第374号コラム:小山 覚 理事(NTTコミュニケーションズ株式会社 経営企画部
マネージドセキュリティサービス推進室 担当部長)
題:「サイバー攻撃対策と「通信の秘密」の考え方 その3」

今回は「通信の秘密」の話題を取り上げたい。
総務省は7月17日に「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」の第二次取りまとめを発表し、パブリックコメントを募集した。これは日々、巧妙化、複雑化するサイバー攻撃に対して、プロバイダーなどの電気通信事業者が、通信の秘密に配慮した適切な対応が可能となるよう、「通信の秘密」との関わりについて検討結果を取りまとめたものである。ご一読されることをお勧めしたい。
第二次とりまとめURL:http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000098.html

私は前述の総務省研究会の構成員として、通信事業者団体の立場で検討に加わらせていただいた。
一昔前は通信の秘密を墨守するのが通信事業者の務めであり、通信の中身を見て遮断するなどは考えもしなかった。しかしインターネットの世界では攻撃が日常茶飯事のように発生し、通信事業者はサービスを安定提供する上で、また利用者保護の視点からも何らかの対策が不可欠となり、通信の秘密に配慮したサイバー攻撃対策の進め方について整理が進んできた経緯がある。

新しく整理されたのは以下の4点である。
(1) C&Cサーバとの通信の遮断について
(2) 他人のID・パスワードを使ったネットの不正利用及びこれによる攻撃への対処について
(3) 脆弱性を有するブロードバンドルータへの対策について
(4) DNSリフレクション攻撃等に悪用されている名前解決要求の遮断について

これら4項目が想定しているサイバー攻撃の詳細や通信の秘密との関係は、冒頭でご紹介した「第二次とりまとめ」に詳しく書かれているので、そちらをご覧いただくとして、本コラムでは「(1)C&Cサーバとの通信の遮断について」のポイントを簡単に紹介したい。

近年マルウェアに感染した人がネットバンキングの不正送金の被害に遭う事件が多発している。警視庁も「ネットバンキングウイルス無力化作戦」を実施するなど、全世界的な問題として対策が進められている。
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku504.htm

ネットバンキングウイルスに感染すると、攻撃者が用意したC&Cサーバと通信し遠隔操作されてしまい、ネットバンキングのIDやパスワードが盗用され不正送金の被害に遭ってしまう。このためC&Cサーバとの通信を遮断することで、被害に遭わないようにする対策が求められていた。
これらネットバンキングウイルスなどのマルウェアとC&Cサーバの通信は、パソコンのバックグラウンドで行われるため、利用者が異常を感じることは皆無に等しい。さらに、既に潜伏しているマルウェアはウイルス対策ソフトを更新しても駆除できないことがあるため、利用者側での対策が相当難しいのが実態である。

とはいえ、従来の考え方ではサイバー攻撃に対して通信事業者が能動的に対策を実施する行為は、通信の秘密の侵害に繋がりかねないため、契約者個別の同意が必要とされてきた。この「第二次とりまとめ」で整理された「(1)C&Cサーバとの通信の遮断について」は、個別の同意までは必要とせず、約款に基づく包括的な同意であっても有効な同意とされた点が新しい。ただし「利用者が、約款に同意した後も、随時、同意内容を変更できる契約内容であること」や「約款の内容や随時同意内容を変更できることについて、相応の周知が図られていること」が前提とされている。

もちろん、私は本対策の実施に賛成の立場であるが、本施策のコスト負担や本来行うべきセキュリティ対策の議論がまだ始まっていないことが気がかりであり、この点をご紹介したい。

1..コスト負担への対応
通信事業者がC&Cサーバとの通信を遮断するためには、新たな設備投資と運用体制を整える必要がある。これまでセキュリティ対策は利用者端末側で行なわれてきたため、通信事業者が自社コストでユーザ側のセキュリティ対策を強化するという考えは一般的ではない。どうやら通信の秘密のトラウマ的な心理的障壁と財務的障壁を下げていく必要があるようだ。
もちろん本対策を通信事業者のビジネス拡大につなげて、コスト負担以上にお金儲けをすれば良いとの意見もあるだろうが、少しばかり安全になったからサービス料金を値上げさせてくれるほど世間は甘くはない。悩ましい問題である。

2..感染したマルウェアの駆除が意外と難しい
C&Cサーバとの通信を一時的に切断しても、パソコンに感染したマルウェアが駆除されるわけではない。仮に切断したマルウェアとC&Cの通信を分析し、IPアドレスと時刻情報から契約者が特定できた場合、契約している通信事業者から「あなたはマルウェアに感染してましたよ」と注意喚起されても、自宅に複数あるパソコンやタブレットの一体どれが感染していたのか調べることはとても難しい。
しかもウィルス対策ソフトでスキャンしても見つからない場合もあり、個人ユーザの場合は自分自身の安全確認を行う有効な手段すら用意されていないのが実態である。もちろんパソコンを再インストールして感染したマルウェアを消し去ってしまうことが確実な方法であるが、素人には簡単な作業ではないのだ。

このコラムを読んで興味を持たれた方は、ぜひ「第二次とりまとめ」を読んでいただきコメントなどを頂ければありがたい。

【著作権は、小山氏に属します】