国際法上の対抗措置の概念

「日本政府、「徴用工」打開へ対抗措置=韓国反発、応酬発展も」という記事がでています。

ここで、「対抗措置」という用語がでていますので、国際法上の「対抗措置」という概念についてまとめてみます。

対抗措置とは、被害を被っている国家が違法な行為の中止を求め、あるいは救済を確保するために、武力行使にいたらない範囲で相手国に対してとりうる措置をいう、と定義されています。

国連の国際法委員会のまとめた国家責任条文は、

22条 国際的違法行為に対する対抗措置
第3部第2章に従い、他国に対してとられる対抗措置を構成し、且つ、その限りにおいて、他国に対する国際義務に違反する国家行為の違法性は阻却される。

となっています。そして、この対抗措置の要件については、
問題における義務の履行回復を可能にするための方法としてとられること、責任ある国家に対して、国際義務が存在している間の不履行に対してなされること、(同条文 49条)
また、均衡性(同 51条)、義務履行の要請(52条)
があります。

これは、その行為をなしている行為が、国際間の国家の義務に違反していることを前提にしたことであり、違法性阻却事由といわれるのは、そういうことです。

翻って考えると、「韓国向け半導体材料の輸出管理を強化する」ことが、国際法的に違反なのでしょうか。それ自体、違法性を指摘されるべき国際法上の義務違反はないように思います。その意味で、

「西村康稔官房副長官は1日の記者会見で「対抗措置ではない」と述べ」た

のは、法的にも、正しい表現かと思います。

ただし、法的には、行為自体が違法ではない報復(retorsion)という概念が存在します。無礼、不親切あるいは不公平かつ不平等な行為に対する、同様または類似の行為による返礼と定義されます。

もっとも、この概念は、相手国の行為が国際的違法行為でない場合ということになります。日本企業に元徴用工らへの賠償を命じた韓国最高裁判決をめぐって解決策を示さない韓国政府というのは、国同士の約束を守らないので、国際的違法行為になるのではないか、という感じがしますので、retorsion そのものということもないようです。

Cycon 2019 traval memo day2 (4)

Day2 最後は、The Emerging Understanding of International Law in Cyberspaceというセッションです。10年以上前から、サイバーに関する調査で知っているStefanoさんの登場です。あと、Heliさんも日本に来たときに、いろいろとお話をしました。

最初は、Heli Tiirmaa-Klaarさんは、現在は、エストニアの外務省の Ambassador at Large for Cyber Securityです。日本でお会いしたとき(2015)は、EUサイバー政策調整課長でした。そのあと、ボストンでもお会いしました(2016)。狭い世界とは、このことです。

サイバーセキュリティ枠組みについてのお話です。世界の安定性について国連の政府専門家会合(UN GGE)の2014、2015の報告書の成功裏に終わったこと(この関係の私のブログは、これ)、サイバースペースにおける主権の話、国連憲章が、サイバーにも適用されることが、2014年で確認されたことなどがなされました。

また、能力構築が議論されており、EU外交ツールボックスが紹介されました。

Mr. Nikolas Ottさんは、OSCEのProject Manager です。タイトルは、「国際的なサイバー外交における地域組織の役割」です。彼の論文は、マリアさんと共著なのですが、論文集の321頁以下です。

論文集では、最初にUN GGEの現状が紹介されています。(講演では、この部分はなかったような気がします)

法と政策については、4つの柱(GGEによる)があり、その柱とは、(1)規範・ルール・原則 (2)信頼醸成措置 (3)国際的協力 (4)国際法の適用です(2015年の報告)。

この観点からすると、地域組織の役割とは、(法と政策の)インキュベーターであるとともに、実装者であるということなります。すなわち、国際法の適用を確かにして、情報を共有して、ひいては国家間の関係を安定化する役割になります。

実装については、相互の支援がなされており、また国際的なものと地域的なものとの協力がなされています。
実際のワークプランや地域でのロードマップが構築されており、実際にOSCE、ASEAN、OAS、EUなどが行動しています。そして、2018年のUN GGEのプロセスによると、国連軍縮部(UNODA)との協力が提案されていたというのが注目されるべきとされています。

Dr. Stefano Meleは、Carnelutti Law Firmのパートナーで、2017のCodeblueでも講演してくれました。2007の調査から、いろいろと助けてもらっています。

講演の内容は

G7の役割に触れたあと、

二国間における関係の利点について、外交関係にはいる国を選択することが可能なこと、それぞれの義務を設定するのが容易であり、秘密にもしやすいこと、より詳細なさだめをなし、また、変更も容易であること、などがあげられます。

国際的な関係や地域の関係については、国際法や欧州法の原則に基づいて抑止戦略を構築することがなされており、特に、欧州の制限措置についての決定が紹介されました。

また、2016年には、サイバー活動についてのG7原則が明らかにされています。この原則は、人権、プライバシー、データ保護についての保護を意図した原則を再確認し、テロリズムやサイバー犯罪についての闘いのための情報共有と協力を確認しています。また、サイバー攻撃が、武力の行使(use of force) 、武力攻撃(armed attack)となりえ、自衛権の行使を正当化しうるものとなりうることを明確に確認しています。

2019年には、ディナール宣言がなされています。これは、私のブログで、速報しているので、そこで

2018年には、サイバースペースのトラストとセキュリティのためのパリ・コールがありました。全文は、こちらというのは、day2 (1)でも紹介しました。

内容としての注目点は、(1)市民・重要インフラ・サプライチェーン・投票システムを守るために、ベストプラクティスと教訓を共有すること (2)信頼醸成措置を促進し・実行すること(3)非国家行為者・民間企業によるハックバックの禁止があります。

ということで、昼間のセッションは、終了。

夕方からは、ビーチスタイルで来てくださいといわれているディナーパーティです。(でも、街中は、15度Cくらいなんですが)

でもって、場所は、テラスビーチという室内ビーチ(?)。

確かに、一歩中に入ると、中は、温かくて、半袖スタイルでした。

 

 

 

 

Cycon 2019 travel memo day2 (3)

昼食のあとは、Global silence or global battle?のセッションです。ちょっと、アジアっぽいお話が入るところが特徴というところでしょうか。

1st Lt Ji Young Kongさんは、「 万能の剣/北朝鮮のサイバー作戦および戦略」韓国の観点からの話です。(論文集では、144頁)

 

北朝鮮が、従来から、サイバー能力に重点をおいていたこと、50から60のエリート兵士をコンピュータサイエンスを学ぶために留学させていること、サイバーユニットは、6800名ほどとかんがえられること、RGB(偵察一般局)をベースにした組織を有していること、などが紹介されました。

サイバー攻撃が、情報・エイピオナージ/サイバーテロリズム/金融戦争の3つのステージになるということが、紹介されました。
具体的な話としては、2013年のCampaign Kimsuky、2015年のOperation Blockbuster(ソニーピクチャーズ事件など)、Wanna Cryおよひ仮想通貨窃取などの金融戦争(Financial Warfare)などがあげられています。(なお、これらの活動については、論文集の150頁以下に詳しいです)

これらに対しては、北朝鮮は、TTP(Tactics,Technique,Procedure-戦術、技術、過程)の観点から、これらの活動を行っていることが語られました。

次は、Ms. Mihoko Matsubaraさんの発表です。

APACにたいするサイバー脅威として、ハクティビズム、誤情報・選挙干渉、エスピオナージ、金融動機によるサイバー攻撃、ビジネス継続性に対する妨害、通称に対図対決があること、が紹介されました。
また、その他のリスクとして、重要インフラ、中小企業に対するリスクもあります。

具体的な紛争として、インドとパキスタンの2019年のソーシャルメディアの紛争の例、台湾対中国の関西空港の偽情報の事件(2018年)、台湾の選挙の候補者の偽写真の事件(2018年11月)-イヤーピースで助けてもらっているような写真などが紹介されました。

恥ずかしながら、関西空港の偽情報事件は、フォローしていないかったので、非常に勉強になりました。日本語の記事としては、「【台風21号】関空孤立めぐり中国で偽ニュース 「領事館が中国人を救出」 SNS引用し世論工作か」などがあります。

Mr. Kah-Kin Hoさんの発表です。

テロが、合法性、必要性、自信からおきていること、この3つが相互関係を有しており、サイクルをなしていること、抑止力・アトリビューション・ポイントになることなどがはなされ、サイバーにおいても同様であるということでした。
度々でていましたが、英国のジェレミー・ライト法務長官が、2018年5月に主権は、ルールではなく基本であるという発言をしたということがここでも取り上げられました。これは、Day3のシュミット先生のところで触れます。
英国は、同年10月には、ロシアのGRUが、国際法を破っていると批判しているということで、一貫性があるのでしょうか、ということもありますね。

Cycon 2019 travel memo day 2 (2)

休憩のあとは、「ダークウエブ-軍事作戦のためのインパクト」というセッションにでました。

CDR Dr. Robert Koch, Chief Penetration Testing Section, Bundeswehr Cyber Security Centreは、「影の中に隠れて」というタイトルです。同名の論文が、論文集に所収されています(267頁以降)。

ダークウエブでの活動がどれだけ安全なのか、まずは、クリアネット、ディープウエブ(サーチエンジンからアクセスできない情報)、ダークネット(利用されていないがルート可能なIPアドレス空間)についての用語についての説明です。

次は、インターネットにおける匿名性です。Torを紹介し、匿名化を解く、ということを話しました。この非匿名化手段については、カテゴリ1、カテゴリ2、カテゴリ3にわけて議論されています。

カテゴリ1は、技術レベルです。これは、Tor自体の脆弱性を利用するものと、ブラウザを利用するものにわけられます。カテゴリ2は、設定のミスをつくものです。カテゴリ3は、ヒューマンエラーから、個人を識別するものです。例としては、ジルクロードのドレッド・パイレーツ・ロバートの話があげられます。

また、トラフィックについての監視の結果の話がなされました。

ダークウエブマーケットとそのデータです。

いろいろいな調査による違法行為の割合が紹介されました。もっとも、実際には、評価がしにくいとされました。

データを眺めてみると、機密のデータが見つかることもある、実際に具体的なシステムに対するデータ(アクセスのための情報は販売されている、また、SCADAのデータもあることはある)は、きわめてまれである、個人情報がほとんどである、ということです。

総合的なデータマネジメントにおける推奨事項としては、ダークウエブに対しても、クリアネットやディープウエブと同様の追跡を行うこと、また、ハニートークンや戦略的にデコイを配置することもあげられる、ということでした。

Dr. Andrea Melegari, Senior Executive Vice President, Expert System Spaさんは、「AI・スタイロメトリイを利用したダークウエブのアイデンティティを暴く」というタイトルです。

スタイロメトリイというのは、「著者の個々のスタイルの特色」の研究によって、文書の著者を識別するこころみということです。単語の選択、文章の構造、シンタックス、スペル、区切り方などが、著者の「指紋」を明らかにすることができます。

この手法を用いて、ダークウエブを分析しましたというのが、この報告です。報告の結論としては、有効であること、人間の分析が一般的なツールであること、AIによってより速く・安価にできることというとです。

ただし、この報告については、どうやって元のデータの著者を決めているのか、それ自体が仮説に基づいているので、有効であると評価することはできないのではないか、というのが、聞いていた先生方の評価のようです。ちょっと残念かもです。

Mr. John Gwinnup, Cyber Threat Analyst, NATO Intelligence Fusion Centreの発表は、「軍事諜報分析についてのダークウエブとそのインパクト」というタイトルです。

問題意識としては、

1)ダークウエブというのが軍事作戦にとって脅威となっているのか

2)ダークウエブが軍事作戦を支援するための諜報・情報のソースとして利用できるか、

ということです。

軍事諜報についての説明がなされたあと、ダークウエブの説明がなされました。これらに対する研究は、よくバズワードを伴って行われています。

行為者確定して責任を帰属させるために利用可能であるのか、また、Torを暴いてしまうことができるか、という問題があります。例えば、ハンザを遮断してしまったという具体的な例もあります。

Cycon 2019 travel memo day1 (4)

room3は、「サイバー作戦の責任帰属の法とポリシ(Law and Policy of Attributing Cyber Operations) 」です。

まずは、タリン2.0のじっさいのかなりの部分を執筆したLiis先生です。いまは、自分の会社でもって、トレーニングとかを世界中で行っています。というか、日本にも呼んだらいいのにと思っていたりします。

タイトルは、「悪意あるサイバー活動の責任を帰属させる-法と政策のインタープレイ」( Attributing Malicious Cyber Activity-Interplay between Law and Politics)です。

なお、私のブログでもattributionは、何度か扱っているのですが、訳語からして、難しかったりします。とりあえずは、責任帰属としておきます。(例えば、「専門家風の用語の落とし穴「アトリビューション」」とか)

きわめて多義的な用語であって、利用者がどの文脈で使っているのか、というのを見極める必要があります。国際法では、国家責任を問いうるか、という論点で使われることが多いです。

国際法のもとでの責任帰属は、2ステップの分析によることになります。その1は、法的標準です。これは、国の組織であるか、政府の権限の要素を行使することが法によってみとめられている組織、または、非政府組織については、国の指図、指示、コントロールがある場合に認められます。2つ目のステップは、証拠の問題です。

法的な観点からみるときに責任帰属の目的としては、以下のようなものがあげられます。
(1)国際法に違反したと「辱め」をさせること(Naming and shaming)
(2) 自救行為(unilateral self-help)
(3)司法的手続の訴え
(4)賠償金の交渉(Negotiations for reparations)

この場合には、「合理的な宣明がなされること」が必要になります。というのは、その場にあれば、そのように判断することには、十分に理由がある、ということです。

これにたいして政治的な責任帰属という問題もあります。

具体的には、2016年10月に、US情報コミュニティが、ロシア政府がUSパーソン・機関からの電子メールの漏洩を指示したと確信していたこと、英国のNCSCが、Lazarusグループが、WannaCryの背後にいたことが「高度の蓋然性(highly likely)」を有していると評価したこと、2018年10月にNCSCが、ロシアの軍事情報機関のGRUが、2015年から、2017年までの多数のサイバー攻撃の背後におり、「無差別で、向こう見ず」であったと非難したこと などが、具体的な例になります。

また、米国の国家情報長官局(Office of the Director of National Intelligence)が、2018年9月に、「サイバー責任帰属のガイド」を公表しており、そこでは、

高度の自信(合理的な疑いを越えており、他の合理的な判断が存在しない)

適度な自信(明らかで説得的である、他には、事案が例外となるのみである)

低度の自信(半数以上の証拠が関与を指し示しているが、重要な情報のギャップがある)

この解説に、Cyber Threat Attributionとは何か?(2019年度版)があります。

まとめとしては、現在の枠組みは、被害者に焦点が置かれており、侵入者は、責任帰属を避けたいという仮定を前提としています。これに対して、侵入者の動機を検証することを調査して、被害者の能力および帰属の意欲を調査することを追加すべきである、ということが提案されました。

また、責任帰属については、セキュリティ会社の判断と国家の判断の相違という問題もあることが質疑応答で指摘されました。

Ms. Manon Le Blancのテーマは、”Attribution as Part of Wider EU Cyber Diplomacy Efforts”です。

責任帰属は、攻撃を緩和し、中立化する効果があり、攻撃を停止させることを意図しています。
EUにおいては、水平的ポリシを採用しており、「サイバー外交ツールボックス」を公表しています。

このポイントは、迅速な対応であること、加盟国家単独で、もしくは、集団的に対応すること、責任帰属を行うことは政治的な判断であること、です。

実際には、この対応は、責任帰属は、種々の形態をとることになり、必ずしも公にする必要はなく、また、技術のみ、インテリジェンスのみではなく、安定性なども考慮して判断がなされるものになります。

Prof. Robert E. Barnsbyのテーマは、”Why Certain States are happy to have cyber attacks attributed to them”です。

なぜに、責任帰属を受容するのか、ということです。これには、いろいろな可能性があって、
国際的な注目を集める/被害国の脆弱性を明らかにすることによって自分たちの能力を固辞する/国内的な評価をうる/それ自体のコストが高くない

法的な分析としては、国際的違法行為であると考えていない場合、国家実行に影響を与える場合がありうること、グレイゾーンを悪用しようと考えていること、になります。

CyCon 2019 travel memo day1 (1)

5月29日は、Day1です。

まずは、オープニング。

CCD CoEのTarien大佐から オープニングの挨拶です。CCD CoEは、サイバー演習や攻撃的サイバー作戦の研究を行っており、47ケ国から、60名という人数で、頑張っていること、などが紹介されました。

そのあとは、いよいよカリユライド大統領のスピーチです。この大統領のスピーチについては、非常にインパクトがあったのと、そのまま、全文が公開されていたので、CyCon expressで紹介しておきました。

(大統領の言葉を借りると)「国際法は、小国の核兵器」であるので、特にサイバー領域における国際法の役割は、大きいと思います。我が国においては、残念ながら、サイバーセキュリティにおける国際法の認識は、乏しいとしかいいようがないので、この大統領のスピーチの意味をかみしめてほしいです。

このカリユライド大統領のスピーチについては、シュミット先生が、分析をなしています。その分析は、「Esonia Speaks out on Key Rules for Cyber Space」です。この分析自体、非常に重要なものですが、まずは、このtravel memoの完成を急ぐので、分析は後日。

次は、Nielson提督のスピーチです。デジタル世界への移行に関する話となります。

欧州におけるデジタル世界の移行に関しては、ロシアから、離れていないという事情が影響を及ぼしているという話から始まります。クラウド・ビッグデータが影響を及ぼすようになっており、サイバースペースにおいて敗北しつつあるのではないか、という認識が示されています。敵国(Adversary)は、他の次元にいるのではないか、という問題を提起しました。

2014年には、サイバーは、ひとつの様相であったのに、現在では、軍事攻撃のひとつのドメインとなっており、全く異なっている、そして、それに対応するためのステップが採られるべきことが重要だとされています。

そのステップは、攻撃的・防衛的能力をブーストさせることであり、技術的・運営的な点で産業界と協力することが重要だと強調されました。

なお、提督のスピーチにふれる記事としては、これがあります。

小休憩前の最後は、米国のWheeler(もと)提督(米国サイバーコマンド)のスピーチです。

2010年5月、サイバーコマンドが統一された司令部として創設されたことから始まり、その後、経済的エスピオナージやソニープクチャーズ事件がおきたこと、それらを経過して、現在では、国内の民主主義を標的とした攻撃がなされており、サイバー兵器化しているのが現状であるという分析です。

現在の課題としては、サイバースペースにおけるチャレンジがなされていること、優越性を確保すること、能力をなしとげること、競争状態になること、などがあげられるということが語られました。

 

 

 

 

CyCon2019 travel memo day0

5月28日は、プラハから、タリンに移動して、登録して、アイスブレーカーの懇親会の予定です。CyCon2019のスケジュールは、こちらです。

ホテルを出発朝5時、Prague Airport Transfersです。が、朝5時の予定が、20分遅れで、お迎えがきました。日本でのsimを切っておいたので、メッセージが届かなかったりで、ちょっと心配しましたが、6時くらいには、空港着。

飛行機は、7時15分発でワルシャワ経由で、ワルシャワで、トランスファーで、タリンまでです。乗換の時間は、ちょっとありましたが、ラウンジが、発着のゲートに近いところにあったので、そこで時間を過ごしました。

飛行機は、予定よりも早めに、タリン空港に到着です(午後1時50分ころ)。空港から、ホテルまで30分とかからないので、1時30分から3時までの”Official launch of the International Cyber Law: Interactive Toolkit”のセッションに間に合います。でもって、トラムで移動しました。

ちなみに空港のキヨスクで、昨年つくったカードの残高を聞いて、きちんと残っていることを確認しました。

Interactive Toolkitは、サイバー紛争おいて、国際法的に問題となる点について、13のシナリオを例に検討する、というものです。これについては、CyCon express(28/05/2019)でも触れました。

Toolkitは、1 選挙介入 2 政治的スパイ 3 電力グリッド 4 国際組織 5 刑事捜査 6 踏み台国家に対するサイバー対抗措置( Cyber countermeasures against an enabling State) 7 ハッキングツール 8 認証局 9 経済スパイ 10サイバー兵器 11 監視ツール 12コンピュータデータ 13武力紛争 のそれぞれのシナリオについて、法的な問題を検討するものです。

ホテルについてところ、残念ながら、セッションは、終了していました。ただ、上のCyCon express(28/05/2019)でも触れた、シナリオとそれに対する問題が配られていました。回答すると、正解者には、豪華賞品(?)がプレゼントされるということでした。Kubo先生に挨拶がてら、回答して提出しました。あと、マリアさんにも、挨拶してきました。

シナリオの前半部分は、触れましたが、後半は、省略して、具体的にでていた質問は、以下のようなものです。

質問1
A国における選挙投票カウントシステムを操作するのは、国家に対する介入の禁止に該当するであろうか?
質問2
B国のコンピュータシステムに対する遠隔アクセス作戦は、国家主権の侵害に該当するであろうか?
質問3
(インシデント2とインシデント2がともに起こった)サイバー作戦の経緯は、A国とB国との間の国際人道法の適用を引き起こすだろうか?

なぜか、毎年、CyConでだけお会いする日本からの来訪者がいらっしゃるので、ちょうど、そこにも挨拶して、さらに、日本からの関係者とで、会場のホテルのロビーのところでお茶をしながら、ちょっと情報交換?。

ホテルにチェックイン。今年は、タリンク・シティ・ホテル。会場からも近いですし、お値段もリーズナブル。

Tallinn Culture Hubで、1830から、Ice breakerでした。イタリアからのメレ弁護士に久しぶりにあいました。あとは、法律関係者は、あまりいませんでした。

欧州理事会の域外からのサイバー攻撃への制裁枠組み

EU域外からのサイバー攻撃に対しての制限措置を課す枠組みを欧州理事会が決定したというプレスリリースがでています。

以下は、本文部分を訳してみます。

サイバー攻撃:欧州理事会は制裁を課すことができるようになった

2019年5月17日、理事会は、EUもしくは加盟国に対する外部からの脅威となるサイバー攻撃を抑止し対応するための標的とされた制限的措置を課すことを許可する枠組みを確立した。この枠組みは、共通の対外安全保障政策(CFSP)の目的を達成するために制限された措置が必要であると考えられる場合において、第三国もしくは国際組織に対するサイバー攻撃の場合を含む。

この新しい制裁体制の範囲内に入るサイバー攻撃は、重大な影響を及ぼすものであって、かつ、

・EU外から発信または実行されている、または、
・EU外のインフラストラクチャを使用する、または
・EU以外で設立または運営されている個人または団体によって実施されている、または
・EU外で活動する個人または団体の支援を受けて実施される

ものをいう。

潜在的に重大な影響を与えるサイバー攻撃の試みも、この制裁措置の対象となる。

より具体的には、この枠組みによって、初めて、EUは、 金銭的、技術的または物質的な支援を提供(他の方法も含む)することによって サイバー攻撃(企みを含む) に責任を負う、人物または団体に制裁を課すことが可能になる。制裁措置は、それらに関連する人物または団体にも課されることがある。

制限措置には、EUへの渡航者の禁止、および人と事業体の資産凍結が含まれる。さらに、EUの個人および団体は、記載されている人々に資金を提供することを禁じられる。

となります。

法的な興味としては、国際的な違法行為(international wrongful act)に関する対抗措置の理論が、この枠組みで、実行として整備されたものと理解しました。

むしろ、この「サイバー攻撃」という用語がどのような文脈で使われているのか、プレスリリースからは、重大な影響という用語が使われているのですが、この影響の判断をどのような基準で判断するのか、ということが問題になるかのように思えます。生命・身体・インフラ運営に対するインパクトのみか、民主政の過程が他の国からの影響を受けないという要素がはいっているのか、というのは、非常に重要かと思います。(報道では、EUの選挙を念頭においており、その意味での”ハイブリッド戦争” だとするものがおおいようです)。

生命・身体・インフラ運営だとすると我が国でも、同様の枠組みは、構築されているということができるように思えます。「政府、サイバー被害の深刻度指標 対抗措置の判断基準に」というエントリでも触れていますが、実際に同様のインパクトがあった場合に我が国でも、同様の整理によって、制裁を課すことができるように思えます。


2019年6月23日 追加

ということで、この規則とが公表されていますので、追加します。というか、ジャーナルへのリンクぐらいきちんとつけろよな>EU

ということで、

Official Journal of the European Union L 129 I

II Non-legislative acts

REGULATIONS ★ Council Regulation (EU) 2019/796 of 17 May 2019 concerning restrictive measures against cyber-attacks threatening the Union or its Member States

DECISIONS ★ Council Decision (CFSP) 2019/797 of 17 May 2019 concerning restrictive measures against cyber-attacks threatening the Union or its Member States

 

サイバー攻撃も日米安保適用=2プラス2共同声明へ初明記-新領域対処、優先事項に

「サイバー攻撃も日米安保適用=2プラス2共同声明へ初明記-新領域対処、優先事項に」という記事がでています(2019年4月20日)。例えば、時事は、こちら

ここで、ポイントであるのは、日米安全保障条約(日本国とアメリカ合衆国との間の相互協力及び安全保障条約)の5条の適用についての合意であるということです。

同5条1項は、「各締約国は、日本国の施政の下にある領域における、いずれか一方に対する武力攻撃が、自国の平和及び安全を危うくするものであることを認め、自国の憲法上の規定及び手続に従つて共通の危険に対処するように行動することを宣言する」としています。条文は、外務省のサイトから。

ここで、「武力攻撃」とされていることがポイントになります。ちなみに北大西洋条約5条も「締約国は、ヨーロッパ又は北アメリカにおける一又は二以上の締約国に対する武力攻撃を全締約国に対する攻撃とみなすことに同意する。」とされています。訳文はこちら。ここでも武力攻撃であって、両方とも英語では、armed attackとされています。日米安保条約については、こちら。北大西洋条約は、こちらです。

これは、用語としては、国連憲章51条の武力攻撃(armed attack)と同一の意味と解されることになると思われます。

ブログでも、「サイバー攻撃と武力行使」というエントリで触れています。大雑把にいうと、非常に深刻な結果が生じる場合ということができるかと思います。実際、北大西洋条約においては、2007年のエストニア攻撃では、5条の適用が否定されているというのは、留意されてしかるべきでしょう。

その一方で、この閾値を越した場合には、比例原則に適合する範囲において、物理的な結果が発生する反撃も赦されるのは、当然のことになります。

外務省とNISC、「APT10」グループのサイバー攻撃に警戒表明

「外務省とNISC、「APT10」グループのサイバー攻撃に警戒表明」という記事がでています。

外務談話は、こちらです。

NISC注意喚起は、こちらです。

まず、APT10が、国際法的に、どのように位置づけられるのか、ということになります。

まず、このような攻撃が、国家に帰属する行為であることがポイントになります。国家の帰属については、タリンマニュアル2.0の規則17「非国家主体によってなされたサイバー作戦は、次の場合に国家に帰属する(以下、略)」という原則が適用されることになります。「中国・天津にある公安当局と連動して」というのが、そこになります。

でもって、同規則32の解説によると「データ入手を目的として他国のサイバー・インフラにハッキングした所、そのインフラの機能が停止した場合」主権侵害になります。この案件では、そのレベルだったと認定されれば、主権侵害となり、これら一連の行為は、中国の国際的違法行為ということになります。この場合、同規則20によって、国家は「対抗措置(性質上サイバーであるか否かを問わないをとる権限を有する」とされます。

本件は、上記国際的違法行為を認定しているかは、微妙に思えますが、外交としての責任決定(アトリビューション)を行っているとなると思います。

ところで、これが異例か、ということになります。アメリカでは、前から行っています(ソニーピクチャー事件のオバマコメント やWannaCry、NotPetya事件でのコメント)。

外務省も「中国を拠点とするAPT10といわれるサイバー攻撃グループに関して声明文を発表しました。我が国としても,サイバー空間の安全を脅かすAPT10の攻撃を強い懸念をもって注視してきており,サイバー空間におけるルールに基づく国際秩序を堅持するとの今般のこれらの国の決意を強く支持します。」となっており、上の外交としての、帰属表明・非難となっているように思えます。

その意味で、国際的な規範が、国家の実行によって明らかになってきている、というような気がします。

—12月22日 追記—

でもって、「上記国際的違法行為を認定しているかは、微妙に思えます」としました。これは、中谷ほか「サイバー攻撃の国際法-タリンマニュアルの解説」に依拠して、エントリを書いたわけです。そこでは、機能の停止が主権侵害の要件とされています。でもって、情報の取得のみで主権侵害ではないのか、ということになります。タリンマニュアル2.0オリジナルを読んだところ、規則32のコメント6以下のところでは、種々の場合について、多数説において主権侵害と解される場合などが論じられています。この件についていえば、多数説レベルだと機能喪失(コメント6)、人権侵害(コメント6)、被侵害国内での活動を伴う場合(コメント9)、計画全体が、武力の行使の予備行為の場合(コメント10)などで主権侵害を認めている。また、少数説は、重大性(コメント8-合意に達しない)があれば、主権侵害と考えます。