ここはサイバー関連情報を投稿出来る掲示板です。
2022年3月26日 5:35 日本経済新聞
【ワシントン=鳳山太成】米連邦通信委員会(FCC)は25日、安全保障上の脅威とみなす企業のリストに、ロシアのサイバーセキュリティー大手、カスペルスキー研究所を加えたと発表した。中国の通信会社2社も認定した。スパイ活動に使われるリスクを警戒する。
ロシア企業の認定は初めて。米連邦政府の補助金を受け取る通信会社は、リストに載った企業の製品やサービスを購入できなくなる。
カスペルスキーはウイルス対策ソフトなどを手掛ける。米連邦政府は同社とロシア政府の関係を懸念し、2017年から政府機関による同社製品の利用を禁じていた。
中国の国有通信大手、中国移動(チャイナモバイル)と中国電信(チャイナテレコム)もリストに加えた。FCCは中国政府のスパイ活動を懸念し、各社の米国参入を却下したり免許を取り消したりしている。
FCCは議会にリストの作成と更新を義務付けられている。21年3月に初めて対象企業を決定し、通信機器大手の華為技術(ファーウェイ)や監視カメラの杭州海康威視数字技術(ハイクビジョン)など中国5社を指定した。
関連資料
自宅Wi-Fi利用におけるリスク対策 - ESET on ASCII
文● ESET/サイバーセキュリティ情報局(キヤノンマーケティングジャパン)
自宅Wi-Fi環境におけるリスク対策は、「接続させない」、「接続されても制御させない」、「暗号化してデータを読ませない」の3つとなる。
1)SSIDのネーミング・設定を変更
無線LANルーターの圏内にあるネットワーク機器には、接続可能なアクセスポイントのSSIDが通知される。このSSIDを「taro-yamada-home」のような、個人を類推できてしまう命名は避けるようにしたい。仮に無線ルーターの所有者を知り得たユーザーが、所有者の個人情報から暗号化キーを推測するというようなこともできてしまうためだ。もちろん、暗号化キーも誕生日や電話番号のような、個人情報が絡む文字列にすべきではない。
また、機種によっては製造元や機種の名称に関連する文字列がSSIDに含まれていることがある。その場合はすぐに、原形をとどめない名称へ変更しておきたい。仮にその機種の脆弱性が発覚した場合、その機種を狙った攻撃のターゲットとなりかねないからだ。その製造元の無線LAN 機器に脆弱性が見つかった場合、悪意のある第三者はツールを用いてその機器を探し出すのだ。
また、SSIDステルス機能を利用してアクセス先の候補として常に表示させないようにする方法もある。ただし、端末が検出されることは防げないため、この方法でセキュリティリスクが根本的に解消されるわけではないことに注意したい。
無線LANルーターのSSIDはステルスにした方が良いのでしょうか? [更新] https://eset-info.canon-its.jp/malware_info/qa/detail/150709_4.html
2)ルーター管理用IDやパスワードを複雑に
工場出荷時の初期設定のままで無線LANルーターを利用するのも避けるようにしたい。というのも、無線LANルーターのなかには、初期設定ユーザーID・パスワードが機種ごとに一律で設定されているものが少なからず存在する。そのうえ、機種によってはマニュアルがインターネットで公開されており、パスワードを誰でも知ることができるようになっている場合すらある。そのため、悪意のある第三者が機種名を把握できれば、管理画面へ侵入して設定を書き換える可能性もあるのだ。少なくともログイン用のパスワードだけでも、複雑で推測できないものに変更すべきだろう。
3) WPA3などの最新ネットワークセキュリティ規格を使用
接続に使用するWi-Fiのセキュリティ方式について、2021年時点ではWPA3を利用するのが望ましい。WPA3はWPA2で大きな懸念とされたKRACK(Key Reinstallation AttaCKs)と呼ばれた脆弱性を、SAEハンドシェイクの技術を採用したことで解消している。この技術により、ブルートフォース攻撃などのパスワード突破を狙う攻撃の被害を防いでいる。
WPA3はWi-Fi 6から対応された新しいセキュリティ規格で、最近の機種では多くのものが採用している。今後、新たなルーターを購入する場合は、WEPやWPA2の規格のみ対応している機種は避けるようにしてほしい。価格を重視するあまり、中古のWi-Fiルーターを調達してリモートワークに使用するといったこともおすすめできない。なお、最近のiPhoneではTKIPのWPA2のネットワークに接続する場合、アラートが上がることがある。
Wi-Fi 6は安全かつ高速なネットワーク接続を実現する? https://eset-info.canon-its.jp/malware_info/special/detail/210119.html
4) ルーターのファームウェアを最新に
無線LANルーターは、そのルーターの製造元が、機能改善やセキュリティ向上のためにファームウェアをアップデートすることがある。ほとんどの機種の場合、無線LANルーターの設定画面にアクセスすると現在使用しているファームウェアのバージョンを確認できるはずだ。製造元のウェブサイトを確認すると、最新のファームウェアが登録されている。ただし、最近のルーターでは自動でファームウェアをアップデートする機能が搭載されている機種が多くを占めるため、自動アップデート機能を有効にしておくことで、アップデート漏れを防ぐことができる。
ここ最近、アップデートに関する製造元の考え方に変化が見られることにも注意が必要だろう。というのも、これまで著名な大手企業の製品には長期サポートが付随するというのが一般的であったが、長期にわたるサポートが大きな負担・コスト増となるため、サポート期間を制限する企業も出てきている。
ユーザーとしては、購入時にファームウェアのアップデートやセキュリティパッチ提供のポリシーなどを確認してから購入するのが望ましい。また、企業向けの製品ではSLA(Service Level Agreement:サービス品質保証)なども確認してから購入するようにしたい。テクニカルサポート期間およびハードウェア保証期間が満了した製品に関する問い合わせは、有志によるフォーラムなどで解決を促すメーカーもなかには存在する。
我が国のサイバーセキュリティ戦略の欠点と展望―「平和国家」体制の桎梏への対応を考える - 総務省 学術雑誌『情報通信政策研究』 第5巻第2号
https://www.soumu.go.jp/main_content/000787278.pdf
法的制約
こうした安全保障面における日本のサイバーセキュリティ戦略・体制の歪さは、既に触れたように、懲罰的抑止を焦点とした戦略的転換を阻む憲法第 9 条に起因していることは多言を要しない。自衛隊法改正を含む平和安全法制(2015 年)の下では、厳しい制約条件と手続きの下、自衛権に基づく武力行使を行うこととなっている。
ところが、前述したように、サイバー分野における自衛権はそうした条件・手続きを満たすことができないことから、依然として発動できないままである。
実際、国民保護法第 32 条に基づき策定された「国民の保護に関する基本指針」(閣議決定、2005 年 3 月 25 日)において、武力攻撃事態 4 類型及び緊急対処事態 2 類型(及び例示)にはサイバー攻撃は含まれていない 。
さらに、自衛隊や法執行機関によるサイバー分野における警察行動も厳格に「正当防衛・緊急避難」や「警察比例の原則」の遵守を求める。確かに、2018 年に公表された「防衛大綱」では「自衛隊の情報通信ネットワークを常時継続的に監視するとともに、我が国への攻撃に際して当該攻撃に用いられる相手方によるサイバー空間の利用を妨げる能力等、サイバー防衛能力を抜本的に強化」する方針に明らかにしているものの、サイバー空間の利用を「妨げる能力」の保有が限定的にサイバー反撃・報復を行う方針を意味するとは解釈できない。
さらに言えば、日本には主要国のような真正の諜報機関とそれを可能にするための法制が存在しないため、情報収集やそれに伴う諜報活動ができず、ハッキングなどを利用した積極的なサイバー情報収集活動が容易には許容されない。その結果、しばしばサイバー攻撃その他不正な活動の責任帰属先の判定ができず、抑止や反撃ができない。
具体的には、攻撃者/潜在的攻撃者のサーバーへの侵入は一定のケースを除いて憲法第 21条 2 項「通信の秘密」への抵触となるであろうし、国境を越えた侵入であれば、主権侵犯に当たる虞が強い 。ただし、サイバー情報収集のためのボットネット作成はウイルス作成罪に該当し、さらにその情報を使って攻撃者のシステムに侵入すれば、不正アクセス禁止法に該当するであろう。
所管官庁は既存の業法による安全基準の設定や事業者に対する指示、命令、行政指導をおこなっているが、米国の重要インフラ情報法に当たる法律がないことから、 事業者は物理的な障害発生後の報告義務しかない。つまり、情報システムに侵入されても、物理的な障害その他実害が顕在化しない限り、報道や社会的非難を恐れて報告せず、隠蔽する可能性が極めて高い。
もちろん、日本政府が単に腕を拱いてきたわけではない。総務省は電気通信事業法の適用に関しては、「通信の秘密ガイドライン」を見直して、約款による規定を当事者の同意と見做し、サイバー事案に関する所定の調査等は通信の秘密の侵害に当たらないとの解釈に変更した 。これにより、攻撃者/潜在的攻撃者に関する情報の入手が可能となり、責任帰属先を判定する能力は高まった。また、情報通信研究機構(NICT)法が改正され、同機構がIoT 機器の脆弱性に関する調査を合法的に行えるように 5 年間の時限措置を講じた 。
とはいえ、こうした動きは既存のサイバーセキュリティ体制の枠組みにおける漸進的な改善策、弥縫策に過ぎず、急速に深刻となるサイバー危機管理と米国による抑止重視のサイバー戦略への転換に直面する中、現体制が抱える根本的な解決には繋がらないことは明白であろう。
課題と展望
ここまで見て来たように、我が国のサイバー危機管理は技術水準、要員の質量、組織・体制整備、そして予算規模の点で非常に多くの課題を抱えている。特に、サイバー分野での法的な制約は強く、サイバー攻撃等に対して抑止力を十分発揮できない一方、危機管理体制は縦割りの弊害が強いため、政府横断的なアプローチを採ることが極めて困難な状態に陥っている。ともちろん、こうした状況を克服する方策は論理的には非常に簡単で、憲法改正その他の法制を整備し、それに基づく大幅な財源・人員を増加するビックバン・アプローチを実施すればよい。
しかし実際には、これが不可能ではないにしても極めて困難であることは、ここ数 十年に亘る軍事安全保障・防衛政策、とりわけ武力行使を巡る議論を見れば明らかである。既に考察したように、この議論とサイバー攻撃・抑止を巡るそれとは本質的に同じであることから、サイバー分野の政策努力も憲法第 9 条の制約を前提にそれを非常に抑制的に再解釈し、細かく状況を分類し、許容される対応を網羅的な列挙方式で立法する同様の形、つまりポジティブ・リスト方式で漸進的に進むと思われる。この過程において、政府は問題点を明らかにし、国家安全保障の点から必要なサイバー戦略・政策の変化に向けた自助努力を重視すべきことは言うまでもない。
しかし、それができなければ、そしてその蓋然性は高いと思われるが、変化に向けた原動力は安保・防衛政策の変容と同様、国際安全環境の変化を背景とした米国からの影響・圧力になるであろう。この点は既に分析したように、米国におけるサイバー戦略・政策の変化が日米間の政策協議・対話を介して我が国のそれを大きく変容させてきたことから明らかである。とはいえ、米国は自国或いは米軍に影響がなければ、敢えて日本に圧力を加えることはないであろうし、日本のサイバー能力を高めることに繋がる機微な関連情報を提供することもないであろうから、外圧依存のアプローチは次善の策に過ぎない。
尖閣諸島問題に関連して実施されたサイバー攻撃
2010 年 9 月には尖閣諸島での漁船の衝突問題に関連して、中国のインターネット・ユーザから日本政府機関サイトへの DDoS 攻撃が行われ一部のサイトがアクセス不能、あるいはアクセスしづらい状態となった。
この攻撃は、2010 年 9 月に尖閣諸島沖で中国の漁船と海上保安庁の巡視船が衝突した問題(尖閣諸島問題)を発端にして、中国最大組織のハッカー組織が 9 月 18 日に日本に対するサイバー攻撃を実施する予告があり、多くの中国のインターネット・ユーザがこれに賛同したものである。
また、この攻撃の際には、DDoS 攻撃と並行して小規模な Web サイトの改ざん攻撃も行われた。
https://ssl.bsk-z.or.jp/kakusyu/pdf/24-3tyousa.pdf
米、ロシアのサイバー大手「安保脅威」 中国2社も認定
2022年3月26日 5:35 日本経済新聞
【ワシントン=鳳山太成】米連邦通信委員会(FCC)は25日、安全保障上の脅威とみなす企業のリストに、ロシアのサイバーセキュリティー大手、カスペルスキー研究所を加えたと発表した。中国の通信会社2社も認定した。スパイ活動に使われるリスクを警戒する。
ロシア企業の認定は初めて。米連邦政府の補助金を受け取る通信会社は、リストに載った企業の製品やサービスを購入できなくなる。
カスペルスキーはウイルス対策ソフトなどを手掛ける。米連邦政府は同社とロシア政府の関係を懸念し、2017年から政府機関による同社製品の利用を禁じていた。
中国の国有通信大手、中国移動(チャイナモバイル)と中国電信(チャイナテレコム)もリストに加えた。FCCは中国政府のスパイ活動を懸念し、各社の米国参入を却下したり免許を取り消したりしている。
FCCは議会にリストの作成と更新を義務付けられている。21年3月に初めて対象企業を決定し、通信機器大手の華為技術(ファーウェイ)や監視カメラの杭州海康威視数字技術(ハイクビジョン)など中国5社を指定した。
関連資料
自宅Wi-Fi利用におけるリスク対策
自宅Wi-Fi環境におけるリスク対策は、「接続させない」、「接続されても制御させない」、「暗号化してデータを読ませない」の3つとなる。
1)SSIDのネーミング・設定を変更
無線LANルーターの圏内にあるネットワーク機器には、接続可能なアクセスポイントのSSIDが通知される。このSSIDを「taro-yamada-home」のような、個人を類推できてしまう命名は避けるようにしたい。仮に無線ルーターの所有者を知り得たユーザーが、所有者の個人情報から暗号化キーを推測するというようなこともできてしまうためだ。もちろん、暗号化キーも誕生日や電話番号のような、個人情報が絡む文字列にすべきではない。
また、機種によっては製造元や機種の名称に関連する文字列がSSIDに含まれていることがある。その場合はすぐに、原形をとどめない名称へ変更しておきたい。仮にその機種の脆弱性が発覚した場合、その機種を狙った攻撃のターゲットとなりかねないからだ。その製造元の無線LAN 機器に脆弱性が見つかった場合、悪意のある第三者はツールを用いてその機器を探し出すのだ。
また、SSIDステルス機能を利用してアクセス先の候補として常に表示させないようにする方法もある。ただし、端末が検出されることは防げないため、この方法でセキュリティリスクが根本的に解消されるわけではないことに注意したい。
2)ルーター管理用IDやパスワードを複雑に
工場出荷時の初期設定のままで無線LANルーターを利用するのも避けるようにしたい。というのも、無線LANルーターのなかには、初期設定ユーザーID・パスワードが機種ごとに一律で設定されているものが少なからず存在する。そのうえ、機種によってはマニュアルがインターネットで公開されており、パスワードを誰でも知ることができるようになっている場合すらある。そのため、悪意のある第三者が機種名を把握できれば、管理画面へ侵入して設定を書き換える可能性もあるのだ。少なくともログイン用のパスワードだけでも、複雑で推測できないものに変更すべきだろう。
3) WPA3などの最新ネットワークセキュリティ規格を使用
接続に使用するWi-Fiのセキュリティ方式について、2021年時点ではWPA3を利用するのが望ましい。WPA3はWPA2で大きな懸念とされたKRACK(Key Reinstallation AttaCKs)と呼ばれた脆弱性を、SAEハンドシェイクの技術を採用したことで解消している。この技術により、ブルートフォース攻撃などのパスワード突破を狙う攻撃の被害を防いでいる。
WPA3はWi-Fi 6から対応された新しいセキュリティ規格で、最近の機種では多くのものが採用している。今後、新たなルーターを購入する場合は、WEPやWPA2の規格のみ対応している機種は避けるようにしてほしい。価格を重視するあまり、中古のWi-Fiルーターを調達してリモートワークに使用するといったこともおすすめできない。なお、最近のiPhoneではTKIPのWPA2のネットワークに接続する場合、アラートが上がることがある。
4) ルーターのファームウェアを最新に
無線LANルーターは、そのルーターの製造元が、機能改善やセキュリティ向上のためにファームウェアをアップデートすることがある。ほとんどの機種の場合、無線LANルーターの設定画面にアクセスすると現在使用しているファームウェアのバージョンを確認できるはずだ。製造元のウェブサイトを確認すると、最新のファームウェアが登録されている。ただし、最近のルーターでは自動でファームウェアをアップデートする機能が搭載されている機種が多くを占めるため、自動アップデート機能を有効にしておくことで、アップデート漏れを防ぐことができる。
ここ最近、アップデートに関する製造元の考え方に変化が見られることにも注意が必要だろう。というのも、これまで著名な大手企業の製品には長期サポートが付随するというのが一般的であったが、長期にわたるサポートが大きな負担・コスト増となるため、サポート期間を制限する企業も出てきている。
ユーザーとしては、購入時にファームウェアのアップデートやセキュリティパッチ提供のポリシーなどを確認してから購入するのが望ましい。また、企業向けの製品ではSLA(Service Level Agreement:サービス品質保証)なども確認してから購入するようにしたい。テクニカルサポート期間およびハードウェア保証期間が満了した製品に関する問い合わせは、有志によるフォーラムなどで解決を促すメーカーもなかには存在する。
関連資料
https://www.soumu.go.jp/main_content/000787278.pdf
法的制約
こうした安全保障面における日本のサイバーセキュリティ戦略・体制の歪さは、既に触れたように、懲罰的抑止を焦点とした戦略的転換を阻む憲法第 9 条に起因していることは多言を要しない。自衛隊法改正を含む平和安全法制(2015 年)の下では、厳しい制約条件と手続きの下、自衛権に基づく武力行使を行うこととなっている。
ところが、前述したように、サイバー分野における自衛権はそうした条件・手続きを満たすことができないことから、依然として発動できないままである。
実際、国民保護法第 32 条に基づき策定された「国民の保護に関する基本指針」(閣議決定、2005 年 3 月 25 日)において、武力攻撃事態 4 類型及び緊急対処事態 2 類型(及び例示)にはサイバー攻撃は含まれていない 。
さらに、自衛隊や法執行機関によるサイバー分野における警察行動も厳格に「正当防衛・緊急避難」や「警察比例の原則」の遵守を求める。確かに、2018 年に公表された「防衛大綱」では「自衛隊の情報通信ネットワークを常時継続的に監視するとともに、我が国への攻撃に際して当該攻撃に用いられる相手方によるサイバー空間の利用を妨げる能力等、サイバー防衛能力を抜本的に強化」する方針に明らかにしているものの、サイバー空間の利用を「妨げる能力」の保有が限定的にサイバー反撃・報復を行う方針を意味するとは解釈できない。
さらに言えば、日本には主要国のような真正の諜報機関とそれを可能にするための法制が存在しないため、情報収集やそれに伴う諜報活動ができず、ハッキングなどを利用した積極的なサイバー情報収集活動が容易には許容されない。その結果、しばしばサイバー攻撃その他不正な活動の責任帰属先の判定ができず、抑止や反撃ができない。
具体的には、攻撃者/潜在的攻撃者のサーバーへの侵入は一定のケースを除いて憲法第 21条 2 項「通信の秘密」への抵触となるであろうし、国境を越えた侵入であれば、主権侵犯に当たる虞が強い 。ただし、サイバー情報収集のためのボットネット作成はウイルス作成罪に該当し、さらにその情報を使って攻撃者のシステムに侵入すれば、不正アクセス禁止法に該当するであろう。
所管官庁は既存の業法による安全基準の設定や事業者に対する指示、命令、行政指導をおこなっているが、米国の重要インフラ情報法に当たる法律がないことから、 事業者は物理的な障害発生後の報告義務しかない。つまり、情報システムに侵入されても、物理的な障害その他実害が顕在化しない限り、報道や社会的非難を恐れて報告せず、隠蔽する可能性が極めて高い。
もちろん、日本政府が単に腕を拱いてきたわけではない。総務省は電気通信事業法の適用に関しては、「通信の秘密ガイドライン」を見直して、約款による規定を当事者の同意と見做し、サイバー事案に関する所定の調査等は通信の秘密の侵害に当たらないとの解釈に変更した 。これにより、攻撃者/潜在的攻撃者に関する情報の入手が可能となり、責任帰属先を判定する能力は高まった。また、情報通信研究機構(NICT)法が改正され、同機構がIoT 機器の脆弱性に関する調査を合法的に行えるように 5 年間の時限措置を講じた 。
とはいえ、こうした動きは既存のサイバーセキュリティ体制の枠組みにおける漸進的な改善策、弥縫策に過ぎず、急速に深刻となるサイバー危機管理と米国による抑止重視のサイバー戦略への転換に直面する中、現体制が抱える根本的な解決には繋がらないことは明白であろう。
課題と展望
ここまで見て来たように、我が国のサイバー危機管理は技術水準、要員の質量、組織・体制整備、そして予算規模の点で非常に多くの課題を抱えている。特に、サイバー分野での法的な制約は強く、サイバー攻撃等に対して抑止力を十分発揮できない一方、危機管理体制は縦割りの弊害が強いため、政府横断的なアプローチを採ることが極めて困難な状態に陥っている。ともちろん、こうした状況を克服する方策は論理的には非常に簡単で、憲法改正その他の法制を整備し、それに基づく大幅な財源・人員を増加するビックバン・アプローチを実施すればよい。
しかし実際には、これが不可能ではないにしても極めて困難であることは、ここ数 十年に亘る軍事安全保障・防衛政策、とりわけ武力行使を巡る議論を見れば明らかである。既に考察したように、この議論とサイバー攻撃・抑止を巡るそれとは本質的に同じであることから、サイバー分野の政策努力も憲法第 9 条の制約を前提にそれを非常に抑制的に再解釈し、細かく状況を分類し、許容される対応を網羅的な列挙方式で立法する同様の形、つまりポジティブ・リスト方式で漸進的に進むと思われる。この過程において、政府は問題点を明らかにし、国家安全保障の点から必要なサイバー戦略・政策の変化に向けた自助努力を重視すべきことは言うまでもない。
しかし、それができなければ、そしてその蓋然性は高いと思われるが、変化に向けた原動力は安保・防衛政策の変容と同様、国際安全環境の変化を背景とした米国からの影響・圧力になるであろう。この点は既に分析したように、米国におけるサイバー戦略・政策の変化が日米間の政策協議・対話を介して我が国のそれを大きく変容させてきたことから明らかである。とはいえ、米国は自国或いは米軍に影響がなければ、敢えて日本に圧力を加えることはないであろうし、日本のサイバー能力を高めることに繋がる機微な関連情報を提供することもないであろうから、外圧依存のアプローチは次善の策に過ぎない。
https://www.soumu.go.jp/main_content/000787278.pdf
関連資料
2010 年 9 月には尖閣諸島での漁船の衝突問題に関連して、中国のインターネット・ユーザから日本政府機関サイトへの DDoS 攻撃が行われ一部のサイトがアクセス不能、あるいはアクセスしづらい状態となった。
この攻撃は、2010 年 9 月に尖閣諸島沖で中国の漁船と海上保安庁の巡視船が衝突した問題(尖閣諸島問題)を発端にして、中国最大組織のハッカー組織が 9 月 18 日に日本に対するサイバー攻撃を実施する予告があり、多くの中国のインターネット・ユーザがこれに賛同したものである。
また、この攻撃の際には、DDoS 攻撃と並行して小規模な Web サイトの改ざん攻撃も行われた。
https://ssl.bsk-z.or.jp/kakusyu/pdf/24-3tyousa.pdf