Watch

ネット中立性規制の撤廃がサイバーセキュリティに及ぼす影響

ネット中立性規制の撤廃がサイバーセキュリティに及ぼす影響

コーリー・ナクライナー

FCCは12月にネット中立性の廃止を決議した。(Flickr写真 / Charles Moehle)

論評: セキュリティの問題はさておき、FCC によるネット中立性の撤廃には腹が立つ。

記事の冒頭としては異例な書き出しですが、あるテーマについて著者の言葉を鵜呑みにする前に、その著者のバイアス(偏見)について理解しておくことが重要です。セキュリティの問題はさておき、ネット中立性の廃止はすべての市民にとって悲劇だと私は考えています。インターネットは社会にとって非常に重要になったため、誰もが手頃な価格で自由にアクセスできるべきです。したがって、政府がインターネットを公共事業や通信サービスのように扱い、営利組織によるインターネットの制限や管理を制限するのは理にかなっています。このように感じているのは私だけではありません。有権者の大多数も同意しています。しかしながら、FCC(連邦通信委員会)は昨年末にネット中立性の廃止を決定しました。確かに、この廃止は消費者への影響をもたらす可能性がありますが、同時に、サイバーセキュリティについても新たな影響を及ぼし、考慮すべき点も生じています。

少し話を戻しましょう。ここ数年、インターネットアクセスのない島で暮らしていたかもしれないあなた方二人にとって、ネット中立性とは、インターネットサービスプロバイダー(ISP)がインターネット上のすべてのデータを平等に扱うべきであるという原則です。ISPは、自らの目的のためにインターネットへのアクセスを変更する権限を持つべきではなく、あらゆるインターネットベースのサービスへのオープンで制限のないアクセスを提供するべきです。これは当然のことのように思えますが、ネット中立性が確立される前は、ISPがインターネット接続に干渉することを法的に禁止するものはありませんでした。

数十年にわたり、FCCはインターネットを情報サービスに分類し、1934年通信法第1編に該当します。一方、電話サービスは電気通信サービスの第2編に該当します。この違いは何でしょうか?中核的な公共事業である第2編のサービスは、「コモンキャリア」規制に従わなければなりません。この規制により、サービスプロバイダーはこの種の通信をブロック、制限、または優先させることができなくなります。2015年2月、FCCは「ブロードバンド」を第2編のサービスに分類し、これによりFCCはネット中立性の原則を法的に執行できるようになりました。

ISPや企業ロビイストは、「ブロードバンドサービスはタイトルIのサービスとして何十年も問題なく機能してきた。このような新たな規制は必要ない」と主張するかもしれない。しかし、こうした専門家が言及していないのは、規制がなければ、ISPは自社の事業と競合する革新的なインターネット技術をブロックし、好ましくないトラフィックを抑制またはブロックし、特定のインターネットサービスへのアクセスに個人や企業に高額な料金(通行料)を支払わせ、さらには顧客のウェブトラフィック全体に強制的に広告を挿入してきたという事実だ。ネット中立性反対派やISPは、正しいことを行うために規制は必要ないと主張するかもしれないが、歴史は規制がなければ、ISPは最終的にアクセスプロバイダーとしての役割を悪用するだろうことを証明している。ネット中立性が失われた今、ISPがこうした行為を繰り返すのを止めるものは何もない。

サイバーセキュリティは、この議論においてより一層の注意を払うべき要素の一つです。ネット中立性の撤廃に伴う4つのセキュリティリスクを以下に示します。

  1. プライバシーの喪失– ISPはトラフィックをフィルタリングし、制限するためにコンテンツ監視を行っています。ユーザーのオンライン活動から興味や傾向を把握すれば、ISPはこれらのデータを最高額の入札者に販売できます。これは些細な情報ではありません。こうしたビッグデータにより、一部の組織は、本人が気づく前に妊娠に気付くことができました。多くの専門家は、プライバシーとセキュリティは異なるものであり、時には相反する問題であると述べています。しかし、プライバシーはセキュリティにとっても重要です。なぜなら、ユーザーに関する情報が多ければ多いほど、攻撃を受けやすくなるからです。ソーシャルエンジニアは、ユーザーに関する情報を利用して、ユーザーを騙し、信頼を勝ち取ろうとします。ISPがこのような目的で情報を利用する可能性は低いでしょう(ただし、購入の決定に影響を与えるために利用することは間違いありません)。しかし、ISPはこれらの情報を収集し、保管します。そのため、ISPは悪意のある攻撃者にとって格好の標的となります。あなたのISPが完璧なセキュリティを備え、これらの情報の安全性を保証できると思いますか?ISPは、私たちのインターネット利用状況を監視し、自社の利益のためにこのデータを保管するべきではありません。特に、それが最終的にハッカーの手に渡る可能性がある場合、なおさらです。
  2. 暗号化やその他のセキュリティ関連製品の制限– プロキシ、VPN、Torなど、インターネット利用を保護し、匿名化するためのツールは多種多様です。確かに、これらのツールは不正行為を隠蔽するために利用される可能性もありますが、いずれも正当な用途も持っています。例えば、人々はビジネスコミュニケーションを保護するためにVPNを頻繁に利用しています。セキュリティ研究者は、脅威アクターから身を守るために、プロキシやTorを頻繁に利用しています。残念ながら、ISPは過去にこれらのツールの一部をブロックまたは制限しようと試みてきました。米国ではまだそのような事態は起きていませんが、将来、IPSがこれらのツールを制限する可能性は否定できません。ネット中立性は、誰もがインターネット上でVPNやその他のセキュリティツールを自由に利用できるようにするでしょう。
  3. セキュリティサービスを制限することで、ISP自身のセキュリティを強制する– 今日、多くのセキュリティサービスはクラウドベースです。もしISPが独自のクラウドベースのIP、ドメイン、URL、またはファイルスキャンセキュリティサービスを開始したと想像してみてください。ISPがあなたのそのサービスへの接続を制限、あるいはブロックし、それに対して独自のセキュリティサービスを提案したらどうでしょうか?まるで安っぽい映画の陰謀論のように聞こえませんか?実は、ISPは以前にも同じようなことをやっています。例えば、Netflixの利用率が高いため、既に追加料金を請求しています。あるISPは、電話サービスの収益に影響が出るという理由で、VoIPトラフィックをブロックしたこともあります。つまり、ネット中立性の欠如は、このような悪質な行為の温床となるのです。
  4. 挿入された広告は、挿入されたマルウェアに変わる可能性があります。ISPがWebトラフィックに広告やコンテンツを強制的に挿入する事例は既に確認されています。これは消費者体験の観点から見ても十分に問題ですが、セキュリティ面でも多くの影響を及ぼします。まず、マルバタイジング(悪意のある広告)は深刻な問題です。攻撃者は、一部のオンライン広告代理店がセキュリティ対策を十分に講じていないことを突き止めています。攻撃者は、顧客として広告スペースを購入し、広告の受信者を悪意のあるサイトに誘導するスクリプトを挿入するだけで済みます。さらに、「挿入」メカニズムを備えているだけで、ISPは格好の標的となります。もし私が犯罪者ハッカーで、ISPの広告インジェクターへの特権アクセスを取得できれば、そのISPの顧客全員に感染させる強力なメカニズムを手に入れることになります。繰り返しますが、ISPは平均的な企業よりもセキュリティが優れていると主張するでしょう。確かにその通りかもしれません。しかし、ハッカーが基本的なフィッシングメールで政府機関に侵入できるのであれば、ISPにも侵入できる可能性があります。ところで、関連する脅威として、ISPがすべてのインターネットトラフィックに追加できる追加の追跡タグがあります。悪意のある人物がすべての追跡情報にアクセスできれば、スピアフィッシングメールの効果がさらに高まります。

これらは、ネット中立性が失われた場合に私たちが直面するセキュリティリスクのほんの一部に過ぎません。しかし、公平を期すために、セキュリティ上のメリットについても一つお話ししたいと思います。一部の専門家は、ISPが顧客のセキュリティ保護のためにより積極的な役割を果たすべきだと考えています。実際、私も、明らかな(DDoS)攻撃のフィルタリングやスプーフィング対策技術(BCP 38)の使用など、特定のシナリオにおいてはこの考え方に賛成です。しかし、通信事業者規制の解釈によっては、ISPがお客様に代わってセキュリティ対策を実施することが難しくなる可能性があります。これは、技術的にはISPがお客様のトラフィックすべてを「平等に」扱っていないことを意味するためです。個人的には、規制を更新または解釈することで、ISPによるオプトイン型のセキュリティ対策が可能になると考えています。とはいえ、これはネット中立性に反対する人々から聞かれるセキュリティ関連の議論の一つです。

それで、次は何をするのでしょうか?

FCCがすでにネット中立性を撤回したからといって、セキュリティとプライバシーへの期待を完全に捨てるべきでしょうか?いいえ。朗報なのは、私たちは民主主義国家に生きているので、適切な状況であれば、これらの重要な規制を最終的に復活させることができるということです。ワシントン州が今年6月に実施したように、一部の州では既にこの問題に取り組んでいます。これらの州は、ISPによるインターネットサービスの速度制限やブロックを防ぐため、FCCタイトルII規則に関連する規制を基本的に模倣しています。十分な数の州がこれに取り組めば、ISP自身も連邦レベルでのネット中立性に関する単一の規則を希望するかもしれません。なぜなら、多くの場所で多くの異なる規則に従うのは負担が大きいと推測されるからです。いずれにせよ、適切な州に住んでいる限り、ネット中立性はまだ死んではいません。

暗号学において、最も安全なシステムはピアレビューに開かれているものです。なぜなら、システムの仕組みを正確に理解していてもセキュリティ上の欠陥が見つからなければ、安全だと判断できるからです。ISPがネット中立性規制なしにインターネット利用データをルーティング、変更、収集する方法の透明性の欠如は、重大なセキュリティリスクをもたらします。確かにISPは「心配しないでください。私たちは誠実です」と言うかもしれませんが、彼らの過去の行動は、それほど信頼に値しません。誰もが手頃な価格でオープンなインターネットアクセスを受ける権利があると信じるなら、ネット中立性に関する議論に参加し続けてください。ISPの慣行をもう少し詳しく見てみましょう。諦めないでください!