脅威インテリジェンスサービスの利用とコンプライアンス(4)

脅威インテリジェンスサービスの利用とコンプライアンス(3)の続きです。
4の続きは、シナリオ2 脆弱性の購入です。
この部分は、ガイダンスをそのまま翻訳することにしましょう。

セキュリティの脆弱性とマルウェアはコンピューター犯罪を犯すために頻繁に使用されており、犯罪行為を支援するために販売される場合は連邦犯罪ですが、セキュリティの脆弱性またはマルウェアの単なる購入は単独で、犯罪目的なしの場合には、一般的に違法ではありません。
ただし、2つの例外があることは、言及する必要があります。
一に、電子通信をひそかに傍受するように設計されたソフトウェアの所有または販売は、盗聴法に違反する可能性があります。同法は、「主たる目的が、密かに、有線、口頭、電子的通信を傍受するために設計されたことを知って、もしくは知りうる場合に、電子、機械、またはその他のデバイスを意図的に所有すること」を禁止します。電子通信を傍受するように設計された特定のマルウェアは、この定義に該当するため、所有することは違法である可能性があります。購入した場合の法的リスクを最小限に抑える最良の方法は、2512条に該当する可能性のあるマルウェアは取引が発生する前に法執行機関に問い合わせ調整することです
2番目の例外は、売り手が指定された外国のテロ組織、またはIEEPAに基づく経済または貿易制裁の対象となる個人または団体であるため、購入が禁止されている場合です。 これらの懸念は、購入時に生じるものと同じです。盗まれたデータにおける IEEPAなどの当局の下での法的責任とその最善の対処方法を説明した上記の説明を参照してください。

あと、いままでに見たような具体的なガイダンス以外に
「常に守るべき二つのルール」
「オンラインフォーラムで適法にインテリジェンスを収集するためのティップス」
「ベストプラクティス」
などのアドバイスがなされています。
このベストプラクティスのところで、「法執行機関は、インテリジェンスを収集している無辜の人と犯罪者を区別できないので、調査の対象となりかねない。してがってFBIのフィールドオフィスやシークレットサービスと継続的な関係を締結しておくこと」と提唱されています。
日本だとこのようなガイダンスが出ることはなさそうだなあ、と思っていたりします。
 
 
 

関連記事

  1. 欧州電気通信コードのもとでの通信プロバイダのセキュリティ手段ガイ…
  2. 北朝鮮で大規模なネット障害か
  3. Cycon 2019 travel memo day1 (4)
  4. ジョセフ・ナイ 露のサイバー攻撃 戦闘伴わぬ「新兵器」
  5. 米司法省、中国人ハッカーを起訴–新型コロナの研究など…
  6. 日本で没収保全命令は使えるのか?-米国におけるボットネットテイク…
  7. サイバーセキュリティ経営ガイドライン v20をどう考えるか
  8. NISC「ランサムウエアによるサイバー攻撃に関する注意喚起につい…
PAGE TOP