NICT、NOTICE、と「特定アクセス行為」について

(1) 2018/08電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律(平成30年法律第24号)の施行に伴う省令の制定について(NICT法の一部改正に伴う識別符号の基準及び実施計画に関する規定整備関係)
http://www.soumu.go.jp/main_content/000571077.pdf

(2) 2018/09/26国立研究開発法人情報通信研究機構の中長期計画の変更案に対するサイバーセキュリティ戦略本部の意見(案)
https://www.nisc.go.jp/conference/cs/dai20/pdf/20shiryou01.pdfhttps://www.nisc.go.jp/active/kihon/pdf/iken20180926.pdf


(3) 2018/11/01国立研究開発法人情報通信研究機構法附則第八条第四項第一号に規定する総務省令で定める基準及び第九条に規定する業務の実施に関する計画に関する省令案に係る意見募集の結果新旧対照表
https://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000179654
意見募集結果
https://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000179653


(4) 2019/01/25国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要
http://www.soumu.go.jp/main_content/000595925.pdf
http://www.soumu.go.jp/main_content/000595927.pdf

(5) 2019/02/01IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施https://www.nict.go.jp/press/2019/02/01-1.html

(6) 2019/02/14IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて
https://www.nict.go.jp/info/topics/2019/02/13-2.html
(7) 2019/06/28IoT機器調査及び注意喚起の実施状況について
http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00033.html
http://www.soumu.go.jp/main_content/000630525.pdf

NICTが「IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて」で公示しています。
https://www.nict.go.jp/info/topics/2019/02/13-2.html

NOTICEの総当たりアクセス調査に使用するIPアドレス
150.249.227.160/28
153.231.215.8/29
153.231.216.176/29
153.231.216.184/29
153.231.216.216/29
153.231.226.160/29
153.231.226.168/29
153.231.227.192/29
153.231.227.208/29
153.231.227.216/29
153.231.227.224/29

ポートスキャンを仕掛けているのは、ポート番号で21(FTP)、22(SSH)、23(TELNET)、80(HTTP)、443(HTTPS)、その他では 8000、8080 です。単発ではなく、短時間に集中的&連続的にスキャンしているようです。


Let’s imagine a scenario together. Imagine a world where, in a crowded urban metropolis, nobody locked their doors. As a result, burglaries are skyrocketing. This problem could easily be solved by everybody just locking their doors, but for some reason they don’t.
一緒にとある物語を想像してみましょう。混雑した都市部であっても、住人達が家のドアの鍵を掛けない世界を想像してみて下さい。結果として、強盗、窃盗事件の数を大幅に増やしてしまうことでしょう。家のドアの鍵を掛けるだけで問題を簡単に解決できるのにも関わらず、住人達は何故かドアに施錠をしません。

Why not? Maybe they’re too lazy, maybe they’re stupid, or maybe their just don’t believe they’ll be targeted. Whatever the reason, the problem isn’t getting better.
施錠しない理由は何でしょう?もしかしたら、住人達は怠け者かもしれない、あるいはここの人々は無学だから?それとも無関心?理由が何であれ、この強盗の問題はだんだん広がってしまいます。

The police, of course, are overwhelmed. They put out notices asking people to lock their doors, but it doesn’t have much impact. So finally, they come up with a more extreme plan.
もちろん、警察は強盗、窃盗事件が増えたせいで、てんてこ舞いです。人々にドアを施錠するよう警告を発していますが、大勢には影響がありません。そしてついに、思い切った手段に訴えます。

The police hire people to go door to door in every neighborhood, testing each door to see if it’s locked. If they find an unlocked door, they enter the house and leave a warning note. They then write down a list of all the addresses that don’t lock their door and keep it at the police station.
警察が戸別訪問してドアの施錠を確認する人を雇います。施錠されていないドアを見つけたならば、彼らが家の中に入って警告メモを残します。そして彼らが施錠されていない家の住所を記録して、そのリストを警察に送ります。

Naturally, this plan has one problem…entering somebody’s house without permission or a warrant is illegal. But the police solve that by having the government pass a law that makes it temporarily legal for the police to perform “specified access” to unlocked houses.
当然、この計画にはひとつの障壁があります…裁判所の許可あるいは令状なしで、勝手に人の家に入るのは違法です。でもその障壁を乗り越えるため、警察が新しい法律を作ります…施錠を確認するための不法侵入を「特定アクセス」と見なして、一時的に合法化する法律です。

Does this sound like a terrible idea filled with potential for abuse? We agree! Unfortunately, Japan’s NICT does not.
抜け穴だらけのとんでもないアイデアだと思いませんか?我々も同意します。残念ながら、NICTはそう思ってはいません。

The National Institute of Information and Communications Technology announced a plan in February of this year, called NOTICE…”National Operation Towards IoT Clean Environment”. NOTICE is a plan to improve the national level of IoT security. Unfortunately, many hundreds (if not thousands) of IoT devices are either poorly secured, or not secured at all. Many use default passwords, which makes them easy targets for malicious programs like 2016’s Mirai virus.
情報通信研究機構(NICT)が今年の2月に、「NOTICE」という計画を実行しました…”National Operation Towards IoT Clean Environment”。NOTICEは日本国内のIoTセキュリティーを高めるための計画です。残念ながら、多くのIoTデバイスにはセキュリティ上の脆弱性があり、さらにはセキュリティー対策自体が全く施されていないデバイスすら存在します。多くのデバイスはパスワードがデフォルトのまま設定されており、ウィルスにとっていいカモになっています(例えば2016年のMiraiウィルス)。

The NICT wants to encourage better security practices, which is good. Unfortunately their method of doing this is very bad. Under NOTICE, the NICT plans to run brute-force dictionary attacks on all IoT devices in Japan, testing default passwords to try and access them. If the attack is successful, they will notify the owners and advise them to change their password. It’s also likely they’ll be keeping records of which devices were successfully accessed.
NICTはより良いセキュリティーを奨励したい、これ自体については良いことだと思います。しかし残念なことに、NICTのやり方はあまり良いものであるとはいえません。NOTICEの下で、NICTは全日本のIoTデバイスにいわゆる「総当たり辞書攻撃」を行って、デフォルトパスワードのデータベースを利用しアクセスしようとしています。攻撃が成功しデバイスにアクセスできる場合、NICTがパスワードを変えるよう勧めるためにデバイスの管理者に連絡します。NICTはどのデバイスをアクセスできたかのログも記録する可能性も高いと思います。

Of course, this plan had one problem…the type of brute-force attack the NICT wants to use under NOTICE is considered unauthorized access, and is illegal under Japanese law. Which is why, in 2018, the Japanese government created amendmends to the Telecommunications Business Law and the National Research and Development Institute of Information and Communications Technology Law. These amendments stipulated a class of “specified access” as an exception to unauthorized access, essentially making it temporarily legal for the NICT to perform unauthorized access to private networks.
当然、この計画にはひとつの障壁があります…NICTがNOTICEの下で行おうとする「総当たり攻撃」は法律に基づいて「不正アクセス」に抵触し犯罪です。であるからこそ、2018年に日本政府は「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」を通過させ、NICTの攻撃を「特定アクセス」と見なし合法化させました。

There are thankfully some limits on the NICT’s new “specified access” powers…for now. Legal targets are limited to those that meet the criteria set forth by the Ministry of Internal Affairs. The NICT’s brute force attacks will employ only passwords less than 8 characters, those used in past cyber attacks, and those using only identical or consecutive characters. Sadly, these limitations are of little comfort. More on that later.
幸いなことに、NICTの「特定アクセス」権限には制限が設けられています(少なくとも今のところは)。「特定アクセス」の合法的侵入目標群は、総務省令で定める次のような基準を満たされるものに限られます。

・8文字未満パスワード
・これまでサイバー攻撃のために用いられたもの
・同一の文字のみ又は連続した文字のみを用いたもの
・その他の容易に推測されるもの


以上、NICTの総当たり攻撃の基準に関しては、これらの制限が適応されます。
しかしながら、こういった制限は何の救いにもならないお慰めにしか過ぎません。後ほど、さらに詳細を述べましょう。

While the goal of improving Japan’s network security is commendable, the NICT’s plan under NOTICE may have a number of unintended consequences.
確かに、日本のネットワークセキュリティーを高めるのは立派な目的ではありますが、NICTの計画は思わぬ結果をもたらすであろうと思います。

Firstly, legalizing government hacking of private networks opens to door to abuse by other branches of government. We already know that CIRO and the Japanese Directorate for Signals Intelligence are monitoring the Japanese internet, and cooperating closely with America’s NSA. There’s potential that they might be tempted to deputize the NICT to perform “specified access” to a private network on their behalf, protected by the legal shield created by the 2018 amendments.
第一に、政府によるプライベートネットワークのハッキングを合法化することは、他の政府機関による悪用への扉を開いてしまうこととなるでしょう。CIROと防衛省情報本部電波部(DFS)が、米NSAと協力して日本の通信を監視していることは、すでに明らかにされています。NICTはそういう政府機関の手先としてプライベートネットワークをハッキングするよう頼まれる可能性があり、そしてそういう行為は2018年の電気通信事業法の改正により法的保護されるでしょう。


The ability of the NICT to successfully contact the owners of private network to warn them is also an issue, as is the likelihood that those owners might not notice (or might ignore) this contact. As a result, the NICT will end up maintaining a list of unsecure IoT devices in Japan…a list that will itself become a target for hackers, who will have faster and easier access to victims. In this way, the NICT might make Japanese networks less secure rather than more.
第二に、NICTがIoTデバイスの管理者と連絡を取れるかどうか、そして管理者は連絡に気付くか、そしてそれを受け取るかどうかという問題もあります。結果として、NICTは効果的に日本国内にあるセキュリティーの弱いIoTデバイスのリストを保持し続けることになります。被害者をより早く見つける手段として、リストそのものはハッカーのターゲットになるでしょう。つまり、NOTICEが日本のネットワークを攻撃への暴露につながる可能性もあり、逆に日本のセキュリティー状態をさらなる悪化へと招くことになります。

Finally, the limits on the “Specified Access” exemption is no guarantee of limited powers. The Japanese government has a long history of creating “temporary” or “limited” powers, and then expanding or extending them after the fact when they find a reason to do so. As far as the Japanese government is concerned, a promise and 100 yen couldn’t buy a can of coffee.
最後に、「特定アクセス」の制限が実際に権力乱用を抑制できるとは全くもって期待できないでしょう。日本政府は「一時的」あるいは「特定」権力の延長のための狡猾な自己正当化をし続けた長い歴史があります。政府の約束は露程も価値がありません。


To be clear, the goal of improving IoT security is a good one, and we certainly encourage all users of IoT devices to stop using default passwords. One visit to Insecam-dot-org and you’ll see why it’s dangerous to leave network devices unsecured. But the plan under NOTICE is not a good solution, and will very likely create more problems than it solves.
はっきり申しまして、日本のIoTセキュリティーを高めることこそが良い目標だと思います、そしてIoTユーザーにデフォルトパスワードのままデバイスを使わないことを強く勧めます。Insecam.orgというサイトを見るだけで、危険性を理解できます。しかしNOTICEの行為は良い解決策とは言えず、より多くの新たな問題を発生させてしまうと我々は考えています。

So what can we do about it? Well, one thing network operators can do is block the NICT from accessing their networks entirely. In fact, the NICT has helpfully provided a list of the IP addresses they’re using under NOTICE, and which ports they intend to scan. If they find some or most of their “specified access” attempts being blocked outright, that might send a message to the NICT about the popularity of NOTICE.
それでは、NICTへの対応として何をすべきでしょうか?プライベートネットワークの管理者がただ一つできることは、NICTからの攻撃を初めから完全にブロックすることです。実は、NICTはNOTICEの下で攻撃のIPアドレス範囲と目標ポート番号を発表していました。「特定アクセス」が多くのネットワークによってブロックされ未遂案件が続出すれば、NICTとNOTICEに対する世論の反発という明確なメッセージを伝えられるかもしれません。

A list of these IP addresses, as well as a timeline of information about NOTICE, are provided above. Please feel free to use this information as you see fit.
このIPアドレスのリスト、そしてNICTのNOTICEについての発表年表はこのポストにアクセスできます。どうぞ、ご自由にこの情報をご利用下さい。

And for the love of God, please change the passwords on your IoT shit.
そして後生ですから、IoTデバイスのデフォルトパスワードを変えて下さい。

アノニマス:違法ダウンロード対象拡大に対抗する措置、「Onion Share」

“You shouldn’t break the law”.
「違法なことはやっちゃいけない」。

For the most part, we can agree with that.
We also think you also shouldn’t create insane laws.
大部分に関して、我々は同意します。
「非常識な法律も作っちゃいけない」と思いますが…

Since last year, the Japanese government has been aggressively trying to restrict Communications Secrecy and Freedom of Expression on the Internet. In April 2018, the government partnered with NTT Communications to monitor communications and block access to certain websites, violating Article 21 of the Japanese Constitution. In response, we helped to provide a Japanese version of the Onion Browser for iOS.
去年からずっと、日本政府は積極的にネット上の通信の秘密、そして表現の自由を制限しようとしていました。2018年の4月に、政府はNTTコミュニケーションズと協力して、憲法第21条を無視してネットユーザーの通信を監視し、あるサイトへのアクセスをブロックしていました。それに応えて、我々はiOSの「オニオンブラウザ」アプリの日本語版を発表しました。

Then, in August of the same year, the government proposed allowing rights holders of copyrighted works to use Denial-of-Service attacks against suspected pirate sites, a reckless expansion of corporate power. In response to that, we announced the release of the Japanese version of Signal, an encrypted communications tool.
後になって、8月に政府は権利者に海賊版サイトに直接DoS攻撃を仕掛ける許可を与える著作権法の改正案を検討しました。無謀な企業権力の拡大でした。そして、再び我々はその動きに対する返答として、暗号化されるチャットアプリ「シグナル」の日本語版リリースを発表しました。

But as expected, the Japanese government has continued to expand its power without any concern for the negative consequences. In early 2019, the Agency for Cultural Affairs proposed expanding the scope of the Copyright Act, which only covers music and video, to include comics, photographs, and all copyrighted written material as well. To be clear, the Copyright Act is the law which treats illegal downloading as a criminal offense. Those arrested can face 10 years in prison.
しかし、やはり政府は結果への懸念もなく、まだまだ権力を拡大しようとしていました。2019年の初めに、文化庁が漫画や写真、論文などあらゆるコンテンツを含むよう著作権法の範囲を広げることを提案しました。はっきり言ってこの著作権法改正案は、日本の著作権法はダウンロード自体を違法化させ、ダウンロードする人を刑事犯扱いをするものです。逮捕される方は10年以下の禁錮刑が科せられる可能性があります。

This law is already excessive to begin with. But expanding its scope to cover photographs and written works makes it significantly worse. The simple act of downloading a photograph from a blog and posting it on social media, or copy-pasting the content of a news article would become a criminal act. The Cultural Council’s Subcommittee on Copyright has even explicitly stated that merely taking a screenshot would be considered criminal copyright infringement.
この法律は現時点すでに行き過ぎていると我々は考えていますが、今回のさらなる改正案で写真や論文も含むのは常識のレベルを遥かに超えています。例えばブログから写真をダウンロードしてSNSに共有すること、あるいはオンライン記事からコピペすることだけでも犯罪になってしまいます。文化審議会著作権分科会は、単なるスクショが犯罪になってしまうと明確に述べました。

These things are daily activities for Internet users, and making them serious crimes is nothing short of criminalizing use of the Internet itself. The Japanese government has made promises that these laws will only be used for serious and repeated copyright offenses. But the Japanese government has made many promises in the past.
これら情報を共有し合う事自体はネット上ではごく普通の日常活動です。それらを重大犯罪にするなら、インターネット利用そのものを犯罪とするも同然である。政府は重罪犯の場合のみにこの法律を施行すると約束していましたが、政府は何回も空約束をしていましたよね。

When they used Penal Code Article 37 to justify violating Communication Secrecy, they promised it would only be limited to child pornography sites. When they expanded the use of Article 37 to include manga and anime pirate sites, they promised it would be limited in scope. Now they have expanded it to cover screenshots and the copy-paste function, and still they promise not to abuse power. Each promise was abandoned as soon as it became inconvenient. This time will be no different.
最初に刑法の第37条の規定を利用して通信の秘密を侵害した時に、「これは児童ポルノのためだけ」と約束しました。後になって海賊版サイトまで広げてしまった時に、「範囲が制限されます」と約束しました。今はさらにスクショやコピペまで広げようとしていますが、またもや約束をしています。でも政府に不便な時には、全ての約束が都合よく忘れ去られてしまっています。今回も同じではないですか。

The government says these laws are necessary to protect the economy. But that is an obvious lie. Even publishing company executives have spoken out against the government’s plans, claiming that they did not wish to go this far. In spite of that, the government has been working hard to push these new laws, even going so far as to present slanted and misleading information to lawmakers to justify their case. The Agency for Cultural Affairs heavily edited their report to emphasise supporting opinions while minimizing or even omitting dissenting ones. In spite of the fact that positive opinions were in the minority, the report presented them as the majority.
政府によれば、このような法律は経済を保護するために必要だと言っていますけれども、それすらも見え透いた嘘です。出版社の幹部、重役すらも「こんなことまで望んでなかった」と述べ、この提案を批判しました。それにも関わらず、政府が一所懸命にこの提案を通過させようとしていました。不正確で誤解を与える情報に基づいた報告書を提出する事さえしました。報告書に、文化庁が慎重な意見を省略し、積極的な意見は少数派であるにもかかわらず、さも多数派であったような誤解を誘っていました。

If even the copyright holders do not support these laws, and the government has to manipulate information to support them, perhaps these laws aren’t meant to help the economy at all. It seems much more likely these laws will be used to justify more surveillance and information control by the government. Restricting the ability of people to copy and share information makes it harder to them to see through propaganda and discover the truth. Free expression and free information have always been the enemy of authoritarian control.
著作権者すらこの法を望んでいないにもかかわらず、そしてさらに政府が事実を歪曲してまでこの法案を成立させようとしている、これらの事を踏まえると、おそらくこの法案は実のところ経済のためではないでしょう。この法案はインターネットの監視と支配を拡大するための口実に使われる可能性が高いように思われます。情報をコピーして共有する能力を制限することによって、プロパガンダを見抜く能力、そして真実を知る能力も制限されるでしょう。これら言論の自由及び表現の自由は、謂わば独裁的支配の天敵です。

Fortunately, these proposals did not succeed. But only this time. They will be back, and it is necessary to prepare countermeasures against rising censorship of the internet. To that end, we have another software release to announce.
幸いなことに、この提案は今回のところは棚上げにされました。しかしながら、問題はそれで決着するわけではありません。このような法はいつかまた姿を現します、そしてネット検閲の高まりに対抗するため、更なる措置が必要です。その目的に向かって、我々は新しいソフトウェアツールのリリースを発表したいと思います。

Earlier this year, we helped translate a program named “OnionShare” into Japanese. OnionShare is a file-sharing program that routes all data through the Tor network. Files are hosted on a temporary Hidden Service address, and can be freely uploaded and downloaded via the Tor Browser, all while bypassing surveillance and site blocking. OnionShare can be used privately between two individuals, or publicly to allow a file to be shared widely among many users.
今年の初めに、我々は「オニオンシェア」というソフトの日本語版を翻訳に協力していました。オニオンシェアはTorネットワークを通してデータを送るファイル共有ソフトです。共有されるファイルは一時秘匿サービス(Hidden Service)でホストされ、検閲や監視をすり抜けながら、Torブラウザでダウンロードすることができます。2人切りのユーザーの間にファイル共有の場合も、世界中の人々に広く共有する場合も、オニオンシェアは役立つことでしょう。

To use OnionShare in Japanese, it’s necessary to change the settings after installation. After downloading the program from this address, install the program and execute it. After OnionShare has finished connecting to the Tor network, click on the gear icon in the top right corner. Then choose 日本語 from the Language drop menu in the bottom left of the settings window and click Save. After you restart the OnionShare program, the UI will be changed into Japanese. We will release a more detailed user guide in the future, but this is enough for basic operation.
日本語でオニオンシェアを利用するため、インストール後に設定を変える必要があります。このアドレスからオニオンシェアをダウンロードしたら、インストールして実行して下さい。オニオンシェアは自動的にTorネットワークと接続します。接続が完了したら、右上の歯車アイコンをクリックします。そして設定画面の左下に、「Preferred language」ドロップメニューから日本語を選択し、「Save」をクリック。次にオニオンシェアを再起動する時に、UIは日本語になります。いずれ、もっと詳しいユーザーガイドを発行したいと思いますが、とりあえず基本操作にはこれで十分でしょう。

Previous software releases work together very well with OnionShare. The Tor Browser for PC or Android, or OnionBrowser on iOS, can all access an OnionShare address. And with Signal, even sharing a link to an OnionShare address can be done secretly.
また、これまでに我々が発表したソフトウェアはオニオンシェアと互換性があります。PCまたはアンドロイドのTorブラウザ、あるいはiOSのオニオンブラウザはオニオンシェアのリンクをアクセスでき、シグナルでオニオンシェアのリンクを友達と共有してもプライバシーはしっかり保護されます。

This is not the end of our work. We will continue to translate and distribute privacy protecting software as long as Communication Secrecy is under threat. As to the Japanese government, we urge you…stop making these stupid fucking laws. Please.
もちろん、我々の活動はここで終了するわけではありません。通信の秘密が危機に瀕する限り、我々はプライバシー保護ソフトウェアの翻訳や共有を続けます。そして日本政府へ、要求します…こういうくだらない法の提案をやめなさい。