無線通信干渉とサイバー兵器(?)

「イランのドローンを撃墜、米海兵隊のエネルギー兵器「LMADIS」の威力」という記事がでています。

記事を読んでいくと、これが、「エネルギー兵器」なのか、という感じがします。「妨害電波を発して、飛行体とその操縦元との間の通信を遮断する。」とか、「相手に照準を合わせると、LMADISは同じ周波数の電波を発してダメージを与える。相当量の「ノイズ」を発生させることで、交信を断たれたと敵方の無人機に思い込ませるのだ。」とか、記載されていて、これって、単なるピン・ポイントのジャミングなんじゃないのとか、いう感じがします。エネルギー兵器って、普通は、「指向性のエネルギーを直接に照射攻撃を行い、目標物を破壊したり機能を停止させる兵器」って定義されるので、ジャミングは、エネルギー兵器ではないですね。

それはそれとして、これを日本で購入したとして、日本国内法的に、電波法は、別として、どのような位置づけになるのと考えてみました。自衛隊なので、自衛隊の活動と、このような機器の利用が、法的に、どのように位置づけられるのか、ということですね。多分、自衛隊法とこのような機器の位置づけというのは、いままでになされていないような気がします。

というか、このような機器は、法的に、どのように位置づけられるのでしょうか。

「武器」というのは、法的な用語としてあります。警察官職務執行法7条は、武器の使用を認めています。ここで、武器というのは、「主として人の殺傷の用に供する目的でつくられた道具で現実に人を殺傷する能力を有するものをいう」をいうと解釈されています(古谷洋一編著「注釈 警察官職務執行法(四訂版)」(立花書房、2018)371頁。それでもって、自衛隊についていえば、職務遂行のための武器使用と、自然権的武器使用とがあるそうです(「日本の防衛法制」211頁)。前者においては、警察官職務執行法が準用されているので、それで、武器使用が正当化されることになりますね。

では、このようなジャマーは、武器なのか、というと、別にそれ自体、人を殺傷できないので、「武器」とはいえないでしょう。ほかに法的にどうなのか、というと、警察官職務執行法では、「制止」という行動があります。この「制止」というのは、「犯罪が行われようとするのを実力で阻止することをいう」とされています。この制止には、「一般的には、身体の一次的拘束、凶器の取り上げ等の措置が含まれるとされている。」となります。これは、犯罪者の身体に対する影響であって、引き留めのため警棒を肩に宛てる行為、放水車による放水、催涙ガス・催涙液を使用して制止する行為などが含まれるとされています。

もし、この「制止」という概念に該当すると、「「警察官は、犯罪がまさに行われようとするのを認めたときは、その予防のため関係者に必要な警告を発し、又、もしその行為により人の生命若しくは身体に危険が及び、又は財産に重大な損害を受ける虞があつて、急を要する場合」に限って、この措置が利用可能になりますね。

では、このような「無線通信干渉」って、どうなのでしょうか。警察官職務執行法としては、「制止」よりも、犯罪行為者への強制効果(?-coercive effectという感じ)は、さらに弱いでしょう。そうはいっても、犯罪者といえども、その通信は、保護されているはずなので、警察官職務執行の上では、法的に保護される意味があるはずですね。上のような制止レベルを求めるのか、それとも、犯罪にたいしてならば、いつでも、干渉をなしうるのか、ということになりそうです。

無人機等飛行禁止法は、これを立法論的に解決しています。

警察官は、小型無人機等の飛行が行われていると認められる場合には、当該小型無人機等の飛行を行っている者に対し、当該小型無人機等の飛行に係る機器を対象施設周辺地域の上空から退去させることその他の対象施設に対する危険を未然に防止するために必要な措置をとることを命ずることができる

命ぜられた者が当該措置をとらないとき、その命令の相手方が現場にいないために 当該措置をとることを命ずることができないとき又は同項の小型無人機等の飛行を行っている者に対し当該措置をとることを命ずるいとまがないときは、警察官は、対象施設に対する危険を未然に防止するためやむを得ないと認められる限度において、当該小型無人機等の飛行の妨害、当該小型無人機等の飛行に係る機器の破損その他の必要な措置をとることができる(同法10条1項、2項)。

この場合の「機器の破損その他の必要な措置」というのにジャミングが含まれるのは、国会審議でも認められているところですね

要件を比較した場合に、「財産に重大な損害を受ける虞があつて、急を要する場合」というまではなくて、「対象施設に対する危険」の未然防止で足りることになります。(私には、無人機等飛行禁止法の要件のほうが、すこし緩いように見えます)

でもって、空港の施設管理者は、どうか、というと、航空法は、警察官の権限については、ノーコメントで(管轄からいえば、当然なのですが)、平成三十二年東京オリンピック競技大会・東京パラリンピック競技大会特別措置法(平成二十七年法律第三十三号)31条2項において、小型無人機等飛行禁止法9条1項または3項本文の規定に違反して、小型無人機等の飛行が行われる場合には、

当該施設における滑走路の閉鎖その他の当該施設に対する危険を未然に防止するために必要な措置をとるものとする。

とされています。自ら、ジャミングできるのか、というのは、不透明な感じですね(理屈からいけば、自己の財産や航空機の安全な運行に対する正当防衛は、いけるはずですが)。では、警察官にジャミングを要請した場合に、制止として、この「財産に重大な損害を受ける虞があつて、急を要する場合」まで求められるのか、というのは、問題なのではないか、と思います。

要は、通信を用いてコントロールする有体物による犯罪に対する、その通信に対する干渉に対して、「制止」に限らず、「干渉」などの概念を設けて、警察官職務執行の要件を緩和するべきなのではないか、という感じをもっています。

また、その場合の干渉のための機器について、電波法の問題をクリアする規定(自衛隊法112条(電波法の適用除外))的なものを考えてもいいのではないか、という感じをもっていたりします。

 

ドローン攻撃への対策の分類と実際

ドローン攻撃への対策という表現を使いましたが、米国では、対無人航空機システム(COUNTER-UASシステム)という名称のもとで、

対無人航空機システム(COUNTER-UASシステム)という用語は、無人航空機または無人航空機システムの制御を合法かつ安全に無効化、中断、または捕捉できるシステムまたはデバイスを意味する

とされています(合衆国法典44801条(5)-これは、2018年FAA再授権法341条(a)によります)。同法は、こちらです

この手法については、FAAの技術的覚書があります

具体的な仕組みとしては、大きくは、探知と防御にわけられることになります。

探知

これは、無人航空機自体の場所およびその操作者がどこにいるかを明らかにするものです。

レーダー

具体例としては、「「セコム・ドローン検知システム」を発売

無線受信機(RF)

具体例としては、「電波探知妨害装置」

音響センサー(acoustic sensor)

具体例としては、パナソニックシステムネットワーク 「ドローン検知システムの受注を開始」

視覚センサー

などがあります。

防御

これは、実際に悪意ある無人航空機から、安全を守るために種々の行為をおこなうものをいいます。

ジャミング

Drone gun(https://youtu.be/fpmVTbBB0Qc

Skyfence(https://youtu.be/1N4EgtL08MQ

なりすまし(GPS信号)

ハッキング

Maldrone (https://youtu.be/5SlWdl4ZuAI

物理的捕獲

DroneCatcher(https://youtu.be/zepmZ574Wjw)

Skywall(https://youtu.be/M6tT1GapCe4)、

鷲による捕獲(https://youtu.be/Vd00zh4NGcc)

破壊(レーザー照射など)

Atena(https://youtu.be/hNsUtZmWgdg

などがあります。

あとは、興味深いのは、

槍に(https://youtu.be/QRmhdQB8YRw?t=266)、野球のボール(https://youtu.be/kwQ7LpkJLPM)ですね。

レーダーと無線による方式は、電波を利用するので、電波法の秘密の保護の解釈で、傍受した電波の通信内容を防御に利用するということで窃用に触れそうです。なので、正当業務行為という形で、違法性阻却になる、ということかと思います(電気通信事業法の「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」参照ですね。)

---

注)その後、この窃用について、空港管理者との関係で詳しく検討しました。むしろ、傍受した結果の利用ということで、それ自体に当然に利用される、と解すべきだろうと思います。

 

 

 

 

 

ドローン攻撃への対策研究

防衛省がドローン攻撃の対策研究を強化へというニュースがでています

法的な話としては、飛行禁止空域(航空法132条)や飛行禁止区域(小型無人機等飛行禁止法3条ないし6条)が定められていています。

そして、たとえば、これらの区域等で、実勢に無人機等を飛行させたりしていると、小型無人機等飛行禁止法10条1項(改正後)では、

当該小型無人機等の飛行を行っている者に対して、危険を未然に防止するために必要な措置をとることを命ずることができるとするとともに、命令に応じない場合等においては、警察官は、対象施設に対する危険を未然に防止するためやむを得ないと認められる限度において、当該小型無人機等の飛行の妨害、当該小型無人機等の飛行に係る機器の破損その他の必要な措置をとることができる

とされています。

ここで改正といっているのは、小型無人機等飛行禁止法が、改正されており、今年の6月13日から施行されています。新旧対照条文は、こちらです

それで、防衛省周りの規定としては、改正後の同法10条3項で

前二項の規定は、皇宮護衛官及び海上保安官並びに第二条第一項第三号に掲げる対象施設を職務上警護する自衛官の職務の執行について準用する。 この場合において、当該自衛官の職務の執行については、 第一項中「小型無人機等の飛行が」とあるのは「小型無人機等の飛行 (当該自衛官が職務上警護する対象施設に係る対象施設周辺地域の上 空において行われるものに限る。)が」と、「対象施設周辺地域」と あるのは「当該対象施設周辺地域」と、前二項中「対象施設に」とあ るのは「当該対象施設に」と、「できる」とあるのは「できる。ただ し、当該対象施設及びその指定敷地等並びにその上空以外の場所及び その上空における当該自衛官の職務の執行にあっては、警察官(海域 及びその上空における当該自衛官の職務の執行にあっては、警察官及 び海上保安官)がその場にいない場合において、防衛大臣が警察庁長 官(海域及びその上空における当該自衛官の職務の執行にあっては、 警察庁長官及び海上保安庁長官)に協議して定めるところにより、行 うときに限る」と読み替えるものとする

と定められています。

そこで、警察官がその場にいない場合において、防衛大臣が警察庁長官に協議して定めるところにより、行 うときに限るという限定がなされますが、当該小型無人機等の飛行に係る機器の破損その他の必要な措置をとることができるようになったわけです。

そこで、研究し、予算執行ということにいたったものかと考えられます。

では、対ドローンのための仕組みは、どのように分類されるのか、ちょと面白いページも見つけたので、次のエントリでふれることにします。

 

 

公表前の脆弱性の報道を考える

JNSAセキュリティしんだんに私の「公表前の脆弱性の報道を考える」という小論が公表されています。

内容については、上の記事を参照いただきたいと思います。JNSAの記事ということで、自分の考えを決論として明らかにするということは、避けたところになります。

逆に自分が、報道機関の側であったならば、どのようにしただろうか、という疑問があります。悩ましい問題ではあります。

「情報システム等の脆弱性情報の取り扱いにおける法律面の調査 報告書改訂版」では、まず、最初に、「脆弱性の公表」と表現の自由という大原則をあげています。報道機関の報道は、まさにそのような原則のもとにあることを前提に考えることになります。

触れた16時5分の記事は、こちらになります

そのあと、具体的に、実際の脆弱性について分析された記事がでています。

16時5分の記事をみる限り、具体的な攻撃のための条件が明らかになっているとはいえません。この記事を見て、この部分に脆弱性があるはずだとして、攻撃者が、探すことによって、どのくらい悪用されうるのか、という可能性については、私としては、評価することはできませんが、現実としては、高いものとはいえないかなあと考えています。そうだとすると、やはり大原則の表現の自由の保護を考えるべきとなるかと思います。

このように考えたときに、取扱規定的には、脆弱性を第三者への開示ということは、状況に応じて具体的に考えられると解釈されて、報道機関が、攻撃のための条件を明らかにしたり、攻撃しうる部分を特定しうるような情報を公表する場合は該当するが、そのような要素がない場合には、「脆弱性の第三者への開示」とはいえない、ということになるのかなあ、と思います。

当たり前ですが、上の見解は、単に私の見解です。取扱規定に関する経済産業省、IPA、その他の組織との公式見解とは全く関係がございません。

勝手に暴露されちゃった「Zero-day」(?)

対応時間ゼロ 勝手に暴露されちゃった「zero-day」」という記事がでています。

「勝手に」というと、協調された開示の仕組みを完全に無視して、公表してしまったのか、というようにみえますが、「Androidのゼロデイの脆弱性は、事前にGoogleには知らせていたものの、ZDIが独自に定めた期限までに対策パッチが公開されなかったので、情報公開に踏み切ったという。」とのことなので、Googleにたいして、通知はしていたようです。

アドバイザリのページをみていくと、数回、修正の要求を出したにも関わらず、具体的な修正の日時を特定し得ないという返事がきたので公開したという経緯に見えます。

協調された開示の仕組みという表現をしましたが、責任ある開示ともいわれています。記事としては、「脆弱性の「責任ある開示」を他業界でも、マカフィー担当者に聞く」という記事があります。後述の法律面の報告書(改訂版)では、1頁でふれています

わが国では、「情報セキュリティ早期警戒パートナーシップ」が、2004年に整備され、独立行政法人 情報処理推進機構、一般社団法人 JPCERT コーディネーションセンターなどによって運営されています 。

このパートナーシップの運営にあたって生じる問題点等は、「情報システム等の脆弱性情報の取扱いに関する研究会」のもとで、検討され、その検討の結果が、パートナーシップのガイドラインに反映されています。

現在は、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」に基づいて、ガイドラインによって協調された開示の実務が動いているという感じでしょうか。(経緯については、法律面の報告書(改訂版)2-4頁でふれています)

なお、私自身も、この早期警戒パートナーシップの元となっている考え方、また、実際にいろいろと生じるであろう問題点などについて法的な立場から、解説を試み、それが公表されています(情報システム等の脆弱性情報の取り扱いにおける法律面の調査 報告書改訂版

タイトルの記事の話に戻ります。早期警戒パートナーシップにおいては、具体的な対応のための期限は決めていません。発見者は、1年を経過した場合に、情報非開示以来の取り下げを求めることができるという仕組みになっています。

それに対して、一定の期限を区切って、それでも、セキュリティパッチがでなければ、それを公開するという方針も採用されています。

ProjectZeroは、90日がデッドラインですね。Hacker one だと30日がデフォルトです

平均日数については、記事がでているところでもあります

発見者としては、開発者と良好なコミュニケーションのもと、できる限り、早急に対応してもらいたいところですが、いろいろな利害関係もあり、非常に悩ましいところでもあります。

なので、合理的な期間を設定して、これに間に合わなかった場合、そして、それで公開した場合について、「勝手に」と評価されるのか、というと、ちょっと、違和感を感じたというところが、本当のところでしょうか。

フランス国防省のサイバースペースにおける作戦への国際法適用への見解(2 武力紛争時)

2 武力紛争の文脈におけるサイバー作戦への適用しうる国際法

です。キーメッセージのあと、

武力紛争の状況では、サイバースペースは、それ自体、海、空、または宇宙におけると同様に対立の空間です。
この新しい形態の紛争に対応するために、国防省はデジタルディメンションを軍事作戦に完全に統合しています。 攻撃的コンピューター戦闘(LIO)は戦略的なレベルの能力ですが、戦術的には、効果を、従来の武器の効果と組み合わせる武器でもあります。
サイバー兵器は複雑なので、国際人道法(IHL)を尊重するフレームワークにおいて効果を習得することを必要とします。身体的行為の分野において、計画され、指揮される作戦と同様に、敵対行為の基づく諸原則に適合して、フランス国防省によって、なされます。

というまとめがなされています。

2.1  武力紛争の存在を形作るサイバー作戦

国際的武力紛争(IAC、フランス語CAI)があること、それと非国際的武力紛争(NIAC、CANI)があることに触れられています。

また、サイバー作戦ではあるものの、効果が主権国家の領域のなかで発生すること、が求められていること、つまり、従来の地理的な文脈で議論されることがふれられています。

2.2 武力紛争の文脈におけるサイバー作戦に適用される国際法

サイバー兵器について、目標の両用性とネットワークの接続性があることから、目標決定プロセスには、特定のプロセスを要する、とされています。

2.2.1 サイバー作戦が、国際人権法における攻撃を構成しうること

ジュネーブ条約第1追加議定書49条における攻撃を構成しうること、敵のシステムにたいして、破壊的な活動をする場合、中立化の場合も、すべて、含まれることになります。

フランスは、タリンマニュアルの見解(規則92)とは異なって、物理的な基準にのみ依拠するものではないとしています。フランスは、攻撃の定義を、機器・システムが、一時的にせよ、復旧可能であるにせよ、利用がもはや困難にする場合をいうとしています。

武力紛争の文脈において、フランス軍によるサイバー作戦は、攻撃の定義に該当しないとしています。敵の影響力のあるサイトの改竄は、ジャミングと同一で、国際人権法の規定の対象とはならないと考えています。

2.2.2 敵対行為についての原則の適用

敵対行為についての原則としては、区別原則、均衡性、警告、過度の傷害または無用の苦痛があり、これらは、サイバー作戦に適用されるが、サイバースペースにおける活動の緊急性、標的の両用性、ネットワークの接続性によって適用が困難になっている、とされています。

これらについては、フランスは、物の地位に関する疑義についてのタリンマニュアルの見解には、異議があるとしています。

それ以外については、一般的な説明ですので、ちょっと省略

2.3 中立原則がサイバースペースに適用されること

これについては、中立原則が適用され、中立国は、自分の領域のITインフラが、交戦国に利用されるのを防止しなければなりません。また、交戦国は、中立国のインフラに影響を与えるのを慎まなければなりません。

 

 

 

 

 

 

フランス国防省のサイバースペースにおける作戦への国際法適用への見解(1.2 自衛権の行使および1.3 責任帰属決定)

1.2 重大な影響度・深刻度の被害を惹起するサイバー作戦は、武力侵害を構成し、自衛権の行使を惹起する

です。

この部分は、フランス政府は、(アメリカ政府と違って-書いていないけど)国際司法裁判所のもっとも深刻な武力行使の形態とそれ以外を区別し、もっとも深刻なもののみが、個別的・集団的自衛権の行使によって対抗しうる武力侵略を構成しうる立場であるということを前提にするからスタートします。

1.2.1 サイバー攻撃は、武力侵略となりうる

フランスは、サイバー攻撃が、国連憲章51条の武力攻撃となりうることを確認しています。影響と規模の観点から分析され、ケース・バイ・ケースのアプローチで判断されます。

具体的な例としては、重要インフラに対する重大な妨害、国家の活動のマヒ、技術的/環境的破壊を引き起こして、多数の被害者をおこすことなどがあげられています。

武力攻撃となりうるためには、国家に帰属しうることが必要であるとされます。非国家主体のなす行為については、ISISのような(准国家的)場合をのぞいては、自衛権の対象とはしません。

1.2.2 デジタル軍侵略に対する自衛権の行使

国連憲章51条のもと、武力侵略は、個別的・集団的自衛権の行使を正当化します。大統領の決定のもとに、国防省が、サイバー作戦に従事しうることになります。サイバー攻撃は、それ自体としては、武力侵害に到達しませんが、効果が積み重なり、また、フィジカルな分野でなされることによって侵略を構成します。

また、例外的な場合には、プリ・エンプティブ (préemptive)な自衛権に訴えることも可能です。

攻撃的なサイバーを民間会社やハッカーグループに依拠している国家は、それらの行為にたいして責任を負い、フランスは、パリ宣言によって、それらの非国家組織の監視と禁止を支持します。

自衛権の行使は、暫定的で、従たるものです。国連憲章の手続きに従うし、また、国連の安全保障委員会が、他の手段を選びうるものです。

1.2.3 求められるデューデリジェンスに対応しない場合

デューデリジェンスの法理についての解説がなされて、非国家主体のなす行為を防止するための合理的な手段を怠った場合、その国家は、武力行使禁止原則に反する例外とはされないとされています。(タリンマニュアルには、反対)

1.3 サイバー攻撃の発生国の責任帰属判断(アトリビューション)は、国家による政治的判断

サイバー攻撃がそれ自体、追跡し、コントロールするのが困難です。フランスでは、サイバー攻撃が探知されると、その効果を中立化させる作戦を実装します。攻撃者の特定は、攻撃における技術的証拠を主たるもの(限定する趣旨ではなく、そのほかにも含まれますが)として決定されます。具体的には、サイバー作戦で利用されたインフラの決定、その場所、敵作線モードの識別、侵入者の一般的な時系列敵行動、事件の深刻度、侵入された部門、攻撃者の求めた効果などです。

特定の国家に責任が帰属することを決定することは、主権の権能の一つとされますが、それを公にする必要はありません。また、国際法は、証拠を明らかにする義務を認めるものではありません。

フランス国防省のサイバースペースにおける作戦への国際法適用への見解(1.1 対抗する権利)

フランス国防省から「サイバースペースにおける作戦への国際法適用への見解(DROIT INTERNATIONAL APPLIQUÉ AUX OPÉRATIONS DANS LE CYBERESPACE)」が公表されています

この内容については Przemysław Roguski 先生の一連のツイートが注目すべき点をピックアップしています。

この見解の目次は、

1 平和時におけるサイバー作戦

1.1 フランスは、被害国たりうる国際法違反のサイバー作戦にたいして対抗する権利を保有(La France se réserve le droit de répondre )する

1.2 重大な影響度・深刻度の被害を惹起するサイバー作戦は、武力侵害を構成し、自衛権の行使を惹起する

1.3 発生源のサイバー作戦の帰属は、国家的政治的決断である

2 武力紛争におけるサイバー作戦についての国際法の適用

2.1 武力紛争の存在を形作るサイバー作戦

2.2 国際人権法は、武力紛争の文脈においてなされるすべてのサイバー作戦にたいして適用される

2.3 中立法は、サイバースペースに適用される

となっています。

1についてみていくと、

1.1 フランスは、被害国たりうる国際法違反のサイバー作戦にたいして反撃する権利を保有(La France se réserve le droit de répondre )する

は、

国際法のもとでは、サイバー作戦は、それ自体違法ではないが、国際法の違反を引き起こすときには、違法になる

とまとめられています。

これに引き続いて

1.1.1 主権侵害となりうるサイバー攻撃

では、領域内におけるシステムに対する主権を行使し、デューデリジェンスにもとづいて国際違法行為に利用されないようにすることが謳われています。

また、有効なコントロールのもとで、フランスの国内、外交事項に対して、デジタルなベンタを用いて政治的・経済的・社会的・文化的システムを危うくする者は、国内不干渉原則違反になるとしています。

国のデジタルシステムに侵入し、戦争/経済的可能性、国家の存続の安全保障または能力にに影響をあたえ/フランスの国内、外交事項に対して影響をあたえるサイバー攻撃は、その影響の中立化をも含むコンピュータ防御的戦闘を導くとされています。

国際法的に許容される方法のなかで、ケース・バイ・ケースで裁量のもとに対応するとされています。

1.1.2. 武力(force)脅威または行使の禁止に反しうるサイバー作戦

フランスは、物理的損害が伴った場合において武力の行使の閾値に該当しうることを認めているという宣言であり、また、物理的損害がなかったとしても、作戦の発生源、軍事的正確、侵入の程度、影響、標的の種類などから、武力の行使の閾値に該当しうることを認めています。

もっとも、それが直ちに国連憲章51情の武力攻撃(armed attack)に該当するものではないともしています。

1.1.3 国際法の準備する回答

フランスは、攻撃に対して、防止、予期、防衛、探知、対応する種々の手法をとるとされています。サイバー攻撃に対して、国内、国際的なパートナーとともに、予期、探知、対応するためにサイバー防衛作戦を行うとされています。

そのあと、被外国として国際法に基づいた対抗措置を採用する旨が説かれれますが、集団的対抗措置の概念は、否定されています。すなわち、サイバー的手法であれ、なかろうと、深刻さを考慮に入れて被害に比例するものである必要があります。

さらにフランスは、遭難(de détresse )や緊急避難( de nécessité )の理論を適用することもありうる、とされています。

 

 

 

 

 

脆弱性と瑕疵の間に(再考)

「脆弱性と債務不履行(東京地裁 平30.10.26)」のエントリで、私の昔の「脆弱性と瑕疵の間に」という論文を引用したのですが、よく考えれば(というか、よく考えなくてもわかるわけですが)、債権法改正がなされているので、論述を見直さなければならなくなっています。

普通では、電子情報通信学会の論文アクセスするのも、容易ではないかもしれないので、論文の大枠と、現時点での変更の必要なポイントを触れてみようかと思います。

論文の大枠です。構成は
1 「脆弱性」と法律上の問題
1.1 脆弱性の概念
1.2 脆弱性の法律問題と「瑕疵」
利用の透過性についての問題に関連して
利用の修正に関する問題点について
2 ソフトウエア利用の等価性の問題について
2.1 問題の所在
2.2 具体的な考察
3 利用の修正に関する問題点について
3.1 脆弱性調査のためのリバースエンジニアリングとエラー修正
3.2 ライセンシーが修正プログラムを適用する場合の法的問題

となっています。

1は、まず、議論を、パッケージソフトウエアに限定した上で、いままでの用語としては、「不具合」「欠陥」「バグ」「電子的な情報の瑕疵」という用語があること、それらと「脆弱性」という用語の関係を明らかにする必要があることについて論じています。
なお、3 については、脆弱性調査のためのリバースエンジニアリング周りの問題なので、現在、執筆するとしたら、3は、全面的にカットされることになります。

本論文のポイントは、2になるので、詳しくみていきましょう。
2は、まず、脆弱性というのが、技術的な用語として定義されていることについて触れています。
この点については、現時点では、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」 (平成29年経済産業省告示 第19号)の「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所(ウェブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者がアクセスできる状態を含む。)をいう」をいうということになります。

この技術的な用語が、法的には、どのような意味を有するのか、ということが問題になります。法的な意味を考える場合には、「原因」「時間」「程度」の観点から、いろいろな法的な位置づけになるという広範な概念ということになります。

このことを明らかにしたのが、図になります。

これは、技術的な観点から、「脆弱性」という用語が用いられているとしても、法的には、その「問題箇所」が、問題が生じる原因が何か、いつから、生じているのか、また、要求機能を果たしているのか、ということから、法的には、位置づけが異なってくるのではないか、ということを示しています。

ここで、「原因」といっているのは、脆弱性が、攻撃者の攻撃という要因を契機とするということを示しています。攻撃者が、労力をかけて、やっと、攻撃できるような脆弱性は、きわめて簡単かつ一般的な攻撃によって生じる問題とは異なって考えられる、ということになります。

「時間」といっているのは、パッケージで提供されている期間内において、攻撃手法の「発見」等により新たに「脆弱性」が、時間の経過等によって発生することがあるということ意味しています。

「程度」というものについては、そのソフトウエアの経済的目的を果たすことがなおも可能な脆弱性と、その程度・態様によりもはや経済的目的を果たすことが困難である脆弱性が存在するということであり、このような程度によって法的な効果が異なりうるのではないか、ということです。

このように考えていくと、「脆弱性」のうち、「提供時において」「社会通念上、既に行われているもしくは、想定されてしかるべきである攻撃」に対しての対応が十分でなく、「ネットワーク接続時において安心して使用できない状態」(そのソフトウエアの経済的な目的が果たせない)になっている場合に限って、そのような脆弱性は、法的に責任を負わせるべき「瑕疵」があるというべきであろうと考えています、というのが、論文の要旨ということになります。

でもって、前の論文は、ここで、パッケージソフトの問題なので民法570条の解釈、特に「履行として」認容した場合の解釈を活用しながら、脆弱性の修補請求権について論じていたわけです。が、法定責任説から契約責任説への転換にともなって、条文も変更されていくわけです。562条、563条になります。(追加・そもそも、パッケージソフトにおいて、売買の規定の適用なのか、類推適用なのか、という問題もありますが、それは、さておきます)

改正後の条文は、こちらです。

(買主の追完請求権) 第562条

引き渡された目的物が種類、品質又は数量に関 して契約の内容に適合しないものであるときは、買主は、売主 に対し、目的物の修補、代替物の引渡し又は不足分の引渡しに よる履行の追完を請求することができる。ただし、売主は、買 主に不相当な負担を課するものでないときは、買主が請求した 方法と異なる方法による履行の追完をする ことができる。

2 前項の不適合が買主の責めに帰すべき事由によるものである ときは、買主は、同項の規定による履行の追完の請求をするこ とができない。

(買主の代金減額請求権) 第563条

前条第一項本文に規定する場合において、買主 が相当の期間を定めて履行の追完の催告をし、その期間内に履行の追完がないときは、買主は、その不適合の程度に応じて代 金の減額を請求することができる。

2 前項の規定にかかわらず、次に掲げる場合には、買主は、同 項の催告をすることなく、直ちに代金の減額を請求することが できる。

一 履行の追完が不能であるとき。

略)

3 第一項の不適合が買主の責めに帰すべき事由によるものであ るときは、買主は、前二項の規定による代金の減額の請求をす ることができない。

というところでしょうか。564条は、買主の損害賠償および解除権の行使の規定です。

パッケージであれば、脆弱性が、あっても、サイトで、パッチがでていれば、それでもって、売買としても、問題がないよ、ということになるかと思います。では、売り出した時は、OKだったけど、そのあとは、脆弱性が見つかった、ただ、パッチ開発まではしないけど、注意して使ってね、という場合は、どうか、という問題があります。これは、おすすめできるソフトウエアではないですし、市場から、消費者が購入しないということで、消えるべきもののような気がしますが、法的な解釈としては「品質又は数量に関 して契約の内容に適合しないもの」という解釈問題になるのかは、その脆弱性の「程度」の問題なのだろうと思っています。

 

 

 

 

 

 

自動運転車に不正アクセス防止義務

「自動運転車に不正アクセス防止義務 国交省が検討 」という記事がでています。

自動運転自動車の法律問題を検討するのに際して、普通の人たちは、自動運転で事故が起きたら責任問題はどうなるのですか、とか、議論して、これが解決しないと自動運転の法律問題の議論にはなりません、みたいな感じで議論していました。

そのときに、私は、それよりも、自動運転システムとしてとらえた上で、むしろ、保安基準で、つながる自動車のリスクに対応した基準を作成する方が優先ですよという話をしていました。

具体的な論文としては、「自動車システムの法律問題 : 自動運転を中心に」(情報ネットワーク・ローレビュー = Information network law review 14, 101-116, 2016-06

商事法務)がありますし、また、情報処理推進機構の「情報システム等の脆弱性情報の取扱いに関する研究会- 2016 年度 報告書 -」では、報告書で、その検討の結果が上がっています

一つのポイントとしては、IoTの法律問題について、他の分野で考えられているアプローチが参考なるのではないか、と考えられます。

問題点は、

(1)自動車概念の外縁

(2)脆弱性と保安基準の関係

が、きちんと議論されるべきではないかと考えられます。

(自動車システムに関して、脆弱性が存在する場合に、どのような取り扱いがなされるか、という点について検討した場合には、具体的には、①自動車とその余のシステムとの関係、②自動車の構成要素に脆弱性のある場合の考え方、③その余のシステムを構成するプログラムに脆弱性のある場合にわけて考察することが必要である、ということになります)