勝手に暴露されちゃった「Zero-day」(?)

対応時間ゼロ 勝手に暴露されちゃった「zero-day」」という記事がでています。

「勝手に」というと、協調された開示の仕組みを完全に無視して、公表してしまったのか、というようにみえますが、「Androidのゼロデイの脆弱性は、事前にGoogleには知らせていたものの、ZDIが独自に定めた期限までに対策パッチが公開されなかったので、情報公開に踏み切ったという。」とのことなので、Googleにたいして、通知はしていたようです。

アドバイザリのページをみていくと、数回、修正の要求を出したにも関わらず、具体的な修正の日時を特定し得ないという返事がきたので公開したという経緯に見えます。

協調された開示の仕組みという表現をしましたが、責任ある開示ともいわれています。記事としては、「脆弱性の「責任ある開示」を他業界でも、マカフィー担当者に聞く」という記事があります。後述の法律面の報告書(改訂版)では、1頁でふれています

わが国では、「情報セキュリティ早期警戒パートナーシップ」が、2004年に整備され、独立行政法人 情報処理推進機構、一般社団法人 JPCERT コーディネーションセンターなどによって運営されています 。

このパートナーシップの運営にあたって生じる問題点等は、「情報システム等の脆弱性情報の取扱いに関する研究会」のもとで、検討され、その検討の結果が、パートナーシップのガイドラインに反映されています。

現在は、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」に基づいて、ガイドラインによって協調された開示の実務が動いているという感じでしょうか。(経緯については、法律面の報告書(改訂版)2-4頁でふれています)

なお、私自身も、この早期警戒パートナーシップの元となっている考え方、また、実際にいろいろと生じるであろう問題点などについて法的な立場から、解説を試み、それが公表されています(情報システム等の脆弱性情報の取り扱いにおける法律面の調査 報告書改訂版

タイトルの記事の話に戻ります。早期警戒パートナーシップにおいては、具体的な対応のための期限は決めていません。発見者は、1年を経過した場合に、情報非開示以来の取り下げを求めることができるという仕組みになっています。

それに対して、一定の期限を区切って、それでも、セキュリティパッチがでなければ、それを公開するという方針も採用されています。

ProjectZeroは、90日がデッドラインですね。Hacker one だと30日がデフォルトです

平均日数については、記事がでているところでもあります

発見者としては、開発者と良好なコミュニケーションのもと、できる限り、早急に対応してもらいたいところですが、いろいろな利害関係もあり、非常に悩ましいところでもあります。

なので、合理的な期間を設定して、これに間に合わなかった場合、そして、それで公開した場合について、「勝手に」と評価されるのか、というと、ちょっと、違和感を感じたというところが、本当のところでしょうか。

フランス国防省のサイバースペースにおける作戦への国際法適用への見解(2 武力紛争時)

2 武力紛争の文脈におけるサイバー作戦への適用しうる国際法

です。キーメッセージのあと、

武力紛争の状況では、サイバースペースは、それ自体、海、空、または宇宙におけると同様に対立の空間です。
この新しい形態の紛争に対応するために、国防省はデジタルディメンションを軍事作戦に完全に統合しています。 攻撃的コンピューター戦闘(LIO)は戦略的なレベルの能力ですが、戦術的には、効果を、従来の武器の効果と組み合わせる武器でもあります。
サイバー兵器は複雑なので、国際人道法(IHL)を尊重するフレームワークにおいて効果を習得することを必要とします。身体的行為の分野において、計画され、指揮される作戦と同様に、敵対行為の基づく諸原則に適合して、フランス国防省によって、なされます。

というまとめがなされています。

2.1  武力紛争の存在を形作るサイバー作戦

国際的武力紛争(IAC、フランス語CAI)があること、それと非国際的武力紛争(NIAC、CANI)があることに触れられています。

また、サイバー作戦ではあるものの、効果が主権国家の領域のなかで発生すること、が求められていること、つまり、従来の地理的な文脈で議論されることがふれられています。

2.2 武力紛争の文脈におけるサイバー作戦に適用される国際法

サイバー兵器について、目標の両用性とネットワークの接続性があることから、目標決定プロセスには、特定のプロセスを要する、とされています。

2.2.1 サイバー作戦が、国際人権法における攻撃を構成しうること

ジュネーブ条約第1追加議定書49条における攻撃を構成しうること、敵のシステムにたいして、破壊的な活動をする場合、中立化の場合も、すべて、含まれることになります。

フランスは、タリンマニュアルの見解(規則92)とは異なって、物理的な基準にのみ依拠するものではないとしています。フランスは、攻撃の定義を、機器・システムが、一時的にせよ、復旧可能であるにせよ、利用がもはや困難にする場合をいうとしています。

武力紛争の文脈において、フランス軍によるサイバー作戦は、攻撃の定義に該当しないとしています。敵の影響力のあるサイトの改竄は、ジャミングと同一で、国際人権法の規定の対象とはならないと考えています。

2.2.2 敵対行為についての原則の適用

敵対行為についての原則としては、区別原則、均衡性、警告、過度の傷害または無用の苦痛があり、これらは、サイバー作戦に適用されるが、サイバースペースにおける活動の緊急性、標的の両用性、ネットワークの接続性によって適用が困難になっている、とされています。

これらについては、フランスは、物の地位に関する疑義についてのタリンマニュアルの見解には、異議があるとしています。

それ以外については、一般的な説明ですので、ちょっと省略

2.3 中立原則がサイバースペースに適用されること

これについては、中立原則が適用され、中立国は、自分の領域のITインフラが、交戦国に利用されるのを防止しなければなりません。また、交戦国は、中立国のインフラに影響を与えるのを慎まなければなりません。

 

 

 

 

 

 

フランス国防省のサイバースペースにおける作戦への国際法適用への見解(1.2 自衛権の行使および1.3 責任帰属決定)

1.2 重大な影響度・深刻度の被害を惹起するサイバー作戦は、武力侵害を構成し、自衛権の行使を惹起する

です。

この部分は、フランス政府は、(アメリカ政府と違って-書いていないけど)国際司法裁判所のもっとも深刻な武力行使の形態とそれ以外を区別し、もっとも深刻なもののみが、個別的・集団的自衛権の行使によって対抗しうる武力侵略を構成しうる立場であるということを前提にするからスタートします。

1.2.1 サイバー攻撃は、武力侵略となりうる

フランスは、サイバー攻撃が、国連憲章51条の武力攻撃となりうることを確認しています。影響と規模の観点から分析され、ケース・バイ・ケースのアプローチで判断されます。

具体的な例としては、重要インフラに対する重大な妨害、国家の活動のマヒ、技術的/環境的破壊を引き起こして、多数の被害者をおこすことなどがあげられています。

武力攻撃となりうるためには、国家に帰属しうることが必要であるとされます。非国家主体のなす行為については、ISISのような(准国家的)場合をのぞいては、自衛権の対象とはしません。

1.2.2 デジタル軍侵略に対する自衛権の行使

国連憲章51条のもと、武力侵略は、個別的・集団的自衛権の行使を正当化します。大統領の決定のもとに、国防省が、サイバー作戦に従事しうることになります。サイバー攻撃は、それ自体としては、武力侵害に到達しませんが、効果が積み重なり、また、フィジカルな分野でなされることによって侵略を構成します。

また、例外的な場合には、プリ・エンプティブ (préemptive)な自衛権に訴えることも可能です。

攻撃的なサイバーを民間会社やハッカーグループに依拠している国家は、それらの行為にたいして責任を負い、フランスは、パリ宣言によって、それらの非国家組織の監視と禁止を支持します。

自衛権の行使は、暫定的で、従たるものです。国連憲章の手続きに従うし、また、国連の安全保障委員会が、他の手段を選びうるものです。

1.2.3 求められるデューデリジェンスに対応しない場合

デューデリジェンスの法理についての解説がなされて、非国家主体のなす行為を防止するための合理的な手段を怠った場合、その国家は、武力行使禁止原則に反する例外とはされないとされています。(タリンマニュアルには、反対)

1.3 サイバー攻撃の発生国の責任帰属判断(アトリビューション)は、国家による政治的判断

サイバー攻撃がそれ自体、追跡し、コントロールするのが困難です。フランスでは、サイバー攻撃が探知されると、その効果を中立化させる作戦を実装します。攻撃者の特定は、攻撃における技術的証拠を主たるもの(限定する趣旨ではなく、そのほかにも含まれますが)として決定されます。具体的には、サイバー作戦で利用されたインフラの決定、その場所、敵作線モードの識別、侵入者の一般的な時系列敵行動、事件の深刻度、侵入された部門、攻撃者の求めた効果などです。

特定の国家に責任が帰属することを決定することは、主権の権能の一つとされますが、それを公にする必要はありません。また、国際法は、証拠を明らかにする義務を認めるものではありません。

フランス国防省のサイバースペースにおける作戦への国際法適用への見解(1.1 対抗する権利)

フランス国防省から「サイバースペースにおける作戦への国際法適用への見解(DROIT INTERNATIONAL APPLIQUÉ AUX OPÉRATIONS DANS LE CYBERESPACE)」が公表されています

この内容については Przemysław Roguski 先生の一連のツイートが注目すべき点をピックアップしています。

この見解の目次は、

1 平和時におけるサイバー作戦

1.1 フランスは、被害国たりうる国際法違反のサイバー作戦にたいして対抗する権利を保有(La France se réserve le droit de répondre )する

1.2 重大な影響度・深刻度の被害を惹起するサイバー作戦は、武力侵害を構成し、自衛権の行使を惹起する

1.3 発生源のサイバー作戦の帰属は、国家的政治的決断である

2 武力紛争におけるサイバー作戦についての国際法の適用

2.1 武力紛争の存在を形作るサイバー作戦

2.2 国際人権法は、武力紛争の文脈においてなされるすべてのサイバー作戦にたいして適用される

2.3 中立法は、サイバースペースに適用される

となっています。

1についてみていくと、

1.1 フランスは、被害国たりうる国際法違反のサイバー作戦にたいして反撃する権利を保有(La France se réserve le droit de répondre )する

は、

国際法のもとでは、サイバー作戦は、それ自体違法ではないが、国際法の違反を引き起こすときには、違法になる

とまとめられています。

これに引き続いて

1.1.1 主権侵害となりうるサイバー攻撃

では、領域内におけるシステムに対する主権を行使し、デューデリジェンスにもとづいて国際違法行為に利用されないようにすることが謳われています。

また、有効なコントロールのもとで、フランスの国内、外交事項に対して、デジタルなベンタを用いて政治的・経済的・社会的・文化的システムを危うくする者は、国内不干渉原則違反になるとしています。

国のデジタルシステムに侵入し、戦争/経済的可能性、国家の存続の安全保障または能力にに影響をあたえ/フランスの国内、外交事項に対して影響をあたえるサイバー攻撃は、その影響の中立化をも含むコンピュータ防御的戦闘を導くとされています。

国際法的に許容される方法のなかで、ケース・バイ・ケースで裁量のもとに対応するとされています。

1.1.2. 武力(force)脅威または行使の禁止に反しうるサイバー作戦

フランスは、物理的損害が伴った場合において武力の行使の閾値に該当しうることを認めているという宣言であり、また、物理的損害がなかったとしても、作戦の発生源、軍事的正確、侵入の程度、影響、標的の種類などから、武力の行使の閾値に該当しうることを認めています。

もっとも、それが直ちに国連憲章51情の武力攻撃(armed attack)に該当するものではないともしています。

1.1.3 国際法の準備する回答

フランスは、攻撃に対して、防止、予期、防衛、探知、対応する種々の手法をとるとされています。サイバー攻撃に対して、国内、国際的なパートナーとともに、予期、探知、対応するためにサイバー防衛作戦を行うとされています。

そのあと、被外国として国際法に基づいた対抗措置を採用する旨が説かれれますが、集団的対抗措置の概念は、否定されています。すなわち、サイバー的手法であれ、なかろうと、深刻さを考慮に入れて被害に比例するものである必要があります。

さらにフランスは、遭難(de détresse )や緊急避難( de nécessité )の理論を適用することもありうる、とされています。

 

 

 

 

 

脆弱性と瑕疵の間に(再考)

「脆弱性と債務不履行(東京地裁 平30.10.26)」のエントリで、私の昔の「脆弱性と瑕疵の間に」という論文を引用したのですが、よく考えれば(というか、よく考えなくてもわかるわけですが)、債権法改正がなされているので、論述を見直さなければならなくなっています。

普通では、電子情報通信学会の論文アクセスするのも、容易ではないかもしれないので、論文の大枠と、現時点での変更の必要なポイントを触れてみようかと思います。

論文の大枠です。構成は
1 「脆弱性」と法律上の問題
1.1 脆弱性の概念
1.2 脆弱性の法律問題と「瑕疵」
利用の透過性についての問題に関連して
利用の修正に関する問題点について
2 ソフトウエア利用の等価性の問題について
2.1 問題の所在
2.2 具体的な考察
3 利用の修正に関する問題点について
3.1 脆弱性調査のためのリバースエンジニアリングとエラー修正
3.2 ライセンシーが修正プログラムを適用する場合の法的問題

となっています。

1は、まず、議論を、パッケージソフトウエアに限定した上で、いままでの用語としては、「不具合」「欠陥」「バグ」「電子的な情報の瑕疵」という用語があること、それらと「脆弱性」という用語の関係を明らかにする必要があることについて論じています。
なお、3 については、脆弱性調査のためのリバースエンジニアリング周りの問題なので、現在、執筆するとしたら、3は、全面的にカットされることになります。

本論文のポイントは、2になるので、詳しくみていきましょう。
2は、まず、脆弱性というのが、技術的な用語として定義されていることについて触れています。
この点については、現時点では、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」 (平成29年経済産業省告示 第19号)の「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所(ウェブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者がアクセスできる状態を含む。)をいう」をいうということになります。

この技術的な用語が、法的には、どのような意味を有するのか、ということが問題になります。法的な意味を考える場合には、「原因」「時間」「程度」の観点から、いろいろな法的な位置づけになるという広範な概念ということになります。

このことを明らかにしたのが、図になります。

これは、技術的な観点から、「脆弱性」という用語が用いられているとしても、法的には、その「問題箇所」が、問題が生じる原因が何か、いつから、生じているのか、また、要求機能を果たしているのか、ということから、法的には、位置づけが異なってくるのではないか、ということを示しています。

ここで、「原因」といっているのは、脆弱性が、攻撃者の攻撃という要因を契機とするということを示しています。攻撃者が、労力をかけて、やっと、攻撃できるような脆弱性は、きわめて簡単かつ一般的な攻撃によって生じる問題とは異なって考えられる、ということになります。

「時間」といっているのは、パッケージで提供されている期間内において、攻撃手法の「発見」等により新たに「脆弱性」が、時間の経過等によって発生することがあるということ意味しています。

「程度」というものについては、そのソフトウエアの経済的目的を果たすことがなおも可能な脆弱性と、その程度・態様によりもはや経済的目的を果たすことが困難である脆弱性が存在するということであり、このような程度によって法的な効果が異なりうるのではないか、ということです。

このように考えていくと、「脆弱性」のうち、「提供時において」「社会通念上、既に行われているもしくは、想定されてしかるべきである攻撃」に対しての対応が十分でなく、「ネットワーク接続時において安心して使用できない状態」(そのソフトウエアの経済的な目的が果たせない)になっている場合に限って、そのような脆弱性は、法的に責任を負わせるべき「瑕疵」があるというべきであろうと考えています、というのが、論文の要旨ということになります。

でもって、前の論文は、ここで、パッケージソフトの問題なので民法570条の解釈、特に「履行として」認容した場合の解釈を活用しながら、脆弱性の修補請求権について論じていたわけです。が、法定責任説から契約責任説への転換にともなって、条文も変更されていくわけです。562条、563条になります。(追加・そもそも、パッケージソフトにおいて、売買の規定の適用なのか、類推適用なのか、という問題もありますが、それは、さておきます)

改正後の条文は、こちらです。

(買主の追完請求権) 第562条

引き渡された目的物が種類、品質又は数量に関 して契約の内容に適合しないものであるときは、買主は、売主 に対し、目的物の修補、代替物の引渡し又は不足分の引渡しに よる履行の追完を請求することができる。ただし、売主は、買 主に不相当な負担を課するものでないときは、買主が請求した 方法と異なる方法による履行の追完をする ことができる。

2 前項の不適合が買主の責めに帰すべき事由によるものである ときは、買主は、同項の規定による履行の追完の請求をするこ とができない。

(買主の代金減額請求権) 第563条

前条第一項本文に規定する場合において、買主 が相当の期間を定めて履行の追完の催告をし、その期間内に履行の追完がないときは、買主は、その不適合の程度に応じて代 金の減額を請求することができる。

2 前項の規定にかかわらず、次に掲げる場合には、買主は、同 項の催告をすることなく、直ちに代金の減額を請求することが できる。

一 履行の追完が不能であるとき。

略)

3 第一項の不適合が買主の責めに帰すべき事由によるものであ るときは、買主は、前二項の規定による代金の減額の請求をす ることができない。

というところでしょうか。564条は、買主の損害賠償および解除権の行使の規定です。

パッケージであれば、脆弱性が、あっても、サイトで、パッチがでていれば、それでもって、売買としても、問題がないよ、ということになるかと思います。では、売り出した時は、OKだったけど、そのあとは、脆弱性が見つかった、ただ、パッチ開発まではしないけど、注意して使ってね、という場合は、どうか、という問題があります。これは、おすすめできるソフトウエアではないですし、市場から、消費者が購入しないということで、消えるべきもののような気がしますが、法的な解釈としては「品質又は数量に関 して契約の内容に適合しないもの」という解釈問題になるのかは、その脆弱性の「程度」の問題なのだろうと思っています。

 

 

 

 

 

 

自動運転車に不正アクセス防止義務

「自動運転車に不正アクセス防止義務 国交省が検討 」という記事がでています。

自動運転自動車の法律問題を検討するのに際して、普通の人たちは、自動運転で事故が起きたら責任問題はどうなるのですか、とか、議論して、これが解決しないと自動運転の法律問題の議論にはなりません、みたいな感じで議論していました。

そのときに、私は、それよりも、自動運転システムとしてとらえた上で、むしろ、保安基準で、つながる自動車のリスクに対応した基準を作成する方が優先ですよという話をしていました。

具体的な論文としては、「自動車システムの法律問題 : 自動運転を中心に」(情報ネットワーク・ローレビュー = Information network law review 14, 101-116, 2016-06

商事法務)がありますし、また、情報処理推進機構の「情報システム等の脆弱性情報の取扱いに関する研究会- 2016 年度 報告書 -」では、報告書で、その検討の結果が上がっています

一つのポイントとしては、IoTの法律問題について、他の分野で考えられているアプローチが参考なるのではないか、と考えられます。

問題点は、

(1)自動車概念の外縁

(2)脆弱性と保安基準の関係

が、きちんと議論されるべきではないかと考えられます。

(自動車システムに関して、脆弱性が存在する場合に、どのような取り扱いがなされるか、という点について検討した場合には、具体的には、①自動車とその余のシステムとの関係、②自動車の構成要素に脆弱性のある場合の考え方、③その余のシステムを構成するプログラムに脆弱性のある場合にわけて考察することが必要である、ということになります)

脆弱性と債務不履行(東京地裁 平30.10.26)

伊藤雅浩弁護士のブログで、東京地判 平30.10.26(平29ワ40110)が紹介されています。

事案の概要からは、

原告が,本件システムにSQLインジェクションという脆弱性があったのは,その制作を担当した被告の被用者の故意過失によるものであるから,使用者である被告には使用者責任があると主張して,民法715条1項所定の損害賠償請求権に基づき,緊急対策費用47万5200円,詳細な調査,抜本的な修正費用640万円,サーバー移転費用35万6400円,セキュリティ対策のための本件システム停止期間の売上減200万円の合計923万1600円の損害賠償金の支払を求め

たことが、記載されています。

事案については、伊藤弁護士のブログのとおりですし、なんら付け加えることはないかと思います。

ここで、債務不履行の構成にならなかったというのについて、興味深く感じています。

脆弱性については、いろいろなものが、あって、「欠陥」と呼ばれるものでもないし、また、それ自体が、債務不履行になるものでもないと考えています。この点については、私の「脆弱性と瑕疵の間に」という論文(CiNiiだとこちら)で論じました。

要旨としては、

法律的に「機能の実現性」「攻撃の予見性」「提供時における原因の存否」という観点から分析することによって、法的な責任を追及しうるものと追及しえないものとが存在していることがわかる。また、法的な責任については、民法570条における法定責任説的な構成が妥当なものとおもわれる。

という分析をしています。

SQLインジェクションについては、この事案でいうと、契約締結時にすでに原因が存在しており、その時点において具体的な攻撃の予見性があるわけでしょうから、結論については、妥当なもの、という判断になるかと考えています。

 

フランス警察のボットネット乗取り作戦

「フランス警察がボットネットを乗っ取り、85万台のPCからマルウェアを削除」という記事がでています

もともとのZDNETの記事は、こちらになります

問題となるマルウエアが、Retadupというものであること、それが仮装通貨の採掘に関するものとかは、記事を参照ください。

でもって、この法的な問題を考えたいなあと思います。

ZDNETの記事によるとAvastの研究者は、C&Cサーバのデザイン上の欠陥をみつけ、マルウエアを自分を消去するように仕向けることができることを発見したそうです。そして、そのサーバがフランスにあったので、フランス当局と交渉し、そのサーバを押収したそうです。その上で、その悪意あるサーバをマルウエアを消去するように設定したサーバと入れ換えたということです。

これを行うあたって、法的にどのような手法がとられたのか、というのが気になります。Avastの報告書によると、「Retadupに関する脅威インテリジェンスをフランス憲兵隊のCybercrime Fighting Center(C3N)と共有し、Retadupの犠牲者を駆除する手法を提案しました。 推奨事項に従って、C3Nは悪意のあるコマンド&コントロール(C&C)サーバーを解体し、駆除サーバーに置き換えました。 駆除サーバーは、ボットの着信要求に特定の応答で応答し、接続されたマルウェアが自己破壊しました。 この記事の公開時点で、このコラボレーションはRetadupの850,000を超える固有の感染を中和しました。」という表現があります。そして、「2019年7月、憲兵隊は検察官から青信号を受け取り、サーバの解毒を法的に進めることができました。」とされています。

ドイツにおいて、地域警察が、捜索命令や没収命令を取得できること、警察がテイクダウンをすることができること、については、私のブロクで触れています。

フランスで、このような没収命令を取得したか、どうか、という問題があります。

この作戦の詳細についてのインタビューは、これですね

FBIとも協力しており、米国のサイトへの通信をブロックするために、判決を取得したということも記載されています。

ですが、この判決は、今のところ見つかっていないので、どのような法的な根拠をもとにこの作戦が実行できたかは、わかりませんでした。予算か、時間があれば、フランスの関係者にLinkedInあたりで聞いてみましょう。

うーん、残念。

後、テイクダウンか、テイクオーバーか、という表現の問題があります。法執行機関等によって没収されて、使えなくなった段階で、テイクダウン、その一方で、代替のサーバに入れ換えたのでテイクオーバーという用語かと思います。記事だと、中立化、解体(dismantle)という表現も見受けましたね。

 

 

 

クマムシの月への持ち込みと法的問題

イスラエルの宇宙探索ミッションの無人月面探査機ベレシートが月面着陸を試みて、月に衝突したが、乗せられていたクマムシ(tardigrades)が、月で生息している可能性がある、ということについての記事がでています。 勝手にベレシート事件ということにします。

民間宇宙団体(スペースIL)のミッションが、月面着陸に失敗した際(4月11日)に、クマムシが月で生息している可能性があるということだそうです。

そして、このような生物の他の衛星への持ち込みに法的な問題はないのか、とうことについての記事がでています

また、英語の記事ですと、「The curious case of the transgressing tardigrades   (part 1)」も参考になります。

まずは、基本的な知識になります。宇宙条約9条は、

条約の当事国は、月その他の天体を含む宇宙空間の探査及び利用において、協力及び相互援助の原則に従うものとし、かつ、条約の他のすべての当事国の対応する利益に妥当な考慮を払って、月その他の天体を含む宇宙空間におけるすべての活動を行うものとする。条約の当事国は、月その他の天体を含む宇宙空間の有害な汚染、及び地球外物質の導入から生ずる地球環境の悪化を避けるように月その他の天体を含む宇宙空間の研究及び探査を実施、かつ、必要な場合には、このための適当な措置を執るものとする。(略)

と定めています。

「宇宙ビジネスのための宇宙法入門」によると「地球から意識的または不注意で持ち出す生命体による宇宙空間の汚染への対処は、宇宙の探査利用の黎明期から宇宙機関や国際科学界の重大な関心事であった」ということです(62頁)。

1956年には、国際宇宙航行連盟(International Astronautical Federation (IAF))は、ローマでの会議で、国際協調が重要であるという声明を出しています。

1958年に国際科学連合評議会(ICSU)により、地球外探査による特別委員会(CETEX)が設立されました。委員会が提案した基準は、1958年10月にICSUにより採択されました。 ICSUは、国際的な委員会である宇宙空間研究委員会(COSPAR)に移管されることが推奨され、ICSU小委員会によって発行されたレポートは、惑星保護のための最初の行動規範を説明し、新たに設立された宇宙空間研究委員会(COSPAR)が惑星保護の問題についての責任を負うることを推奨しました。

それ以来、COSPARは「惑星検疫」および後に「惑星保護」という用語でこのような問題を議論するための国際フォーラムを提供し、惑星間生物および生物から保護するための国際標準として関連する実装要件を伴うCOSPAR惑星保護ポリシーを策定しました1967年以降、その地域での国連宇宙条約第IX条の遵守のガイドとして使用されています。
現在の惑星保護ポリシーは、こちらになります。月へのミッションは、カテゴリー2になって、報告の公開が必要とされます。

でもって、今一つ検討しておくべき規定は、月の環境保護の規定です。月協定がそれに該当します。日本語はこちらです。

第七条
1 締約国は、月の探査及び利用を行う上で、月の環境の悪化をもたらすことによる又は環境外物質の持ち込みによる月の有害な汚染による又はその他の方法によるを問わず月の環境の既存の均衡の破壊を防止する措置をとるものとする。締約国はまた、地球外物質の持ち込みその他の方法による地球の環境への有害な影響を防止する措置をとるものとする。

(略)

基本的な枠組みを把握したところで、このクマムシ事件へのあてはめです。

まずは、このクマムシは、このミッションの担当だった、アーチ・ミッション財団の担当者(Nova Spivak)が、スペースIL社さえへもいわなかった、いわば、密航だったということです。

米国は打ち上げ国であり、ミッションを承認した国家でした。 ミッションはアメリカの会社であるSpaceXロケットで打ち上げられ、FAAは打ち上げをレビューしました。 ロケットの打ち上げ、ならびに飛行中および軌道上の活動については、米国が規制当局でした。

打ち上げのための米国政府のペイロードは二次ペイロードであり、S5という名前のGEOに向かう宇宙状況認識(SSA)宇宙船でした。

現在まで、それは国連に登録されていません。 この立ち上げへのこのような関与とパートナーシップは、米国の土壌から、米国の規制当局の承認を得て、このミッションが米国の国家活動であり、米国の国際的な責任であることを示しています。ベレシートミッションの国際的な責任は米国にあり、これらの活動は米国の国家責任のおよぶ活動です。

では、他の国は、どうでしょうか。
まず、一時的なペイロードは、インドネシアテレコムの衛星でした。ベレシートについていえば、イスラエルの会社であり、イスラエル・エアロスペース産業が建造し、イスラエルの非営利組織(スペースIL)が、運営者でした。その結果、アメリカの国家活動であると同時に、イスラエルの国家活動でもあると考えられています。

この結果、米国とイスラエルが国家として、このクマムシ事件についての責任を負うことになります。

すなわち、

米国およびイスラエルは、宇宙条約9条の有害な汚染の禁止の不遵守や、 他の国家の対応する利益に適切な配慮をなすべき義務の不遵守にたいして国際的に対応しうるものとなる

ということになります。

NotPetyaによる損害と保険の適用

モンデリーズが、NotPetyaによる損害にたいして10億ドルの請求を保険会社にたいして請求したのにたいして保険会社が、支払いを拒絶しているという趣旨の記事がでています。

日本語(ScanNetSecurity)は、こちら

The Registerは、こちら

もともとの保険の条項では、「機械的コードまたは命令の悪意のある導入による損失または損傷を含む、電子データ、プログラム、またはソフトウェアの物理的な損失または損傷」のみならず「物理的な損失または損傷のすべてのリスク」が、カバーされるものとなっていました。

NotPetyaの攻撃で、モンデリーズは、1700のサーバと、24000のノートPCを失ったということです。

NotPetyaについては、このブログでもたびたびでていますが、ロシアに責任帰属がなされているサイバー作戦ということができます。

でもって、チューリッヒ保険会社は、「政府または主権」による「平和時または戦時の敵対的または戦争的行動(hostile or warlike action)」によるものであるとして、免責を主張したということです。

戦時における武力攻撃は、Hostilitiesという名のもとに議論されていて、conduct of hostilitiesというと、武力攻撃行為と同義のように思えるのですが、はたして、この裁判のなかで、どのように評価されるのか、というのは、興味深いものということができるでしょう。