「サイバー攻撃の犯人は誰?知る必要はあるのか」という記事が出ています。「セキュリティ業界では、常識だと思われているが実はそうではない「セキュリティの非常識」がたくさんある。」として、有識者が語るという企画です。
有識者の意見としては、かなり限定つきの上で、「アトリビューションが重要でない場合もある」という意見のようです。たとえば、根岸さんは、「一方、一般企業がサイバー攻撃を受けたときは、その攻撃者が国家かそうでないかなどは関係なく、対策をきちんとやることが重要になります。誰が攻撃したかは二の次です。」ということで、アトリビューションがそれほど重要ではない場合もあるというスタンスのようです。
でもって、タイトルが、「攻撃者が誰なのかは重要か」なので、重要ではないという論に思えるけど、場合によるよねという話です。見事に、編集者の作戦に乗ってしまいました。
ただ、このような場合にアトリビューションがどのように意味を持っているのか、というのは、きちんと解説してほしいところです。その説明がないと、読者に有用な知識を授けることができないとおもいます。
有識者会議といっている以上、アトリビューションの意味について正確な知識を有していることをご紹介してもらってから、このような否定のディスカッションをすべきだとおもいます。それをしないと、判例・通説がある場合に、それをきちんと説明もできないのに、批判だけしている答案を読まされているような気がします。(要は、できの悪い答案)
まずは、
(1)攻撃者が、国家責任を発生させるものであるのかどうか
というのが、もし、Yesであれば、対応は、主として、国家間の問題となります。(主として国際法がでてくる)
この場合は、国家組織もしくは、そのエージェントなので、執拗な攻撃、もしくは、重要インフラに対する攻撃であるので、国家安全に関わってくるので、国としての情報共有・分析・対応が重要になってくるわけです。
民間だとしたら、
(2)デューデリジェンスによって国家の責任を問いうるものではないのか
というのが、もし、Yesであれば、対応については、国家間の問題に対する対応も問題となりえます。(国際法と国内法の交錯する部分)
というのが、現在の基本的な世界での考え方ということがいえるでしょう。
(1)でも(2)でも、被害を受ける民間企業の側では、基本同じではないか、というのは、原則としては、そのとおりでしょう。ただし、法的な分析の側面では異なってきており、「アトリビューション」から考えるというのは、ある意味、国際社会の常識となっているということは留意すべきでしょう。
この意味での常識についてのコメントがないので、記事は、悪意があるのではないか、とまで思えてしまいます。
常識であるといっているのには、具体例があります。
もっとも、代表的なものとしては、ソニーピクチャーズエンターテイメントにおける対抗措置をあげることができます。私のブログでもふれています。(オバマ大統領 対抗措置を明言)(Not act of war)
また、オバマ・習近平対談の後、サイバー攻撃が如実に減少したという記事もあるでしょう。(「2015 年 11 月 30 日付のワシントンポスト紙は、「政府当局者の話として、司法省が中国軍の 5 人の将校を起訴したのを受けて、中国軍は米国の産業秘密のサイバー窃盗を縮小した。そして、突然の攻撃の縮小は、法的措置が一般に思われているより大きな影響があったことを示している。さらに、起訴を発表した時から、PLA は民間企業に
対するサイバー・エスピオナージに実質的には行わなかった。」という記述をする論考があります 「中国のサイバー能力の現状」DRC 研究委員 横山 恭三)
インターポールでも、国家関与になると、関与しなくなるというのは、非常に興味深いです。(「僕がインターポールで働く理由」~ サイバーセキュリティのプロフェッショナル 福森大喜さんにインタビュー)
#インターポールの目的や原則を定めた「ICPO憲章」では「インターポールは政治的な争いや宗教的な争いには一切関知しない」とされています。なので、WannaCryでも何でもいいんですが、マルウェアが出てきてもどこかの国の政府が諜報活動として関与しているとなると、インターポールはいっさいタッチできなくなっちゃうんですね。
これらの実行を紹介しないで、「アトリビューションは、重要ではない」という印象を読者に与えるとしたら、虚構ニュースといわざるをえないとおもいます。