第３２６号コラム「サイバー攻撃対策と「通信の秘密」の考え方　その２」

第３２６号コラム：小山 覚　理事（ＮＴＴコミュニケーションズ株式会社　経営企画部
マネージドセキュリティサービス推進室　担当部長）
題：「サイバー攻撃対策と「通信の秘密」の考え方　その２」

３月３１日のコラム第３０４号では「サイバー攻撃対策と「通信の秘密」の考え方」と題し、総務省の「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第一次とりまとめ」の概要をご紹介しました。今回はその続編です。https://digitalforensic.jp/2014/03/31/column304/

インターネットが始まる前、電話の時代には通信を使った攻撃だけで電話器やFAXを破壊することは技術的に困難でした。しかしインターネットの時代になるとウィルスに感染してパソコンが停止するだけでなく、企業や個人の機密情報までもが漏えいされ、戦争や紛争の手段としてサイバー攻撃が利用されるまでになりました。

このような背景もあってか、前述の総務省研究会では、サイバー攻撃対策と「通信の秘密」の関係について考え方が議論され整理されました。例えば通信事業者が通信サービスを取り扱い中に発見した攻撃をブロックする行為や、ウィルス配布サイトにアクセスしている利用者に注意喚起する行為など、罪に問われない対策の範囲や手法が明確になりました。

通信事業者からも、攻撃対策と通信の秘密との関係が整理され、安心してサービス運営が出来るようになったとの声も聞こえております。この研究会の成果を受けて、７月２２日に「電気通信事業者における大量通信等への対処と通信の秘密に関するガイドライン」（第３版）が通信関連団体を通じて発表されましたので、興味のある方はご一読ください。
http://www.jaipa.or.jp/other/mtcs/index.html

今回のガイドラインで皆さまにご紹介したいのは、プロバイダが提供する会員向け情報提供サイトに対するリスト型攻撃などのアカウントハッキング攻撃に対する考え方が整理されたことです。ガイドラインのＰ２１脚注には以下のように記載されています。

–<ここから>–
なお、インターネット接続や、メール送信等の利用者間の通信を媒介するサービスとは異なり、会員向け情報提供サイト等、ISP自身が通信の一方当事者となる場合、ISPが該当利用者からのID認証に係る通信を利用することは、通信の秘密の侵害には当たらない。

(例)
・ISPの会員向け情報提供サイト等のアカウント情報を取得するために、ブルートフォースやリスト型攻撃で、認証サーバに対し、正規の利用者以外と思われる者から大量のアクセスがある場合、認証に関するログを分析することにより、認証ID・パスワードの不正利用の蓋然性が高いものについて、当該IDからの認証を一時停止する。

・ISPの会員向け情報提供サイト等のアカウント認証に関わるログを分析し、特定のIPアドレスから認証の失敗が短期間に大量に発生している等アカウントハッキングの蓋然性が高いものについて、当該攻撃期間中、当該IPアドレスからの認証を一時的に停止する。
–<ここまで>–

なぜ今更このような整理がなされたのか、少し説明させて下さい。

自社が運営する会員向け情報提供サイトのログインページに対して、パスワード攻撃が発生した場合、サーバー管理者であれば当該攻撃をブロックすることに躊躇はないと思われます。しかし通信事業者が提供する会員向け情報提供サイトの場合は事情が違っていました。

同じインターネットに繋がっている会員向け情報提供サイトにも関わらず、通信事業者が管理する情報提供サイトの場合は、サーバー管理者の前に通信事業者であるから攻撃といえども通信をブロックする行為は、通信の秘密の侵害に当たるのではないか、という意見が一部で残っており、不正侵入検知システムなどのセキュリティ装置の設定にも慎重な検討が行われて来た経緯がありました。
そんな馬鹿なと不思議に思われる方もいらっしゃると思いますが、電気通信事業法１７９条の罰則規定には、通信の秘密侵害罪は懲役３年以下または罰金２００万円以下とされていましたので、日常の業務においては通信の秘密を侵害しないよう細心の注意が払われたとしても過言ではありません。

これは、通信事業者にとって、通信の秘密の呪縛がどれほど強かったのかを物語る一例だと思いますが、利用者を置き去りにした議論でもあり、私自身も通信事業者の関係者としてやや恥ずかしい思いをしております。
しかし、このように解釈が曖昧な部分は整理されたことは歓迎すべきことですね。

過去にも通信の秘密の考え方については、事案に応じて複数のガイドラインが作られてきました。７月２２日に第３
版が出された「大量通信等への対処と通信の秘密に関するガイドライン」以外には、名誉毀損や著作権侵害に対応する「プロバイダ責任制限法に対応したガイドライン」や「迷惑メール防止法に対応したガイドライン」など、思いつくだけでも以下のように沢山あります。他にもあるかもしれません。

・大量通信等への対処と通信の秘密に関するガイドライン
・プロバイダ責任制限法に対応したガイドライン
・迷惑メール防止法に対応したガイドライン
・自殺予告事案への対応に関するガイドライン
・帯域制御の運用基準に関するガイドライン
・ファイル共有ソフトを悪用した著作権侵害対応ガイドライン
・児童ポルノ対策ガイドライン

ガイドライン各々の説明は割愛しますが、インターネット上で大きな問題が発生する都度、その対応策と通信の秘密との関係性について検討し、ガイドラインを整理するような取り組みが過去１０年以上の間行われてきました。ガイドラインが整理されるまで、何も始められない訳ではありませんが、このやり方が時流に即したやり方とは思えません。しかし将来起きる可能性も定かでないインターネットを使った悪事までを類型化して、通信の秘密との関係性を包括的に整理するのは乱暴だとも思います。
やや中途半端なコラムの終わり方になりますが、取り組みは始まったばかりです。
通信の秘密を取巻く動向については今後もこのコラムでご紹介したいと思います。

【著作権は、小山氏に属します】