2020-04-14 第201回国会 衆議院 経済産業委員会 第6号
つまり、つくっている工場、そこでもう入れ込んで、入って、皆さんのお手元に届いてしまうと、幾らそこでアンチウイルスソフトを入れても、ハードのレベルで既にもう入っているわけですから、恐らくアンチウイルスソフトでは歯が立たないはずです。あるいは、物資の輸送中ですね。
つまり、つくっている工場、そこでもう入れ込んで、入って、皆さんのお手元に届いてしまうと、幾らそこでアンチウイルスソフトを入れても、ハードのレベルで既にもう入っているわけですから、恐らくアンチウイルスソフトでは歯が立たないはずです。あるいは、物資の輸送中ですね。
大きな問題点は、ソフトウエアで動いていたこれまでのコンピューターとか情報機器に対しては、一応皆さんの認識が上がってきて、パソコンにアンチウイルスソフトを入れるのは当たり前だよね、やっとそこまで来ました。メールはすぐ開いちゃいけませんよ、やっとそこまで来ました。
先ほどもお話ありましたとおり、とりわけIoT機器というのは、例えば、パソコンのような画面があるわけでもありませんし、あるいはアンチウイルスソフトが何かきちんと備えられているというわけでもないわけであります。 そんな中で、先ほどお話ありました、アメリカにおいてもさまざま、スマート家電なんかがハッキングされてDDoS攻撃を行ったというような事例もあるというふうにも伺っております。
そうなりますと、これはまたアンチウイルスソフト、これはいずれいろいろな技術の発展で可能になるのかもわかりませんけれども、どうしてもその脆弱性というものをずっと持ち続けるというふうにも考えられます。 そういう面でいいますと、IoT側のセキュリティー対策はどういうふうなものが今考えられているのか、教えてください。
今委員御指摘のとおり、パソコン等の情報通信機器につきましては、ウイルスソフトを導入していただくということがまず基本動作として重要かと思っておりますけれども、例えば防犯カメラですとか、こうした汎用的な家庭で使われる機器の場合、ウイルス対策ソフトが適用される、あるいはそれ用のウイルス対策ソフトが販売されているという事実は余りないわけでございます。
そうなると、各家庭の機器が、実は加害者であるにもかかわらず、それを全く認識しないままに乗っ取られているというようなことがあるようでございますので、大変怖いなとは思っているんですけれども、現在、パソコンの場合にはウイルスソフトというのがございますが、例えば防犯カメラだとか、そういう家庭内の機器、こういうものに対してもウイルスソフトというのはあるんでしょうか。
恐らく、皆様がお持ちのパソコンにセキュリティーソフト、アンチウイルスソフトが入っているかと思いますが、恐らく多くは米国製、場合によってはロシア製かと思っております。実は、日本国内にこのセキュリティー関係、アンチウイルスソフト会社自体が余り成熟していないという状況は、先ほど申し上げたようなサイバー攻撃を特定する能力という観点では実は非常に日本は弱い立場にあると言わざるを得ません。
あと経産省も、各局が、所管をしている業界に対して、ともかく気をつけてくれ、先ほどNISCがお話ししたように、まずセキュリティーパッチを当てること、不審なメールはあけないこと、ウイルスソフトのアップデートをすること、こういうことを全部伝達をさせていただきました。
といいますのは、例えば、このパソコンはウイルスに侵されている、このウイルスソフトを購入しないとパソコンが壊れてしまうというような広告はよく出てくるんですよね。ところが、実際は、本当に必要なのかどうかということは、たどってみないとわからない。
ところが、その解析というのは、何だかそのウイルスソフトを作る会社のおまけのサービスみたいなことでやっていたとすれば、じゃ、もしこれが重大な誤りだとすれば、誰が責任取るんですかという話になるんじゃないですか。 大臣、一連のこの経過、今やり取り聞いていただいたと思うけれども、こんなずさんな体制でやっていたということについてどう思われますか。
しかも、今の説明、私、納得できないのは、要は、言ってみれば、そのウイルスソフトを作る会社の付随的なサービスで解析を依頼したと。おまけみたいな仕事でやっているわけですね、これ。 結局、だからこのウイルスの解析というのは、何か契約を独自に結んで、ウイルス除去社の間で年金機構が、あるいはNTTデータとそのウイルス除去社の間でこの解析について独自の契約みたいなものを結んでやったんですか。
ウイルスソフトを新しくしましょうとか書いてある。しかし、今回の事案でとにかく明らかなことは、年金機構もそれはやっていたわけですから、個人情報を外部接続された端末では管理しない、そのことだけ全国民、全事業所、そして全政府機関に徹底することがマイナンバー導入の大前提になるんじゃないですか。甘利大臣、いかがですか。
○水島参考人 八日に参りました不審メール、そこでメールを開封してウイルスに感染したわけでございますが、そこに関しましては、即日抜線をして、その翌日だったと思いますが、ウイルスソフトの解析が行われて、ソフトが立ち上がって、ワクチンが打たれた。その間に、不審な通信はそこでとまったということでございます。
ウイルスソフトというものは常に新しい脅威に対して更新を続けます。その定期更新、十二と二十二はただの定期更新だったのか、それとも新種ウイルスに対応した更新だったのか。わざわざ二十七日だけ、新種ウイルスに対応した対策ソフトの更新版入手と書いていますけれども、これがいわゆる攻撃に対するワクチンだったのかというのを確認したいんです。
○水島参考人 実は、私ども、そのウイルスソフト対策会社と直接契約をしているわけではございませんで、運用委託会社にその件も含めて委託をしているということでございます。
このペーパーにもございますように、その後も幾つか不審な事象があったわけでございまして、その都度、保守管理会社を通じましてウイルスソフト会社の方に検証をお願いし、それに対するワクチンといいましょうか、そういうふうなものをつくって、当てはめていっている、インストールしていっているわけでございます。
○薄井参考人 ウイルスソフト会社も含めて、私ども、私どものシステムの保守点検業者の方にウオッチをさせ、そういうふうな原因の解析ということはお願いをしております。私どもも、必要な意見交換というか、そういうのをしながら進めていく必要があると思っております。
NTTデータ社さんが、その後どのウイルスソフト会社にということにつきましては、セキュリティーの関係もございますので、お答えを差し控えさせていただきたいと思います。
それを私どもに連絡がございましたので、そのパソコンを即座に抜線をし、インターネット接続を停止して、そのパソコンの中にどのようなウイルスが入っているか、侵入されたかということについて、ウイルスソフトの作成会社に対してパソコンのログと中身を提供して対策について開始したということでございます。
当日にウイルスソフト会社にログとパソコン等の内容を提供して、そのウイルスの感染の有無を確認するように指示をいたしました。
それに対して、その際に、抜線をするという報告と、それから、そのパソコンと、ログとそのパソコンの内容についてはウイルスソフト会社に提供するということを報告を受けまして、それに対して了承したということでございます。
でございまして、その結果、パソコン及びログについて、ウイルスソフトの開発会社に渡して、ワクチンをつくっていただいて、全パソコンにそれを組み入れた、駆除した。そして、ほぼ同時に、このウイルスは情報を外に持ち出すようなものではないという報告を受けた。したがって、そこで駆除されたという判断を行ったということでございます。
○水島参考人 契約しておりますシステム運用会社がいわゆるウイルスソフトの対策会社と契約をいたしておりますので、そこに対して内容を通知して、そのウイルスの内容について解析をさせたということでございます。
○井坂委員 異常な通信の、例えば、私もウイルスソフトとかいつも入れていますので、そういう通信先なども示されるのではないかなと思うんですけれども、そういった情報も来ておりましたでしょうか。
とりわけ、私も実はそうなんですが、ソフトウエア等の脆弱性で自らのパソコンがウイルスに感染をするおそれがある、これ、もうどうしようかなということで高いアンチウイルスソフトを買い込んだわけでありますが、また、最近というか、近年増えてきておりますのが、自らのPCが踏み台になって結局他人のいろんな皆さん方に迷惑を掛けるというふうなことがありまして、そういったときにどうしたらいいのかということで、国民の皆さん
例えば、アンチウイルスソフト、最新版でない場合はこれは軽過失なのかどうか。あるいは、ウィンドウズXPのサポートが終わったといいますけれども、それをずっと使っている場合は軽なのか重なのか。
例えば、それぞれ皆さんお持ちのパソコンにアンチウイルスソフトを入れていても、それは日々アップデートをしなければ新手のウイルスには対処をすることができない、そういう状況がございます。 一方で、我が国を代表するような高度なセキュリティー人材を育成していくことも重要であり、大学にもその役割が求められていると思います。
○川端国務大臣 個人で持つ場合に、一般的に、ウイルスソフトを入れろとかいうことや、あるいは情報の管理で、個人のパソコンに入れてはいけないという部分が同じようにスマホにも適用されるということは当然でありますけれども、スマホに関してだけ特別にということは多分ないというふうに思っております。
日弁連はかつて、正当な試験行為やアンチウイルスソフトの作成が処罰されないことが明確にされることを求めており、法務省は、このような場合は人の電子計算機における実行の用に供する目的がないという説明をしておりましたが、今回の法案提出時に「正当な理由がないのに、」との文言が付けられたことにより、この点はより明確になったと考えます。
また、その対象となるもの、例えばアンチウイルスソフトは対象にならないというふうにお伺いしましたけれども、そこら辺の具体的なものが非常にあいまいもことしているんですが、この点について、大臣の御見解をお聞きしたいと思います。
あいまいだし不明確だし、いつ何どきそういうふうにガサ入れをされて、実はウイルスソフトを作成していたんだということで逮捕される危険、捜査機関の恣意があり得るし、逆に言えば、プログラマーの側からすれば、非常に萎縮的な効果が発生する。
したがって、アンチウイルスソフトの開発や試験、バグ等については本犯罪には含まれないんだというような説明がなされております。 そしてまた、事前に、いずれ差し押さえをするという前提でプロバイダー業者等に通信の履歴を消去しないで確保しておいてほしい、保全をしておいてほしいというようなことに関しては、必要性の要件を加えた。また、その保全要請については、従来は口頭であったのを書面で行うことにした。