パイプライン攻撃事件の法的論点 (「Good wife」の予言-犯罪者サイトのテイクダウン/ハックバック/ビットコインの押収?) -Colonial Pipeline事件

パイプライン攻撃事件の犯人である「ダークサイド」のサイトが、テイクダウンされ、また、犯人たちのビットコインウォレットが侵入されたという報道が出ているのは、「パイプライン攻撃事件の法的論点 (支払うべきか、支払わざるべきか、それが問題だ) -Colonial Pipeline事件」で述べた通りです。

この種の事件において、犯人たちが、真実を述べる、という保障は全くないのですが、教科書事例として、

仮に犯人たちが、真実を語っており、何ものかによってアクセスができなくされ、/犯人たちのビットコインウォレットが侵入され、彼らのビットコインが持ち去られた

とした場合の法的な問題について考えようと思います。

ところで、アメリカの人気ドラマに「Good Wife 」というのがあります。そのシーズン6 エピソード5は、ランサムウエアがでてきます。エピソードの紹介は、WOWOWは、ここ。詳しくは、こちら(韓ドラおばさんのブログ)です

(以下、ネタバレです)

(事務所のメンバーの)カリンダが(FBIの捜査員の助けを借りて)犯人のPCにプッシーライオットの写真や大統領の変な写真をアップしてしまって、犯人がギブアップして、ランサムの解除のキーを渡してくる

わけです。

被害者が、攻撃者に対して、その攻撃者の脆弱性をついて、逆襲する

ということで、被害者による「アクティブディフェンス」ということになります。アクティブディフェンスというのは、

民間主体において、自己または第三者に対するサイバーセキュリティの侵害行為がなされているのに対して、サイバーセキュリティ侵害行為の予防・抑止・防止・探知・証拠取得・再発防止のために、サイバーセキュリティの侵害的要素をなしうる行為

ということになります。私は、InfoCom review 72号 で、私の見解を明らかにしております。

でもって、このエピソードは、2014年10月にオンエアされたそうです。アクティブディフェンスでの有名な報告書である「グレイ・ゾーン」(Center for Cyber and Homeland Security (CCHS))報告書は、2016年なので、いつものことながら、米国のドラマの脚本家たちのテックの最新話題についての追いつく能力には、関心させられます。

(ちなみに、当社のブログだと 「 CSI:サイバーで学ぶ情報セキュリティ・ シーズン1」というエントリで紹介しておきました)

最初の問題は、

テイクダウン

についてです。

では、実際に誰がテイクダウンしたのか、ということです。近いうちに、真相が明らかになってくるのかもしれませんが、現在の段階では、ダークサイドがアクセスができなくなったのが誰の行為によるのかというのは、不明です。報道は、AFPによるものですが、代表的なページとして「Colonial Pipeline事件のハッカーのダークサイドのサーバがダウンさせられる (Servers Of Colonial Pipeline Hacker Darkside Forced Down: Security Firm)」があります。

その報道では、

Darkside社のウェブサイトを誰がダウンさせたのかを示す証拠はありませんでしたが、米軍のサイバー戦争グループである第780軍情報旅団(780th Military Intelligence Brigade)のツイッターアカウントが、金曜日にRecorded Future社のレポートをリツイートしました。

とされています。

シナリオとして

  1. ロシアが、米国との手前、国内の犯罪者対策に本気を出さなくてはならなくなって、ロシアの法執行機関/情報機関等がダークサイドがアクセスできなくなるようにした
  2. 米国の法執行機関が、Colonial Pipeline事件の捜査のために、ダークサイドの管理しているサーバに対してアクセスして、ダークサイドがアクセスできなくした
  3. 米国の情報機関が、ダークサイドの管理しているサーバに対してアクセスして、ダークサイドがアクセスできなくした
  4. Colonial Pipeline社が専門家の助力を得て自ら、ダークサイドの管理しているサーバに対してアクセスして、ダークサイドがアクセスできなくした

あたりの場合があるのかな、と考えるところです。

1 ロシアの場合

これは、ロシアの法執行によるのか、はたまた別の手段によるのか、ということになりますが、なかなか、ロシア法までは、わからないので、ここでは、パスします。

(もっとも費用が出る場合には、調査いたします)

2 米国の法執行機関の捜査

この場合、米国の法執行機関が、Torネットワーク内のダークサイドの運営しているサーバに侵入して、ダークサイド(も一般からも)アクセスできなくするということは、技術的には、可能になるわけでしょう。法的にどうなのか、ということになります。

この論点については、「法的分析(FBIの未対策サーバのWebシェル削除を“代行”)」のエントリで分析しましたが、そのようなサーバに「侵入」して、証拠を抑えるということは可能なように思えます。

この場合の問題点としては、

  • 海外の存在するサーバに対して法執行機関がアクセスすることが、そのサーバの所在国の主権を侵害しないのか

ということになります。主権概念等については、省略します。解釈として、司法権の重要な機能について他国の強制的(coercive)な権限の行使については、主権侵害になるかと思いますが、「脆弱性を悪用して」証拠を取得したりアクセスしたりというのが「強制的(coercive)な権限」の行使かどうかについては、議論のあるところです。サイバー犯罪条約でもっとも争われた条文のひとつです。

でもって、この主権問題について検討する前にColonial Pipeline社から、被害届けを受けた法執行機関は、何ができるの?ということを考える必要があります。この場合、興味深いのは、「コンピュータ侵入者」例外、§2511(2)(i)かと思われます。

同条は、

①コンピュータの所有者またはオペレーターが侵入者の通信の傍受を許可すること②通信傍受者が捜査に合法的に従事すること③コンピュータ侵入者の通信の内容が捜査に関連すると思料する合理的理由があること④侵入者の通信以外を傍受しないことという要件を満たした場合に、コンピュータ攻撃の被害者が、法執行機関にコンピュータ侵入者の有線または電子通信を傍受する許可を与えています。法執行機関は、そのような場合に保護されたコンピュータ「に対して、を通して、あるいは、から」コンピュータ侵入者の通信を傍受することができる

わけです。なので、ダークサイドの通信については、法執行機関が傍受(リアルタイムでの内容の取得)をすることができるわけです。基本的には丸裸だったわけでしょうね。

でもって、彼らのサーバのいろいろな記録を取得したい、ということになり、侵入して、アクセスを禁止して、そのデータを取得するということができるのか、ということになります。上の主権の問題です。

我が国では、ちなみに、前田雅英「第227号 国外サーバへのリモートアクセス~最二小決令和3年2月1日わいせつ電磁的記録記録媒体陳列、公然わいせつ被告事件 ※1 ~」でコメントがなされている最高裁判決があります。

この事件については、

各リモートアクセスの対象である記録媒体は、日本国外にあるか、その蓋然性が否定できないものである。なお、上記各リモートアクセス等について、外国から反対の意思が表明されていたような事情はうかがわれない。

という状況のもと、

電磁的記録を保管した記録媒体が同条約の締約国に所在し、同記録を開示する正当な権限を有する者の合法的かつ任意の同意がある場合に、国際捜査共助によることなく同記録媒体へのリモートアクセス及び同記録の複写を行うことは許されると解すべきである

とされました。もっとも、本件に当てはめると、ダークサイドは、「同意」をするはずもないので、この最高裁の判決を越えたところにあるわけです。

ところで、本件の問題は、ところで、「海外の存在するサーバに対して」権限を行使したのか、という問題があります。仮想化技術を用いた場合には、データが保存された機器が、どこに存在するのかというのを特定するのがきわめて困難になります。そのような場合に、データの保存された機器の損する国が、我が国の主権が侵害されたというのをいうことは事実上、困難になります。そのような場合に、米国は、外国の主権侵害をした、というのは、実際としてはありえないことになるだろうと思います。

3 情報機関のインテリジェンス工作による

いま一つは、米国の情報機関が、その権限に基づいて基づいて、サーバの遮断、アクセスの停止をしたというシナリオになります。米国の情報機関が、その権限に基づいて、国家の非公然活動としてそれらの工作をなしたということになります。

ここで、用語法としておすすめしないのは、「露サイバー攻撃に「対抗措置」 バイデン大統領、首脳会談で問題提起へ」(産経新聞)というような用語法です。国際法の文脈では、対抗措置というのは、一定の意味をもった専門用語として用いられます。

2001年に国連の国際法委員会が国連総会において提案した「国際違法行為に対する国家の責任に関する条文」(以下、国家責任条文といいます)というのがあり、徐々に国家責任に関する国際法の標準的な叙述と認識されつつあります。そこでは、「第22条 国際違法行為に対する対抗措置」として

第3部第2章に従い、他国に対してとられる対抗措置を構成し、且つ、その限りにおいて、他国に対する国際義務に違反する国家行為の違法性は阻却される。

とされています。本件については、ロシアの国家責任が認められる案件ではない、というのがアメリカの公式なスタンスであるので、「国」に対する行為としての「対抗措置」というのは、採用されないわけです。「用語法としておすすめしない」といったのは、そういうわけです。

ところで、このような攻撃が国家責任の及ぶものとして行わされいたらどうでしょうか、という仮定の質問をなすことができます。

国家責任条文の「第2章 対抗措置」では、この対抗措置の要件について、問題における義務の履行回復を可能にするための方法としてとられること、責任ある国家に対して、国際義務が存在している間の不履行に対してなされること、(同条文 49条)、国連憲章等に定められている他の義務に違反し得ないこと(50条)、また、均衡性が保たれるべきこと(同 51条)、義務履行の要請がなされている間のみにとりうること(52条)が記されています。これらは、タリン・マニュアル2.0でも、同様の趣旨が明確にされています(対抗措置をなしうる一般原則については、ルール20、目的についてルール21、限界についてルール22、均衡性についてルール23)。

ということになります。「国連憲章等に定められている他の義務に違反」しているとはいえないでしょうから、そのような工作は、可能なように思えます。今後の何かの機会に考えてみたいと思います。

4 Colonial Pipeline社が専門家の助力を得て自ら行う

この場合は、まさに上で述べたアクティブサイバーディフェンスの場合になります。詳しくは、上の論文でふれた所です。もし、やられたらやりかえす「ハックバック」だ、ということでやりかえした場合、そのような行為は、「報復的ハッキング(Retaliatory Hacking)」ということになるかと思います。もっとも、このような行為については、司法省のコンピュータ犯罪知的財産部刑事課(Computer Crime and Intellectual Property Section Criminal Division)の「コンピュータ犯罪の起訴」(Prosecuting Computer Crime) というマニュアルにおいてコメントがなされています。そのマニュアルの付録Cは、「被害者の対応と報告のベストプラクティス(Best Practices for Victim Response and Reporting)」であり、そのBの「コンピュータインシデントに対応して」の「4. 攻撃者のコンピュータに侵入したり、損害を与えたりしない」で、以下のような記載があります。

そのように(注、攻撃者のコンピュータに侵入したり、損害を与えたりをさす)したい誘惑にかられることがある(特に攻撃が続いているときは、そうである)が、会社は、自ら、攻撃者のコンピュータに対して「ハックバック」などの攻撃的な手段をとるべきではない-たとえ、それが、理論的に「防衛的」であるとしてもである。そのようにすることは、動機がなんであれ、違法である。さらに、たいていの攻撃は、感染している第三者からなされるのであって、意識がなく、「ハックバック」は、意識のない当事者のシステムに損害を与えることになる。しかしながら、もし、できるのであれば、攻撃しているシステムに対する真の攻撃もとを特定する助けをしてもらうことができる。

ということなので、なかなか実際には考えにくいところですが、可能性はないことはないでしょう。

ビットコインの引き出しについて

ビットコインについては、いわば、株式取引の「板」(いた)が公表されているのと同じ状況なので、どのような取引があったのかをブロックチェーン上で確認できるのは、周知の事実です。そこで、そのような分析をしたニュースがでています。「アメリカのランサムウエア攻撃者は、サーバとビットコインが押収された闇に消える(U.S. Pipeline Ransomware Attackers Go Dark After Servers and Bitcoin Are Seized)」という記事です。

この記事は、「撤退詐欺(exit scam)」かもしれないとしています。そして、

ブロックチェーン分析会社のElliptic社によると、DarkSideの恐喝者が使用しているビットコインウォレットは、5月8日にColonial Pipeline社が行った75BTC(320万ドル)の支払いを受けた後、5月13日に500万ドルのビットコインが空になっていました。3月4日から活動を開始したこのウォレットは、21の異なるウォレットから合計57件、1750万ドルの支払いを受けています。DarkSideは、2020年8月に脅威の状況に登場して以来、少なくとも6,000万ドルを保有していると推定されます。

Elliptic社によると、このウォレットから過去に流出した暗号通貨を追跡した結果、ビットコインの18%が少数の取引所に送られ、さらに4%がロシアや東欧の顧客を対象とした世界最大のダークネットバザールであるHydraに送られていたとのことです。Chainalysis社によると、Hydraは2020年に世界のダークネット市場の収益の75%以上を占め、暗号犯罪の主要なプレーヤーとして位置づけられています。

ということは、法執行機関が回収したということでもなさそうですね。

記事によるとランサムウエアのグループのなかには、ヘルスケア、教育、政府機関に対する行使を禁止するのまで出てきているそうです。でもって、四つの主要なプレイヤ(REvil, LockBit, Avaddon, Conti.)によって独占されるということだそうです。

自分たちのランサムウエアは、「人道的」な使用しか認めないとか議論しているのでしょうか。すごい世界ですね。

関連記事

  1. GCSCスタビリティ報告書 分析6
  2. トラストサービスフォーラムinベルリン Day2 その1 後半
  3. CyConX travel report Day One Key…
  4. Cycon 2019 travel memo day2 (1)
  5. Cycon 2019 travel memo day3 (2)…
  6. ジョセフ・ナイ サイバーと倫理
  7. ボットネット・テイクダウンの法律問題(初期) 前
  8. 北條先生の「サイバー対策 法見直し必要」
PAGE TOP