EU、初のサイバー攻撃に対する制裁を決定

「EU、初のサイバー攻撃に対する制裁を決定」という記事が、駐日欧州連合代表部から出ています。

原文のニュースリリースは、こちらになります

これのもとになっているドキメュントは、

  • 欧州連合(EU)またはその加盟国を脅かすサイバー攻撃に対する制限的措置に関する理事会決定(2020年7月30日)
  • 連邦またはその加盟国を脅かすサイバー攻撃に対する制限的措置に関する理事会実施規則(2020年7月30日)
  • EU代表ジョゼップ・ボレル上級代表の宣言:サイバー空間における国際的な安全保障と安定を促進するための欧州連合(EU)の対応(2020年7月30日)

になります。

「欧州連合(EU)またはその加盟国を脅かすサイバー攻撃に対する制限的措置に関する理事会決定(2020年7月30日)」は、(1)2019年5月17日、理事会は決定書(CFSP)2019/797(1)を採択したこと、(2)欧州は、ツールボックスで定められている制限的措置を適用しうること、(3)2018年4月16日「WannaCry」や「NotPetya」を含む、情報通信技術の悪意ある利用を断固として非難する結論書を採択したこと、を前提として

決定書(CFSP)2019/797の付属文書に定められた制限的措置の対象となる自然人・法人・団体のリストに、6名の自然人と3名の事業体・団体を含めるべきである。これらの個人・法人・団体は、OPCWに対するサイバー攻撃未遂事件や「WannaCry」「NotPetya」として公に知られているサイバー攻撃、「クラウドホッパー作戦」を含むサイバー攻撃またはサイバー攻撃未遂事件に責任を負い、支援を提供し、または関与し、またはサイバー攻撃未遂事件を助長した者である。

として、GAO Qiang、ZHANG Shilong、Alexey Valeryevich MININ、Aleksei Sergeyvich MORENETS、Evgenii Mikhaylovich SEREBRIAKOVの6名、そして、Tianjin Huaying Haitai Science and Technology Development Co. Ltd (Huaying Haitai)、Chosun Expo、Main Centre for Special Technologies (GTsST) of the Main Directorate of the General Staff of the Armed Forces of the Russian Federation (GU/GRU)が、Annexで特定されています。

連邦またはその加盟国を脅かすサイバー攻撃に対する制限的措置に関する理事会実施規則(2020年7月30日)も、上と同様です。

EU代表ジョゼップ・ボレル上級代表の宣言:サイバー空間における国際的な安全保障と安定を促進するための欧州連合(EU)の対応(2020年7月30日)は、こちらです。内容的には、これらの決定の文脈的な説明ということになります。

法的な見地からは、EUのサイバー外交ツールボックスに基づいた対応ということになります。

外交ツールボックスについては、2019年のCYCONのLiisのプレセンの記事で触れています。

ただし、きちんと翻訳していなかったので、訳します。

ツールボックスの4項以降。

4. EUは、このような悪意のあるサイバー活動に対するEUの共同外交的対応がもたらす可能性の高い結果を明確に示すことが、サイバー空間における潜在的な攻撃者の行動に影響を与え、それによってEUとその加盟国の安全保障を強化することになると強調する。EUは、国家または非国家の行為者への帰属は、すべてのインテリジェンスに基づく主権による政治的決定であり、国家責任に関する国際法に従って確立されるべきであることを想起する。この点について、EUは、悪意のあるサイバー活動に対するEUの共同外交的対応の措置のすべてが、国家や非国家の行為者への帰属を必要とするわけではないことを強調している。

5. EUは、共通外交・安全保障政策の中の措置が、もし、必要である場合には、条約の関連規定の下で採用された制限的措置が悪意のあるサイバー活動に対するEUの共同外交的対応のための枠組みのもとで適切であり、そして、協調を奨励し、緊急および長期的な脅威の緩和を促進し、潜在的な侵略者の行動に対して影響を及ぼすべきであることを確認する。EUは
悪意のあるサイバー活動に対するEUの共同外交対応の枠組みを皿発展させるために努力しており、それは、以下の原則に導かれている。
– EU、その加盟国及びその市民の完全性と安全を守るために奉仕する。
– 関係国とのEU対外関係のより広い文脈を考慮に入れる。
– 欧州連合条約(TEU)とその達成のために提供されたそれぞれの手続きに定められた CFSP の目的を達成するために提供する。
– 加盟国間で合意された共有された状況認識に基づき手元の具体的な状況のニーズに合わせて対応する。
– サイバー活動の影響範囲、規模、期間、強度、複雑さ、狡猾さ、および影響に応じたものであること。
– 適用される国際法を尊重し、基本的権利と自由を侵害してはならない。

とされています。