なことになっていた。その後もじわじわと延焼し、昨日になって、ひろゆき氏から「総務省のセキュリティ調査に「国が不正ログイン」と騒ぐ頭の悪い人たち」とのトドメ記事が出るに至った。これは最初のNHK報道が素人考えで偏向していたところに原因がある。
全国の家庭や企業にあるインターネット家電などいわゆる #Iot機器 に国が無差別に侵入を試みる。そんな世界でも例のない調査が来月から始まります。 #サイバー攻撃 対策の一環だということですが、実質的に不正アクセスと変わらない行為を特例的に国が行うことに懸念の声もあがっています。 #nhk #NW9 pic.twitter.com/9dX6bIoQIF
— ニュースウオッチ9 (@nhk_nw9) January 25, 2019
「通信の秘密に抵触するおそれも」専門家 総務省がIoT機器に無差別侵入し調査へ /【注目発言】NHK政治マガジン #政治 #nhk https://t.co/5ejCsed1mz
— NHKニュース (@nhk_news) January 28, 2019
なにこれ。例えるなら「鍵のかかってない家が多いらしいから、国が一軒ずつドアを開けて侵入してみます」ということ何ですが。
— 弁護士 小口 幸人 (@oguchilaw) January 26, 2019
こんな法改正が話題にならずに通ってたって、マスコミと野党何やってんだよ!
総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も NHK https://t.co/MsU3noh0Iq
「いつのまにそんな法案が!? 個人家庭のIoT機器への、国の無差別侵入「特定アクセス」を許す法案はこれでした。」をトゥギャりました。 https://t.co/lwGKWrDvqV
— 加藤郁美 (@katoikumi) January 26, 2019
あなたのPCに勝手に侵入 政府が“違法ハッカー”になる日 https://t.co/xq0lguPNGO #日刊ゲンダイDIGITAL
— 日刊ゲンダイ (@nikkan_gendai) January 28, 2019
どうやって調査するのか、その方法次第じゃないの?
— Justy (@i_justy) January 28, 2019
【国がIoT機器を“無差別調査”へ、改正法で容認も三上洋氏「国がやるべきことではない」 | AbemaTIMES】 https://t.co/ONsrLJr4u1
コメントのお詫び・訂正をブログに書きました/IoT機器の調査についてのコメント記事のお詫び https://t.co/1wadJUOP1I
— 三上洋 (@mikamiyoh) January 29, 2019
総務省がIoT機器を無差別調査 「国による不正アクセス」の指摘(東京新聞特報面)#総務省によるIOT機器無差別調査#国家による不正アクセス #1984の世界の具現化 #東京新聞特報面 #NSAとの連携か
— 透析テツ(脱被曝) (@tohsekitetsu) February 2, 2019
https://t.co/425CHR4v18
国によるIoT機器侵入調査、その名も「NOTICE」サイト公開 「不正アクセスではない」と理解求めるhttps://t.co/xi7XJZrQsi pic.twitter.com/95D8ZY5mT4
— ITmedia NEWS (@itmedia_news) February 4, 2019
総務省のセキュリティ調査に「国が不正ログイン」と騒ぐ頭の悪い人たち/ひろゆき #ひろゆき #総務省 #ハッカー https://t.co/EZeRDZhmHI
— 週刊SPA! (@weekly_SPA) February 10, 2019
最初のNHKニュースが素人の偏向報道だというのは、以下の点がである。
サイバー攻撃対策の一環として、総務省は家庭や企業にあるインターネット家電などのいわゆる「IoT機器」に無差別に侵入して対策が不十分な機器を洗い出す、世界でも例のない調査を行うことになりました。しかし、実質的に不正アクセスと変わらない行為を特例的に国が行うことに懸念の声もあがっています。
(略)
それによりますと、調査は家庭や会社などにあるルーターやウェブカメラなどのIoT機器およそ2億台を対象に来月中旬に開始し、無差別に侵入を試みて、初期設定のままになっているなどセキュリティー対策の不十分な機器を洗い出し、ユーザーに注意を促すとしています。
(略)
一方、調査では予想されるIDとパスワードを実際に入力して機器に侵入する計画で、本来は不正アクセス禁止法で禁じられている行為だけに専門家からは懸念の声もあがっています。
(略)
今回の調査は、実質的に不正アクセスと変わらない行為を行うことから、国は去年5月、情報通信研究機構の業務を定める法律を改正し、5年間に限って行うとしています。
改正された法律は去年11月に施行され、他人のIoT機器にIDとパスワードを入力するという不正アクセス禁止法で禁じられた行為について、今回の調査に限る形で認めています。
総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も, NHKニュース, 2019年1月25日
「懸念の声もあがっています。」というのが、いったい誰が言っている話なのか明らかにされていないが、「実質的に不正アクセスと変わらない行為」「本来は不正アクセス禁止法で禁じられている行為」と繰り返し書かれているのは、不正アクセス禁止法の基礎を理解していない。
工場出荷時の「ID:admin Password: admin」といった初期設定のままになっているID・パスワードは、不正アクセス禁止法の「識別符号」(2条2項)に当たらず、そのようなIoT機器は「アクセス制御機能」(2条3項)による利用の制限があるとは言えないのであり、このことが理解されていない。私にひとこと確認の電話があったなら、そう説明していただろう。
「侵入」という表現(「中に入る」の意)もよろしくない。不正アクセス禁止法が禁止している行為を住居侵入に喩える素朴な感想が昔から後を絶たないが、これらは同一視できるものではない。なぜなら、住居侵入罪における囲繞地とは違って、どこからが入ってはいけない領域なのかの区分け(そもそもどこからが「入った」と言えるのか)が、インターネットに接続された機器においては(アクセス制御機能に着目しない限り)明確にすることが困難*1だからである。アクセス制御機能によってその区分けをするしかなかったのであるから、アクセス制御機能がない機器は区分けしようがない(「侵入」の概念が成り立ち得ない)のである。
不正アクセス禁止法が制定される(1999年制定)までの経緯を辿ると、この法の趣旨が理解できる。
1980年代から、日本でも、コンピュータネットワーク(電話接続を含む)が普及したことで、遠隔操作によるコンピュータの不正使用が発生し、問題となった。1980年に、岡山大学計算機センターのコンピュータが電話回線経由でID・パスワードを破られて無断使用された事件があったが、どの犯罪類型にも該当しないとして立件されなかった。刑法は「利益窃盗」を不可罰としている*2からである。こうした事態を受けて「コンピュータ無権限使用」に刑事罰を科すべきではないかとの議論が活発となった。当時の感覚においてそれ自体は犯罪ではなかったのである*3。しかし、「無権限」をどう画定するかが難しく、結局は、アクセス制御機能(ID・パスワード)による制限を乗り越えたら違法とするアイデアが実を結び、不正アクセス禁止法の制定へと展開して行った。
つまり、不正アクセス罪は「人工的な」犯罪類型なのである*4。このことは、不正アクセス禁止法の立案担当者らによる逐条解説書においても、次のように説明されている。
不正アクセス行為の禁止、処罰の法形式について
特定の行為を処罰することとする場合、その法形式としては、「〇〇した者は、〇年以下の懲役又は〇万円以下の罰金に処する」というように特定の行為をしたものを処罰する旨規定するものと、特定の行為について一定の作為又は不作為の義務を課した上でその義務に違反した者又は義務に違反して一定の行為をした者に対して一定の刑を科す旨規定するものとがある。別の言い方をすれば、犯罪の構成要件を表示する方法として、両者の方法があることになる。前者は、刑法第二篇に定められているいわゆる刑法犯がその典型であり、その他、火炎びんの処罰等に関する法律、航空機の強奪等の処罰に関する法律等の処罰法令にみられるところである。後者は、一般の行政法規に通常みられる形態である(注二)。
両者の区分については、現行法上必ずしも明らかであるとは言い難いが、前者はいわゆる自然犯(刑事犯)を、後者はいわゆる法定犯(行政犯)を表すといわれている。これは、いわゆる自然犯は行為それ自体が法令で定めるまでもなく社会的に悪とされる行為であり、法令においては、特にその行為をしないように命ずるまでもなく、その行為を処罰する規定を設ければ足りるものであり、他方、法定犯は行為それ自体の当罰性は法令の規定による義務履行違反に求められるため、法令においては、義務を課す規定と義務違反を処罰する規定とを設けることが必要であるとの理解に基づくものであると考えられる。
このように解する場合、不正アクセス行為については、処罰することとすることが適当な行為であると認めらるにしても(略)、前法律的に反規範性を有する行為であるとまではいえないと考えられる。そこで、本法においては、不正アクセス行為の処罰については、犯罪の防止及び電気通信の維持*5という本法の目的を達成するために、本条第一項において「何人も、不正アクセス行為をしてはならない」との規定を置いた上で、第八条で同項の規定に違反した者を処罰する旨の規定を置くこととし、不正アクセス罪が法定犯(行政犯)であることを明らかにしたところである。
不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」(立花書房, 2001年10月)68頁
このように、不正アクセス行為は、行政的に禁止されているルールにすぎず、「前法律的に反規範性を有する行為であるとまではいえない」ものなのである。この法律の題名が「〇〇禁止法」となっている(「防止法」と呼び間違えられることが多いが)ことがそのことを端的に表している。
ところが、不正アクセス禁止法が運用されて20年近くが経ち、人々の間に「コンピュータの無権限使用は不正アクセス犯罪だ」との誤解が生じているように思われる。しかし、現在も、コンピュータの無権限使用自体は不可罰であり、そことは、この解説書でも以下のように説明されている。
1987(昭和62)年、コンピュータの普及に伴い、電子情報処理組織をめぐる不正行為が次第に増加しつつあったことから、この種の不正行為に対応するため、差し当たって立法的手当を要すると思われる諸点について、刑法に所用の処罰規定が新設された。その刑法の一部改正に際し、法制審議会では、‥甜的記録の改ざん(略)、電子情報処理組織に対する加害を手段とする業務妨害行為(略)、E纏匏彁撒,砲茲訃霾鷭萢によって、取引の決済、資金移動等が行われるシステムを利用した財産利得行為(略)、づ纏匸霾鷭萢組織により処理及び保存される情報の不正入手又は漏示を処罰の対象とする規定を設ける必要はないか、権限なく他人の電子情報処理組織を利用する行為を処罰の対象とする規定を設ける必要はないかの5つの問題を中心に審議が行われた経緯がある。
この5つの問題のうち、前三者については、従来の刑法の諸規定により(中略)ことから、緊急に刑法の一部改正により罰則を整備する必要があるとされた。
これに対し、後二者のうち、情報の不正入手及び漏示の問題に関しては、(中略)更に諸般の角度から検討を重ねる必要のある多くの問題が存するとして、また、いわゆるコンピュータの無権限使用に対する罰則の要否に関しては、刑法が、財物の占有移転や人に対する加害を伴わない無権限使用自体を処罰の対象としていないことから、コンピュータ以外の機器、システムの取扱いとの均衡を考慮するとともに、どのような観点から処罰の根拠、違法性の実質をとらえるべきかについて、今後なお諸般の角度から検討を要する事柄であるとして、いずれの問題についても将来の検討課題とすべきものとされた。(注一)
これらの趣旨に沿って刑法の一部改正が行われ、情報の不正入手及びコンピュータの無権限使用については、現在もなお処罰の対象とはされていないところである。(注二)
ところで、本法の規定により不正アクセス行為が処罰の対象となる結果、不正アクセス行為を手段として行われる情報の不正入手やコンピュータの無権限使用は、それぞれ不正アクセス行為の段階で処罰されることとなる。
しかしながら、本法は、言うまでもなく、情報の不正入手や電子計算機の無権限使用を処罰することを目的とするものではない。本法の目的は、前記の通り、アクセス制御機能に対する社会的信頼を確保して、犯罪の防止及び電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することにあり、それ自体が保護法益となるべきものである。
したがって、本法の不正アクセス罪においては、電子計算機に蔵置されている他人の情報を入手したり、他人の電子計算機を無権限で使用することは、成立の要件ではない。また、不正アクセス行為を手段としない情報の不正入手やコンピュータの無権限使用は、本法の処罰の対象に含まれていないところである。
このように、本法における不正アクセス罪の処罰は、法制審議会で問題とされた前記の事柄とは直接の関係を有しないものと言える。
不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」(立花書房, 2001年10月)23頁
したがって、冒頭に引用した弁護士の方のツイートにある「鍵のかかってない家が多いらしいから、国が一軒ずつドアを開けて侵入してみます」云々という批判は当たらない。家に喩えることが失当であるし、「侵入してみる」というような実質も関係しない。問題となり得るのは、あくまでも、人工的に作られたルールに違反しているかどうかだけである。
そして、IoT機器の管理者画面のパスワードが工場出荷時の初期設定のままである場合に、当該パスワードが不正アクセス禁止法の「識別符号」に該当しないというのは、以下の理由からである。
1号「識別符号」は、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号」と定義されている(2条2項1号)。IoT機器の管理者画面のパスワードの場合は、管理者も「利用権者等」の一人として自分自身に対して「その内容をみだりに第三者に知らせてはならないものと」している符号ということになる。「アクセス管理者」とは、「電気通信回線に接続している電子計算機(…)の利用(…)につき当該特定電子計算機の動作を管理する者をいう」(2条1項)とされており、IoT機器の場合、その設置者ということになる。
機器の製造者は「アクセス管理者」ではない。工場出荷時の初期パスワードは機器の製造者が付与したものであり、それをそのまま放置している設置者は、その存在をも認識していない*6とすれば、「アクセス管理者」たり得ず(そもそも「動作を管理」していない)、そのパスワードも「識別符号」に当たらないことになる。
(他方、機器のそれぞれに別々の初期パスワードが工場出荷時に設定されており、機器に貼られたシールなどに記載されている場合は、その初期パスワードが機器の設置者によって変更されていない状態であっても、機器の設置者がそのパスワードを自身の管理者パスワードとして是認していると言え、当該設置者が「アクセス管理者」として付与したものと見做すことができ、この場合は「識別符号」に当たると言えよう。今回はこのようなケースについては話題にしていない。)
次に、設置者がパスワードの存在を認識していて、取扱説明書に「ID: admin Passowrd: admin」と書かれているのを見て、全機共通の工場出荷時の初期パスワードであることを知りながら、あえてそのままでよいと是認している場合には、当該設置者が「アクセス管理者」として付与したパスワードと見做すことができるかもしれないが、「第三者に知らせてはならないものとされている」の要件を満たさず、1号「識別符号」に該当しないか、又は、アクセス制御機能による制限がないということになる。このことは、前掲の逐条解説書において以下のように説明されている。
(略)アクセス管理者や利用権者の符号の管理に絶対や完璧を求め、客観的におよそ第三者が知らないことを要件とすることは現実的でない。そこで、実際に第三者に知られていないことまでは必要とせず、「第三者に知らせてはならないものとされている」ことを要件としているものである。したがって、識別符号又は識別符号の一部であるパスワードがハッカーによりホームページで公開されるなどして第三者に知られてしまっている場合もこれが識別符号であることに変わりがない。ただし、このような状態をアクセス管理者があえて放置している場合には、もはや「アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている」とは言えないと解されることがあり得る。
不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」(立花書房, 2001年10月)44頁
識別符号であるID・パスワードがハッカー(原文まま)によりホームページで公開されて第三者に知られてしまっている場合など、利用権者等でない第三者が当該識別符号の入力による特定利用ができる状態があったとしても、アクセス制御機能により特定利用が制限されていることに変わりはない(略)。ただし、ID・パスワードが広く知られてしまっている状態をアクセス管理者があえて放置していて、誰でもそのID・パスワードを用いて特定利用をすることができるようになっている場合には、当該特定利用については、アクセス制御機能による制限がないと言わざるを得ないと解されよう。
不正アクセス対策法制研究会編著「逐条 不正アクセス行為の禁止等に関する法律〔補訂〕」(立花書房, 2001年10月)61頁
このように、「識別符号」による「アクセス制御機能」というのは、単にログイン機能という技術的な仕掛けの存否によって該当の有無が決まるのではなく、不正アクセス禁止法の趣旨に立ち戻った法的評価によって該当性が決まるのである。*7
以上のことから、NICTにこの業務を実施させるためにNICT設置法を改正するに際して、本来的には、不正アクセス禁止法の読み替え規定を置く必要はなかったと言うことができる。
「不正アクセス禁止法の読み替え規定」とは、改正NICT法附則8条(業務の特例)7項の「次の表」の2つ目のことである。
7 第2項から第4項までの規定により機構の業務が行われる場合には、次の表の上欄に掲げる規定中同表の中欄に掲げる字句は、それぞれ同表の下欄に掲げる字句とする。
不正アクセス行為の禁止等に関する法律第2条第4項第1号 を除く 及び国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第9条の認可を受けた同条の計画に基づき同法附則第8条第2項第1号に掲げる業務に従事する者がする同条第4項第1号に規定する特定アクセス行為を除く 国立研究開発法人情報通信研究機構法(平成30年5月23日公布(平成30年法律第24号)改正)
この規定は、不正アクセス禁止法が禁止する「不正アクセス行為」(2条4項1号)の定義から、NICTがこの法の規定に従い行う「特定アクセス行為」を除外するというものである。
NHKの報道が「実質的に不正アクセスと変わらない行為を特例的に国が行う」「本来は不正アクセス禁止法で禁じられている行為」と断じたのは、この規定を見て釣られたからだろう。このような規定を入れたばっかりに、悪目立ちしてしまった。この規定を入れずに「元々合法な行為である」で通していれば、NHKがしたような批判はできなかっただろう。
炎上を受けて、総務省はQ&Aを用意し、「このような調査は不正アクセス行為ではないのか」との問いに、「不正アクセス禁止法で禁止されている不正アクセス行為から除外されています。」との回答を用意しているが、これでは鎮火しないだろう。
「国による事実上の不正アクセス行為では」という指摘に対しては、「NICT法の改正により、今回の調査のために行うID・パスワードの入力は不正アクセス行為から除外されている」などと回答している。
FAQ よくあるご質問
問4 このような調査は不正アクセス行為ではないのか
ポートスキャンは不正アクセス禁止法で禁止されている不正アクセス行為ではありません。
NICTが実施計画に基づき、容易に推測されるID、パスワードを外部から入力し、サイバー攻撃に悪用されるおそれのあるIoT機器を特定することは、昨年改正されたNICT法※において、不正アクセス禁止法で禁止されている不正アクセス行為から除外されています。
(※)NICT法附則第8条第7項に規定
なぜなら、批判は、最初のNHKの報道からあるように、「本来的に犯罪である行為を、国が行うものを特例として、犯罪でないことにしてしまうなんて、言語道断だ。法改正したらどんな犯罪も国は許されるというのか。」(NHK報道への世間の反応から要約)というものなのだから、いくら、法改正で合法にしましたと説明したところで、納得してもらえない。
元から合法な行為であることを説明するべきであるし、また、不正アクセス禁止法が、防犯のための行政が決めたルールにすぎないのだから、行政が自ら(防犯のために)ルール変更することも普通のことなのだ(国家による犯罪を犯罪でなくしたわけではない)と、そういう説明が必要なところだろう。
とはいえ、話はそう簡単ではない。元から合法な行為なら、なぜ読み替え規定で上記の「特定アクセス行為」を「不正アクセス行為」の定義から除く必要があったのか。この規定を入れずに済ますことはできなかったのか。
実は確かにここに難しいところがある。上記のように、既知の工場出荷時共通初期パスワードだけを試すのであれば、元より合法と言えるとしても、この調査は何百万ものIPアドレスに対して機械的に行うのだから、アクセス先の機器がどこの製品なのかわからないうちにパスワードを試すことになるだろう。そうすると、Aという製品の工場出荷時共通初期パスワードとして知られている「admin」を試してみたところ、実際にはアクセス先の機器はAとは別のBという製品であり、その製品の初期パスワードは「admin」ではないが、設置者がアクセス管理をしていて、たまたまパスワードを「admin」に設定していたという場合があったとすると、上記の理屈で「不正アクセスではない」とは言い難い面が出てきてしまう。もっとも、「admin」などというパスワードは、前記の「アクセス管理者があえて放置している場合」に当たるとも言えなくもないが、ならば、製品Cの既知の工場出荷時共通初期パスワードが「xn283r72」である場合に、それを試して回る際に、別の製品Dの管理者パスワードとしてたまたま「xn283r72」を設定している管理者(製品Cのことを知らず)が居ないとも限らないじゃないか、などということが言えてしまう。
そのようなほとんど起き得ないことが起きてしまうのは「故意がない」とする整理も可能かもしれないが、さすがに、国の機関が実施するとなると、そのような整理では心許ないということになるだろう。ごく稀にしか起きそうにないことが起きる事態に備えて、結局は、不正アクセス行為から除外しておく規定は必要ということになる。
つまり、この読み替え規定は、念のために置かれた程度のものであって、不正アクセス禁止法の性質を本質的に変更するものではないと言うべきであり、NHKはそれを理解するべきであった。
以上、このように…………いや、そんなふうに考えていた時期が私にもありました。実はまだまだ話はそんな単純ではないのである。
今回の騒動をきっかけに、初めてちゃんと改正NICT法を読んでみた*8ところ、「特定アクセス行為」の定義に、こんな要件が混じり込んでいたことを知った。
一 特定アクセス行為 機構の端末設備又は自営電気通信設備を送信元とし、アクセス制御機能を有する特定電子計算機である電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備を送信先とする電気通信の送信を行う行為であって、当該アクセス制御機能を有する特定電子計算機である電気通信設備に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号(当該識別符号について電気通信事業法第52条第1項又は第70条第1項第1号の規定により認可を受けた技術的条件において定めている基準を勘案して不正アクセス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る。)を入力して当該電気通信設備を作動させ、当該アクセス制御機能により制限されている当該電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備の特定利用をし得る状態にさせる行為をいう。
国立研究開発法人情報通信研究機構法(平成30年5月23日公布(平成30年法律第24号)改正)
この強調部分は、「特定アクセス行為」で入力するパスワードがどういうものかを限定しているのだが、工場出荷時共通初期パスワードが規定されているかと思いきや、そうではなく、「不正アクセス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る」というのである。つまり、十分に強くないパスワードは全部対象だと言うのである。しかもその基準が、電気通信事業法52条(端末設備の接続の技術基準)に倣うというのであるから、もはや、当初目的*9と何の関係もない話になってしまっている。これは立法ミスではないのか。
その「総務省令で定める基準」がどうなったかを確認したところ、以下のように規定されていた。
(識別符号の基準)
第1条 国立研究開発法人情報通信研究機構法(平成11年法律第162号。以下「法」という。)附則第8条第4項第1号に規定する総務省令で定める識別符号の基準は、暗証符号を設定するものである場合、次の各号のいずれにも該当することとする。一 字数8以上であること。
二 これまで送信型対電気通信設備サイバー攻撃のために用いられたもの、同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの以外のものであること。
国立研究開発法人情報通信研究機構法附則第8条第4項第1号に規定する総務省令で定める基準及び第9条に規定する業務の実施に関する計画に関する省令
これは「満たさないものに限る」の基準であるから、NICTが入力するパスワードは、この否定、すなわち、「字数8未満であるか、又は、『これまで…サイバー攻撃のために用いられたもの……その他の容易に推測されるもの』」ということになる。「いずれにも該当」の否定は「いずれかに非該当」である点に注意したい*10。つまり、字数7以下のパスワードは全て対象!なのである。おいおいマジなのか!?
オンライン認証用のパスワードの場合*11、ランダム生成の文字列(英大小文字数字記号からなる)であれば、7文字でも十分な強度があると言える。それなのに、この省令は、7文字のパスワードはどんな内容であっても「不正アクセス行為から防御するため必要な基準」を満たさないとし、アタックするぞと言っているのである。
これではさすがに国民が反発するであろう。まさに前掲の批判の声にあった「国が一軒ずつドアを開けて侵入してみます」の様相を呈しているし、しかも、「鍵のかかってない家が多いらしいから」ではなく、「鍵のかかっている家であろうとも抉じ開けてやるぞ」という基準が規定されているのである。
これはないわー。ただ、実際にNICTがどのようなパスワードを入力するかは、「実施計画」に記載されているようであり、「附則第8条第2項に規定する業務の実施に関する計画の許可申請の概要」によれば、「特定アクセス行為に係る識別符号の方針」には、以下のように記載されているようであり、前掲の省令1条の、2号(の否定)相当のものだけで、1号(の否定)相当のもの(7文字以下の全部とかいう)の記載はないようだ。
黒塗りの幅から推測すると、総務省の調査で入力する識別符号は10個程度のように思える。 pic.twitter.com/rP1Jxugydt
— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) January 26, 2019
黒塗りをコピペしたら黒塗りの下の文書が復元できた。
— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) January 26, 2019
→ 本資料16〜19ページ参照
となっていたので、10個程度というのは間違い。 https://t.co/QT2kRsgPhY
特定アクセス行為で入力する識別符号の方針・方針に基づき入力する識別符号
(1) 特定アクセス行為に係る識別符号の方針
- 送信型対電気通信設備サイバー攻撃の実績のあるマルウェア(亜種含む)で利用されている識別符号
- 同一の文字のみの暗証符号を用いているもの(1111、aaaa等)
- 連続した文字のみの暗証符号を用いているもの(1234、abcd等)
- 連続した文字のみを繰り返した暗証符号を用いているもの(12341234、abcdabcd等)
- 機器の初期設定の識別符号(機器固有に識別符号が付与されていると確認されたものを除く。)
(2) (1)の方針に基づき入力する識別符号
(略)
総務省, 附則第8条第2項に規定する業務の実施に関する計画の許可申請の概要
つまり、当初目的*12は「機器の初期設定の識別符号」を対象に行うはずだったところ、どういうわけか、法律により、不正アクセス行為に(不必要に)大穴を開けてしまったものの、実施計画では当初目的に戻して、「機器の初期設定の識別符号」に準ずるようなパスワード*13のみを対象にすることになったように見える。
今回認可された実施計画からすれば、無難なパスワードのみを用いることとされ、「元々合法な行為である」とどうにか言い得るかもしれないが、省令上は、7文字以下のパスワードはどんな内容であっても対象にできることになっているので、この点を捉えて「国が暴走する」と危険視され続けることになりかねない。それを避けるには、省令を直ちに改正して、1条1号を削除したらよいのではないか。
とはいえ、1号を削除するわけにはいかない事情があるようにも見える。というのは、この省令で定める基準というのは、「不正アクセス行為から防御するため必要な基準として」(NICT法附則8条4項1号)であるので、1号の「字数8以上であること。」を削除してしまうと、2号のいう「これまで……サイバー攻撃のために用いられたもの、同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの以外」であれば、5文字や4文字程度のパスワードであっても「防御するため必要な基準」として適格と言っていることになってしまう(しかも、それが電気通信事業法第52条の「端末設備の接続の技術基準」を勘案したものだということになってしまう)ので、これは都合がわるい。何らかの強いパスワードの要件を(使わなくても)省令に入れておかないといけないということだったのかもしれない。
そうであれば、これは結局、法律の立案ミスということだ。本来、著しく弱いパスワードの要件を規定すべきだったところに、十分に強いパスワードの要件を書いてしまった。後から、著しく弱いパスワードだけ実施しようとしても、省令で辻褄を合わせられなくなってしまった。どういう経緯でこういうことになったのか。本来の目的がどの範囲にあるのかの認識をちゃんと共有できていなかったか、法制局にうまく対応できなくてねじ曲がったのではないかなどなど、立法技術学的に興味深い事例といえよう。
そうではなく、本気で初めから「十分に強いパスワード」でない機器の侵入テストを無差別に行うつもりでこう立法したというのであれば、現在聞こえてくる国民の非難の声は傾聴に値するものであり、今後も延焼し続けることになるだろう。
というわけで、鎮火させるならば、なすべきことは、本来合法的な行為に限っている*14*15ことを国民に説明することであるが、総務省らが今説明していることは、検査することの意義の説明ばかりで、強制的に「理解を求める」ものになってしまっているように見える。特に、理解を求めるためのポスターが作成されたようだが、これが悪手で、「家のカギかけるよな?」「サイフ置きっぱなしにしないよな?」などと書かれており、警戒する国民らの不信感を逆撫でするものになっている。
国によるIoT機器侵入調査、その名も「NOTICE」サイト公開 「不正アクセスではない」と理解求めるhttps://t.co/xi7XJZrQsi pic.twitter.com/95D8ZY5mT4
— ITmedia NEWS (@itmedia_news) February 4, 2019
「家の鍵はきちんとかけよう、セキュリティもしっかりしよう」というのは理解できるけど、国が確認して回るのはおせっかいが過ぎるのでは?腑に落ちない。 pic.twitter.com/gAIfrH82xm
— 876246 (@so6287) February 12, 2019
「家のカギかけるよな?
— アイヴァーン (@Ivarn) February 5, 2019
サイフ置きっぱなしにしないよな?
IOT セキュリティだけテキトーっておかしいだろ、ソレ!」
だからって、家の玄関開けて確認しないよな?おかしいだろ、ソレ!https://t.co/ILiJj0GRot #これはひどい
あと、サイフ置きっぱなしにしないよな?と聞かれたら、しないけどそれを盗んだら置き引きとちゃうの?とか('・ω・')
— アイヴァーン (@Ivarn) February 5, 2019
どうしてこうなった……。誠に気の毒だ。(-人-)
*1 もし、インターネットの世界を、住居侵入罪における囲繞地のように捉えるとすれば、家庭や会社のLAN内にある機器を対象とするといったことが考えられるが、そこにある機器の一部がインターネット側に露出している場合、それは機能としてあえてインターネット側から接続できるようにしている場合と区別ができない。
*2 山口厚「刑法における財物の意義」阿部純二他編『刑法基本講座第5巻財産犯論』(法学書院, 1993)は、その冒頭で次のように説明する。窃盗罪に「2項」(財産上の利益を客体とする利益罪)がないことから、刑法からあえて外されていることを指して「利益窃盗」の語が用いられる。
刑法235条の窃盗罪以下の財産犯の規定は財産を保護法益とするが、その財産は現行法上「財物」と(財物以外の財産である)「財産上の利益」の二つの形態に分けられている。強盗(236条)、詐欺(246条)および恐喝(249条)においては、1項で財物が、2項で財産上の利益がそれぞれ保護の対象とされ、この意味では財産は包括的に保護されている(「財産上の損害」を要求するに過ぎない背任(247条)においても同様である)。これに対し、窃盗(235条)、横領(252条以下)、賍物(256条)および毀棄(258条以下)においては財物(横領等における「物」も同様である)のみが保護されている。強盗、詐欺および恐喝においても、1項と2項のいずれを適用するかを決する点において財物の意義は問題となるが、窃盗や横領等においては、財物概念が処罰の範囲を決定するという点において重要な意味を有しているのである。
*3 南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(一)」日本法学第78巻第2号(2012年9月)84頁以下、同(二)33頁以下は、このことについて以下のように述べている。
1980年5月、マイコン・ショップの従業員が、岡山大学助教授の同大学計算機センター登録番号(ID)とパスワードを入手し、これを用いて数ヶ月の間、のべ45時間にわたり電話回線経由で同センターのコンピュータにアクセスし無断で使用していた(使用料約16万円)ことが発覚した。1981年8月、某公団職員らが、全国高等学校野球選手権大会の試合に関して、現金合計16万円余りを賭けて、いわゆる「野球トトカルチョ」と称する賭博を行い、その際、賭け金の計算処理を行う特別のプログラムを作成した上、どう公団のコンピュータを不正に使用していたことが発覚した。いずれも、コンピュータの不正使用については適用条文を欠くため立件されなかった(53)。
このような利用権限のない者によるコンピュータの不正使用——マシン・タイムの盗用とも呼ばれる——は、一台のコンピュータを並行して同時に複数のユーザが利用できるタイム・シェアリング処理を用いて、本来の業務で稼働中の運転コストの高額なシステムを、不正に対価を支払わずに使用することとなる点で、ある種の「利益窃盗」とみることができる。そのため、発覚した事案のような大型のコンピュータでなくとも、勤務先のコンピュータを私的な目的で使用したり、外部から電話回線等を介して接続して使用したりする行為も含めて、処罰するためのいかなる刑罰法令も存在しなかったのである。しかし、この「無権限使用」の問題性は、他人の所有するコンピュータという重要な「資源」を無断で利用することに重点があるのではなく、利用するために無断でシステムに侵入するという側面にあったというべきであろう(54)。
すなわち、上のコンピュータの無権限使用や、データの不正入手、データ・プログラムの消去や改ざんなどの多くの不正行為は、コンピュータ・システムへの不正な侵入(無権限のアクセス)を手段に行われるのであるから、犯罪化の要否が検討されなければならないのは、ハッキングなどの不正なアクセス行為ということになる。(略)
南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(一)」日本法学第78巻第2号(2012年9月)84頁
(1) 不正アクセス禁止法制定の背景
すでに見たように、1987年改正の際、コンピュータ・システムへの不法侵入(不正アクセス)行為については、今後の検討課題として犯罪化が見送られた経緯がある。そこでは、不正アクセスは結局のところ、データの不正操作・不正入手、コンピュータの無権限使用・破壊といった諸類型の予備的手段であり、コンピュータの情報処理機能に対する実質的加害とは必ずしも言えないということが理由とされた(74)。外部からのコンピュータへのアクセス行為が管理されている状態は、未だ刑罰的保護が必要なものとは評価されなかったのである。
しかし、1990年代半ば以降のインターネットの急激な普及により状況は一変する。(略)
1987年改正以来の状況の変化が、ネットワーク外部からのコンピュータへのアクセスが管理されている状態自体を刑罰で保護すべき、との認識を導いたといってもよい。無権限のアクセスを財産犯罪等の予備的な行為とする認識(78)は、ネットワーク社会の発展段階が、適正なアクセスコントロールが及んでいる状態自体に刑罰による保護の必要性を認めるほどに達していなかったからにほかならない。
南部篤「コンピュータ・ネットワークに関連する犯罪と刑事立法(二)」日本法学第78巻第3号(2013年2月)33頁
*4 この罪が刑法典に盛り込まれず、警察庁・総務省・経済産業省が所管する行政刑法によって創設されたことは、構想前段階における議論において以下のように書かれていた点が興味深い。
情報の不正取得や漏示を犯罪化する規定を刑法典の中に入れることについては、外部に強い反対があり、又人間の自然的な反倫理行為を基本として法文化している刑法の中に、新しい社会現象であるコンピュータ関連犯罪の、しかも一昨年の刑法改正で積み残された部分に関する規定を入れることについては心理的な抵抗感もあって、当委員会で刑法改正の提案をしても、法務省は積極的に取り込もうとしないのではないか。
コンピュータ情報の不正取得・漏示に関する法制的対応——検討過程の中間報告——, 情報セキュリティと法制度調査研究委員会レポート, 日本情報処理開発協会(1991年3月)
*5 原文ママ。同書第2版(立花書房, 2012年7月)では、「電気通信に関する秩序の維持」(78頁)に修正されていた。
*6 設置者が管理者画面を使っていない機器も存在し得るし、さらに、製造者も公式には認めていない裏の管理者ログイン機能が存在する機器の事例もある。
*7 このことが意外に思われるかもしれないが、こうした不正アクセス禁止法の趣旨を巡っては、20年前から度々議論になっていた。「アクセス制限されていないものは、誰でも見ることができるのだから、不正アクセスとしてはいけない。」といった論調であり、2002年には、ググっただけで名簿のCSVファイルが見つかるWebサイトがたくさん発見され、2ちゃんねるにそのURLを暴露される事案が続発したことがあり、暴露されたWebサイト管理者は「不正アクセスされた」と警察に被害を訴えたが、警視庁が「名簿を道端に置くようなもの」「法的に不正アクセスと判断できるものはない」と一蹴(中日新聞2002年7月4日朝刊「相次ぐ個人情報流出 “お寒い”企業の危機管理 警視庁『道に置くのと同じ』」)して被害届を受理しなかったという事案があった。他方、2003年にはACCS不正アクセス事件があり、これはディレクトリトラバーサル脆弱性を突いて非公開ディレクトリのファイルをブラウザで閲覧したものであったが、これが刑事事件となって東京地裁で有罪判決(控訴取り下げ確定)が出たところ、「正義の脆弱性指摘が目的であればアクセスは許されるべきである」的な声が噴出(一例としてINTERNET magazine 2004年7月号 73頁)し、「日本はこの法律のせいで脆弱性発見ができなくされた」的な声が度々出るようになった。私の見解としては、目的によって正当化することはできず、この人工的な行政ルールに違反しているか否かだけが問題となるのがこの法律であるというもので、この事件における構成要件該当性の当否は「不正アクセス行為の2つの文理解釈について」(情報ネットワーク・ローレビュー第5巻1号37頁以下, 2006)で論じた(結論は「どちらとも言い得る」)。この事件と同じ時期にIPAに脆弱性届出制度ができたが、その運用においては、違法な手段により発見されたものは受け付けないとしつつ、適法な手段による発見手段は多々あるとして、そうした適法手段による発見の実績が積まれてきていた。しかし、それでもなお、いくつかの種類の脆弱性(ディレクトリトラバーサルやSQLインジェクションなど)については、違法な手段でなければ発見できないという声があり、不正アクセス禁止法がそうした「正義の」発見を萎縮させているという主張は繰り返し耳にする状況があった。そんな折の2014年、月刊FACTAに「上場企業5割に「サイバー脆弱性」天才ハッカー「ドラゴン・タトゥーの女」のように侵入できるか。本誌のテストで愕然とする結果が出た。」(FACTA 2014年11月号)との記事が掲載され(それに対する当時の反応として「とあるセキュリティ企業、上場企業100社に対し無断で攻撃を行っていた?」)、さらに続いて翌月「「サイバー脆弱性」霞が関は落第 ようやく「サイバーセキュリティ基本法」が成立。だが、システム音痴の政府機関のサイトは穴だらけだ。」(FACTA 2014年12月号)との記事が出た(それに対する反応として「FACTA、今度は政府機関にサイバー攻撃を仕掛ける」)。これらはスプラウト社が行ったことが明らかにされている。スプラウト社のことはよく知らなかったが、当時、有力政治家をバックに摘発されない自信がおありなのか、これに挑戦されていたようだった。警察の捜査があったかは知らないが、摘発されてはいないようである。後にHagex氏が刺殺される全く別の事件(2018年)があり、初めてHagexこと故岡本氏のスプラウト社でのご活動の理念を知ったが、後になって思えば、「正義の」ハッカー活動を積極的に推進していきたいという強い意思が同社にあったのであろうかと思った。このように、不正アクセス禁止法で禁止されている「不正アクセス行為」というのは、単純に住居侵入に喩えることのできないものであり、素人目にパッと見「不正アクセス行為」のように感じられるものであっても、正確にはこの人工ルールに違反していない場合もあるという性質のものなのである。このFACTA事案の際に、正義の脆弱性発見行為を全て合法化せよ的な声も耳にした気がするが、そのとき私が考えたのは、「いくつかの適法な発見手段を正式に法令化するという手はあるかもな」というものだった。それと同時期、IoT機器の工場出荷時共通初期パスワードが問題になりつつあり、それを発見する行為は正当なものだという声を耳にしたような気がする。そのとき私が考えたのは、上記のように「識別符号に当らず、アクセス制御機能による利用の制限がない」ということだった。これらのことがNICT法改正に繋がっているのか無関係なのかは知らない。いずれにせよ一つ言えることは、一般の人々が発見することを正式に合法と認めて欲しいという声があったにも関わらず、できたことは、NICT法に基づき国の機関が行うことについて適法化することであった。その結果、「一般の人々が行えば違法である」という反対解釈が出て来かねない状況が生じた。このような反対解釈は誤り(本文中に書いたように必ずしも全部を違法前提として立法されたのではない)であり、改正NICT法が制定されようが一般の人々については以前と変わっておらず、「識別符号に当らず、アクセス制御機能による利用の制限がない」ものについて発見することが不正アクセス行為に当らないことは現在も変わりない。
*8 なお、私はこのNICT法改正法の立案に関して業務として一切関与していないことを付記しておく。NICTが実施するという話になって以降、何ら見てもいなかった。もし関与していたならば、ここでこのように擁護する発言を書くことはなく、沈黙するしかなかったであろう。
*9 そもそも「当初目的」などというものがあったのか知らないが。
*10 さすがにこれが、「筆者のように理系の世界から超文系な世界に来ると、「理系の常識は文系の非常識」といった事態に直面する。その中でも理系では常識とされる論理思考・論理的直感が法曹などの超文系世界では非常識とされることにしばしば驚く。」(@IT, 2004年10月)のオチではなかろうとは思うが。
*11 ファイル暗号化用の鍵としてのパスワードの場合は、概ね倍の長さが必要であるのに対して。
*12 そもそも「当初目的」などというものがあったのか知らないが。
*13 それでも、「1111、aaaa等」「1234、abcd等」「12341234、abcdabcd等」を対象に含めてしまっているのは、「当初目的」の趣旨を踏み外しており、「元々合法な行為」と言い張るのは苦しいだろう。
*14 そうするためには、「1111、aaaa等」「1234、abcd等」「12341234、abcdabcd等」を対象にするのも中止したほうがいい。
*15 追記(2月15日):上2つの注釈に物言いがついたので、解説をツイートしたが、ここに改めて追記しておく。脚注13の「「1111、aaaa等」「1234、abcd等」「12341234、abcdabcd等」を対象に含めてしまっているのは、「当初目的」の趣旨を踏み外しており、」というのは、「1111、aaa」といった具体的な値のことを言っているのではなく、実施計画の「特定アクセス行為に係る識別符号の方針」に列挙されている2つ目、3つ目、4つ目の「同一の文字のみの暗唱符号を用いているもの(1111、aaaa等)」「連続した文字のみの暗唱符号を用いているもの(1234、abcd等)」「連続した文字のみを繰り返した暗唱符号を用いているもの(12341234、abcdabcd等)」という抽象的方針のことを言ったもの。これらの具体的な値が「過去に大規模なサイバー攻撃に用いられたID、パスワードの組合せが対象だから」というのなら、実施計画の「識別符号の方針」1つ目「送信型…サイバー攻撃の実績ある…で利用されている識別符号」に含まれるだけの話。それなのに、これらが実施計画の「識別符号の方針」に別個に記載されているのは、省令1条2号で、「これまで送信型対電気通信設備サイバー攻撃のために用いられたもの」の他に「同一の文字のみ又は連続した文字のみを用いたもの」を例示に入れてしまったせいだろう。これが「当初目的」を逸脱していると指摘したもの。脚注14の「「1111、aaaa等」「1234、abcd等」「12341234、abcdabcd等」を対象にするのも中止したほうがいい。」というのも、「1111、aaa」といった具体的な値のことを言っているのではなく、実施計画の「識別符号の方針」から上記の「2つ目、3つ目、4つ目」を削除するべきという意味であり、なぜそうなのかは、省令1条2号の「これまで送信型対電気通信設備サイバー攻撃のために用いられたもの」は「アクセス管理者があえて放置して」いると言い得る基準となり得るのに対し、「同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの」は広すぎて基準にならないからである。「工場出荷時共通初期パスワード」(実施計画の「識別符号の方針」では「機器の初期設定の識別符号(略)」と書かれている)は、「これまで送信型対電気通信設備サイバー攻撃のために用いられたもの」の一部という関係にあり、本文中に書いたように、前者は元より識別符号でないものであり、後者は「このような状態をアクセス管理者があえて放置している場合」に当たり得るもの。本当にそう言えるかは後者は前者よりは弱いが、これらは法的評価の程度問題であるのに対し、「同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの」は、不正アクセス禁止法の保護対象から外れる余地が全くない(「同一の文字のみ又は連続した文字のみを用いたもの」が「保護対象から外れる余地がない」と言っているのではない点に注意。この部分は「その他の容易に推測されるもの」の例示であり、「容易に推測されるもの」が本体。)ところに問題がある。これが省令に書かれている限り「当初目的」から逸脱しているということ。その意味では、本文中で「それを避けるには、省令を直ちに改正して、1条1号を削除したらよいのではないか。 」と書いた点は、1号を削除するだけでは足りず、2号を「機器の初期設定の識別符号(略)及びこれまで送信型対電気通信設備サイバー攻撃のために用いられたもの」という限定列挙に改正する(実施計画の「識別符号の方針」の5つ目と1つ目に合わせる)必要があると書くべきであった。