政府、反撃用ウイルス初保有へ サイバーで新対処策

「政府、反撃用ウイルス初保有へ サイバーで新対処策 」という記事がでています。

(1)日本の安全保障を揺るがすようなサイバー攻撃を受けた場合

(2)反撃する

(3)コンピューターウイルスを作成、保有する方針

だそうです

(1)の要件については、武力攻撃事態等(武力攻撃事態及び武力攻撃予測事態 )等をいうのかしら、とか、逆にそのレベルに達しない場合は、どうなるのだろうか、とか考えていたりします。

ちょっとしたメモとしては、このブログの「サイバーにおける自衛権、武力攻撃、武力行使、対抗措置」があります。

(2)については、攻撃者に対して、強制的な効果を有することが要件になるのか、また、証拠取得のみはどうか、という論点もありそうです。

論文としては「アクティブサイバー防御をめぐる比較法的検討」を書いていたりしますので、それも参考になるかと思います。ただし、この論文は、民間企業における攻撃を受けたこと機会とする強制的な反撃をめぐる論点なので、国家のなす防衛行為は、考察の範囲外ということになります。

ジョゼフナイ 露のサイバー攻撃 報復警告と外交で対処

読売新聞 4月29日 一面には、ジョセフ・ナイ教授の「露のサイバー攻撃 報復警告と外交で対処」が掲載されています。

読売新聞のナイ教授の記事としは、2017年5月1日の「サイバーと倫理」2018年8月26日 「 露のサイバー攻撃 戦闘伴わぬ「新兵器」」 に継ぐものかと思います。

内容としては、

1)2016年のロシアの大統領選に対するサイバー攻撃に対しては、効果的な対応ができなかった

2)この状況が変わってきている。

3)2018年中間では、ロシアの情報工作を阻止したこと

4)ハイブリッド戦争のようなグレーゾーンでも抑止を強調するドクトリンは、有効であること

5)経済制裁・渡航禁止措置は、有効であること

6)外交も必要となること

7)特定の種類の民間施設に対する攻撃に制限をもうけ、衝突の危険を極小化する大まかなルールの交渉は可能であること

8)現状は、民主主義的な開放性を米国のほうが、失うものが大きいこと

9)「米国が順守を誓い、ロシアが違反してきた規範はどれなのかをずばり明らかにする」べきという議論に賛成すること

10)公開のプログラムと放送は、容認されるが、隠密の組織的活動を通じた自己宣伝は、拒否すること

あたりでしょうか。

特に昨年の同名の論考(サブタイトルが、戦闘伴わぬ「新兵器」)から、比較すると、具体的な対抗措置の有効性について考察していることと、具体的な規範について考察し、今後の方向性を示唆している点で非常に興味深いと考えます。

9)についていうと、伝統的なエスピオナージの理論と現代的な情報の限界をどこに置くかというのは、国際法の文脈でも議論されてきていたことは、このブログでも触れています。特に、タリンマニュアル2.0 パネルのエントリの質疑応答が参考になります。そこを再度引用しましょう。

1:24-)DNCについては、
(シュミット)国際法のグレイゾーンとして興味深いエリアだといえます。というのは、シュミット先生の見解によると、「国際法における禁止されている干渉」の問題と考えられるからです。これは、国際法は、主権国家は、他の主権国家の「Domaine Reserve」といわれる部分に強制的な方法(coercive manner)で、干渉することは禁止されています。これに対して、エスピオナージは、国際法の違反には該当しないとされます。マニュアルでは、この点を描こうとしています。ここで、「強制的」(coercion)とは何かという問題になります。これについては二つの見解があります。一つはLiis先生の見解で、今一つは、シュミット先生の見解です。他国の民主国家に対する情報提供はすべて適法であるという考え方も存在し得ますが、シュミット先生の見解としては、この点は、ラインを超える場合のみが、この場合に該当するという見解です。超える場合としては、「過程を操作してしまう場合」については、国際法の違反と考えることができるという立場です。(追加・ロシアは)意図的にファジーな状態にしているので、法的には、「優秀な」法律家といえるでしょう。

この「ラインを越える場合」というのは、どのような場合をいうのか、という問題について、ナイ教授は、「隠密の組織的活動」を、国際的に違法とするべきだと主張していると理解しました。するとこの場合の要件は、「隠密性」と「組織性」になります。国内法における言論の自由市場の考え方も、隠密な、組織活動が違法となることを否定しないでしょうから、まさに、国際法と国内法の次元の裂け目(アベンジャーズか、ドクターフーか)を塞ぐ解釈になるかと思います。

英国の両用ツールについての詳細なガイドライン

「ウイルス罪、有罪と無罪の境界はどこにあるのか」の記事で

サイバー犯罪条約の規定に合わせて2006年に修正した箇所も含め、詳細なガイドラインを公開。起訴に当たって検察官(prosecutor)が考慮すべき点を明らかにしている。

という部分があります。この点については、私は、「情報セキュリティに関する両用ツールの開発等の行為と法的規制について―― 英国法からの示唆」( 掲載誌 InfoCom REVIEW 50巻p17~27) ISSN 1341-0024で論じているので、その内容を簡単に紹介します。

英国においてコンピュータのインテグリティへの犯罪を定めるコンピュータ不正使用法1990には、サイバー犯罪条約で定めるような「デバイス」についての規定を有していませんでした。そこで、サイバー犯罪条約の規定に適合させるために、「警察・司法法2006(Police and Justice Act 2006)」によって以下の規定が定められました。この規定(同法3A)の定めは、

3A (コンピュータ不正使用法-筆者追加)1条もしくは3条の犯罪において使用されるツール(articles)の作成、提供、取得
(1)1条もしくは3条の犯罪を侵すために、もしくは、侵すのを幇助するために、ツールを、作成、改変、提供、ないしは提供を申し込むことは、犯罪である。
(2) 1条もしくは3条の犯罪を侵すために、もしくは、侵すのを幇助するのに使われることがありそうだ(likely to be used)と信じて、ツールを、提供、ないしは提供を申し込むことは、犯罪である。
(3) 1条もしくは3条の犯罪を侵そうとして、もしくは、侵すのを幇助しようとして、ツールを取得することは、犯罪である。
(4) 本条において、ツールとは、電子的形態におけるプログラムないしは、データを含む。
(5)本条において有罪とされたものは、
(a) 略式裁判によりイングランドおよびウエールズにおいて、12月以内の懲役もしくは制定法にさだめる最大限の額をこえない罰金または併科
(b) 略式裁判によりスコットランドにおいて、6月以内の懲役もしくは制定法にさだめる最大限の額をこえない罰金または併科
(c) 正式起訴にもとづき、2年以内の懲役もしくは制定法にさだめる最大限の額をこえない罰金または併科
の責任を負う。

というものでした。

この規定(同法3A)は、主観的態様によって3つの犯罪形態(目的の場合、犯罪の相当性の確信の場合、故意の場合)になることが明らかにされています。一方、客観的な行為に着目すると、作成/改変と提供/提供の申込とでは、主観的態様のレベルが異なることになります。

作成/改変行為については、犯罪目的がないといけないのに対して、提供/提供の申込については、犯罪の相当の蓋然(likely)性に対する確信で犯罪が成立するとしています。

この条項をめぐって、まさに提供/提供の申込に対する犯罪行為については、情報セキュリティの研究者、侵入試験者、そして、その余のプロに対して法的不明確さを生じてしまうと批判されました。

この批判に対応することを考えていたのか、英国検事局(Crown Prosecution Service)は、コンピュータ不正使用法の適用についてガイドラインを公表しています。

そのガイドラインによれば、「合法的な産業が、コンピュータ・システムのセキュリティに関与して、『ツール』(これは、電子的形態におけるプログラムもしくは、データを含んでいる)を作成し、ハードウエアやソフトウェアのテスト・監査に利用している。ツールには、したがって、両用の可能性があり、検察官は、容疑者が刑事的な意図を有していたかを確認することが必要になる。」とされています。そして、起訴にあたって、検察官は、具体的に

 組織、会社、もしくは他の主体は、きっちりとした、時宜にあった契約書、条項、条件もしくは利用方針を有しているか
 学生、消費者、他のものが、コンピュータ不正利用法、適法な行為および不適法な行為を意識していているか。
 学生、消費者、他のものが、コンピュータ不正使用法を違反するという意図がないという宣誓書に署名しているか。

などの事項を考慮すべきであるとされているのです。

また、ガイドラインは、

コンピュータ不正使用法3A条(2)は、1条もしくは3条の犯罪を犯すのに使われる、もしくは、犯すのを幇助するのにつかわれる、ようになりそうだ(likely)と信じて道具を提供する、もしくは、提供することを対象としている。
ツールが、罪を犯すのに利用(もしくは誤用)されることがありそうだ(likelihood)ということを決定するのに際しては、検察官は、以下のことを考慮すべきである。

として
 ツールは、コンピュータ不正使用法の犯罪(たとえば、コンピュータ資源に対する無権限アクセス)を犯す目的を、主として、故意に、唯一のために、開発されてきているのか。
 ツールは、コマーシャルベースで、広く利用可能なものか、もしくは、適法な販売チャンネルで売却されているのか。
 ツールは、適法な目的のために広く利用されるか。
 実質的にインストールベースであるのか。
 もともとの意図された目的と比較して、そのツールが、罪を犯すのに使われるにいたった状況は何か。

という要素をあげています。

ツールの目的が、主として犯罪目的であるのかどうか、配布・販売形態はどのようなものか、適法利用の可能性がどの程度か、誤用状況の理由はどうかなどの諸事情をみて総合判断すべきということになります。

これらのガイドラインが、実際の裁判のなかで、どのように活用されているのか、などは、調査していませんが、これらの項目があげられているだけでも、議論の整理としては非常に重要であるような気がします。

サイバー犯罪に対する法執行のシステム的対応

ウイルス罪、有罪と無罪の境界はどこにあるのか (下)で、フォーカスされたのは、法執行のレベルをどのようにしてあげていくのか、という問題なような気がします。社会的にみて法益侵害のレベルが高いものを捕捉し、法を執行し、そのような場合ではないものについては、誤って法を執行するということがないようにするということが要請され、そのような要請は、法執行の資源を如何に効率的にマネージメントするか、ということのような気がします。

日経の記事は、米国におけるコンピュータ犯罪と知的財産セクション(「CCIPS」)を紹介しています。しかしながら、それだけではないです。ここで、「デジタル証拠の捜索差押マニュアル」(捜索差押マニュアル)の2001年版の記載を紹介しておきましょう。

より詳細なアドバイスを必要とする捜査官と検察官は、一層の支 援のためのいくつかのリソースを頼りにすることができる。連邦の区の段階では、どの連邦検察官事務所にも、コンピュータ電気通信コーディネーター(以下「CTC」とす)として任命された連邦検察官補が、少なくとも一人いる。すべてのCTC は、コピュータ関連の犯罪の広範囲にわたるトレーニングを受けて、自己の地区の内でこのマニュアルでカバーされる話題に関連する専門的技術を提供することを主たる責務とする。CTC には、区事務所を通じて連絡をとることができる。

さらに、ワシントンDC の米国司法省の刑事課の中のいくつかのセクションがコンピュータ関連の分野に専門的技術を持っている。国際課((202)514-0000)は国際問題を提起する多くのコンピュータ犯罪調査において専門的技術を提供する。執行オペレーション課(202)514-6809)は、第3 章と第4 章で議論する通信傍受法とその他のプライバシー法における専門的技術を提供する。また、児童搾取とわいせつに関する部局((202)514-5780 も) 児童ポルノと児童搾取についてコンピュータに関連する場合における専門的技術を提供する。

これらの記載(なお、この記載は、2009年版では削除されています)をみると、2001年の段階で、検察官補としてCTCが任命されており、各区の捜査官は、CTCに相談をなすことができる仕組みになっていることがわかります。

また、司法省は、刑事課のもとに、コンピュータ犯罪についての専門の課を設置していたこともわかります。20年前にこのようなシステムが存在していたというのは、非常に参考になります。我が国においても、JC3が設置されるなどの努力がなされています。

我が国の昨今の事案については、現場の捜査官に対しても、サイバー犯罪に対する適切な情報が行き渡っているのか、また、何らかの行動に対してのコントロールは、どうなっているのか、という問題があるように思えます。米国のレッスンから学ぶことは、組織のマネジメントの問題であるという意識をもとにしたシステムの構築ということではないかと考えています。

ウイルス罪、有罪と無罪の境界はどこにあるのか (下)

「ウイルス罪、有罪と無罪の境界はどこにあるのか」という記事についてです。

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00722/042400004/

駒澤綜合法律事務所の⾼橋郁夫弁護⼠も同様の考えに⽴つ。ソフトウエア開発者は「コン ピューターの計算資源をどう使うかは、コンピューターの所有者(ユーザー)に全ての権限 がある」という前提に⽴ち、ユーザーへの説明や同意取得を実施することで、法に抵触するリスクは避けられるとする

というのが、基本的には、私の考え方になります。無権限によるデータの改変行為(そして、それは、コンピュータについてのセキュリティ(機密性、完整性、可用性-CIA)侵害)として捉える以上、CIAの侵害がなされているか、というのが第一の判断要素になるということです。

住居侵入罪については、例えば、保護法益について、住居権と考えるという説と、住居の平穏という説とがあるわけです。基本的には、住居権的なものをかんがえて、それから考えていこうという方向性に近いのかもしれません。記事では、「『誰にとっても嫌だと⾔えるもの』」に限定すべきだという説が紹介されていますが、運動論なのか、解釈論なのか、ちょっとわからないですね。

裁判所がなすであろう判断を予測する、場合によっては、安定的な判断枠組みを提供するという意味からいけば、上記のようにデータのCIA侵害があるかが、最初の判断基準です。CIA犯罪を「人工的なルール」といっても、あまり意味がないでしょうし、むしろ、セキュリティで保護すべき利益を法益にまで高めたものと位置づける方が、私は、説明の仕方としては好きだったりします。

「海外に学ぶコンピューター関連犯罪の運⽤」の部分は、この3本の記事のハイライトなのではないか、と個人的には思っています。サイバー系の行為に関して、警察は何を、有罪とするかわからない、信頼できない、という傾向が生じているというのは、残念なことといわざるをえないかと思います。では、どうするのか。全部、無罪にしろ、という考え方もありますでしょう。ただし、個人的には、無権限でのデータ侵害として構成要件が定められていたとしても、結局は、本質的に合理的な枠組みを提供できるものとはいいきれないような感じがするので、むしろ、システム的な対応でもって、安定的な判断の枠組みの提供と法執行のレベル向上・判断の安定性を求めるというのが、いいのではないか思っています。その意味で、英国や米国の動向は、注目に値すると思っています。

取材でも、米国や英国の例を紹介させていただきました。

まずは、米国においても、最初から、サイバー犯罪に対する安定的な対応がとれていたわけではないということです。この点で有名な事件は、1990年までさかのぼります。スティブ・ジャクソン・ゲームズ事件が、この年に起きたのです。この事件については、私が編集責任者であった「デジタル証拠の法律実務Q&A」でも詳細に触れています。オンラインでは、社会安全研究財団 (当時) 「アメリカにおけるハイテク犯罪に対する捜査手段の法的側面」報告書 でも触れています。

この事件は、最終的には、シークレットサービス側が敗訴となり、また、ネットワークコミュニティ側では、EFFが創設されるなど、オンライン人権団体ができるきっかけとなりました。(なお、EFFには、上記のSJG事件のアーカイブもあります)

司法省でも、ただ、失敗した、というだけではなく、1994年には、「捜索差押ガイドライン(FEDERAL GUIDELINES FOR SEARCHING AND SEIZING COMPUTERS)」を公表しています。そして、ハイテク犯罪(当時の呼び方)に対応するためにCCIPSなどの仕組みを整えていくのです。 (EPICのページをどうぞ。懐かしのtext文書)

そのような対応が、2001年の「捜索差押マニュアル」(https://www.justice.gov/sites/default/files/criminal-ccips/legacy/2015/01/14/ssmanual2009.pdf リンクは、2009年版です)に結実するということになります。

また、英国でも、サイバー犯罪条約6条の国内法対応で「両用(dial use)ツール」についての定めをなさなければならなくなって、公訴局がガイドラインを整備していくことになります。

我が国でも、特に遠隔操作ウイルス事件以降については、法執行機関において、サイバー犯罪対応の重要性が認識されつつあるように思えます。ただし、この歴史で見たように、米国においては、既に25年以上も前から、実際の努力があること、また、根性論ではなくて、システム的な対応が図られていることというのは、貴重なレッスンなのではないか、と思います。

これらについては、さらに、エントリをわけて詳細にご紹介したほうがいいですね。

ウイルス罪、有罪と無罪の境界はどこにあるのか (上)

「ウイルス罪、有罪と無罪の境界はどこにあるのか」という日経×TECHの一連の記事が出ています。私も取材をうけて、協力させていただきました。

具体的には、いまのところ、3本の記事から成り立っています。その3本というのは、

1)「何がセーフか分からない」ウイルス罪で罰金刑を受けた技術者の嘆き

2)定義が揺れる「ウイルス罪」、法制化の経緯から誤算を探る

3)ウイルス罪、有罪と無罪の境界はどこにあるのか

です。

1)についていえば、事件についての報道なので、特にコメントするところはないのですが、法律的には、あくまでも「不正指令電磁的記録」なので、ウイルスかどうかの概念とは、関係がないです。法的な概念の中には、別の概念に言い換えて、その概念との関係をいろいろということがありますが、これは、その(言い換えられた)概念(中間概念)に引っ張られることもあるので、方法論的には、望ましくないということがいえるような気がします。

ちなみに、ウイルスの概念ですとIPAにおける高橋郁夫法律事務所(懐かしい) 平成11年度 「コンピュータウイルス等有害プログラムの法的規制に関する国際動向調査」 (https://www.ipa.go.jp/security/fy11/report/contents/virus/report.pdf )」の報告書のなかにあげていますので、ご参照いただけるといいかと思います。

2)についていえば、サイバー犯罪条約の意義、制定経過について、詳細かつ正確に記載していただいているという感じです。

「実害が発⽣していない段階での摘発はできなかった」という表現がありますが、まさに、法律的には、構成要件該当性があるという考えもありうるが実際は、難しいという上の報告書の115頁以降の分析を踏まえて表現してもらっています。

なお、この記事の「⾼橋郁夫弁護⼠は「システムまたはデータの機密性 (confidentiality)、完全性(integrity)、可⽤性(availability)を侵害するという点で、 サイバー犯罪条約と不正指令電磁的記録における罪の構成要件は本質的に同じだ」とする。」というところは、ちょっと、断りをいれておかないと正確ではないかもしれません。

第四条 データの妨害
1 締約国は、コンピュータ・データを権限なしに故意に破壊し、削除し、劣化させ、改ざんし又は隠ぺいすることを自国の国内法上の犯罪とするため、必要な立法その他の措置をとる。
2 締約国は、1に規定する行為が重大な害を引き起こすことをこの犯罪の要件とする権利を留保することができる。

というのが、サイバー犯罪条約(ブダペスト条約、以下ブダペスト条約)4条の規定です。この規定は、ブダペスト条約の 第二編 国内的にとる措置 第一章 刑事実体法  第一節の「コンピュータ・データ及びコンピュータ・システムの秘密性、完全性及び利用可能性に対する犯罪」のなかに位置づけられています。 我が国においては、例えば、不正アクセス禁止法は、「電気通信に関する秩序の維持」という社会的法益とされていますが、実質的には、ブダペスト条約と同様の位置づけだろうと考えています。

構成要件を比較した場合に、ブダペスト条約4条は、個々のデータの破壊、削除等の無権限の行為を有罪とするという構成要件になっています。その意味で、制約的にも見えます。ただし、実際としては、双方ともに、黙示の同意に頼ってしまうことになるので、立法技術的に、優劣が、どうの、というものではないだろうと考えています。(その意味で記事とは、私の見解は、立場が異なります)

では、実際に、この構成要件の不明確さをどのように考えていくべきかというのが3)の課題になります。これについては、次のエントリでみていくことにします。

サイバー攻撃も日米安保適用=2プラス2共同声明へ初明記-新領域対処、優先事項に

「サイバー攻撃も日米安保適用=2プラス2共同声明へ初明記-新領域対処、優先事項に」という記事がでています(2019年4月20日)。例えば、時事は、こちら

ここで、ポイントであるのは、日米安全保障条約(日本国とアメリカ合衆国との間の相互協力及び安全保障条約)の5条の適用についての合意であるということです。

同5条1項は、「各締約国は、日本国の施政の下にある領域における、いずれか一方に対する武力攻撃が、自国の平和及び安全を危うくするものであることを認め、自国の憲法上の規定及び手続に従つて共通の危険に対処するように行動することを宣言する」としています。条文は、外務省のサイトから。

ここで、「武力攻撃」とされていることがポイントになります。ちなみに北大西洋条約5条も「締約国は、ヨーロッパ又は北アメリカにおける一又は二以上の締約国に対する武力攻撃を全締約国に対する攻撃とみなすことに同意する。」とされています。訳文はこちら。ここでも武力攻撃であって、両方とも英語では、armed attackとされています。日米安保条約については、こちら。北大西洋条約は、こちらです。

これは、用語としては、国連憲章51条の武力攻撃(armed attack)と同一の意味と解されることになると思われます。

ブログでも、「サイバー攻撃と武力行使」というエントリで触れています。大雑把にいうと、非常に深刻な結果が生じる場合ということができるかと思います。実際、北大西洋条約においては、2007年のエストニア攻撃では、5条の適用が否定されているというのは、留意されてしかるべきでしょう。

その一方で、この閾値を越した場合には、比例原則に適合する範囲において、物理的な結果が発生する反撃も赦されるのは、当然のことになります。

ALL-in-one WP Migrationでお引っ越し

wordpressを、sslというディレクトリの下の/home/のところにアップロードして、 https:(サイト名)/wp-admin/install.phpでもって、インストールです。httpsでアクセスすることを忘れると、インストールできないねってということになります。

無事、インストールが完了しますと、お引っ越しです。

本当に簡単で、優秀だったのが、プラグインのAll-in-One WP Migrationでした。紹介のサイトは、このような記事があります。

両方で、プラグインをいれて、エクスポートとインポートをします。私の場合は、エクスポートの量が、225メガあったので、容量を増加させなければなりませんでした。

その際のプラグイン(all-in-one-wp-migration-file-extension.zip)は、こちらです。私は、Basicを選択。インストールの方法が、ちょっと分かりにくいですが、方法は、ダッシュボードから、プラグインのアップロードを選んでインストールです。具体的な方法は、こちらです。

要するに、ダッシュボードからプラグインを選択して、プラグインを追加を選択して、そのまま、zipファイルを選択。それで、インストールを選択すると、自動的に解凍して、インストールがされます。

でもって、完全に、コピーができます。過去の記事も移行しているはずなので、「責任分界」とかを検索してもOKです。

ITリサーチ・アートのウエブのSSL化

NTT PCコミュニケーションズさんの共用サーバーサービスを利用してから、10年以上が経由しました。その前のメールとwebサイトのホスティングから数えると多分20年以上になるかと思います。安定しているし、web の読み込みも爆速に近いし、お値段も合理的なので、気に入っています。

今回、トスラトサービスの調査の作業も一段落したこともあって、webarenaのサービスを利用しながら、ITリサーチ・アートのwebを、SSL化することにしました。

常時SSLのメリットは、セキュリティ上のメリットが一番なわけですが、いまでは、主要なブラウザで「保護されていない」という表示がでるので、それを避けたいというのが、主な理由ということになるかと思います。

もっとも、常時SSLは、サーバー証明書が必要になってくるので、別途コストもかかります。そうはいっても、ITリサーチ・アートの場合は、別途コストをかけるのもなんなので、webarenaの提供する共用SSLという手法を使うことにしました。

webarenaの共用SSL の説明は、こちらのページになります。要するに、表示されたドメインからの通信が安全になされていることしか、確保していないわけですが、とりあえず、それで足りるだろうということを考えました。実際は、サイトマネージャーからの操作で簡単に設定ができました。ワードプレスを使ってのお引っ越しについては、また、別の記事で。

ssl化によるアドレスの変更

株式会社ITリサーチ・アートのブログについて、ssl化をするために、アドレスを変更しました。

あたらしいアドレスは、https://itresearchart.securesite.jp/です。よろしくお願いします。