北朝鮮のサイバー攻撃、国連安保理も対象に 専門家パネル報告書

「北朝鮮のサイバー攻撃、国連安保理も対象に 専門家パネル報告書」という記事がでています(8月4日 日経新聞)。

https://www.nikkei.com/article/DGXMZO62283360U0A800C2FF8000/

AP通信の記事をもとにしたNY Timesの記事は、こちら

内容的には、最終の報告書が明らかにされるが、

そこでは、サイバー攻撃を安保理の理事国や専門家パネルにも向けている実態がわかった。

というものです。

この専門家パネル報告書というのは、国連安保理の決議1874(2009)によってに設けられた専門家パネルになります。決議の和訳は、こちらです。

制裁委員会自体は、決議0718(2006)によるものです。

専門家委員会は、いままでに、北朝鮮の国連安保理決議違反についての報告をなしています

このテーマに関連する議論の経過についてのノートは、すでに公表されています

CCD CoEの分析のノートは、こちらです

ノートのサイバーの部分を訳出すると

パネルによると、北朝鮮は、安保理加盟国の国連代表(S/2020/151、パラグラフ115~116)、制裁委員会、専門家パネル(同上、パラグラフ117~118)など、サイバー手段を用いてさまざまな主体や個人を標的にしている。インドの宇宙研究機関とクダンクラム原子力発電所(同書、パラグラフ119)、韓国の大宇造船海洋工学有限公司(同書、パラグラフ119 Ltd. S/2018/171, para.121)では特に、これらに対するサイバー攻撃は武器禁輸に関する制裁違反の可能性があるとの見方を示した。

北朝鮮はまた、世界中の銀行や暗号通貨取引所を標的とし、暗号通貨のマイニング(S/2019/691、パラ66)や暗号ジャッキング(S/2019/691、パラ67)を行っている。最もよく知られている事例は、2016年のバングラデシュ銀行のサイバー強盗事件であり、その間に8100万ドルの送金に成功した(S/2019/171、パラ.112)、2017年のWannaCryランサムウェア攻撃であり、150カ国の20万台以上のコンピュータに影響を与え、北朝鮮に広く帰属するとされた(S/2019/171、p.49、n.106、パラ.114、S/2019/691、パラ.64~65)。パネルが調査中の事例の包括的なリストは、S/2019/691の附属書21に掲載されている。パネルは、サイバー攻撃によってもたらされた収入の総額を約20億ドルと推定し(S/2019/691、パラグラフ57)、このような収入が北朝鮮の大量破壊兵器(WMD)計画の資金源となっていることを指摘している。同書は、「安全保障理事会は、今後の追加制裁措置の草案を作成する際には、北朝鮮のサイバー手段による制裁回避に明確に対処することを検討する」よう勧告している(S/2020/151, para.184)。そのための追加制裁措置には、「電信、無線、その他の通信手段の完全または部分的な中断」(国連憲章第41条)が含まれる可能性がある。

となっています。

報告書の性質からいって、制裁の実際の適用と、それに対する制裁逃れの実態についての報告書になるかと考えられて、サイバーの部分は、その一部になりそうですが、北朝鮮の実態は、ニュースバリューがあると考えられるのかと思います。

最終報告書においては、上述の部分についてのサイバー攻撃の事実が認定されて、それらが北朝鮮の制裁逃れという認定がなされることになるものと考えられます。

ちなみ米国のアラートは、こちらです。

 

EU、初のサイバー攻撃に対する制裁を決定

「EU、初のサイバー攻撃に対する制裁を決定」という記事が、駐日欧州連合代表部から出ています。

原文のニュースリリースは、こちらになります

これのもとになっているドキメュントは、

  • 欧州連合(EU)またはその加盟国を脅かすサイバー攻撃に対する制限的措置に関する理事会決定(2020年7月30日)
  • 連邦またはその加盟国を脅かすサイバー攻撃に対する制限的措置に関する理事会実施規則(2020年7月30日)
  • EU代表ジョゼップ・ボレル上級代表の宣言:サイバー空間における国際的な安全保障と安定を促進するための欧州連合(EU)の対応(2020年7月30日)

になります。

「欧州連合(EU)またはその加盟国を脅かすサイバー攻撃に対する制限的措置に関する理事会決定(2020年7月30日)」は、(1)2019年5月17日、理事会は決定書(CFSP)2019/797(1)を採択したこと、(2)欧州は、ツールボックスで定められている制限的措置を適用しうること、(3)2018年4月16日「WannaCry」や「NotPetya」を含む、情報通信技術の悪意ある利用を断固として非難する結論書を採択したこと、を前提として

決定書(CFSP)2019/797の付属文書に定められた制限的措置の対象となる自然人・法人・団体のリストに、6名の自然人と3名の事業体・団体を含めるべきである。これらの個人・法人・団体は、OPCWに対するサイバー攻撃未遂事件や「WannaCry」「NotPetya」として公に知られているサイバー攻撃、「クラウドホッパー作戦」を含むサイバー攻撃またはサイバー攻撃未遂事件に責任を負い、支援を提供し、または関与し、またはサイバー攻撃未遂事件を助長した者である。

として、GAO Qiang、ZHANG Shilong、Alexey Valeryevich MININ、Aleksei Sergeyvich MORENETS、Evgenii Mikhaylovich SEREBRIAKOVの6名、そして、Tianjin Huaying Haitai Science and Technology Development Co. Ltd (Huaying Haitai)、Chosun Expo、Main Centre for Special Technologies (GTsST) of the Main Directorate of the General Staff of the Armed Forces of the Russian Federation (GU/GRU)が、Annexで特定されています。

連邦またはその加盟国を脅かすサイバー攻撃に対する制限的措置に関する理事会実施規則(2020年7月30日)も、上と同様です。

EU代表ジョゼップ・ボレル上級代表の宣言:サイバー空間における国際的な安全保障と安定を促進するための欧州連合(EU)の対応(2020年7月30日)は、こちらです。内容的には、これらの決定の文脈的な説明ということになります。

法的な見地からは、EUのサイバー外交ツールボックスに基づいた対応ということになります。

外交ツールボックスについては、2019年のCYCONのLiisのプレセンの記事で触れています。

ただし、きちんと翻訳していなかったので、訳します。

ツールボックスの4項以降。

4. EUは、このような悪意のあるサイバー活動に対するEUの共同外交的対応がもたらす可能性の高い結果を明確に示すことが、サイバー空間における潜在的な攻撃者の行動に影響を与え、それによってEUとその加盟国の安全保障を強化することになると強調する。EUは、国家または非国家の行為者への帰属は、すべてのインテリジェンスに基づく主権による政治的決定であり、国家責任に関する国際法に従って確立されるべきであることを想起する。この点について、EUは、悪意のあるサイバー活動に対するEUの共同外交的対応の措置のすべてが、国家や非国家の行為者への帰属を必要とするわけではないことを強調している。

5. EUは、共通外交・安全保障政策の中の措置が、もし、必要である場合には、条約の関連規定の下で採用された制限的措置が悪意のあるサイバー活動に対するEUの共同外交的対応のための枠組みのもとで適切であり、そして、協調を奨励し、緊急および長期的な脅威の緩和を促進し、潜在的な侵略者の行動に対して影響を及ぼすべきであることを確認する。EUは
悪意のあるサイバー活動に対するEUの共同外交対応の枠組みを皿発展させるために努力しており、それは、以下の原則に導かれている。
– EU、その加盟国及びその市民の完全性と安全を守るために奉仕する。
– 関係国とのEU対外関係のより広い文脈を考慮に入れる。
– 欧州連合条約(TEU)とその達成のために提供されたそれぞれの手続きに定められた CFSP の目的を達成するために提供する。
– 加盟国間で合意された共有された状況認識に基づき手元の具体的な状況のニーズに合わせて対応する。
– サイバー活動の影響範囲、規模、期間、強度、複雑さ、狡猾さ、および影響に応じたものであること。
– 適用される国際法を尊重し、基本的権利と自由を侵害してはならない。

とされています。

GCSCスタビリティ報告書 分析8

8つの規範について個別に検討をしてきました。

そのあとで、報告書は、規範の採用、実装、責任(Accountability)、利害コミュニティ、といった項目について、検討します。

法といった場合には、一般には、その法規範の内容を意味することが多いですが、むしろ、規範については、それが、正当であるという確信に支えられて、行動を一定のものと規制するものと動的に捕らえていて、そのことが、規範のないようのみならず、それを支える社会、文化、組織、能力構築、信頼醸成にフォーカスしているということがいえるかと思います。

このなかで、法律家として興味深いのは、責任(Accountability)の記述なので、そこを見ていきます。

規範が採用され、実施されると、規範に違反する者に対する説明責任がなければなりません。これにより、属性(attribution)と応答(response)の複雑な問題が発生します。これらは、サイバー攻撃への対処において困難であることが判明しているものです

報告書では、証拠の取得の話がなされています。技術的なものであるとともに、それ以外の手法による証拠も活用されるのは、いうまでもないことでしょう。

個人的には、責任帰属の決定の際には、それが、法的な文脈なのか、政治的な文脈なのかを明らかにしないと意味がないと考えています。

私のブログの立場は、Codeblueでも来日したVihuul先生の立場なので、そのところを参照してください。ところで報告書では、

非国家主体によるサイバー攻撃に対する説明責任は比較的単純であり、主に関係国の国内法の下で民事責任または刑事責任を課すことによって達成されます。

とされていますが、非国家主体のサイバー作戦を、国際法の次元でみたときに、何が論点になるのかというのは、結構、問題ではないか、と考えています。そのような作戦を、直接に停止することはできないのか、それは、誰が、どのように行うのか、それは、国際法的に、正当化されるのか、インターネット媒介者が、何らかの重要な役割をしている、もしくはすべきではないのか、という問題提起がなされてしかるべきかと思います。

私のスタンスからいえば、この上の記述は、パラレルワールドから、現実社会にエイリアンがきているのに、そのエイリアンは、パラレルワールドの秩序維持の責任でしょ、といっているように思えます。国内法の観点からみたときに、被害者や被害国の法執行機関からの強制力行使による制裁・抑止の問題も、この観点で考えるべきだろうと思います。

 

 

 

フランス国防省のサイバースペースにおける作戦への国際法適用への見解(1.2 自衛権の行使および1.3 責任帰属決定)

1.2 重大な影響度・深刻度の被害を惹起するサイバー作戦は、武力侵害を構成し、自衛権の行使を惹起する

です。

この部分は、フランス政府は、(アメリカ政府と違って-書いていないけど)国際司法裁判所のもっとも深刻な武力行使の形態とそれ以外を区別し、もっとも深刻なもののみが、個別的・集団的自衛権の行使によって対抗しうる武力侵略を構成しうる立場であるということを前提にするからスタートします。

1.2.1 サイバー攻撃は、武力侵略となりうる

フランスは、サイバー攻撃が、国連憲章51条の武力攻撃となりうることを確認しています。影響と規模の観点から分析され、ケース・バイ・ケースのアプローチで判断されます。

具体的な例としては、重要インフラに対する重大な妨害、国家の活動のマヒ、技術的/環境的破壊を引き起こして、多数の被害者をおこすことなどがあげられています。

武力攻撃となりうるためには、国家に帰属しうることが必要であるとされます。非国家主体のなす行為については、ISISのような(准国家的)場合をのぞいては、自衛権の対象とはしません。

1.2.2 デジタル軍侵略に対する自衛権の行使

国連憲章51条のもと、武力侵略は、個別的・集団的自衛権の行使を正当化します。大統領の決定のもとに、国防省が、サイバー作戦に従事しうることになります。サイバー攻撃は、それ自体としては、武力侵害に到達しませんが、効果が積み重なり、また、フィジカルな分野でなされることによって侵略を構成します。

また、例外的な場合には、プリ・エンプティブ (préemptive)な自衛権に訴えることも可能です。

攻撃的なサイバーを民間会社やハッカーグループに依拠している国家は、それらの行為にたいして責任を負い、フランスは、パリ宣言によって、それらの非国家組織の監視と禁止を支持します。

自衛権の行使は、暫定的で、従たるものです。国連憲章の手続きに従うし、また、国連の安全保障委員会が、他の手段を選びうるものです。

1.2.3 求められるデューデリジェンスに対応しない場合

デューデリジェンスの法理についての解説がなされて、非国家主体のなす行為を防止するための合理的な手段を怠った場合、その国家は、武力行使禁止原則に反する例外とはされないとされています。(タリンマニュアルには、反対)

1.3 サイバー攻撃の発生国の責任帰属判断(アトリビューション)は、国家による政治的判断

サイバー攻撃がそれ自体、追跡し、コントロールするのが困難です。フランスでは、サイバー攻撃が探知されると、その効果を中立化させる作戦を実装します。攻撃者の特定は、攻撃における技術的証拠を主たるもの(限定する趣旨ではなく、そのほかにも含まれますが)として決定されます。具体的には、サイバー作戦で利用されたインフラの決定、その場所、敵作線モードの識別、侵入者の一般的な時系列敵行動、事件の深刻度、侵入された部門、攻撃者の求めた効果などです。

特定の国家に責任が帰属することを決定することは、主権の権能の一つとされますが、それを公にする必要はありません。また、国際法は、証拠を明らかにする義務を認めるものではありません。

フランス国防省のサイバースペースにおける作戦への国際法適用への見解(1.1 対抗する権利)

フランス国防省から「サイバースペースにおける作戦への国際法適用への見解(DROIT INTERNATIONAL APPLIQUÉ AUX OPÉRATIONS DANS LE CYBERESPACE)」が公表されています

この内容については Przemysław Roguski 先生の一連のツイートが注目すべき点をピックアップしています。

この見解の目次は、

1 平和時におけるサイバー作戦

1.1 フランスは、被害国たりうる国際法違反のサイバー作戦にたいして対抗する権利を保有(La France se réserve le droit de répondre )する

1.2 重大な影響度・深刻度の被害を惹起するサイバー作戦は、武力侵害を構成し、自衛権の行使を惹起する

1.3 発生源のサイバー作戦の帰属は、国家的政治的決断である

2 武力紛争におけるサイバー作戦についての国際法の適用

2.1 武力紛争の存在を形作るサイバー作戦

2.2 国際人権法は、武力紛争の文脈においてなされるすべてのサイバー作戦にたいして適用される

2.3 中立法は、サイバースペースに適用される

となっています。

1についてみていくと、

1.1 フランスは、被害国たりうる国際法違反のサイバー作戦にたいして反撃する権利を保有(La France se réserve le droit de répondre )する

は、

国際法のもとでは、サイバー作戦は、それ自体違法ではないが、国際法の違反を引き起こすときには、違法になる

とまとめられています。

これに引き続いて

1.1.1 主権侵害となりうるサイバー攻撃

では、領域内におけるシステムに対する主権を行使し、デューデリジェンスにもとづいて国際違法行為に利用されないようにすることが謳われています。

また、有効なコントロールのもとで、フランスの国内、外交事項に対して、デジタルなベンタを用いて政治的・経済的・社会的・文化的システムを危うくする者は、国内不干渉原則違反になるとしています。

国のデジタルシステムに侵入し、戦争/経済的可能性、国家の存続の安全保障または能力にに影響をあたえ/フランスの国内、外交事項に対して影響をあたえるサイバー攻撃は、その影響の中立化をも含むコンピュータ防御的戦闘を導くとされています。

国際法的に許容される方法のなかで、ケース・バイ・ケースで裁量のもとに対応するとされています。

1.1.2. 武力(force)脅威または行使の禁止に反しうるサイバー作戦

フランスは、物理的損害が伴った場合において武力の行使の閾値に該当しうることを認めているという宣言であり、また、物理的損害がなかったとしても、作戦の発生源、軍事的正確、侵入の程度、影響、標的の種類などから、武力の行使の閾値に該当しうることを認めています。

もっとも、それが直ちに国連憲章51情の武力攻撃(armed attack)に該当するものではないともしています。

1.1.3 国際法の準備する回答

フランスは、攻撃に対して、防止、予期、防衛、探知、対応する種々の手法をとるとされています。サイバー攻撃に対して、国内、国際的なパートナーとともに、予期、探知、対応するためにサイバー防衛作戦を行うとされています。

そのあと、被外国として国際法に基づいた対抗措置を採用する旨が説かれれますが、集団的対抗措置の概念は、否定されています。すなわち、サイバー的手法であれ、なかろうと、深刻さを考慮に入れて被害に比例するものである必要があります。

さらにフランスは、遭難(de détresse )や緊急避難( de nécessité )の理論を適用することもありうる、とされています。

 

 

 

 

 

国際法上の対抗措置の概念

「日本政府、「徴用工」打開へ対抗措置=韓国反発、応酬発展も」という記事がでています。

ここで、「対抗措置」という用語がでていますので、国際法上の「対抗措置」という概念についてまとめてみます。

対抗措置とは、被害を被っている国家が違法な行為の中止を求め、あるいは救済を確保するために、武力行使にいたらない範囲で相手国に対してとりうる措置をいう、と定義されています。

国連の国際法委員会のまとめた国家責任条文は、

22条 国際的違法行為に対する対抗措置
第3部第2章に従い、他国に対してとられる対抗措置を構成し、且つ、その限りにおいて、他国に対する国際義務に違反する国家行為の違法性は阻却される。

となっています。そして、この対抗措置の要件については、
問題における義務の履行回復を可能にするための方法としてとられること、責任ある国家に対して、国際義務が存在している間の不履行に対してなされること、(同条文 49条)
また、均衡性(同 51条)、義務履行の要請(52条)
があります。

これは、その行為をなしている行為が、国際間の国家の義務に違反していることを前提にしたことであり、違法性阻却事由といわれるのは、そういうことです。

翻って考えると、「韓国向け半導体材料の輸出管理を強化する」ことが、国際法的に違反なのでしょうか。それ自体、違法性を指摘されるべき国際法上の義務違反はないように思います。その意味で、

「西村康稔官房副長官は1日の記者会見で「対抗措置ではない」と述べ」た

のは、法的にも、正しい表現かと思います。

ただし、法的には、行為自体が違法ではない報復(retorsion)という概念が存在します。無礼、不親切あるいは不公平かつ不平等な行為に対する、同様または類似の行為による返礼と定義されます。

もっとも、この概念は、相手国の行為が国際的違法行為でない場合ということになります。日本企業に元徴用工らへの賠償を命じた韓国最高裁判決をめぐって解決策を示さない韓国政府というのは、国同士の約束を守らないので、国際的違法行為になるのではないか、という感じがしますので、retorsion そのものということもないようです。

Cycon 2019 traval memo day2 (4)

Day2 最後は、The Emerging Understanding of International Law in Cyberspaceというセッションです。10年以上前から、サイバーに関する調査で知っているStefanoさんの登場です。あと、Heliさんも日本に来たときに、いろいろとお話をしました。

最初は、Heli Tiirmaa-Klaarさんは、現在は、エストニアの外務省の Ambassador at Large for Cyber Securityです。日本でお会いしたとき(2015)は、EUサイバー政策調整課長でした。そのあと、ボストンでもお会いしました(2016)。狭い世界とは、このことです。

サイバーセキュリティ枠組みについてのお話です。世界の安定性について国連の政府専門家会合(UN GGE)の2014、2015の報告書の成功裏に終わったこと(この関係の私のブログは、これ)、サイバースペースにおける主権の話、国連憲章が、サイバーにも適用されることが、2014年で確認されたことなどがなされました。

また、能力構築が議論されており、EU外交ツールボックスが紹介されました。

Mr. Nikolas Ottさんは、OSCEのProject Manager です。タイトルは、「国際的なサイバー外交における地域組織の役割」です。彼の論文は、マリアさんと共著なのですが、論文集の321頁以下です。

論文集では、最初にUN GGEの現状が紹介されています。(講演では、この部分はなかったような気がします)

法と政策については、4つの柱(GGEによる)があり、その柱とは、(1)規範・ルール・原則 (2)信頼醸成措置 (3)国際的協力 (4)国際法の適用です(2015年の報告)。

この観点からすると、地域組織の役割とは、(法と政策の)インキュベーターであるとともに、実装者であるということなります。すなわち、国際法の適用を確かにして、情報を共有して、ひいては国家間の関係を安定化する役割になります。

実装については、相互の支援がなされており、また国際的なものと地域的なものとの協力がなされています。
実際のワークプランや地域でのロードマップが構築されており、実際にOSCE、ASEAN、OAS、EUなどが行動しています。そして、2018年のUN GGEのプロセスによると、国連軍縮部(UNODA)との協力が提案されていたというのが注目されるべきとされています。

Dr. Stefano Meleは、Carnelutti Law Firmのパートナーで、2017のCodeblueでも講演してくれました。2007の調査から、いろいろと助けてもらっています。

講演の内容は

G7の役割に触れたあと、

二国間における関係の利点について、外交関係にはいる国を選択することが可能なこと、それぞれの義務を設定するのが容易であり、秘密にもしやすいこと、より詳細なさだめをなし、また、変更も容易であること、などがあげられます。

国際的な関係や地域の関係については、国際法や欧州法の原則に基づいて抑止戦略を構築することがなされており、特に、欧州の制限措置についての決定が紹介されました。

また、2016年には、サイバー活動についてのG7原則が明らかにされています。この原則は、人権、プライバシー、データ保護についての保護を意図した原則を再確認し、テロリズムやサイバー犯罪についての闘いのための情報共有と協力を確認しています。また、サイバー攻撃が、武力の行使(use of force) 、武力攻撃(armed attack)となりえ、自衛権の行使を正当化しうるものとなりうることを明確に確認しています。

2019年には、ディナール宣言がなされています。これは、私のブログで、速報しているので、そこで

2018年には、サイバースペースのトラストとセキュリティのためのパリ・コールがありました。全文は、こちらというのは、day2 (1)でも紹介しました。

内容としての注目点は、(1)市民・重要インフラ・サプライチェーン・投票システムを守るために、ベストプラクティスと教訓を共有すること (2)信頼醸成措置を促進し・実行すること(3)非国家行為者・民間企業によるハックバックの禁止があります。

ということで、昼間のセッションは、終了。

夕方からは、ビーチスタイルで来てくださいといわれているディナーパーティです。(でも、街中は、15度Cくらいなんですが)

でもって、場所は、テラスビーチという室内ビーチ(?)。

確かに、一歩中に入ると、中は、温かくて、半袖スタイルでした。

 

 

 

 

Cycon 2019 travel memo day2 (3)

昼食のあとは、Global silence or global battle?のセッションです。ちょっと、アジアっぽいお話が入るところが特徴というところでしょうか。

1st Lt Ji Young Kongさんは、「 万能の剣/北朝鮮のサイバー作戦および戦略」韓国の観点からの話です。(論文集では、144頁)

 

北朝鮮が、従来から、サイバー能力に重点をおいていたこと、50から60のエリート兵士をコンピュータサイエンスを学ぶために留学させていること、サイバーユニットは、6800名ほどとかんがえられること、RGB(偵察一般局)をベースにした組織を有していること、などが紹介されました。

サイバー攻撃が、情報・エイピオナージ/サイバーテロリズム/金融戦争の3つのステージになるということが、紹介されました。
具体的な話としては、2013年のCampaign Kimsuky、2015年のOperation Blockbuster(ソニーピクチャーズ事件など)、Wanna Cryおよひ仮想通貨窃取などの金融戦争(Financial Warfare)などがあげられています。(なお、これらの活動については、論文集の150頁以下に詳しいです)

これらに対しては、北朝鮮は、TTP(Tactics,Technique,Procedure-戦術、技術、過程)の観点から、これらの活動を行っていることが語られました。

次は、Ms. Mihoko Matsubaraさんの発表です。

APACにたいするサイバー脅威として、ハクティビズム、誤情報・選挙干渉、エスピオナージ、金融動機によるサイバー攻撃、ビジネス継続性に対する妨害、通称に対図対決があること、が紹介されました。
また、その他のリスクとして、重要インフラ、中小企業に対するリスクもあります。

具体的な紛争として、インドとパキスタンの2019年のソーシャルメディアの紛争の例、台湾対中国の関西空港の偽情報の事件(2018年)、台湾の選挙の候補者の偽写真の事件(2018年11月)-イヤーピースで助けてもらっているような写真などが紹介されました。

恥ずかしながら、関西空港の偽情報事件は、フォローしていないかったので、非常に勉強になりました。日本語の記事としては、「【台風21号】関空孤立めぐり中国で偽ニュース 「領事館が中国人を救出」 SNS引用し世論工作か」などがあります。

Mr. Kah-Kin Hoさんの発表です。

テロが、合法性、必要性、自信からおきていること、この3つが相互関係を有しており、サイクルをなしていること、抑止力・アトリビューション・ポイントになることなどがはなされ、サイバーにおいても同様であるということでした。
度々でていましたが、英国のジェレミー・ライト法務長官が、2018年5月に主権は、ルールではなく基本であるという発言をしたということがここでも取り上げられました。これは、Day3のシュミット先生のところで触れます。
英国は、同年10月には、ロシアのGRUが、国際法を破っていると批判しているということで、一貫性があるのでしょうか、ということもありますね。

Cycon 2019 travel memo day 2 (2)

休憩のあとは、「ダークウエブ-軍事作戦のためのインパクト」というセッションにでました。

CDR Dr. Robert Koch, Chief Penetration Testing Section, Bundeswehr Cyber Security Centreは、「影の中に隠れて」というタイトルです。同名の論文が、論文集に所収されています(267頁以降)。

ダークウエブでの活動がどれだけ安全なのか、まずは、クリアネット、ディープウエブ(サーチエンジンからアクセスできない情報)、ダークネット(利用されていないがルート可能なIPアドレス空間)についての用語についての説明です。

次は、インターネットにおける匿名性です。Torを紹介し、匿名化を解く、ということを話しました。この非匿名化手段については、カテゴリ1、カテゴリ2、カテゴリ3にわけて議論されています。

カテゴリ1は、技術レベルです。これは、Tor自体の脆弱性を利用するものと、ブラウザを利用するものにわけられます。カテゴリ2は、設定のミスをつくものです。カテゴリ3は、ヒューマンエラーから、個人を識別するものです。例としては、ジルクロードのドレッド・パイレーツ・ロバートの話があげられます。

また、トラフィックについての監視の結果の話がなされました。

ダークウエブマーケットとそのデータです。

いろいろいな調査による違法行為の割合が紹介されました。もっとも、実際には、評価がしにくいとされました。

データを眺めてみると、機密のデータが見つかることもある、実際に具体的なシステムに対するデータ(アクセスのための情報は販売されている、また、SCADAのデータもあることはある)は、きわめてまれである、個人情報がほとんどである、ということです。

総合的なデータマネジメントにおける推奨事項としては、ダークウエブに対しても、クリアネットやディープウエブと同様の追跡を行うこと、また、ハニートークンや戦略的にデコイを配置することもあげられる、ということでした。

Dr. Andrea Melegari, Senior Executive Vice President, Expert System Spaさんは、「AI・スタイロメトリイを利用したダークウエブのアイデンティティを暴く」というタイトルです。

スタイロメトリイというのは、「著者の個々のスタイルの特色」の研究によって、文書の著者を識別するこころみということです。単語の選択、文章の構造、シンタックス、スペル、区切り方などが、著者の「指紋」を明らかにすることができます。

この手法を用いて、ダークウエブを分析しましたというのが、この報告です。報告の結論としては、有効であること、人間の分析が一般的なツールであること、AIによってより速く・安価にできることというとです。

ただし、この報告については、どうやって元のデータの著者を決めているのか、それ自体が仮説に基づいているので、有効であると評価することはできないのではないか、というのが、聞いていた先生方の評価のようです。ちょっと残念かもです。

Mr. John Gwinnup, Cyber Threat Analyst, NATO Intelligence Fusion Centreの発表は、「軍事諜報分析についてのダークウエブとそのインパクト」というタイトルです。

問題意識としては、

1)ダークウエブというのが軍事作戦にとって脅威となっているのか

2)ダークウエブが軍事作戦を支援するための諜報・情報のソースとして利用できるか、

ということです。

軍事諜報についての説明がなされたあと、ダークウエブの説明がなされました。これらに対する研究は、よくバズワードを伴って行われています。

行為者確定して責任を帰属させるために利用可能であるのか、また、Torを暴いてしまうことができるか、という問題があります。例えば、ハンザを遮断してしまったという具体的な例もあります。

Cycon 2019 travel memo day1 (4)

room3は、「サイバー作戦の責任帰属の法とポリシ(Law and Policy of Attributing Cyber Operations) 」です。

まずは、タリン2.0のじっさいのかなりの部分を執筆したLiis先生です。いまは、自分の会社でもって、トレーニングとかを世界中で行っています。というか、日本にも呼んだらいいのにと思っていたりします。

タイトルは、「悪意あるサイバー活動の責任を帰属させる-法と政策のインタープレイ」( Attributing Malicious Cyber Activity-Interplay between Law and Politics)です。

なお、私のブログでもattributionは、何度か扱っているのですが、訳語からして、難しかったりします。とりあえずは、責任帰属としておきます。(例えば、「専門家風の用語の落とし穴「アトリビューション」」とか)

きわめて多義的な用語であって、利用者がどの文脈で使っているのか、というのを見極める必要があります。国際法では、国家責任を問いうるか、という論点で使われることが多いです。

国際法のもとでの責任帰属は、2ステップの分析によることになります。その1は、法的標準です。これは、国の組織であるか、政府の権限の要素を行使することが法によってみとめられている組織、または、非政府組織については、国の指図、指示、コントロールがある場合に認められます。2つ目のステップは、証拠の問題です。

法的な観点からみるときに責任帰属の目的としては、以下のようなものがあげられます。
(1)国際法に違反したと「辱め」をさせること(Naming and shaming)
(2) 自救行為(unilateral self-help)
(3)司法的手続の訴え
(4)賠償金の交渉(Negotiations for reparations)

この場合には、「合理的な宣明がなされること」が必要になります。というのは、その場にあれば、そのように判断することには、十分に理由がある、ということです。

これにたいして政治的な責任帰属という問題もあります。

具体的には、2016年10月に、US情報コミュニティが、ロシア政府がUSパーソン・機関からの電子メールの漏洩を指示したと確信していたこと、英国のNCSCが、Lazarusグループが、WannaCryの背後にいたことが「高度の蓋然性(highly likely)」を有していると評価したこと、2018年10月にNCSCが、ロシアの軍事情報機関のGRUが、2015年から、2017年までの多数のサイバー攻撃の背後におり、「無差別で、向こう見ず」であったと非難したこと などが、具体的な例になります。

また、米国の国家情報長官局(Office of the Director of National Intelligence)が、2018年9月に、「サイバー責任帰属のガイド」を公表しており、そこでは、

高度の自信(合理的な疑いを越えており、他の合理的な判断が存在しない)

適度な自信(明らかで説得的である、他には、事案が例外となるのみである)

低度の自信(半数以上の証拠が関与を指し示しているが、重要な情報のギャップがある)

この解説に、Cyber Threat Attributionとは何か?(2019年度版)があります。

まとめとしては、現在の枠組みは、被害者に焦点が置かれており、侵入者は、責任帰属を避けたいという仮定を前提としています。これに対して、侵入者の動機を検証することを調査して、被害者の能力および帰属の意欲を調査することを追加すべきである、ということが提案されました。

また、責任帰属については、セキュリティ会社の判断と国家の判断の相違という問題もあることが質疑応答で指摘されました。

Ms. Manon Le Blancのテーマは、”Attribution as Part of Wider EU Cyber Diplomacy Efforts”です。

責任帰属は、攻撃を緩和し、中立化する効果があり、攻撃を停止させることを意図しています。
EUにおいては、水平的ポリシを採用しており、「サイバー外交ツールボックス」を公表しています。

このポイントは、迅速な対応であること、加盟国家単独で、もしくは、集団的に対応すること、責任帰属を行うことは政治的な判断であること、です。

実際には、この対応は、責任帰属は、種々の形態をとることになり、必ずしも公にする必要はなく、また、技術のみ、インテリジェンスのみではなく、安定性なども考慮して判断がなされるものになります。

Prof. Robert E. Barnsbyのテーマは、”Why Certain States are happy to have cyber attacks attributed to them”です。

なぜに、責任帰属を受容するのか、ということです。これには、いろいろな可能性があって、
国際的な注目を集める/被害国の脆弱性を明らかにすることによって自分たちの能力を固辞する/国内的な評価をうる/それ自体のコストが高くない

法的な分析としては、国際的違法行為であると考えていない場合、国家実行に影響を与える場合がありうること、グレイゾーンを悪用しようと考えていること、になります。