証券監視委「デジタル鑑識」へ新設部署

NHKのニュースで、「デジタル鑑識」という用語がピンとこないというコメントを聞きます。これは、デジタル・フォレンジックスの翻訳だと思いましょう。私なりの定義は、概念のページにおいてあります。

ちょうど、フォレンジックスまわりは、日本では、2002年後半くらいから、関係者で議論されてきました。アメリカでは、2000年くらいに、Computer forensicsの本がたくさん出版されるということがありました。

私は、そのころから、お手伝いしていて、社会安全研究財団さんをお手伝いして、「アメリカにおけるハイテク犯罪に対する捜査手段の法的側面」報告書をまとめたのが、2003年のことです。公開は、2004年3月です。

その成果の報告をかねて2004年4月5日にJSMS分科会で、講演したのですが、そのときの資料では、
•警察庁-「 (略)2004年度までに、司法手続きのための電子的記録の解析技術に関する系統的な調査研究等を行い、『コンピュータ法科学』分野の確立を目指す。(警察庁-「e-Japan重点計画-2002」の「5 高度情報通信ネットワークの安全性及び信頼性の確保」の「具体的施策」)
が、このようなプロジェクトを考えていたことを紹介しています。

あと、佐々木良一先生が、 (http://www.cyberpolice.go.jp/column/explanation03.html)で解説していました(これは、2003年の末くらいでしょうか)。(今は、リンクぎれです)

2004年の年末飲み会(コミュニティ)やろうね、といって、イベントを始めましょうということになりました。その年は、情報漏えいの当たり年だったので、フォレンジックスへの注目を集めるために、新聞記事あたりで、「デジタル鑑識」として、取り上げてもらうように動いたような気がします。

 

 

Not act of war

戦争の状態には、いたっていない、というオバマ大統領のコメントが紹介されています。 比例的な対抗措置という用語であったり、戦争状態ではない、というコメントといい、大統領の用語というのは、きちんとした法的なもとに読まれるべきものであることを痛感します。

ちなみのいつ戦争レベル(武力攻撃)になるかについては、このページを参照ください。

北朝鮮で大規模なネット障害か

北朝鮮で大規模なネット障害か  という報道がなされています。以前のポストで、対抗措置に触れましたが、真実のところは、法的には、対抗措置としてインテリジェンス(准軍事的手法)が選択されたと考えることも可能かと思われます。 国際法的には、適法ですが、非公然なうちになされるので、対抗措置かどうかさえもわからない、という形になるものと考えられます。

オバマ大統領 対抗措置を明言

Obama Says Sony ‘Made a Mistake’ Canceling Film との記事がでています。法的な観点からは、このなかのThey caused a lot of damage and we will respond. We will respond proportionately and we will respond in a place and time and manner we choose,” the president said.というコメントに注目しています。

レインボーウォーリア号事件依頼の非公然行為が公然になった事件になりました。私としては、対抗措置として、准軍事的行為まで可能性があると分析しています。(北の通信インフラが特定できれば、特殊工作までありかと)

対抗措置とは「被害を被っている国家が違法な行為の中止を求め、あるいは救済を確保するために、武力行使にいたらない範囲で相手国に対してとりうる措置」とされています。具体的には、「外交、インテリジェンス、軍事、政策、法、経済」制裁がありえます。「proportionately」ということで、比例原則のかきりでなくてはなりませんが、被害が大きいといっているので、それにつりあう工作がなされると考えています。

記事には、対抗措置の分析のもあります。「Try to run the North Korean government off of the internet.」によると、
most North Korean websites are hosted on servers in Japan and Thailand; the only internet service provider inside North Korea is a Thai joint venture ということなので、タイ政府とご相談するというのも合理的な選択と思われます。

サイバー攻撃は「北朝鮮関与」と米当局断定

サイバー攻撃は「北朝鮮関与」と米当局断定 という記事がでています。これは、国家責任の発生する行為とし認定されたものということになります。

これを専門家の見地から見るとき、インテリジェンス行為としての准軍事的行為という位置づけになりうるものとかんがえます。国家によるテロ関与としてとらえると「国際テロが、テロを支援した国家の実質的な指示、指揮あるいは命令に基づいて行われた場合、当該テロに関する国際法上の責任は、テロを支援した国家が負うことになる。」ということになります。

先例としては、レインボーウォーリア号事件になると思われます(1985年)。
フランスの諜報機関(DGSE)グリーン・ピース所属のレインボー・ウオーリア号を爆発・沈没させた事件ですが、フランスの関与の証拠が残っていて、否定できなかった事案です。結局、損害賠償等をしなければならなくなったわけです。北にたいして、どのような対抗措置をとりうるのか、米国の対応が法的に興味深いところです。

法的には、このような位置づけになるものと考えられます。このような分析をするところは、ないかと思いますが、理論的には、このような分析がなされてるはずです。

映画会社とアクティブ防衛

ソニー・ピクチャーズが盗まれたデータの流出サイトをDDoSで反撃(追記あり)という記事がでています。ちょうど、今度の水曜日に、Securitydaysでアクティブ・サイバー防衛まで話をしようかと思っていたので、参考になりました。
アクティブ・サイバー防衛というのは、米国国防総省の「脅威および脆弱性についての発見、探知、分析、対応のための同調された、リアルタイムの作戦」という考え方およびそれにともなう活動をサイバー防衛に適用しようというものです。概念としては、(1)リアルタイム(損害が発生する以前)における探知および対応(2)積極的な対抗措置(被害ネットワーク以外に対する積極的妨害・加害行為)の二つを含みます。

わが国では、(1)で通信の秘密との関係が問題になります。また、(2)については、世界的に、法的に許容されるのか、ということが問題になります。流出しているサイトに対する業務妨害(サボタージュ)の構成要件には、該当するような気がします。ただし、そのサイトを国外から攻撃するのが構成要件該当性を有するのか、違法性阻却事由を有するのではないか、という論点をクリアする必要があります。

非公然活動みたいなもので、ばれないようにやる、ということはありうるのでしょうが、法律家としては、コメントできない話になりますね。

ロボットとコンピュータセキュリティ

イーロン・マスクは5年以内にロボットが人間を殺し始める危険性があると考えているhttp://www.lifehacker.jp/2014/11/141127elon_musk.html

という記事ですが、コンピュータセキュリティも同じ話になっているかもしれません。

アクティブサイバー防御の論点では、「ホワイトワーム」が論じられています。要は、マルウエアを見つけて、攻撃の被害が出る前に、その攻撃元をたたいてしまおうという話です。この攻撃元が、「武力行使」レベルを準備していると分析されると、その抑止のために、武力で応じることができることになります。その判断にミスがあった場合には、どうなるのでしょうか。83年の映画「ウォーゲーム」でも問題になりました。

法的には、正当防衛・緊急避難の要件を満たすホワイトワームの行使(厳密に論じるとたくさんの論点があります)が必要なのでしょうが、自動的にその要件を満たすように設計できるのでしょうか。
そんなことも考えさせられる記事です。

RSAが4月に!

RSA conference2015は、4月になりました。いままで、調査とかをかねて、2月にいって、ABAの弁護士さんたちと会うのが楽しみだったのですが、調査のタイミングでというのは、難しいそうですね。

むしろ、研究資金的なものをゲットすると、訪問するのには、いいのかもしれません。

サイバー情報共有の法的分析

司法省のサイトで、サイバー情報共有の法的分析の報告が上がっています。

攻撃されたとかの情報を共有することが、電子通信プライバシー法違反にならないかどうかという点については、問題ないよという回答なされています。

詳しくみると、同法 2702(a)(1) and (2)は、「Whether the SCA prohibits an electronic communication or remote computing service provider from voluntarily disclosing “aggregate” non-content information to the
government.」としており、任意で、内容ではない「統計的」情報を政府に開示することを禁じているのですが、情報共有はこれに反するのではないかという問題が生じるのです。

解釈論としては、統計的な手法によって処理されていれば、政府と共有してもかまわないと信じているということです。(ちなみに、わが国では、こういう情報を「トラヒックデータ」と読んでいたりします)

わが国でも、通信を識別しうる情報の限りでは、通信の秘密の対象となると関されており、逆に識別し得なくなっていれば、その範囲をこえるので、同様の解釈になるかと思われます。

もっとも問題は、特定のコミュニティの中では、識別しうる情報がほしいので、それがどのような要件のもとで、誰に共有されうるか、ということだろうと思います。米国でも、それは、生々しくは議論できないのでしょうね。

 

国家支援によるサイバー諜報行為 2

1)世界における積極的評価の認識

 サイバーインテリジェンスが重要な意味をもつ概念であるとして論じられる場合、機能的に積極的な意味、国際法的に違法とは評価されていない事実に注意しなければなりません。

機能的なアプローチをとる場合には、インテリジェンス行為によって得られた情報によって不必要な摩擦をさけることができ、平和な関係を育てることができるとされています。

国内的には、いうまでもなく、国家の指導者層は、インテリジェンス行為によってえた情報を用いてよりよい政策決定をなすことができる。このような機能は積極的に評価されるべきと考えられています。

次に、国際法的に違法であると評価されるのではないかという問題がある。
一般的に問題になる平時 におけるインテリジェンス行為の違法性については見解が分かれています。

具体的には、
(ア)積極的な機密事項の取得等は、国際法上、違法であるという立場(イ)積極的な機密事項の取得等は、国際法上、違法ではないという立場(ウ)積極的な機密事項の取得等は、国際法上、適法・違法であるというものとは別個の次元にあるという立場

があります。

この点についての先例的な事件は、U-2撃墜事件です。この事件は、1960年、メーデーの日にソ連を偵察飛行していたアメリカ合衆国の偵察機、ロッキードU-2が撃墜され、偵察の事実が発覚した事件です。この事件は、予定されていたフランスのパリでの米ソ首脳会談が中止されるなど大きな影響がありました。この事件において、このU-2偵察機のパイロットが、スパイをおこなっていたことを自白したために、当時のアメリカ合衆国のアイゼンハワー大統領は、「ソ連に先制・奇襲攻撃されないために、偵察を行うのはアメリカの安全保障にとって当然のことだ。パールハーバーは二度とご免だ」と発言したということです。

ここでは、国際法上の関係で、どれが適切な解釈であるかを論じるものではありませんが、外国におけるコンピュータのセキュリティを侵害して、そのデータを取得することが、国際法上、問題とされるものではない(国内法への抵触は別として)という見解がきわめて有力であることは念頭におく必要があります。

サイバーインテリジェンスは、積極的な機能を有すると評価する立場が有力である上に、国際法的にも、違法とはいえないという立場もきわめて有力です。
このように世界的な現実的な議論についての認識をもつことは、我が国におけるサイバーインテリジェンスに対する防衛の認識を高めるのに意味をもつものと考えられます。

(2)サイバーインテリジェンスの国内法的抵触

では、インテリジェス行為が各国の国内法との関係でどのような抵触関係を発生させるのかということについて検討することがでてきます。

正直、この点については、調査が追いついていません。調査予算が必要なところになります。

それはさておき、国家の非公然行為が、他の国の法益を侵害した場合、その行為は、国内法との関係で「理論的に」違法であるということになるのでしょうか。

まず、国家行為が、国内法との関係で規制しうるのか、という問題がでてきます。主権免除(クラウン免責特権)が、そもそも、どこまで認められるのか、そのような国外へのインテリジェンス行為が、この免除の特権の範囲なのかということが問題になりそうです。

また、行為国の法が、そもそも、どの程度、規制しているのかという問題もあります。米国においては、米国の諜報機関は、その基本的にある法理として、国外においては、USシチズンの人権については、別であるが、それ以外の権利については、なんら規制を受けることはないという理論のもとに活動をしています。したがって、米国の法は、かかる諜報機関の活動を制限するものではないということになります。

もっとも、被害をうけた国の法律がどのように適用されるのか、ということになります。行為者が外国から行為をなして、その行為によって国内のコンピュータが無権限アクセスを受けた場合には、その被害国の法律が適用されることになるのが一般です。属地主義の一般からいっても、被害発生も行為地の一つとされているものと考えられます。

これらを検討したものの、実際には、この問題が現実化するということはほとんどありえません。仮に、「国家支援」のサイバー攻撃に特定のものが関与していたとしても、それは、「国家支援」であるということについて、国家は、「みせかけの否定」をすることになり、個人での行為ということになることになります。

このような否定がなされずに国家が諜報機関のなした所為であるということを認めたのが、レインボーウォーリア号事件です。この事件は、1985年7月10日、ニュージーランドのオークランドで、フランスの情報機関である対外治安総局(DGSE)が、グリーンピースの活動船レインボー・ウォーリア号を爆破して沈没させ、死者1名を出したという事件です。結局、この事件については、フランス政府は、関与を認めて、国連事務総長の裁定をもとに、フランスは、ニュージーランドに金銭を支払うこととなりました。

(3)  対抗措置についての整理

サイバー攻撃が、理論的には、武力攻撃に該当しうること、その一方で、実質的には、サイバー攻撃のみで、武力攻撃に該当することはきわめて困難であるということはいえるでしょう。

武力攻撃レベルに該当した場合、従来型兵器による反撃自体も選択肢として可能であるということが認められるでしょう。その一方で、実際には、武力による反撃という選択肢が採用されることはまずないものと考えられるということに整理されることになります。

むしろ、国家によるインテリジェンス行為にたいして、被害国は、対抗措置をとることが許容されることになります。

対抗措置とは、被害を被っている国家が違法な行為の中止を求め、あるいは救済を確保するために、武力行使にいたらない範囲で相手国に対してとりうる措置をいいます。

国家責任が発生しうるものであるかという事実認定の問題が、先決問題として存在することになりますが、もし、インテリジェンス行為に対しては、対抗措置の問題と考えるのが本筋ということになるのでしょう。具体的には、外交、交渉、インテリジェンス、武力による対抗などが採用されるべき問題となります。