アノニマスの見解 Ep.21: デジタル庁の夜明け

Hello internet. And welcome back to ANONYMOUS NO KENKAI.
ネットの皆さん、こんにちわ。「アノニマスの見解」へようこそ。

And how are you all enjoying 2021? With special guest appearances by two of the four horsemen…
2021年は、果たして皆さんの期待に応えてくれてるのでしょうか?黙示録の四騎士のうち二騎がすでに現れたようですが…。

Thankfully, Japan has managed to avoid some of the worst effects… so far, at least. There aren’t any shortages of fuel or food, and riots aren’t engulfing our cities. To the untrained observer, the worst of Japan’s current worries are wasteful spending on the Olympics and the incompetent bungling of an online vaccine reservation system.
幸いなことに、日本はまだ最悪の事態を避けられているように思われます…。少なくとも今のところは。食料や燃料は不足していませんし、私達の街が暴動に悩まされることもありません。素人目には、五輪の無駄な支出そしてコロナワクチンのオンライン予約システムの失敗の件を除き、大きな問題はありません。

But there’s a bigger threat lurking on the horizon, disguising itself under a layer of boring paperwork and government bureaucracy. The subject of today’s video…the Digital Agency. We’ve mentioned it before, but it deserves its own video for the threat it poses. Because the Digital Agency has the potential to centralize too much government power in too few hands, creating an unaccountable surveillance state. Or even worse, it could covertly place this surveillance apparatus under the control of multinational IT corporations.
しかし、より大きな脅威が存在し、それは日本の官僚制という幾重もの層の下に潜んでおり、ジワジワと近づいています。その脅威とは、今回の動画のテーマとなる「デジタル庁」です。以前に触れていましたけれども、この脅威は極めて猛烈であるからこそ、特に今回はこのテーマに焦点を絞った動画を作る価値があると思われます。実を言うと、今回のデジタル庁設立の件は、絶大な政治力を少数のエリートに集中させてしまい、責任を負わない監視社会をもたらす強い可能性があります。さらに悪いことに、その社会の監視機能が多国籍巨大IT企業の管理下に置かれててしまう可能制も十分にあります。

But let’s begin with some background. Many in Japan have probably heard of the Digital Agency by now, if not the slogan they use to promote themselves… “Government as a Startup”. Prime Minister Yoshihide Suga made it a central policy of his administration in 2020, with the basic direction decided in November last year. The Agency is set to begin operations on September 1st 2021.
とはいえ、まずは背景についての解説から始めましょう。今まで「デジタル庁」というこれから新設される省庁名について、…もしくはここのキャッチコピーである「Government as a Startup」をお聞きになったことがあるでしょう。2020年に菅総理大臣はデジタル庁を看板政策にしました。そして去年の11月に基本的方向性が定まりました。デジタル庁は今年の9月1日に発足します。

The Digital Agency will be responsible for the administration of government IT on the national as well as the local level, creating a unified standard to replace the current silo approach where each ministry or local government create their own (sometimes mutually incompatible) systems in isolation. To do this, the Agency will have (or at least appears to have) strong supervisory authority over the IT budget and planning for other parts of government.
デジタル庁は、全国レベルかつ地域レベルで政府のITの経営責任を担います。府省間の縦割りを打破するために、一律の基準を作る予定だと言われています。その目的に向けて、デジタル庁は他の政府機関省庁に対する予算を含めた企画立案能力と統括・監理の強い権限、さらに、勧告等を含めた総合調整の役割を付与されます。

The Digital Agency will also be in charge of the “digital transformation” of Japan… where the penetration of information technology “changes people’s lives for the better in every way”. To this end, the Agency is to be given control of the MyNumber system from the Ministry of Internal Affairs, and will push to distribute the unpopular MyNumber Card to almost all citizens by the end of 2022.
デジタル庁はさらに、日本のDX(デジタル・トランスフォーメーション)をという分野を担当します…「 ITの浸透が、人々の生活をあらゆる面でより良い方向に変化させる」という概念ですね。そのために、マイナンバーの所管は総務省からデジタル庁の一元的な体制に移行し、2022年度末には全国民にマイナンバーカードが隅々まで行き渡ることを目指すと言われています。

All of these decisions have been made with a speed uncharacteristic of the Japanese government. Only six months after the Agency’s direction was decided, six new bills related its establishment and operation were enacted. Takuya Hirai, current Minister for Digital Reform and future head of the Digital Agency itself, commented that he was surprised at the “unusual speed” of these decisions.
意外に、これらの決定は日本政府らしくないことに、速やかに下されました。基本的方向性が定まった6ヶ月後に、デジタル庁関連6法案が成立されました。将来デジタル改革担当大臣である平井卓也自身も「通常ではありえないスピード」と驚きを示したほどでした。

So far this isn’t particularly alarming, though. The government is good at setting up agencies and committees, and most of the time they end up mired in red tape and incompetence. But unfortunately, the story doesn’t end there.
今までの情報によれば、大きな脅威と思えないかもしれませんね。政府はよく省庁や委員会を組織しますし、ほとんどは官僚主義で雁字がらめになる運命です。でも残念ながら、デジタル庁の話はそこで終わるわけではありません。

As future head of the Digital Agency, Takuya Hirai had a history with the private sector before his career in politics started. He worked in Japan’s famous (or infamous) advertising agency Dentsu for six years, then worked as the president of “Nishinippon Broadcasting Company”, a regional TV and radio company, for 12 years.
政治の世界に足を踏み入れる前、将来のデジタル大臣である平井卓也は当時、民間企業で働いていた経歴がありました。6年間あの有名な(というよりは悪名高き)「電通」に勤務。その後12年間に渡り「西日本放送代」の取締役社長として働きました。

During his political career, he has also been a strong proponent of modernization and digitization. In 2013, he was instrumental in lifting a government ban on using the internet for election campaigning, as well as pushing for other IT and cyber-security related laws.
彼の政治人生の中で、ITにおける近代化そしてデジタル化の大いなる支持者でした。2013年に、選挙活動におけるインターネット利用の解禁に向けて中心的な役割を担い、他のIT関係の法律制定の中心人物でした。

His history in the private sector may have an influency on his plans to staff the Digital Agency. Of the 500 planned staff, around 100 are to be recruited from private sector IT companies. Which companies exactly is still unknown, but the Agency will operate a “revolving door” policy, where staff move back and forth between the private sector, national government, and local government positions.
平井卓也の民間企業での経験がデジタル庁の人材政策に影響を与えた可能制が十分にあると考えられます。予定される500人の公務員の中でおよそ100人が民間IT企業から直接採用されます。具体的に何の企業からというと、未だ不明ですが、デジタル庁には公務員が民間、自治体、政府を行き来しながらキャリアを積める(いわゆる「回転ドア方式」)との原則とする予定です。

So why is this a problem? Are we against modernizing or streamlining government services? Not exactly. It’s true that coordinating policy between different Ministries and levels of government would make it faster and easier to manage the day-to-day bureaucracy of Japan. Unfortunately, this idea also has many drawbacks, most of which the government of Japan either doesn’t care about, or doesn’t want you to think about.
では、果たしてこれが本当に問題なのでしょうか?我々は政府の近代化それとも簡素化そのものに反対しているのでしょうか?そういうわけではありません。たしかに、府省間の縦割りを打破し、一律の基準を作るのは政府の日常の経営活動を早める側面もあります。けれども残念ながら、デジタル庁方式のアプローチでは大きな欠点も存在します。その上、政府はその欠点については全く心配していおらず、国民に教えたくもないのです。

For one, the “digital transformation” of government bureaucracy on every level means that all government paperwork would be stored in “the cloud”…which is to say, government computers that are not only perpetually online, but organized using a single unified system. This creates a single target for attackers to aim at, and one security vulnerability could potentially expose the personal, financial, and medical information of every Japanese citizen to both criminals and foreign governments.
まず初めに、全国規模で政府の官僚制度の「デジタル化」が進められ、その際政府文書は全て「クラウド」に保管されます…つまり、永久にネットと接続されている一律の基準を使う政府のサーバーへ…。不正アクセスを目論む不逞の輩から紛れもなく標的にされることでしょう。そして一律の基準を使っているからこそ、単に1つの脆弱性で全国民の個人、財務、そして医療情報を犯罪者や敵対政府にさらします。

In the past few months alone, multiple failures or breaches of government cybersecurity have made headlines. The Ministry of Defense’s poorly managed vaccine reservation system was found to be rife with vulnerabilities, and unauthorized access to a software tool designed by Fujitsu lead to data leaks from Japan’s national cybersecurity center, two ministries, the Narita International Airport Corp, and the Tokyo Olympic organizing committee.
このわずか数カ月で、日本政府のサイバーセキュリティー上の様々な失敗が全国に大きく報道されました。防衛省に管理されるオンラインワクチン予約システムは、穴だらけだということは明らかになりましたし、富士通の情報共有ソフトが不正アクセスされ、内閣サイバーセキュリティセンター、2つの府省、成田国際空港株式会社、そして東京オリンピック組織委員会から情報が漏洩しました。

Given this litany of failure, it seems obvious that the government is incapable of securing the data it already has. Is it really wise, then, to increase the amount of data they hold, or to centralize the way they hold it? When each part of government manages its own IT systems, at least the damage of a single vulnerability is contained to that system. The unified approach espoused by the Digital Agency would allow a single vulnerability to potentially affect the entire country. And when leaked personal information exposes Japanese citizens to fraud, crime, or worse, it doesn’t seem likely that the government will give them any assistance defending themselves, or compensate them for any damage.
この失敗の連鎖を考えると、政府はすでに自身が保持する情報を管理・保護できていないということは明かです。保護すべく情報をさらに追加する、そして保護する方法を分散化せず、逆にさらに集中化するというのは本当に賢明な方法なのでしょうか?各府省が縦割りのITシステムを使うことによって、1つの脆弱性からの被害は少なくとも抑えられるでしょう。デジタル庁が提案する一律の基準を使うと、1つの脆弱性の潜在被害は大幅に増加されてしまうでしょう。そして漏洩した個人情報を元に日本国民に対して詐欺、犯罪、あるいはさらなる悪質な行為に晒されたとしたならば、政府が国民に対し保護もしくは補償をする等をし、責任を取るとは到底考えられません。

But worse than incompetence is malice. The Digital Agency creates vast potential for both the government and private corporations to abuse the information under their control.
しかしながら、無能よりも悪意の方がより危険です。デジタル庁では、管理する情報は政府にもIT企業にも乱用される可能制が非常に高い。

The centralization of all government IT systems makes the creation of Chinese style surveillance easier than ever. The “strong supervisory authority” granted to the Digital Agency would allow it access to systems held by other parts of government. One of these may be the National Police Agency or NPA.
政府のITシステムの集中化は、中国のような監視システムをより作りやすくしてしまいます。デジタル庁の「強大な管理権限」を用いれば、他の省庁や政府機関のITシステムへアクセスできるはずです。それらの中に、警察庁も含まれている可能制があります。

In 2013, the NPA was given access to “XKEYSCORE” by the American NSA. XKEYSCORE is a program that collects and analyzes global internet data. Given that the jurisdiction of the NPA is largely domestic, it seems reasonable to assume they’re using XKEYSCORE to monitor the online communication of Japanese citizens.
2013年に、警察庁は米NSAから「XKEYSCORE」というシステムへのアクセス可能な「鍵」を入手しました。XKEYSCOREは地球レベルでインターネット上のデータを収集して分析するソフトウェアです。警察庁の管轄は国内のみですので、おそらくXKEYSCOREの機能は日本国民の通信を監視するために使われているでしょう。

In 2019, the NPA acquired blockchain surveillance technology to monitor transactions of Bitcoin, Ethereum, and other popular cryptocurrencies.
2019年に、警察庁はビットコイン、イーサリアム、そして他人気仮想通貨のブロックチェーンを監視できる技術を購入しました。

As IT-based systems, it seems reasonable to assume that the Digital Agency will have some level of access to both systems. And since the Digital Agency operates at the Cabinet level, and answers directly to the Prime Minister, national cybersecurity is hardly outside their jurisdiction.
ITに基づくシステムであるからこそ、デジタル庁は両方にアクセスする可能制が高い。そしてデジタル庁は内閣レベルで活動しています。総理大臣に直接報告をするので、どこかに国家サイバー安全保障の所管があるはずです。

The Digital Agency’s control over the MyNumber System also means it has access to records from the Ministry of Finance, given the connections to banking information and taxation.
マイナンバーの所管も存在し、そこは国内銀行システムと課税に関係があることから、デジタル庁は財務省からの情報もアクセスできると考えた方がいいでしょう。

Access to the surveillance powers of XKEYSCORE and blockchain surveillance from the NPA and financial information via MyNumber would allow to Digital Agency to not only collect all this information under one roof, but potentially to aggregate it. Functionally speaking, this is a Panopticon, where every aspect of a citizen’s life is monitored and recorded. Even if the current government doesn’t want to abuse this power, no barrier exists to prevent future administrations from doing so.
デジタル庁が警察庁からXKEYSCOREとブロックチェーン監視へのアクセスがあり、そして財務省からのマイナンバー情報へのアクセスもあれば、その情報を全て収集だけではなく集計もできます。機能的に言うと、これは言わば「パノプティコン」です。全国民の日常生活のあらゆる面が24時間ずっと監視、記録される世界と化するでしょう。今、現政権がこの権力を濫用するのを望まないしても、将来の政権は容易にできるのです。

But the inclusion of the private sector only makes matters worse. Modern internet companies use surveillance as a source of profit. Google and Facebook are the most famous foreign examples of this, but Japanese IT companies are no different. The data collected under the Digital Agency is valuable to these businesses, and the “revolving door” policy for allowing private sector staff to easily enter and exit government positions creates the potential for backdoor access to this data, and inappropriate relationships with the government staff tasked with guarding it.
むしろ、民間企業の繋がりで、さらに悪くなることでしょう。現在のIT企業はユーザーの監視を利益源として使います。GoogleとFacebookが最も有名ですが、日本のIT企業も全く同じことをしています。デジタル庁に収集・保存されるデータはそのような企業に対して価値を産み出すのです。またデジタル庁の「回転ドア方式」のおかげで、そういう個人情報へのバックドアアクセスが形成され、そして情報を保護する公務員との不適切な関係が構築されてしまう可能制を高くします。

Even though only Japanese citizens are allowed to work for government, a Japanese citizen who moves between the Digital Agency and a foreign IT corporation creates a security threat. Limiting this to domestic corporations only doesn’t necessarily reduce the threat either. “Merchants have no country”, as the saying goes. Every company wants money, and valuable data acquired by a Japanese business can still be sold or traded overseas.
日本国民のみが政府の仕事ができるという事実にも関わらず、デジタル庁から海外のIT企業に移動する人材は国家安全保障上の脅威と見なされるべきです。しかしまた、国内企業のみに限定しても、まだ危険性が残っています。西洋の古い諺にあるように「商人には国というものはない」、日本の企業も利益が欲しいのです。そして個人情報を海外へ売ることも不可能ではありません。

But the threat of the private sector isn’t limited to what they can take away from the Digital Agency, but also what they can bring into it. J.Score, for example, is a private company that gathers data on its users to assign them an “AI Score” which can offers rewards or financial lending…worryingly similar to systems like those created by Alibaba or Tencent in China.
政府機関と関係を持つ民間企業の脅威という懸念は政府から個人情報を取り出すだけではなく、政府に技術を持ち込む懸念もあります。例えば、「J.Score」はユーザから収集されるデータを分析して、融資のために「AIスコア」を割り当てるIT企業です。中国のテンセントそれともアリババが作ったスコアシステムと恐れるほど似ています。

J.Score is a joint venture by Mizuho Group and Softbank, two Japanese companies. Staff rotating between those companies and the Digital Agency would make it much easier to incorporate J.Score into a national Social Credit system like China’s. Remember, China initially authorized private companies to trial Social Credit as business ventures before adopting those same systems as a method of population control. There’s no reason to believe the same thing can’t happen to Japan.
J.Scoreは日本のみずほ銀行とソフトバンクの合弁により設立された日本の企業です。それら企業の職員がデジタル庁へ頻繁に出向と出戻りを繰り返せば、J.Scoreのシステムは、より容易く中国政府の監視システムと類似した「日本国家社会信用システム」として組み込まれて行くことでしょう。実際に、中国政府が同じように実験としてスコアシステムを営むよう国内企業に許可を与え、その後技術を用い社会信用システムを作りました。日本で同じことが起こることが全くありえないわけではありません。

As we’ve amply demonstrated, the potential harms of the Digital Agency far outweight any benefits they offer. But of course, this leads us to the question… what can we do about it?
以上、十分説明されているように、デジタル庁の潜在的な有害性は利益を大幅に上回ります。それは次の質問を引き出します…我々は国民として、一体どうすればいいのでしょうか?

Sadly, when the government is involved, there’s often little we can do to stop it. The Digital Agency will begin operations on September 1st, no matter what the citizens of Japan think or say. And refusing to give information to the government would not only make one’s life difficult, but in many cases is actually illegal.
残念ながら、政府が関係する場合には我々はできることが少ないです。国民がどう思おうが、デジタル庁は9月1日に発足させます。政府に自身の個人情報の提供を拒否するということは日常生活が大変不便になるということと同義ですし、多くの場合は犯罪とみなされるでしょう。

So if our information is going to be stored in a government cloud where every hacker and corporation will steal it anyway, the very least we can do is attempt to minimize the amount of information they have.
いずれ私たちの個人情報が世界のハッカーやスパイが簡単にアクセスできるように政府のクラウドサーバーに保存されるのなら、せめて政府が収集できる情報を少なくする方が良いと思われます。

The ability for XKEYSCORE to datamine your communications can be limited by using onion routing software like Tor or Lokinet, or a trusted VPN for daily internet use. On top of that, using software the incorporates End-to-End Encryption without requiring personal information also limits what information can be collected on you. Messenger applications like Session or the Matrix Protocol are good choices here, while mainstream applications like LINE or Facebook Messenger should be avoided at all costs. Software like OnionShare also allows short-term communication and data sharing with greater privacy and anonymity.
「Tor」または「Lokinet」のようなオニオンルーター、または信頼できるVPNを日常のインターネットアクセスに利用すれば、XKEYSCOREの収集する能力をある程度制限することができます。その上で、エンドツーエンド暗号化を利用し、(そして登録には個人情報が不必要の)ソフトウェアの利用も収集能力を制限します。「セッション」か、Matrixプロトコルを使用するメッセンジャーアプリは役立ちますが、LINEやFacebookメッセンジャーのような大手IT企業に管理されるアプリをぜひとも回避しましょう。そして「OnionShare」というソフトはよりプライバシーと匿名に、短期的なコミュニケーションとデータ共有を可能にします。

For social media and video, remember that companies like Twitter, Facebook, and Google are eager partners in surveillance around the world, including Japan. Using alternatives like Odysee, or federated systems like Pleroma and PeerTube on the Fediverse makes monitoring your online activity a little more difficult.
SNSや動画投稿の際には、GoogleやTwitterのような多国籍巨大IT企業は政府の監視システム(日本も含めて)との「重要なパートナー」であるということを忘れないで下さい。代替プラットフォームの「Odysee」、あるいは「Fediverse」という連合ネットワーク上の「Pleroma」や「PeerTube」を使うと、監視はある程度難しくなります。

Operating Systems are no less guilty of cooperating with surveillance. While control over hardware is difficult for most people, there are options for control over software. Using Linux on PC, and either Lineage or Graphene on Android devices makes automated surveillance of your device more difficult. iPhone and Mac users… sadly, there’s little good news for you. You can choose to trust Apple if you wish, but otherwise you might want to look into new hardware.
スマートフォンやタブレット、PC等、これらデバイスのOSも監視システムとグルになる恐れもあります。ハードウェア自体へのコントロールは一般人にとってまず不可能ですが、OSに関しては我々に選択肢があります。PCの場合にLinuxを使うと、そしてアンドロイドの場合に「Lineage」それとも「Graphene」を使うと監視システムのある程度に邪魔になります。iPhoneとMacのユーザには何とも言えないですね…よろしければAppleを信頼してもいいけど、実は別のハードウェアに変更するのをお勧めします。

On the financial side, avoid Cashless systems like PayPay at all costs. No matter how convenient they are, they record and share data on every transaction you make, and in the future they could be used to restrict your ability to spend your own money. Using physical cash for day to day transactions is still the most private way to do business. As long as cash remains popular and well circulated, businesses will be more hesitant to refuse it, and the government will have more difficulty trying to phase it out. India’s disastrous attempt at demonetization in 2016 failed in large part because cash remained so popular among so many. The more we insist on using cash, the harder it is for the government to get rid of it.
財務面から、「PayPay」などのキャッシュレスサービスを絶対に使わないようにしましょう。たとえ便利であるとしても、全ての取引に関するデータは記録され、デジタル庁と共有されるでしょう。いずれ、ユーザを自分のお金へのアクセスを妨げる機能、それとも特定店に支払うことを妨げる機能も追加されてしまう可能制があります。普段の買い物では、現金がまだまだ一番プライベートな方法です。現金を使えば使うほど、企業が現金を禁じるのをためらうでしょうし、キャッシュレス社会が成立しにくくなります。2016年に、インドがキャッシュレス社会を作るために特定の現金手形を法定通貨の効力を失わせようとしましたが、現金の人気さのおかげで結局失敗に終わりました。現金の放棄を拒否すれば、政府は廃止することができません。

To escape blockchain surveillance, use privacy-respecting cryptocurrencies like Monero, Oxen, ZCash, or others. Rather conveniently, Japanese crypto exchanges were pressured into delisting these coins years ago. But fortunately, the decentralized exchange Bisq is available in Japanese. Buying Bitcoin or Ethereum with Japanese yen, and then converting it into privacy coins via Bisq is one path to restoring financial privacy in online, electronic payments.
対ブロックチェーン監視を避けるために、OXEN、モネロ、そしてZCashなどのいわゆる「プライバシーコイン」を利用しましょう。興味深いことに、日本の取引場が数年前に圧力を受け、プライバシーコインの取引が禁止されてしまいましたが、幸いなことにBisqという分散的取引場は日本語で利用できます。日本円でビットコインやイーサリウムを買って、Bisqでプライバシーコインに換算することによってデジタル世界でも財務プライバシーを取り戻すことができます。

Lastly, remember that not everybody in Japan is ready or willing to escape the systems of surveillance that are being created. The majority of Japanese citizens either don’t know, or don’t care about the threat of surveillance, and that thought alone makes it easy to fall into despair. But even if only 1% of Japan cares enough to actually do something, that can still be a community if we pull together and support each other.
最後に、日本国民の全員が必ずしも監視社会から脱出したいわけでは’ない’ことを忘れないで下さい。ほとんどの国民は監視の脅威について知らされていないか、または無関心です。この事実について考えれば考えるほど絶望に陥りやすくなることでしょう。それでも我々は事実に向き合うしかないのです。とはいえ、希望が残されています。たとえ全日本国民の中のほんの1%のみが個人のプライバシーを大切にしていたとしても、なお我々は相互扶助のコミュニティーを作ることが可能です。

We may be a small fraction of society, but using and sharing tools that allow us to secure our freedom and privacy creates a viable alternative to the Surveillance State being built by governments and corporations. And when those systems of control become too unbearable for the majority to tolerate any longer, we’ll be ready to grow and push back against the threat of the Digital Agency.
我々は社会のごくわずかな部分しか占めているに過ぎないのかもしれません。とはいえ、自由またはプライバシーを保護できるツールを利用し、皆でお互いに共有したら、政府が作った監視社会の実行可能な代替案を提供できます。そしていつかある日、政府の監視システムが大多数の国民にとって到底耐えられるものではない時が来たならば、我々は仲間の数が増え、ようやくデジタル庁に対し積極的に反対できるようになることでしょう。

This was ANONYMOUS NO KENKAI… and until next time, MACHIUKENASAI.
これはアノニマスの見解でした… そして次回まで、待ち受けなさい。


デジタル庁による監視システム逃げれるため、我々はできること


アノニマスの見解 Ep 18.5:香川ゲーム条例アップデート

Hello everybody. It’s rare for us to do a follow-up on a previous Anonymous no Kenkai, but in the time since we released our last video on the Kagawa Game Ordinance, some very interesting news has come out that needs to be shared. If you haven’t watched Episode 18 yet, you might want to pause this video and go watch that for the background information to understand what’s going on. But otherwise, let’s begin.
皆さん、こんにちは。前回の「アノニマスの見解」動画トピックの続報を出すのは稀ですが、香川ゲーム条例に関する動画を投稿してから、さらに様々な興味深い事実が明るみに出ており、それらについて皆さんと共有すべきであると我々は考えております。まだ未見の方は先に「アノニマスの見解」第18話を見るようお勧めします。この動画の話を理解するのに必要な情報が含まれております。それでは、始めましょう。

First, on April 16th, the Kagawa Prefectural Government website published an incident report about the loss of a shared computer in their offices. According to the incident report, a staff member reported the computer as missing after checking the equipment on March 17th. Although they searched for it and interviewed staff, they were unable to find it. The cause of the loss was listed as poor management, and the office decided to store shared computers in a locked cabinet in future. Why expensive equipment wasn’t already secured this way remains an unsolved mystery.
まず、4月16日に香川県ウェブサイトに、県庁事務所から共有PCの紛失に投稿されました。報告書によれば、3月17日に職員から、備品の照合検査を行った結果、共有PC1台が見当たらないとの報告がありました。当該PCを使用していた職員に聞き取りは行われて、捜索も行われましたが、紛失PCは見つかりませんでした。原因は不十分な管理と判断されて、共有PCはそれから鍵のついたキャビネット内に保管するようになりました。このような高額機器がすでに厳重に保管されなかった理由はいまだ謎のままです。

This incident doesn’t seem related or particularly important at first glance, but please remember that Kagawa’s Game Ordinance was approved on March 18th…one day after this computer went missing. This will be important later in the story.
一見すると、この出来事はゲーム条例と無関係に見えるかもしれません。しかしその条例は3月18日(つまり、共有パソコンは紛失した翌日)に承認されたことを、どうかよく覚えておいて下さい。後に今回の件において重要な情報になります。

Second, on April 13th, local news network “KSB” published a report based on a Freedom of Information request into the Game Ordinance’s Public Comment period. What they found was that of the 2269 supporting comments, many of them were exactly the same, right down to the use of spaces and line breaks. Most were simply one-line answers such as “I agree” or “I agree with the expectation of a bright future with the passage of the ordinance”. The bulk of these identical comments arrived within minutes of each other, one after the other.
次に、4月13日に地方ニュース「瀬戸内海放送(KSB)」は、ゲーム条例のパブリックコメント制度に対する情報公開請求に基づく記事を発表しました。その記事によれば、2269件の賛成意見の中に、文面や改行のスペースまで含めて固定の書式(雛形、テンプレート)に従うコメントが何回も書かれていました。例えば、『条例通過により明るい未来を期待して賛成します』、『賛同します』といったほぼ同じ文言の1行だけの文章が多くありました。多くの場合、こういうコメントは次々と、1分の間隔で届きました。

The Kagawa Prefectural Office redacted the personal information of commenters, of course, to protect private information. But some of the information they left unredacted led to an even more interesting discovery.
香川県庁はもちろんコメントから個人情報は黒く塗りつぶしましたが、塗りつぶしを免れた箇所の情報から、さらに興味深い事実が発覚しました。

Starting at 8:47am on January 31st and continuing on until 5:25pm on February 5th, the Prefectural Office received a series of one-line public comments supporting the Ordinance through the contact form on their website. Left unredacted was the header information from each submission, including the useragent string and IP address. Dozens of these messages had identical useragents, and all of them seemed to come from the same IP address…192.168.7.21. For anybody familiar with networks, this is obviously an internal address. In other words, they couldn’t come from the outside internet. They had to come from a device connected to the same internal network as the Prefectural Office’s webserver, which should only be accessible to Prefectural Office staff.
1月31日8時47分から2月5日17時25分まで続いて、香川県ウェブサイトの問い合わせフォームに多くの「1行だけ」の賛成意見は届きました。個人情報は黒く塗りつぶさましたが、通信した端末のユーザーエージェントそしてIPアドレスを含めるヘッダー情報は塗りつぶしを免れました。多数の通信は全く同じユーザーエージェントを使っており、全ての通信は同じIPアドレスから発信されました。「192.168.7.21」。ネットワーク技術に詳しい方ならすでにお分かりのことでしょうが、これは明らかに内部IPアドレスです。つまり、外部のネットワークから来るはずがない。県職員のみがアクセスできる県庁のウェブサーバーと同じ内部ネットワークと繋がった端末から発信されたとしか考えられません。

It’s incredibly interesting that a shared computer in that same office would vanish just one day before the Prefecture voted to pass the Game Ordinance. It’s even more interesting that members of the Review Committee would urge a quick vote due to the overwhelming number of supporting comments.
ゲーム条例が承認された前日に、この県庁事務所から共有PCが紛失されたことについて、非常に興味深いと皆さんはさぞお思いのことでしょう。さらに興味深いのは、議会の条例検討委員会で「(パブリックコメントから)賛成も多いので早急に採決すべし」と促す声があり、20分で審議は打ち切られたことです。

But the even with the stink of corruption hanging so heavily in the air around the Kagawa Prefectural Government, there’s little that can be done now that the Ordinance has passed. It would take a legal challenge in court to stop the Ordinance at this point, ideally on constitutional grounds.
しかしながら、香川の県行政から腐敗の臭いが空気中に凄まじく漂っているのにもかかわらず、ゲーム条例は承認されました。この結果からも私たちは何と無力なのでしょう。とはいえ、現在のところ、法的な異議申し立て(理想的にいえば憲法上の理由で)でしか状況を変える手立てがありません。

Well, good news…
それに関して言えば、嬉しいグッドニュースがあります。

Just this month, a 17-year old boy in Kagawa Prefecture known only as “Wataru” announced plans to take Kagawa Prefecture to court over the unconstitutionality of and the human rights violations within the Game Ordinance. Namely, that it violates Article 94, the right to self-determination, among a half-dozen other constitutional violations. “Wataru” has retained the services of a well-known lawyer, and plans to crowdfund his legal fees. We’ll provide more information about the crowdfunding campaign as it becomes available.
丁度今月になって、香川県の高校3年生、渉さん(17)が「条例は憲法違反であり、基本的人権を侵害された」として、県を相手取って国家賠償請求訴訟を起こす準備をしていることが発表されました。いくつかある侵害の中で、特に憲法94条(自己決定権)に反すると彼は主張しています。渉さんは知名度の高い弁護士の手を借り、そして弁護料のためのクラウドファンディング・キャンペーンを開始することも分かりました。そのクラウドファンディング・キャンペーンに関する新しい情報が入り次第更新されます。

We hope everybody viewing this can support Wataru’s case, either through crowdfunding or just by spreading the word. The Kagawa Game Ordinance needs to be struck down, and an opportunity like this for the Gamers of Japan, and the world, to Rise Up may never come again. Everybody, let’s make the most of it.
今、まさにこの動画を見ている皆さん、つまり画面の前の「あなた」がクラウドファンディングに参加、またはこのムーブメントについて広く伝えることで、渉さんサポートしてくださるよう心からお願い致します。香川ゲーム条例は廃止されるべきです。そして、多くはゲーマーでもあるネットユーザーの皆さんは、このような立ち上がる『チャンス』は二度と与えられることがないことを心に留めておいてくださいませ。皆さん、『チャンス』を有意義に活用しましょう。

NICT、NOTICE、と「特定アクセス行為」について

(1) 2018/08電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律(平成30年法律第24号)の施行に伴う省令の制定について(NICT法の一部改正に伴う識別符号の基準及び実施計画に関する規定整備関係)
http://www.soumu.go.jp/main_content/000571077.pdf

(2) 2018/09/26国立研究開発法人情報通信研究機構の中長期計画の変更案に対するサイバーセキュリティ戦略本部の意見(案)
https://www.nisc.go.jp/conference/cs/dai20/pdf/20shiryou01.pdfhttps://www.nisc.go.jp/active/kihon/pdf/iken20180926.pdf


(3) 2018/11/01国立研究開発法人情報通信研究機構法附則第八条第四項第一号に規定する総務省令で定める基準及び第九条に規定する業務の実施に関する計画に関する省令案に係る意見募集の結果新旧対照表
https://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000179654
意見募集結果
https://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000179653


(4) 2019/01/25国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要
http://www.soumu.go.jp/main_content/000595925.pdf
http://www.soumu.go.jp/main_content/000595927.pdf

(5) 2019/02/01IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施https://www.nict.go.jp/press/2019/02/01-1.html

(6) 2019/02/14IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて
https://www.nict.go.jp/info/topics/2019/02/13-2.html
(7) 2019/06/28IoT機器調査及び注意喚起の実施状況について
http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00033.html
http://www.soumu.go.jp/main_content/000630525.pdf

NICTが「IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて」で公示しています。
https://www.nict.go.jp/info/topics/2019/02/13-2.html

NOTICEの総当たりアクセス調査に使用するIPアドレス
150.249.227.160/28
153.231.215.8/29
153.231.216.176/29
153.231.216.184/29
153.231.216.216/29
153.231.226.160/29
153.231.226.168/29
153.231.227.192/29
153.231.227.208/29
153.231.227.216/29
153.231.227.224/29

ポートスキャンを仕掛けているのは、ポート番号で21(FTP)、22(SSH)、23(TELNET)、80(HTTP)、443(HTTPS)、その他では 8000、8080 です。単発ではなく、短時間に集中的&連続的にスキャンしているようです。


Let’s imagine a scenario together. Imagine a world where, in a crowded urban metropolis, nobody locked their doors. As a result, burglaries are skyrocketing. This problem could easily be solved by everybody just locking their doors, but for some reason they don’t.
一緒にとある物語を想像してみましょう。混雑した都市部であっても、住人達が家のドアの鍵を掛けない世界を想像してみて下さい。結果として、強盗、窃盗事件の数を大幅に増やしてしまうことでしょう。家のドアの鍵を掛けるだけで問題を簡単に解決できるのにも関わらず、住人達は何故かドアに施錠をしません。

Why not? Maybe they’re too lazy, maybe they’re stupid, or maybe their just don’t believe they’ll be targeted. Whatever the reason, the problem isn’t getting better.
施錠しない理由は何でしょう?もしかしたら、住人達は怠け者かもしれない、あるいはここの人々は無学だから?それとも無関心?理由が何であれ、この強盗の問題はだんだん広がってしまいます。

The police, of course, are overwhelmed. They put out notices asking people to lock their doors, but it doesn’t have much impact. So finally, they come up with a more extreme plan.
もちろん、警察は強盗、窃盗事件が増えたせいで、てんてこ舞いです。人々にドアを施錠するよう警告を発していますが、大勢には影響がありません。そしてついに、思い切った手段に訴えます。

The police hire people to go door to door in every neighborhood, testing each door to see if it’s locked. If they find an unlocked door, they enter the house and leave a warning note. They then write down a list of all the addresses that don’t lock their door and keep it at the police station.
警察が戸別訪問してドアの施錠を確認する人を雇います。施錠されていないドアを見つけたならば、彼らが家の中に入って警告メモを残します。そして彼らが施錠されていない家の住所を記録して、そのリストを警察に送ります。

Naturally, this plan has one problem…entering somebody’s house without permission or a warrant is illegal. But the police solve that by having the government pass a law that makes it temporarily legal for the police to perform “specified access” to unlocked houses.
当然、この計画にはひとつの障壁があります…裁判所の許可あるいは令状なしで、勝手に人の家に入るのは違法です。でもその障壁を乗り越えるため、警察が新しい法律を作ります…施錠を確認するための不法侵入を「特定アクセス」と見なして、一時的に合法化する法律です。

Does this sound like a terrible idea filled with potential for abuse? We agree! Unfortunately, Japan’s NICT does not.
抜け穴だらけのとんでもないアイデアだと思いませんか?我々も同意します。残念ながら、NICTはそう思ってはいません。

The National Institute of Information and Communications Technology announced a plan in February of this year, called NOTICE…”National Operation Towards IoT Clean Environment”. NOTICE is a plan to improve the national level of IoT security. Unfortunately, many hundreds (if not thousands) of IoT devices are either poorly secured, or not secured at all. Many use default passwords, which makes them easy targets for malicious programs like 2016’s Mirai virus.
情報通信研究機構(NICT)が今年の2月に、「NOTICE」という計画を実行しました…”National Operation Towards IoT Clean Environment”。NOTICEは日本国内のIoTセキュリティーを高めるための計画です。残念ながら、多くのIoTデバイスにはセキュリティ上の脆弱性があり、さらにはセキュリティー対策自体が全く施されていないデバイスすら存在します。多くのデバイスはパスワードがデフォルトのまま設定されており、ウィルスにとっていいカモになっています(例えば2016年のMiraiウィルス)。

The NICT wants to encourage better security practices, which is good. Unfortunately their method of doing this is very bad. Under NOTICE, the NICT plans to run brute-force dictionary attacks on all IoT devices in Japan, testing default passwords to try and access them. If the attack is successful, they will notify the owners and advise them to change their password. It’s also likely they’ll be keeping records of which devices were successfully accessed.
NICTはより良いセキュリティーを奨励したい、これ自体については良いことだと思います。しかし残念なことに、NICTのやり方はあまり良いものであるとはいえません。NOTICEの下で、NICTは全日本のIoTデバイスにいわゆる「総当たり辞書攻撃」を行って、デフォルトパスワードのデータベースを利用しアクセスしようとしています。攻撃が成功しデバイスにアクセスできる場合、NICTがパスワードを変えるよう勧めるためにデバイスの管理者に連絡します。NICTはどのデバイスをアクセスできたかのログも記録する可能性も高いと思います。

Of course, this plan had one problem…the type of brute-force attack the NICT wants to use under NOTICE is considered unauthorized access, and is illegal under Japanese law. Which is why, in 2018, the Japanese government created amendmends to the Telecommunications Business Law and the National Research and Development Institute of Information and Communications Technology Law. These amendments stipulated a class of “specified access” as an exception to unauthorized access, essentially making it temporarily legal for the NICT to perform unauthorized access to private networks.
当然、この計画にはひとつの障壁があります…NICTがNOTICEの下で行おうとする「総当たり攻撃」は法律に基づいて「不正アクセス」に抵触し犯罪です。であるからこそ、2018年に日本政府は「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」を通過させ、NICTの攻撃を「特定アクセス」と見なし合法化させました。

There are thankfully some limits on the NICT’s new “specified access” powers…for now. Legal targets are limited to those that meet the criteria set forth by the Ministry of Internal Affairs. The NICT’s brute force attacks will employ only passwords less than 8 characters, those used in past cyber attacks, and those using only identical or consecutive characters. Sadly, these limitations are of little comfort. More on that later.
幸いなことに、NICTの「特定アクセス」権限には制限が設けられています(少なくとも今のところは)。「特定アクセス」の合法的侵入目標群は、総務省令で定める次のような基準を満たされるものに限られます。

・8文字未満パスワード
・これまでサイバー攻撃のために用いられたもの
・同一の文字のみ又は連続した文字のみを用いたもの
・その他の容易に推測されるもの


以上、NICTの総当たり攻撃の基準に関しては、これらの制限が適応されます。
しかしながら、こういった制限は何の救いにもならないお慰めにしか過ぎません。後ほど、さらに詳細を述べましょう。

While the goal of improving Japan’s network security is commendable, the NICT’s plan under NOTICE may have a number of unintended consequences.
確かに、日本のネットワークセキュリティーを高めるのは立派な目的ではありますが、NICTの計画は思わぬ結果をもたらすであろうと思います。

Firstly, legalizing government hacking of private networks opens to door to abuse by other branches of government. We already know that CIRO and the Japanese Directorate for Signals Intelligence are monitoring the Japanese internet, and cooperating closely with America’s NSA. There’s potential that they might be tempted to deputize the NICT to perform “specified access” to a private network on their behalf, protected by the legal shield created by the 2018 amendments.
第一に、政府によるプライベートネットワークのハッキングを合法化することは、他の政府機関による悪用への扉を開いてしまうこととなるでしょう。CIROと防衛省情報本部電波部(DFS)が、米NSAと協力して日本の通信を監視していることは、すでに明らかにされています。NICTはそういう政府機関の手先としてプライベートネットワークをハッキングするよう頼まれる可能性があり、そしてそういう行為は2018年の電気通信事業法の改正により法的保護されるでしょう。


The ability of the NICT to successfully contact the owners of private network to warn them is also an issue, as is the likelihood that those owners might not notice (or might ignore) this contact. As a result, the NICT will end up maintaining a list of unsecure IoT devices in Japan…a list that will itself become a target for hackers, who will have faster and easier access to victims. In this way, the NICT might make Japanese networks less secure rather than more.
第二に、NICTがIoTデバイスの管理者と連絡を取れるかどうか、そして管理者は連絡に気付くか、そしてそれを受け取るかどうかという問題もあります。結果として、NICTは効果的に日本国内にあるセキュリティーの弱いIoTデバイスのリストを保持し続けることになります。被害者をより早く見つける手段として、リストそのものはハッカーのターゲットになるでしょう。つまり、NOTICEが日本のネットワークを攻撃への暴露につながる可能性もあり、逆に日本のセキュリティー状態をさらなる悪化へと招くことになります。

Finally, the limits on the “Specified Access” exemption is no guarantee of limited powers. The Japanese government has a long history of creating “temporary” or “limited” powers, and then expanding or extending them after the fact when they find a reason to do so. As far as the Japanese government is concerned, a promise and 100 yen couldn’t buy a can of coffee.
最後に、「特定アクセス」の制限が実際に権力乱用を抑制できるとは全くもって期待できないでしょう。日本政府は「一時的」あるいは「特定」権力の延長のための狡猾な自己正当化をし続けた長い歴史があります。政府の約束は露程も価値がありません。


To be clear, the goal of improving IoT security is a good one, and we certainly encourage all users of IoT devices to stop using default passwords. One visit to Insecam-dot-org and you’ll see why it’s dangerous to leave network devices unsecured. But the plan under NOTICE is not a good solution, and will very likely create more problems than it solves.
はっきり申しまして、日本のIoTセキュリティーを高めることこそが良い目標だと思います、そしてIoTユーザーにデフォルトパスワードのままデバイスを使わないことを強く勧めます。Insecam.orgというサイトを見るだけで、危険性を理解できます。しかしNOTICEの行為は良い解決策とは言えず、より多くの新たな問題を発生させてしまうと我々は考えています。

So what can we do about it? Well, one thing network operators can do is block the NICT from accessing their networks entirely. In fact, the NICT has helpfully provided a list of the IP addresses they’re using under NOTICE, and which ports they intend to scan. If they find some or most of their “specified access” attempts being blocked outright, that might send a message to the NICT about the popularity of NOTICE.
それでは、NICTへの対応として何をすべきでしょうか?プライベートネットワークの管理者がただ一つできることは、NICTからの攻撃を初めから完全にブロックすることです。実は、NICTはNOTICEの下で攻撃のIPアドレス範囲と目標ポート番号を発表していました。「特定アクセス」が多くのネットワークによってブロックされ未遂案件が続出すれば、NICTとNOTICEに対する世論の反発という明確なメッセージを伝えられるかもしれません。

A list of these IP addresses, as well as a timeline of information about NOTICE, are provided above. Please feel free to use this information as you see fit.
このIPアドレスのリスト、そしてNICTのNOTICEについての発表年表はこのポストにアクセスできます。どうぞ、ご自由にこの情報をご利用下さい。

And for the love of God, please change the passwords on your IoT shit.
そして後生ですから、IoTデバイスのデフォルトパスワードを変えて下さい。