アメリカの燃料送油管会社コロニアル・パイプラインがサイバー攻撃を受け、5月7日にパイプラインの稼働を停止した事件があります。この事件について、どのような法的論点が含まれるのかというのを見ていきたいと思います。
まずは、事件の経緯になります。この点についての網羅的なものは、なんといっても、
piyolog「 米石油パイプライン企業へのサイバー攻撃についてまとめてみた」
ということになるかと思います。
なので、具体的な事案については、このブログでは省略します。事案の特徴としては
- ランサムウエアによる攻撃であること
- 停止自体は、「第三者がパイプラインへの攻撃を可能とする情報を入手した可能性があることを考慮」したことによる
- 特定のシステムがオフライン化されたこと
- FBIがロシアベースのハッカーグループであるDarksideが犯行を行ったと断定したこと
などかと思います。法的な論点としては、
ロシアの責任の問題
と
Pay or Not to Pay
ということが大きな論点かと思います。
ロシアの責任の問題
というのは、国際法の観点からみた場合の問題点です。国際法の論点というのは、国対国の権利義務関係ということになって、一般に議論する国内法(サイバー犯罪とか)とは、また時限を別にみた議論になります。
この図は、法律のユニバースは、国と国との権利義務関係の国際法の次元と非国家と国等の関係についての次元があるということを示しています。
このような国際法の問題として、ロシアという国は、Darksideの犯罪に対して責任を負うのか、もしくは、責任を負うのは、どのような場合なのか、という問題があります。また、米国とロシアの間の交渉はどのような意味をもつのか、というのについても検討したいと思います。
ロシアの国家責任
パイプライン攻撃事件においては、FBIが、Darksideというロシアの攻撃者集団が、犯罪者であると指摘しています。日本語の記事ですと、「米石油パイプライン大手へのサイバー攻撃、犯人はロシアを拠点とする集団「DarkSide」とFBIが発表」が代表的かと思います。原文は、「FBI Statement on Compromise of Colonial Pipeline Networks」(5月10日)です。
FBIは、DarksideランサムウェアがColonial Pipeline社のネットワークを侵害した原因であることを確認しました。当社は、同社および政府のパートナーと協力して捜査を続けています。
ということになります。
これに続いて、「米石油会社サイバー攻撃、背後にロシア拠点集団 バイデン氏発表」という報道がされています。具体的な内容としては
米情報機関からの情報として、今のところ「ロシア(政府)が関与したとの証拠はない」とした上で、「ただ実行犯、ランサムウエアがロシアにあるという証拠はある」と言明。「彼ら(ロシア)には、これに対処する一定の責任がある」と述べた。
です。
ホワイトハウス関係のアナウンスメントは、
- Statement by Press Secretary Jen Psaki on the Colonial Pipeline Incident(5月10日)
- FACT SHEET: The Biden-Harris Administration Has Launched an All-of-Government Effort to Address Colonial Pipeline Incident(5月11日)
- Remarks by President Biden on the Colonial Pipeline Incident (5月13日)
5月13日のアナウンスを見てみます。原文は、
私たちは、ロシア政府がこの攻撃に関与しているとは信じていません-強調しておきます。 しかし、この攻撃を行った犯罪者たちがロシアに住んでいると信じる強い理由があります。 それはロシアから来たということです。
私たちは、責任ある国がこれらのランサムウェアネットワークに対して断固とした措置を取ることが必須であることについて、モスクワと直接連絡を取っています。
また、彼らの活動能力を停止させるための方策を追求していくつもりです。 司法省は、ランサムウェアのハッカーを法の及ぶ範囲で起訴するための新しいタスクフォースを立ち上げました。
となっています。 「ロシア政府がこの攻撃に関与しているとは信じていません」というのは、ロシアの国家責任をそれのみで問うことはしないということです。この点は、ソニーピクチャーズ事件において、「サイバー攻撃は「北朝鮮関与」と米当局断定」したというのとは、異なるということです。ここで、国家責任について、説明をしていなかったので、ちょっと論じます。
国家責任というのは、
国家が国際違法行為を犯した場合に負う責任
をいいます。言い換えると、国家は、私人の行為それ自体については直接には国際責任を負いません。もっとも、権限ある国家機関が私人(またはその集団)に対して、統治権にもとづく公的任務の遂行を要請する場合には、その私人の行為はその国家に帰属します。
この点についての従来の判断でもっとも代表的なものは、ニカラグア事件についての国際司法裁判所(以下、ICJという)の事件 になります。
この事件において、ICJ は、アメリカへの帰属が認められるか否かは
コントラのアメリカに対する関係が、コントラがアメリカの一機関または同政府に代わって行動するものとみなすことが正しいと言えるほど、法的に従属・支配の関係にあったか否かという問題である。
として
行為についてアメリカの法的責任を問うためには、原則として、アメリカが、主張される違反が犯された軍事的・準軍事的作戦に対し実効的支配を有していたことが証明されなければならない。
と述べています。
また、国連のILC(国際法委員会)が作成した「国家責任条文(Draft Articles on Responsibility of States for Internationally Wrongful Acts with commentaries, 2001)」というものがあります。この第8条は、
もし、私人またはそのグループが、行為をなすにあたり、実際に、国家の指示もしくはコントロールを受けている場合には、彼らの行為は、国家行為と考えられる
としています。国家の行為と認識されるには、有効なコントロールがあることを要すると解されています(有効なコントロールテスト)。
ところで、2001年に上の国家責任条文がまとめられたのですが、その直後に911テロ事件が発生し、この有効なコントロールテストをそのまま維持できるのか、ということが議論されました。「匿い、助ける(harboring and supporting)」だけで国家責任が認められるのではないかともいう説も有力に主張されました。もっとも、私の観点からは、伝統的な解釈を維持し、むしろ、相当の注意(デューデリジェンス)の解釈において、国家責任の有無を明確化するというのが現在の傾向であるように思えます。
サイバーセキュリティに関係する法と政策のコミュニティは、世界的にも、非常に狭くて、サイバー規範に関するグループとかですと、研究会のあとの懇親会のあとで、あの時の大統領のコメントは、こういう国際法的なバックグラウンドがあったよとか、聞くこともできるわけです。このような感じでいうと、上の
私たちは、責任ある国がこれらのランサムウェアネットワークに対して断固とした措置を取ることが必須であることについて、モスクワと直接連絡を取っています。
というのは、デューディリジェンス(相当な注意)という論点を背景に大統領が語っている(というか、リーガル担当者がいわせている)というのを伺わせます。
ロシアのデューディリジェンス
上で、非国家主体の行為に対しては、国家は、責任を負わないということを明らかにしました。では、全く負わないのかということになりますが、国家は、その領域内が、国際的に違法な行為に利用されるのを知りながら、これを許してはならないというように考えるようになっています。これは、相当の注意(デューディリジェンス)という概念で論じられています。
デューディリジェンスは、
(負の影響を回避・軽減するために)その立場に相当な注意を払う行為又は努力
という意味です 。この概念が、国際司法裁判所で明言されているものとして、コルフー海峡事件の判決( 海上保安協会 「3 通航の安全を確保する沿岸国の義務 参照)があります。この事件において裁判所は、
すべての国家は、その領域が他の国家の権利に背く行為に利用されるのをしりながら許容することはできない義務がある
と論じています。これは、国際法における積極的義務(主要ルール)の一つです。
公海については、 1982年12月10日海洋に関する法の実装についての国際連合条約 や、 1991年の大西洋条約に関する環境保護プロトコル 、環境保護に関する条約によって明らかにされています。
また、第二次世界大戦後、国連を中心に数多くの人権に関する条約が採択されており、その条約のなかで、とりわけ、女性差別の分野、難民保護の分野で、このデューディリジェンス概念が頻繁に使用されるようになっています。
サイバー作戦についても、このデューディリジェンスが論じられています 。タリン・マニュアル2.0は、規則6でデューディリジェンスの一般原則、規則7で、デューディリジェンス原則への適合を論じています。その意味で、この一文は、このランサムウエア攻撃に対するロシアのデューディリジェンス義務を念頭においたものに思えます。
この法理を現実に適用する場合について、「知りながら」というのは、どのような場合をいうのか、また、デューディリジェンスを遵守することとは「停止する」ことで足りるのか、防止することまで要するか、という点について、それぞれ解釈上の争いがあります。
ここで「知りながら」というのは、現実に悪意(Actual knowledge)であることのみならず、悪意と同視しる場合(Constructive knowledge)をも含むと解されています。現実に悪意である場合は、被害にあっている国からの連絡もありえますし、サイバー活動の発信元を特定する諜報機関の活動による場合もあります。悪意と同視しうる場合というのは、知るべきであった場合ということになります。
デューディリジェンスを遵守することとはどのような内容であるか、という点についても、「停止する」ことで足りるのか、防止することまで要するか、という点について争いがあります 。敵対的な活動を終了させる必要はあるが、防止する義務は存在しないというものが、多数の見解といえるでしょう。また、合理的な手法のすべてを採用するべきというベストエフォートの義務があると考えられています。すなわち、結果がそれでも生じた場合には、国家の国際的な責任に関する法に従うことになります。
今、ひとつの論点として、
Pay or Not to Pay
の論点があります。この論点というのは、まさに、ランサムウエアに対して、被害を追った企業は、その身代金を支払うことが許されるのか、という問題です。これについては、エントリを変えて論じます。
ちなみに、 グッドワイフのシーズン6、エピソード5 「スポットライトの中へ」は、ランサムウエアのエピソードが出てきます。米国では、2015年のエピソードというのも驚きです。
