SolarWinds作戦についてシュミット教授のの国際法的分析がでています。タイトルも「SolarWinds作戦と国際法」です。
まずは、事件の背景ですが、日本語での分析のまとめはこちら(piyolog)でしょうか。
オリジナルの情報でみていくと
12月7日に NSA(国家安全保障庁-No Such Agencyともいった)が、
ロシアの国家支援の悪意あるサイバー・アクターが、VMware®1 AccessおよびVMware Identity Manager2製品の脆弱性を悪用している。
というリリースを公表しました。
翌日には、FireEyeが顧客システムの脆弱性を特定するのに使う「レッドチーム」ツールの情報に対しての無権限アクセスがあったことを公表しました。
12月13日には、SolarWindsは同社が開発するOrion PlatformにSUNBURSTという脆弱性が含まれていたことを公表しました。Orion Platformというのは、そのHPによると、オンプレミス、ハイブリッド、およびサービスとしてのソフトウェア(SaaS)環境のIT管理を単一画面で簡素化するように設計された、強力かつスケーラブルなインフラストラクチャ監視および管理プラットフォームです。
同社の調査によると、(すこし遅れての模様)SUPERNOVAというマルウエアがあり、これが、サーバーに置かれ、SolarWindsの製品のように見えるようにデザインされていたとのことです。
また、報道等によると、攻撃者は、同社のアップデート配信サーバーにバックドア入りの正規署名更新ファイルを置いており、利用組織がこれを利用したことで、攻撃者側からの攻撃を受けるようになっていたようです。
また、同日、FireEye社からのSUNBURSTバックドアの具体的な分析がでています。
12月14日には、米国の政府機関内の電子メールを傍受していたという報告がでました。
これによって30万の企業や政府関係社に影響が及んだという報道がなされています。
アメリカ政府の対応としては、12月13日にサイバーセキュリティ・インフラセキュリティ庁(CISA)から緊急指令21-01が発出されています。
ちなみに、この法的な根拠については
米国法典第 44 編第 3553 条(h)(1)-(2)項では、国土安全保障省長官が、既知または合理的に疑われる情報セキュリ ティの脅威、脆弱性、または機関の情報セキュリティに対する実質的な脅威となる事件に対応して、「情報セキュリティの脅威から情報シ ステムを保護する、または情報セキュリティの脅威を軽減する目的で、機関の情報を収集、処理、保存、送信、普及、またはその他の方法で機関の情報を維持する、 機関のために他の事業体が使用または運営するシステムを含む情報システムの運営に関して、合法的な措置を講じるために、機関の長に緊急指令を発令する」権限を付与している。合衆国法律集第 44 編第 3553 条(h)(1)-(2)
2002 年国土安全保障法(2002 年改正)の第 2205 条(3)項は、この権限をサイバーセキュリティおよびインフラストラクチャセキュリティ庁の長官に委任している。6 U.S.C. セクション 655(3)。
連邦政府機関は、これらの指令に従うことが求められている。合衆国法律集第 44 編第 3554 条 (a)(1)(B)(v)
これらの指令は、法令で定義された「国家安全保障システム」には適用されず、国防総省または情報部 門によって運営されるシステムにも適用されない。合衆国法律集第 44 編第 3553 条(d)、(e)(2)、(e)(3)、(h)(1)(B)。
となります。
12月16日には、FBI、CISAとODNIが、サイバー統合コーディネーショングループを結成したというアナウンスがなされました。
という背景をもとに国際法的な分析に入ります。
効果帰属(アトリビューション)の問題
効果帰属の問題については、このブログでも触れました。きわめて多義的な意味、もしくは文脈に依存する形で利用される用語ですが、一番詳しい分析はこちらでしょうか。
攻撃者については、コージーベア(APT29)-ロシアの対外情報庁(SVR)の仕業であるとされました。(ワシントンポスト)(サイバースクープ)
ロシアはすぐに否定しましたが、ポンペオ国務長官が、ロシアの関与を明言しました。(もっとも、トランプ大統領は、フェークニュースであるとして、中国の関与を示唆しています)
Durbin 上院議員は、ロシアによる宣戦布告だといっているのに対して、Coons上院議員は、戦争というレベルになる侵略行為というのは、むずかしいといっています。
シュミット教授の論考では、トランプ政権の国土安全保障アドバイザーThomas Bossert氏が警告したことが紹介されています。
その修復作業だけでも膨大なものになるでしょう。広大な連邦政府や企業のネットワークにまたがるコンピュータ、ネットワーク・ハードウェア、サーバーの隔離された領域全体を交換する必要があります。
…
一方的な自衛権を留保しなければならないが、同盟国は大義に結集しなければならない。ロシアを懲らしめ、制御不能なエスカレーションなしにこの危機をナビゲートするために同盟(coalition)重要になるだろう。
また、バイデン次期大統領は、ステートメントで
ここ数日、大規模なサイバーセキュリティ侵害と思われる事件が発生し、米国企業や連邦政府機関を含む数千人の犠牲者に影響を与えていることが分かりました。まだ分かっていないことがたくさんありますが、私たちが知っていることは大きな懸念事項です。私は私のチームにこの侵害についてできる限りの情報を得るよう指示しました。また、ハリス次期副大統領と私は、チームに調査結果を説明し、この攻撃に対応するために24時間体制で働いてくれているキャリア公務員の方々に感謝しています。
私の政権は、政府のあらゆるレベルにおいてサイバーセキュリティを最優先事項とし、就任した瞬間からこの侵害への対応を最優先事項とすることを明確にしたいと思います。私たちは、政府全体の必須事項としてサイバーセキュリティを高め、民間部門との連携をさらに強化し、悪意のあるサイバー攻撃から身を守るために必要なインフラや人々への投資を拡大していきたいと考えています。しかし、優れた防御だけでは十分ではありません。そもそも敵が重大なサイバー攻撃を仕掛けてくるのを阻止し、敵を混乱させる必要があります。そのためには、同盟国やパートナーとの連携を含め、このような悪意のある攻撃の責任者に多額の費用を課すことが必要です。私は大統領として、国家へのサイバー攻撃を黙って見ているつもりはないことを、敵対者に知ってもらう必要があります。
と述べています。
現在の国際法の状況
シュミット教授は、SolarWinds作戦が、国際法に反しているのか、この場合、どのような対応が法的に許容されるのか、というのが問題であるとしています。
前提として国家責任が成立するものと仮定します。
国際的違法行為について
まず最初にロシアの作戦が、「戦争行為」に該当するかという点については、「戦争行為」という用語は、もはや国際法にはないことが明らかにされています。
- 武力の行使
国連憲章の2条4項の「武力の行使」に該当するかという点については、物理的損害・傷害が、これに該当することは争いがありません。そしてこれをサイバーインフの永続的機能損壊にまで広げることについては、合理的であるとされますが、一般の機能損壊に広げるかは、解決していません。また、「規模と影響」によって判断されることになります。
これらをみたとしても、ロシアの作戦が、(現時点において)「武力の行使」のレベルには、いたっていないと解されるとされています。もっとも、今後、取得した情報等をを利用して、実際の損害等を惹起した場合には、また、別個の話になります。
- 武力紛争
「武力紛争」は、現代において、敵対行為が、当事者間においてなされている状態をいい、戦争の現代的な用語ということになります。これについてもサイバー文脈において敵対行為に該当する「厳密な閾値」は、不明確であるものの、物理的損害もしくは傷害の結果を導くものとされてます。でもってシュミット先生の原稿をどうぞとのことです。
結局、情報機関が背後にいたとしても、単なる情報収集のみで、損害が発生していなければ、武力紛争には該当しないということになります。
- 干渉の禁止
ニカラグア事件判決において、強制とドメインレザベという二つの要素が明らかになっています。これを当てはめた場合には、SolarWinds作戦は、強制力を欠いていること、ドメインレザベについて強制力をもたらすものではないこと、から、これには該当しないと解されます。
- 主権侵害
主たる論点は、米国の主権侵害に該当するのか、ということになります。ここで、主権侵害は原則にすぎないのか、ルールなのかということはさておきます。具体的には、こちら。
この点について、シュミット教授は、主権は二つの方法で侵害されうる点について留意すべきだとします。その一つは、領土の不可侵を根拠とする場合で、サイバー手段によるリモートによる損害・傷害の発生です。この点については
領土性に基づく主権侵害の最善の論拠は、影響を受けたサイバーインフラを安心して運用するためには、SolarWindsの運用によって影響を受けたインフラの交換が必要であり、その必要性こそが必要な損害として資格を満たすということである。結局のところ、サイバー操作の結果として間接的な被害が発生する可能性が高い範囲では、主権侵害の判断を行う際にそれを考慮するのが合理的である。
ということになります。今一つの根拠は、先天的な政府機能への干渉もしくは略奪になります。報道においては、しかしながら、諜報という事実のみでは、干渉とは、考えられず、主権侵害とは認められないと判断されます。
結局、SolarWinds作戦は国際法に違反するものとはみえないとされます。
対応の選択肢
敵対的なサイバー作戦に対しては、国内的な法執行の手法などがありますが、国際法的にはどうでしょうか。自衛権の行使、緊急避難、対抗措置、報復(retorsion)について検討しています。
対抗措置と報復(retorsion) についていえば、
SolarWindsの作戦が対策の扉を開かない理由は2つある。第一に、すでに修復作業が行われており、ロシアを対象とした作戦がこの状況をどのように改善するかは不明である。影響を受けたシステムの安全確保のための米国の努力が完了するまでにはしばらく時間がかかるだろうが、米国の適切な対抗措置によって、ロシアに操作を中止するよう圧力をかけ、国家核セキュリティ局のシステムなど、影響を受けた主要なシステムへのロシアの存在を無力化することができるかどうかは疑問である。
しかし、対抗措置は、成功する可能性が高いものでない限り、許されるものではない。なぜなら、その目的は、状況を合法性のあるものに回復させること(あるいは賠償を求めること)だからである(ASR第49条(1))。成功する可能性がない場合、対抗措置は事実上の報復行為(retaliation )となる。報復( retorsion) 行為を除き、国際法上、報復は決して合法ではない。
第二に、対抗措置の対象となる行為は、国際的に不当な行為でなければならない(ASR 49 条(1))。上述したように、SolarWindsの活動がこのような行為に該当するとは考えにくい。対応が国際的に不当な行為に対する対抗措置として適格でない場合、前者の不当性を排除する根拠はなく、対応自体が国際的に不当な行為である。
最後に、米国は報復行為を行う権利を有している。後戻りという用語は、非友好的ではあるが、国際法の規則に違反しない行為(行為や不作為であってもよい)を指す。典型的な例としては、オバマ政権が2016年のロシアの選挙干渉に対応して行った制裁、外交官の追放、外交施設の閉鎖などが挙げられる。これらの行為は定義上合法であるため、報復または処罰の唯一の法的に許容される形態として報復行為が可能であり、その場合でも紛争の平和的解決に関する規則(タリン・マニュアル2.0.規則65)に従うことになる。
このように情報行為(エスピオナージ)は、それ自体、国際法に違反するものではなく、ロシアの行為は、「国際法におけるグレイゾーン」をつく行為ということができるという評価になるかとおもいます。
国際法が完全ではないとしても、実用的なツールであるとシュミット教授は結んでいます。
もちろん、その際には、敵対的なサイバー作戦に対応するための規範的な余地を保持することに ついて、国家が自らの利益に敏感であることが不可欠である。国家は、規範的なファイアウォールの構築と、正当な国益を確保するためのツールとしてのサイバー能力の活用との間で バランスを取らなければならない。
