Wi-Fiのタダ乗りが無罪ではいけない。技術に置いてきぼりの法律家達。

今回はこのテーマ。

ニュース解説 - 総務省、「無線LANただ乗り無罪」に苦しい反論:ITpro
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/051800978/


私も先月この判決に驚いた。非常に。
他人宅のWi-Fiのパスワード(10年前に危殆化宣言されているWEP)をクラックし、タダ乗りかつ踏み台にした上に、銀行から不正送金し懲役8年の実刑判決が出たが、Wi-Fiのタダ乗り自体は無罪とされた。


そして冒頭の日経(ITpro)の記事にも更に驚いた。

検察は、WEP鍵は「無線通信の秘密」であり、こうした行為は電波法第109条に抵触するとしていた。しかし東京地裁は、WEP鍵自体は通信内容ではないので「無線通信の秘密」に当たらないとして無罪と判断した。

この判決がそもそも間違っている

検察が控訴しなかったため、大手新聞社などのメディアは「ただ乗りは罪に問えない」と報じた。これに対し電波行政を担当する総務省は5月12日、「ただ乗りは無罪ではない」と電波法第109条に抵触する可能性があると反論した。その主張は、苦しまぎれと言われても仕方ない。

誰に「苦しまぎれ」と言われたのか知らないが、総務省は「裁判所の判決は間違っている」と発言できないだけで(それを認めると、国は好きなだけ判決を覆せることになるから)、何も「苦しい反論」ではなく総務省が正しい。

Wi-Fiアンテナ(ルーターでもイイが今回はアンテナとする)に設定されたWEP鍵(事前共有鍵<Pre-Shared Key>)と利用者通信端末側に設定されたWEP鍵が一致すればアンテナがWi-Fi利用を許可するのだから、WEP鍵の照合が行われている時点で通信だし、公共無線LANのようにWEP鍵が公開されていない限り秘密だ。個人宅では尚更。

そのアンテナの所有権と設置場所がどこかと問えば考えるまでもなく、公共無線LANでない限り不可侵(であるべき)領域だ。


スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。 』に書いた、暗号化されていないWi-Fi通信におけるARP(に限らず)パケットは「通信の秘密」と呼ぶには多少無理がある。同じWi-Fiアンテナに接続できる人同士ならば、互いの通信内容を見る事ができる前提の仕様だから、ラジオと変わらず「チャンネル(周波数)を合わせただけだ」と主張できる。
※Ethernet上のブロードキャストパケットや、リピータハブ上の通信と同じ状態。

しかしWEPで暗号化(=パスワードロック)されている通信の場合、事前共有鍵の仕組み上「利用許可認証」の機能も兼ねているから明らかに「利用者識別符号」だし、これを盗んで他人宅のWi-Fiをただ乗りするのは、ある家族が玄関の鍵を共有していて、それを見つけ出して他人の家の中に入ることと同じだ。それが総務省のいう窃用にあたる。

電波法で言う「通信の秘密」が個々の会話(電話時代の)を指すのであって、通信を暗号化するためのWEP鍵は「通信の秘密」に該当しないと言うのであれば、「グループ」アカウントのパスワードにも同じ事が言え、少なくとも日本中のセキュリティ概念が破綻する。
※この場合グループアカウントのIDがWi-FiのSSIDにあたり、パスワードが事前共有鍵にあたる。

例えば、営業部のパスワードと役員会のパスワードはいずれもグループ内において共通パスワードだが、グループを超えて共有されることは想定されていないし許可されていない。権限(パーミッション)のない者が盗み見てログインすれば窃用でしかない。

一方総務省は、WEP鍵を調べる行為に含まれる暗号化したARPパケットの傍受に対して、ネットワークのMACアドレスを調べる用途などに使うARPパケットを「無線通信」、暗号化されたARPパケットは「無線通信の秘密」と主張。

当然だし、何も間違っていない。

効率良くARP応答パケットを集めるために、ARP要求パケットを傍受し、コピーしてAPに送り付ける行為を「第109条で規定する『窃用』に当たる」とした。

これも当然だ。前述の家の鍵と同じであり、もしこれを窃用と見なさいのであれば、スターバックスのWi-Fiのように暗号化されていない無線通信をスニファリングして、平文で通信されている他人のIDパスワードを取得・使用しても、罪を問えないことになる。すなわちWi-Fiは通信ではなく「ラジオ」(放送)として見なすことになる。

この主張が苦しいのは、暗号化されたARPパケットを「無線通信の秘密」としている点だ。また主張通り認められたとしても、この手法でしか罪に問えず、別のただ乗りを許してしまう。例えば、ARP要求パケットをコピーしないで不定期に飛びかうARP応答パケットを4万個収集すれば、窃用行為は問えなくなる。

そうではない。手法に応じてその都度罪状は変わるし、「不定期に飛びかうARP応答パケットを4万個収集」するにしても、当該WEP鍵(秘密)を窃用しない限り、暗号パケットを復号できないから、WEP鍵を取得した後のタダ乗り通信は常に通信の秘密を窃用している状態になる。

記者が重要視しているのはWEP鍵をどのようにクラックしたかの手法(ARPインジェクションとPTW攻撃)についてであり、クラック後は知り得たWEP鍵を窃用しない限りそもそも当該Wi-Fiアンテナが使えない。Wi-Fiの事前共有鍵は、無線通信の暗号化・復号と利用者認証を兼ねているのだから。
※ちなみに現在最高のWPA2であっても事前共有鍵さえ知っていれば当該Wi-Fiの全ての通信を復号できるため、どうやってパスワード(事前共有鍵)を知ったかと、その後のタダ乗り(窃用)は独立した行為として個別に有罪・無罪を考えなくてはいけない。

しかし、「WEP鍵は共通パスワードで、『識別符号』に該当しない可能性が高い」(セキュリティに詳しい弁護士)という指摘もある。

愚かだ。

WEP鍵はアンテナのSSIDとセットで固有の通信を識別するための符号以外の何物でもない。

(通信ではなく放送だが)、空から降り注いでいるBS WOWOWというチャンネル識別符号に対し(チャンネルを合わせ受信することは誰にでもできる)、契約者のBCASカードの番号=識別符号が対応してスクランブルが解かれ視聴可能となることと全く同じ。他人のBCASカード番号を無断で使って視聴すれば窃用だ。

共通(事前共有鍵)であっても、利用者同士が共有することを承認している者の間で「共通」が成り立つのであって、見ず知らずの誰かが共通鍵(すなわちパスワード)を利用することは誰も許可・想定していない。

「共有することを承認している者の間」とは、家族や職場の無線LANを使う従業員同士などを指し、自らの意志でお互いにパスワード(事前共有鍵)という秘密を共有する(知識認証)という決断をしている。

例えるならセコム契約時に家のスペアキーを渡しても(所有認証)、泥棒に共有を許可しているわけではない。

10年以上前から脆弱性が指摘され危殆化しているWEPを使っていることは、知識・意識上の問題であっても罪ではない。古いタイプのシリンダーの玄関鍵をピッキングし家宅侵入した泥棒は無罪なのかという話しと同じだ。築10年以上の家への家宅侵入は罪に問わない的な。

※Wi-Fiと同じで「知得」は鍵の在処を知ること。「窃用」はその鍵を無断で使うこと。

第一そんなことを言っていたら、今後はパソコンやネットワーク、セキュリティに疎い人は「お気の毒に」で片付けられてしまう。

こちらの日経コミュニケーションの記事にも冒頭の記事と同様の見解が書かれている。

ニュース解説 - 無線LANの「ただ乗り」はやはり罪に問えない?有識者に聞く:ITpro
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/042800957/?rt=nocnt

今回の裁判はまさに後者に当たるわけだが、「なぜか第109条の2ではなく、知得が対象外の第109条本体で立件しているので勝てるわけがない」(ある弁護士)という指摘が出ている。

これも同じだ。「知得」が問うのはクラックにより知り得た事前共有鍵そのものであり、その後当該Wi-Fiアンテナが使えたのは、クラックしたWEP鍵の窃用があってこそ成り立つものであることを無視しているように思う。「窃用」だけで十分に立件できる(できなければならなかった)。

今回の一件を巡っては、法整備が技術の進化に追い付いていないとする指摘は多い。

そうではなく法律家の手に負えない高度技術社会が到来したということだ。
こういった新しい問題が起きると「法整備が急がれる」みたいな記事をよく見かけるが、法律は十分に対応していて、その法律を理解するための裏付けとなる技術的な知識が足りていないだけだ。

アメリカではサイバー犯罪において、罪を問う側・問われる側の知識・理解不足により、実際に行われた罪の半分も立件されていない(又は罪が軽い=償われていない)と言われている。
もし法律家がわかる範囲でしか技術的に検証・立証されないなら当然だろう。このまま技術進歩が加速すると「解らないことが大半」になり、いずれ法律家よりも知能が高い者、高度な技術を持つ者の罪を問えない(問う方法がわからない)時代になりかねない。実際にそうなりつつある。

1990年代のプロバイダーは、高い月額固定料金を徴収しながら、アクセスポイントは話し中(ビジー)でつながらなかった。今なら返金しないとお金だけ取って使えない「詐欺」として訴えられるだろうが、当時は誰も意味がわからずそんなものだ程度にしか受け止めていなかった。一方で消費者金融の過払い問題は解りやすいため請求が相次いだ。

罪を問うには十分な知識が必要だということであり、当該判決は残念な結果としか言いようがない。

参考リンク:無線LAN“タダ乗り”は無罪 地裁の判決に広がる波紋 | 文春オンライン

あとがき

チャーリー(
JAPAN MENSA会員

AEAJアロマテラピー検定1級
AEAJ認定アロマテラピーアドバイザー
AEAJ認定環境カオリスタ
AEAJ認定アロマテラピーインストラクター
AEAJ認定アロマブレンドデザイナー
AEAJ個人正会員
JAMHAメディカルハーブ検定1級JAMHA認定メディカルハーブコーディネーター
JAMHA認定ハーバルセラピスト
ITパスポート試験合格(笑)。
情報セキュリティマネジメント試験合格
臭気判定士(国家資格)
薬学検定1級合格
HTML5プロフェッショナル認定資格 レベル1試験に合格。
個人情報保護士認定試験に合格。
情報セキュリティ管理士認定試験に合格。
メンタルヘルス・マネジメント検定II種(ラインケアコース)試験に合格。
Comptia Security+試験合格。
SEA/J情報セキュリティ技術認定CSPM of Technical試験合格。
危険物取扱者 乙種 第4類試験合格。

チャーリーのタンブラー(毎日更新、日記・ブックマーク的な)


by charlie-ls | 2017-05-25 10:13 | 個人ブログ

情報処理安全確保支援士☆チャーリーのブログ


by チャーリー
カレンダー
S M T W T F S
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31