今回はこのテーマ。

ニュース解説 - 総務省、「無線LANただ乗り無罪」に苦しい反論:ITpro
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/051800978/


私も先月この判決に驚いた。非常に。
他人宅のWi-Fiのパスワード(10年前に危殆化宣言されているWEP)をクラックし、タダ乗りかつ踏み台にした上に、銀行から不正送金し懲役8年の実刑判決が出たが、Wi-Fiのタダ乗り自体は無罪とされた。


そして冒頭の日経(ITpro)の記事にも更に驚いた。

検察は、WEP鍵は「無線通信の秘密」であり、こうした行為は電波法第109条に抵触するとしていた。しかし東京地裁は、WEP鍵自体は通信内容ではないので「無線通信の秘密」に当たらないとして無罪と判断した。

この判決がそもそも間違っている

検察が控訴しなかったため、大手新聞社などのメディアは「ただ乗りは罪に問えない」と報じた。これに対し電波行政を担当する総務省は5月12日、「ただ乗りは無罪ではない」と電波法第109条に抵触する可能性があると反論した。その主張は、苦しまぎれと言われても仕方ない。

誰に「苦しまぎれ」と言われたのか知らないが、総務省は「裁判所の判決は間違っている」と発言できないだけで(それを認めると、国は好きなだけ判決を覆せることになるから)、何も「苦しい反論」ではなく総務省が正しい。

Wi-Fiアンテナ(ルーターでもイイが今回はアンテナとする)に設定されたWEP鍵(事前共有鍵<Pre-Shared Key>)と利用者通信端末側に設定されたWEP鍵が一致すればアンテナがWi-Fi利用を許可するのだから、WEP鍵の照合が行われている時点で通信だし、公共無線LANのようにWEP鍵が公開されていない限り秘密だ。個人宅では尚更。

そのアンテナの所有権と設置場所がどこかと問えば考えるまでもなく、公共無線LANでない限り不可侵(であるべき)領域だ。


スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。 』に書いた、暗号化されていないWi-Fi通信におけるARP(に限らず)パケットは「通信の秘密」と呼ぶには多少無理がある。同じWi-Fiアンテナに接続できる人同士ならば、互いの通信内容を見る事ができる前提の仕様だから、ラジオと変わらず「チャンネル(周波数)を合わせただけだ」と主張できる。
※Ethernet上のブロードキャストパケットや、リピータハブ上の通信と同じ状態。

しかしWEPで暗号化(=パスワードロック)されている通信の場合、事前共有鍵の仕組み上「利用許可認証」の機能も兼ねているから明らかに「利用者識別符号」だし、これを盗んで他人宅のWi-Fiをただ乗りするのは、ある家族が玄関の鍵を共有していて、それを見つけ出して他人の家の中に入ることと同じだ。それが総務省のいう窃用にあたる。

電波法で言う「通信の秘密」が個々の会話(電話時代の)を指すのであって、通信を暗号化するためのWEP鍵は「通信の秘密」に該当しないと言うのであれば、「グループ」アカウントのパスワードにも同じ事が言え、少なくとも日本中のセキュリティ概念が破綻する。
※この場合グループアカウントのIDがWi-FiのSSIDにあたり、パスワードが事前共有鍵にあたる。

例えば、営業部のパスワードと役員会のパスワードはいずれもグループ内において共通パスワードだが、グループを超えて共有されることは想定されていないし許可されていない。権限(パーミッション)のない者が盗み見てログインすれば窃用でしかない。

一方総務省は、WEP鍵を調べる行為に含まれる暗号化したARPパケットの傍受に対して、ネットワークのMACアドレスを調べる用途などに使うARPパケットを「無線通信」、暗号化されたARPパケットは「無線通信の秘密」と主張。

当然だし、何も間違っていない。

効率良くARP応答パケットを集めるために、ARP要求パケットを傍受し、コピーしてAPに送り付ける行為を「第109条で規定する『窃用』に当たる」とした。

これも当然だ。前述の家の鍵と同じであり、もしこれを窃用と見なさいのであれば、スターバックスのWi-Fiのように暗号化されていない無線通信をスニファリングして、平文で通信されている他人のIDパスワードを取得・使用しても、罪を問えないことになる。すなわちWi-Fiは通信ではなく「ラジオ」(放送)として見なすことになる。

この主張が苦しいのは、暗号化されたARPパケットを「無線通信の秘密」としている点だ。また主張通り認められたとしても、この手法でしか罪に問えず、別のただ乗りを許してしまう。例えば、ARP要求パケットをコピーしないで不定期に飛びかうARP応答パケットを4万個収集すれば、窃用行為は問えなくなる。

そうではない。手法に応じてその都度罪状は変わるし、「不定期に飛びかうARP応答パケットを4万個収集」するにしても、当該WEP鍵(秘密)を窃用しない限り、暗号パケットを復号できないから、WEP鍵を取得した後のタダ乗り通信は常に通信の秘密を窃用している状態になる。

記者が重要視しているのはWEP鍵をどのようにクラックしたかの手法(ARPインジェクションとPTW攻撃)についてであり、クラック後は知り得たWEP鍵を窃用しない限りそもそも当該Wi-Fiアンテナが使えない。Wi-Fiの事前共有鍵は、無線通信の暗号化・復号と利用者認証を兼ねているのだから。
※ちなみに現在最高のWPA2であっても事前共有鍵さえ知っていれば当該Wi-Fiの全ての通信を復号できるため、どうやってパスワード(事前共有鍵)を知ったかと、その後のタダ乗り(窃用)は独立した行為として個別に有罪・無罪を考えなくてはいけない。

しかし、「WEP鍵は共通パスワードで、『識別符号』に該当しない可能性が高い」(セキュリティに詳しい弁護士)という指摘もある。

愚かだ。

WEP鍵はアンテナのSSIDとセットで固有の通信を識別するための符号以外の何物でもない。

(通信ではなく放送だが)、空から降り注いでいるBS WOWOWというチャンネル識別符号に対し(チャンネルを合わせ受信することは誰にでもできる)、契約者のBCASカードの番号=識別符号が対応してスクランブルが解かれ視聴可能となることと全く同じ。他人のBCASカード番号を無断で使って視聴すれば窃用だ。

共通(事前共有鍵)であっても、利用者同士が共有することを承認している者の間で「共通」が成り立つのであって、見ず知らずの誰かが共通鍵(すなわちパスワード)を利用することは誰も許可・想定していない。

「共有することを承認している者の間」とは、家族や職場の無線LANを使う従業員同士などを指し、自らの意志でお互いにパスワード(事前共有鍵)という秘密を共有する(知識認証)という決断をしている。

例えるならセコム契約時に家のスペアキーを渡しても(所有認証)、泥棒に共有を許可しているわけではない。

10年以上前から脆弱性が指摘され危殆化しているWEPを使っていることは、知識・意識上の問題であっても罪ではない。古いタイプのシリンダーの玄関鍵をピッキングし家宅侵入した泥棒は無罪なのかという話しと同じだ。築10年以上の家への家宅侵入は罪に問わない的な。

※Wi-Fiと同じで「知得」は鍵の在処を知ること。「窃用」はその鍵を無断で使うこと。

第一そんなことを言っていたら、今後はパソコンやネットワーク、セキュリティに疎い人は「お気の毒に」で片付けられてしまう。

こちらの日経コミュニケーションの記事にも冒頭の記事と同様の見解が書かれている。

ニュース解説 - 無線LANの「ただ乗り」はやはり罪に問えない?有識者に聞く:ITpro
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/042800957/?rt=nocnt

今回の裁判はまさに後者に当たるわけだが、「なぜか第109条の2ではなく、知得が対象外の第109条本体で立件しているので勝てるわけがない」(ある弁護士)という指摘が出ている。

これも同じだ。「知得」が問うのはクラックにより知り得た事前共有鍵そのものであり、その後当該Wi-Fiアンテナが使えたのは、クラックしたWEP鍵の窃用があってこそ成り立つものであることを無視しているように思う。「窃用」だけで十分に立件できる(できなければならなかった)。

今回の一件を巡っては、法整備が技術の進化に追い付いていないとする指摘は多い。

そうではなく法律家の手に負えない高度技術社会が到来したということだ。
こういった新しい問題が起きると「法整備が急がれる」みたいな記事をよく見かけるが、法律は十分に対応していて、その法律を理解するための裏付けとなる技術的な知識が足りていないだけだ。

アメリカではサイバー犯罪において、罪を問う側・問われる側の知識・理解不足により、実際に行われた罪の半分も立件されていない(又は罪が軽い=償われていない)と言われている。
もし法律家がわかる範囲でしか技術的に検証・立証されないなら当然だろう。このまま技術進歩が加速すると「解らないことが大半」になり、いずれ法律家よりも知能が高い者、高度な技術を持つ者の罪を問えない(問う方法がわからない)時代になりかねない。実際にそうなりつつある。

1990年代のプロバイダーは、高い月額固定料金を徴収しながら、アクセスポイントは話し中(ビジー)でつながらなかった。今なら返金しないとお金だけ取って使えない「詐欺」として訴えられるだろうが、当時は誰も意味がわからずそんなものだ程度にしか受け止めていなかった。一方で消費者金融の過払い問題は解りやすいため請求が相次いだ。

罪を問うには十分な知識が必要だということであり、当該判決は残念な結果としか言いようがない。

参考リンク:無線LAN“タダ乗り”は無罪 地裁の判決に広がる波紋 | 文春オンライン

あとがき

チャーリー(
JAPAN MENSA会員

AEAJアロマテラピー検定1級
AEAJ認定アロマテラピーアドバイザー
AEAJ認定環境カオリスタ
AEAJ認定アロマテラピーインストラクター
AEAJ認定アロマブレンドデザイナー
AEAJ個人正会員
JAMHAメディカルハーブ検定1級JAMHA認定メディカルハーブコーディネーター
JAMHA認定ハーバルセラピスト
ITパスポート試験合格(笑)。
情報セキュリティマネジメント試験合格
臭気判定士(国家資格)
薬学検定1級合格
HTML5プロフェッショナル認定資格 レベル1試験に合格。
個人情報保護士認定試験に合格。
情報セキュリティ管理士認定試験に合格。
メンタルヘルス・マネジメント検定II種(ラインケアコース)試験に合格。
Comptia Security+試験合格。
SEA/J情報セキュリティ技術認定CSPM of Technical試験合格。
危険物取扱者 乙種 第4類試験合格。

チャーリーのタンブラー(毎日更新、日記・ブックマーク的な)


by charlie-ls | 2017-05-25 10:13 | 個人ブログ | Comments(0)
 最近マイナンバー法に目を通し、強く感じた事がある。個人情報やセキュリティマネジメントに関する法律が厳格化されるにつれ、組織における中間管理職は、今後ある一定の「現場リーダー」的存在であり続けることができたとしても、本来「管理職」という言葉が持つ意味合いとしては骨抜きになるだろうという点。

 個人情報保護法が施行されて以来、「家族」はより“他人”に近づいた。妻だから兄弟だからでは何も手続きできず、忙しい本人に代わって病院の検査結果を聞くこともできなければ、留守中に本人限定受取郵便を代わりに受け取ることもできない。重要な場面において「代理」の役目を果たせるのは委任状を持っている人(通常は弁護士や行政書士、弁理士、税理士、司法書士などだろう)であって、「親族」という肩書きだけでは、相続や扶養控除、生命保険金の受け取りなど、おおよそ「分け前」を得る権利を主張する際(笑)を除けば、ほとんど他人と言っていいほど効力を持たなくなった。

 出番は民間の「家族割り」サービスやマイレージくらいか。

 ましてやマイナンバー法のように、例え本人の同意があっても源泉徴収票の作成など必要とされる業務を除いて、取得、保存、利用、提供を禁止する厳しい法律の前では、触らない、知らない、聞かないことが身のためなので、直属の上司だからと言って「私が預かる」はこの先間違いなく減るだろうと思う。
※マイナンバー法は個人情報保護法の上に特別法として存在する。

 遅かれ早かれ、法の理解が進むにつれ。

 「部下のことは全て知る権利がある」とか「オレを信用しないのか」的(ある種のジャイアン的)な振る舞いが成り立たなくなり、より一層組織とは「他人」の集まりであることを色濃くしていくだろうと思う。必然的に、これまで“実体”の無かった「威厳」は薄れていく。

 個人番号は社内の住所録等への記録も禁止されているので、納税、保険・年金業務以外にまるで触れる必要の無い情報であり、言い換えるとそれらの業務に携わっていない者は手にすべき情報ではない。

 個人情報保護法は両罰式だから、何かあったら(責任を取るという名目で)本人は辞職し後は会社が後始末とはいかず、やらかした本人にも半年以下の懲役または30万円以下の罰金がある。

 そうなると触りたがらない人も当然出てくるので、直属の上司が税務担当者でなければ、直接の担当者へと持って行くことが原則となり(それを希望する人が出てきたり)、手順はCPO(個人情報保護管理者)の管理・監督下で指示に従わなければならない。
CPOには取締役クラスが就くことが望ましいとされている。

 多分、その人(担当者)こそが本来の管理職の役目を果たすことになる。というよりも、個人情報保護法やマイナンバー法、セキュリティマネジメント総論(最終的にはサイバーセキュリティ技術も)を全管理職に徹底的に仕込むことは難しいため、次第にある特定の人の任務が増えていく流れだ。自然と言えば自然。

 ということから、現場監督としてのリーダーは成り立っても、会社という組織の運営という意味合いでの中間管理職の役目は少しづつ薄れていく気がしてならない。

 ひいてはソレが、目の前にいる直属の上司が、よく見ればさほど企業の根幹に携わっているわけでもない=言ってる程重要ではない(明後日も自分の上司かどうかもわからない)人物のように見えてしまうだろう要因となる。なぜなら、本当に出世したい(或いは学びたい)若者から見れば、現場の「作業」を覚えたらもう学ぶことはないかもしれない相手に見えてくるからだ。

 実際にそこが、現代の離職率の高さの要因の一つだと私は見ている。インターネットも手伝って、年の差ほど有益な情報や知識を持っている人が少なくなった。

 例えるなら、ゆとり世代を飲み会に誘ったら「それは仕事ですか?残業扱いですか?」と聞いてくることに嘆いているオッサンが多いことと同じで、習慣やノリ、そして「威厳」とか「肩書き」だけでは時代遅れな振る舞いが成り立たなくなっていく様子に似ている。本来は嘆く前に、答えてあげるのが上司であり人生の先輩の役目だ。自分でも答えがわからないのであれば、共に学び前に進む必要があるし、新しい世代とはそれに気付かせてくれる存在でもある。

 いいのか悪いのかはわからないが、今後はより「個人」が独立した存在となり、もしかするとそれが個々の「自立」を促すことにもなるのかもしれないとも思う。いずれにせよ法律が他人との境界線と個人の輪郭を強調させていることには間違いない。

 私自身しっかり対応していくためにも、個人情報保護法とマイナンバー法を熟読する今日この頃。

---
今回から段落は一マス空けて書き始めという基本に沿って書くことにした(笑)。寄稿ブログ時代、メールで入稿する際に空白や改行を入れない生テキストデータ渡しに徹していたので、そのままの流れで来てしまった。
---

チャーリー(
JAPAN MENSA会員

AEAJアロマテラピー検定1級
AEAJ認定アロマテラピーアドバイザー
AEAJ認定環境カオリスタ
AEAJ認定アロマテラピーインストラクター
AEAJ個人正会員
JAMHAメディカルハーブ検定1級
JAMHA認定メディカルハーブコーディネーター
ITパスポート試験合格(笑)。
情報セキュリティマネジメント試験合格

チャーリーのタンブラー(毎日更新、日記・ブックマーク的な)
by charlie-ls | 2016-12-02 11:53 | 個人ブログ | Comments(0)

カメラマン☆チャーリーのブログ


by チャーリー
カレンダー
S M T W T F S
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31