タグ: IoT

ソニーセミコンダクタソリューションズ様から発売された「SPRESENSE マルチIMU」は非常に画期的な製品であり、当社も強い関心を示しているところですが、その一方で、当該製品は一般個人やコンプライアンス管理体制の未熟な中小企業が活用するには相当高いリスクがある製品と言わざるを得ません。

そのリスクというのも、①製品そのものの海外輸出、②制御ソフトウェアの海外輸出、③制御ソフトウェアのソースコードの海外輸出、④製品の性能を発揮するための基板の設計データ(CADデータ)の海外輸出、⑤これらを日本国内において外国籍を有する人物もしくは外国法人等に実質支配された法人に転移する行為…など幅広く存在します。

今回は、IMUの性能を発揮するためのプリント基板(PCB)を中国などの外国で製造する場合の法規制について論じます。

さて、IMUとは、Inertial Measurement Unitの略称で、日本語では「慣性計測装置」です。慣性を計測(トレース)するということは、GPSなど人工衛星依存の位置推定手段に頼ることなく潜水艦の位置や航空機の位置の推定が可能ということですから、当然軍事利用が想定されます。

もとより、IMUは軍事目的で発明された製品群であり、民生品が登場したのは近年になってのことです。しかしながら、昨今では、民生品でも軍事目的での利用が可能な精度を有するため、実質的には軍事利用が可能です(「デュアルユース」といいます)。

1970年代後半から1990年代後半にかけて、大量破壊兵器の移転が問題視されるようになったことから、さまざまな輸出管理レジームが提唱・組織され、主要国においてレジーム内での議論や合意が国内法化されてゆくこととなりました。昨今ではデュアルユース品の拡散も問題視され、多くの国がデュアルユース品の輸出も規制対象としています。

話を戻すと、輸出管理レジームには、①原子力供給国グループ(NSG)、②ザンガー委員会(ZC)、③オーストラリア・グループ(AG)、④ミサイル技術管理レジーム(MTCR)、⑤ワッセナー・アレンジメント(WA)があります。

これらのうち、輸出管理において特に重要なのがワッセナー・アレンジメント(WA)です。わが国では、「通常兵器及び関連汎用品・技術の輸出管理に関するワッセナー・アレンジメント」としてWAの議論・合意を受容(実質的には批准)し、国内法化しました。

この国内法が外為法(外国為替及び外国貿易法、がいためほう)です。外為法の規制対象は技術と貨物に大別することができますが、今回は技術が主眼ですので、外為法25条1項から見ていきます。

国際的な平和及び安全の維持を妨げることとなると認められるものとして政令で定める特定の種類の貨物の設計、製造若しくは使用に係る技術（以下「特定技術」という。）を特定の外国(以下「特定国」という。)において提供することを目的とする取引を行おうとする居住者若しくは非居住者又は特定技術を特定国の非居住者に提供することを目的とする取引を行おうとする居住者は、政令で定めるところにより、当該取引について、経済産業大臣の許可を受けなければならない。

ここで問題となるのが、「提供することを目的とする」の趣旨です。この趣旨は、通常の読み方をすれば「利益を目的としまたは思想信条にもとづき特定技術を特定国の非居住者に提供すること」とも解されますが、外為法1条において「我が国又は国際社会の平和及び安全の維持」を保護法益としていることに鑑みれば、特定国に対する技術の移転を伴う行為全般について、認識・認容があれば、25条1項の規制に反すると解すべきです。

次に、「政令」と書かれていますが、これは、外為令(外国為替令、がいためれい)のことです。外為令では、外為法による規制の対象をより具体的に定めています。為替令17条1項は、

法第二十五条第一項に規定する政令で定める特定の種類の貨物の設計、製造若しくは使用に係る技術(以下この項、次項及び第十八条の二第一項において「特定技術」という。)を特定の外国(以下この項において「特定国」という。)において提供することを目的とする取引又は特定技術を特定国の非居住者に提供することを目的とする取引は、別表中欄に掲げる技術を同表下欄に掲げる外国において提供することを目的とする取引又は同表中欄に掲げる技術を同表下欄に掲げる外国の非居住者に提供することを目的とする取引とする。

としていますので、外為令別表を見ていきます。

一　輸出貿易管理令別表第一の一の項の中欄に掲げる貨物の設計、製造又は使用に係る技術

二　（一）　輸出貿易管理令別表第一の二の項の中欄に掲げる貨物の設計、製造又は使用に係る技術であつて、経済産業省令で定めるもの
　　（二）　数値制御装置の使用に係る技術であつて、経済産業省令で定めるもの….

など挙げればきりがないので、ひとまず輸出貿易管理令の別表第一を確認することにします。

該当しない品目が存在しないと言っても過言ではないほど…というのはご理解いただけるかと思います。このことは、ソニーセミコン様のウェブページなどにも記載があります。

本製品は日本国内向けの製品です。本製品は輸出貿易管理令別表第一の1から15までの項に記載の貨物に該当します。本製品を輸出、又は非居住者に提供するにあたっては、外為法等に従い必要な手続きを行って頂く必要があります。

これらの事情から、少なくともIMUが搭載されたボードについて、貨物を製造するための技術等も外為令に指定されることとなり、外為法25条1項の規制を受けることは明らかです。しかしながら、ボードの機能を向上させ、あるいはボードを使用可能にさせるためのプリント基板についてはどうでしょうか。

当然、プリント基板は、銅箔や銅箔に半田を塗布したり金を蒸着したFRP加工製品にすぎない…と考える方も多いでしょう。しかしながら、ここではその機能が先ほど述べた「我が国又は国際社会の平和及び安全の維持」にどのような影響を与えるか考えてみる必要があります。

話を戻すと、「部分品」を解釈する必要があります。部分品の語が用いられる場合、「他の用途に用いることができるものを除く」の注釈が付くことが多いことに注意すべきでしょう。ここでワッセナー・アレンジメントの表現を見てみると、

Protective and detection equipment and components, not specially designed for military use, as follows:

Specially designed for use in one of the processes specified by

などと、800か所以上に「specially designed」という語が登場します。つまり、これは「専用設計」すなわち「汎用性がないこと」を意味します。この点、経済産業省が同旨の通達を発出しているので、参考にしていただければと思います。

結論ですが、SpresenseマルチIMUのためのプリント基板の設計データは、「製造又は使用に係る技術」を構成するものですから、PCB業者へのデータ送信にあたっては経済産業大臣の許可が必要と考えられます。

昨今、東京都内を中心に、訪日外国人観光客に対するIMSI攻撃(IMSIキャッチャー)とそれによる経済的損失の報告が相次いでいます。被害者は主に中国からの観光客です。

まず、IMSI攻撃とはどのようなサイバー攻撃であるのか説明する前に、いくつかの用語について説明します。

SIM Card(エスアイエムカード、日本国内ではシムカードと誤読される):Subscriber Identity Module Cardの略称で、①ICCID、②IMSI、③MSISDNなどの情報を含むICチップ。スマートフォンなどに挿入することで移動体通信を利用できます。

ICCID(アイシーシーアイディー):SIM Card自体の識別番号で、ISO/IEC 7812-1に基づき先頭2桁は89で固定、これに続いてITU-T勧告 E.164による最小1桁から最大3桁の国番号が与えられ(日本は81)、さらにMNC(Mobile Network Code)に相当する2桁の事業者番号が付番されます。日本国内で利用されるSIM CardはほとんどがNTTドコモのものであり、NVNO事業者から受け取ったSIM CardであってもICCIDは「898110」+「重複のない13桁の番号」の計19桁となります。

MSISDN(エムエスアイエスディーエヌ):Mobile Station International Subscriber Directory Numberの略で、各国独自の電話番号です。一般的に電話番号と読んでいるものがこれで、例えば90-9141-5411といった番号がこれです。ただし、090や03といった電話番号の最初の0の部分は、国内プレフィックスといい、国際規格上は電話番号の一部ではありません。

IMSI(イムズィ):International Mobile Subscriber Identityの略であって、移動体通信網が利用者(加入者)の識別と認証を行うための識別番号。ITU-T E.212の勧告によるもので、MCC(Mobile Country Code、日本は440または441)3桁とMNC(Mobile Network Code、事業者コードであり例えばNTTドコモは10、KDDIは01など)最小2桁～最大3桁を加え、MSIN(Mobile Subscription Identification Number)最小9桁～最大10桁を付番したもの。

IMSIを用いた利用者(加入者)の認証プロセスは、基地局から移動体通信端末(スマートフォンなど)に対してPLMN-ID(Public Land Mobile Networkの略称で、MCCとMNCからなる5桁または6桁の値)を常時報知(送信)し、これを受けて移動体通信端末ではPLMN-IDの一覧(Registered PLMNやEquivalent PLMNなどが優先される設定になっているのが通常で、母国のネットワーク事業者と同等のネットワークに接続可能であれば優先的に接続する可能性が高い)から接続可能な基地局であるか判断します。

その結果、移動体通信端末にて接続可能な事業者であると判断した場合には、IMSIを基地局に対して通知することで、基地局のバックボーンにあたるEPC(Evolved Packet Core)内のHSS(Home Subscriber Server)が認証処理を行い、移動体通信端末がネットワークに参加することが可能となります。

さて、今回報告された攻撃キャンペーンにおいては、攻撃者は、東京都や大阪市などの中国人観光客が多い地域において、自動車に積載した偽基地局装置から大陸中国のキャリアである中国聯通や中国電信の「460**」のIMSI通知を送出しつつ、NTTドコモなどのローミングキャリアを電波妨害しています。

これにより、Registered PLMNに上位記載された中国系キャリア(に偽装した偽基地局)との通信を確立させ、移動体通信端末に対してフィッシングサイトのURLを含む中国語のSMSを送信するといった比較的単純な攻撃です。

対応としてはGSMのブロックなどが挙げられてはいますが、昨今では、LTEネットワークにおいても同種の攻撃が確認されており、万全の対策とは言い難い状況です。

電波法への抵触などの問題もありますが、既存の電波監視システムでは対応しきれず、結局のところ、URLを押さない踏まないといった警告を大使館や観光当局が発信し続けるほかないといえそうです。

SMSが前時代的で極めて脆弱なツールであることも、今一度確認したいところです。

920MHz帯を利用するLoRa通信モジュール「E220-900T22L(JP)」が話題になっていますので、日本国内での規制について解説します。

920MHz帯無線局は、移動体識別用のパッシブ系と、テレメータすなわIoTおよびテレコントロールすなわち制御信号の送信などで用いられるアクティブ系に大別されます。なお、データ伝送はアクティブ系に含まれます。

さて、今回話題になっている製品は、アクティブ系に分類され、920.5MHz～923.5MHzについて陸上移動局(免許局もしくは登録局)での運用となります。ただし、空中線電力は250mW以下です。

具体的な規制は、無線設備規則第49条の34第1項により、

一　通信方式は、単向通信方式、単信方式、複信方式、半複信方式又は同報通信方式であること。

二　空中線系を除く高周波部及び変調部は、容易に開けることができないこと。

三　空中線電力は、二五〇ミリワット以下であること。

四　送信空中線は、その絶対利得が三デシベル以下であること。ただし、等価等方輻射電力が二七デシベル（一ミリワットを〇デシベルとする。以下第七号において同じ。）以下となる場合は、その低下分を送信空中線の利得で補うことができるものとする。

五　無線チャネルは、単位チャネル（中心周波数が九二〇・六ＭＨｚ以上九二三・四ＭＨｚ以下の周波数のうち九二〇・六ＭＨｚに二〇〇ｋＨｚの整数倍を加えたものであつて、帯域幅が二〇〇ｋＨｚのチャネルをいう。第七号並びに別表第一号注３４（６）、同注３５、別表第二号第５６及び別表第三号２４（３）において同じ。）を一又は二以上同時に使用するもの（同時使用可能な最大チャネル数は、五とする。）であること。

六　総務大臣が別に告示する技術的条件に適合する送信時間制限装置及びキャリアセンスを備え付けていること。

七　無線チャネルに隣接する単位チャネルにおける送信装置の隣接チャネル漏えい電力は、（－）五デシベル以下であること。

以上です。型番の末尾22L(JP)が陸上移動局、末尾22S(JP)が特定小電力無線局に向けられた製品であることに十分注意してください。

弊社圃場の観測機器更改に伴い、通信サービスを新たに選定することになりました。

「最安値 データ通信SIM」などと検索しても、あまりに検索結果が汚染されており、「比較サイト」を称するblogなども事実のかけらもない滅茶苦茶な記事しか書きません。

通信業界はコンプライアンス軽視が著しいと言わざるを得ません。もっともNTT東西会社のようにちゃんとした社もあるとは思いますが、末端まで監督できているとは到底いえないでしょう。

本題に戻ります。本当に安いのは法人向けの上り優先回線でした。

楽天コミュニケーションズ様の「上り優先タイプ」は、上り速度がベストエフォート、下り速度が200kbpsのサービスです。月額料金は最低の1GBで280円、10GBで420円、30Gbで740円、100GBで1,850円、最大の400GBで6,590円などとなっています。事務手数料にあたる「SIM初期発行手数料」が税抜き3,000円/SIMカード枚数となっているようです。

では他の法人向け事業者はどうかと思い、IoTデバイス向け通信サービスで有名なS社様のプランを見てみたのですが、コンシューマ向け通信サービスと大差ありませんでした。ただ、S社様は通信サービスだけでなく、付随するデータ処理サービスも展開しており、単純に比較はできません。

なお、コンシューマ向け通信サービスで最安のものは、日本通信様の「合理的みんなのプラン」および「合理的50GBプラン」で、それぞれ20GBで1,390円および50GBで2,178円と他の通信事業者を凌駕しています。

音声つき回線は、IoTに使用する場合にはSIM窃取などのリスクを考えなければなりませんが、個人で契約するのであれば日本通信様が第一選択となるように思われます。

本記事は、第三者からの資金提供を受けておらず、利益相反はありません。