日本経済新聞に「サイバー攻撃 名指し「反撃」」という記事がでています(5月13日付け)。

事象としては、宇宙航空研究開発機構（JAXA）などへの一連のサイバー攻撃について

日本の警察は初めて、国家が関与する攻撃元を特定し、名指し

たことを指しています。

2021年4月2日には、「中国共産党員を書類送検　サイバー攻撃に関与か―ＪＡＸＡなど標的・警視庁」しています。

被疑事実は、「私電磁的記録不正作出・同供用」の疑いということで、

サイバー攻撃に使われた国内のレンタルサーバーを５回にわたって偽名で契約した疑いが持たれている。

ということです。

おなじみpiyologのまとめは、こちら。

攻撃者の特定と「アトリビューション」という用語ですが、(国際)法的には、行為者を特定した上で、国家責任を責任ある国家に「帰属」させる行為をいいます。その意味で、「アトリビューション」を少なくても、法的な論文(もしくは、法的な背景が求められる論文)においては、使わないほうがいいだろうというのが私の意見です。

まず、私の意見では、アトリビューションについて、もっともまとまった見解は、タリンマニュアル2.0のマネージングエディターのLiis Vihul先生の「悪意あるサイバー活動の責任を帰属させる-法と政策のインタープレイ」( Attributing Malicious Cyber Activity-Interplay between Law and Politics)」 だと思います。要するに

法的な局面ごとに効果も要件も異なってきます

ということです。

solarwinds事件についてのアトリビューションのついてふれた私のエントリは、こちらです。

エントリとしては、専門家風の用語の落とし穴「アトリビューション」 として紹介しておきました。もっとも、このようなブログを書いても、セキュリティ業界は、影響を受けるわけではなく、行為者の識別という意味で、アトリビューションを使う傾向は、まったく変わらないということではあります。

あと、国際法的に、国際法上、違法な行為(international wrongful act)を行った名指して「辱め」を受けさせるという意味で、関与国を示すことは、アトリビューションというよりも「晒し(naming and shaming )」と呼ぶのが一般ですね。 記事でも、その点は、配慮していて

「ネーム・アンド・シェイム」（名指しし、恥をかかせる）による抑止効果を期待できる場合もあり、制裁を科す根拠にもなる。

としています。このように特定できた要因について

警視庁は攻撃に使われたサーバーを特定。契約していた中国人関係者を割り出し、聴取で供述も得た。ネット上の追跡と、リアル空間の捜査がうまくつながった理想的な展開となったことが要因だ。

としています。興味深いですね。