米国において、特にマイクロソフト社が積極的に、ボットネットのテイクダウンを行っていることは、我が国でも有名かと思います。その根拠法令をしらべて米国の柔軟な法制度をみたときに、一方、我が国の硬直して、現代社会の要請に答えられない姿を実感しました。確かに、100年前の我が国の法律家が、世界の進んだ法制度を調べた上で、的確な立法を行っていたのと比較すると、法律の世界のどうしようもない「時代後れ感」に絶望したとはいえ、私たちが、あまりにも現代社会に対応するための調査・提言を諦めてきたのではないか、という反省にさいなまれるところではあります。
それはさておき、ボットネットのテイクダウンの根拠法令については、米国合衆国法典の18巻1345条になります。
同条は、こちら。
実際に使われているのは、1345条(a)(2)です。訳します。
(2)銀行法違反(本タイトルのセクション3322(d)で定義)または連邦医療犯罪の結果得られた財産、またはその違反につながる財産を、ある者が譲渡(alienating)または処分している(disposing)、または譲渡または処分しようとしている場合、司法長官は連邦裁判所で以下の民事訴訟を起こすことができます。
(A)当該財産の譲渡または処分を差し止めるために、連邦裁判所において民事訴訟を起こすことができる。
(B)次のような差止命令を求める。(i)いかなる者も、そのような財産または同等の価値のある財産を引き出し、譲渡し、除去し、散逸させ、または処分することを禁止する。
(ii)当該禁止命令を管理する一時的な管財人を任命すること。
でもって、検索してみたら、Avalanche Botnet Takedownについての司法省の法律メモが出てきましたので、読んでみました。
その法律メモは、「暫定的差止命令の申立の根拠を示すための合衆国の法律メモ」です。以下、そのまま、構成に従って、訳出してみます。
1 概観
司法長官が、「アバランシュ」ボットネットに対して差止を求めた事件です。この事件で、この訴訟で米国は、被告がAvalancheを使用して米国市民や企業を騙したり盗聴したりすることをやめるよう、差し止めによる救済を求めています。この禁止を有効にするために、米国は被告のインフラと関連するマルウェアシステムを混乱させるように設計された一連の技術的手段を採用する許可を求めています。
具体的には、米国は以下のような命令を求めています。
(1) 特定の米国ドメイン登録機関に対し、AvalancheまたはAvalancheを経由するマルウェアシステムが使用するドメイン名の所定のリストを代替サーバーにリダイレクトし、登録機関の裁量により、ドメイン名を最後の砦の登録機関(Registry of Last Resort 、RoLR)に移管するよう指示すること、
(2) 米国の特定のドメイン登録機関に対し、アバランチまたはアバランチを経由するマルウェアシステムが使用するドメイン名の禁止リストへのアクセスをブロックするドメイン名の別のリストを作成させ、登録機関の裁量により、それらのドメイン名をラスト・リゾート・レジストリ(RoLR)に登録するよう指示すること。
(3) 特定の米国ドメイン登録機関に対し、規定のドメイン名リストを登録し、それらを代替サーバーに誘導し、登録機関の裁量により、それらのドメイン名をラスト・リゾート・レジストリ(Roir)に移転するよう指示すること、および
(4) 特定の米国ドメイン登録機関に対し、規定のドメイン名リストを移転し、それらを代替サーバーにリダイレクトするよう指示すること。
上記の民事上の救済に加えて、政府はPen Register/Trap and Trace Order(ペンレジスタおよび逆探知命令)を申請しています。これは、Avalancheに感染したコンピュータまたはAvalancheを経由するマルウェアシステムが送信した通信のダイヤル情報、ルーティング情報、アドレス情報、シグナリング情報を、政府が求めるTROに基づいて設置された代替サーバやその他のコンピュータインフラに収集することを許可するものです。この情報は、国土安全保障省の米国コンピュータ緊急事態対応チーム(US-CERT)、ShadowServer Foundation、Fraunhofer Institute for Communication, Information Processing and Ergonomics(FKIE)に提供され、Avalancheの被害者への通知を促進し、コンピュータからこれらの感染を除去する方法を提供する。
2 アバランシュの背景
FBIが行った捜索とタイトルIIIの傍受により、アバランシェのインフラを管理する犯罪組織が、サイバー犯罪者の顧客に(1)ドメイン名の登録、(2)安全なAvalancheネットワーク/インフラを通じたトラフィックの、マルウェアやマネーミュールキャンペーンを実行するサイバー犯罪者へのリダイレクト(または「プロキシ」)という2つの一般的なタイプのサービスを提供していることが確認されました。
さらに検知されないようにするために、アバランチの管理者は2つの基本的なサービスを「fastfluxing」と呼ばれる技術で組み合わせています。
ファストフラクシングの基本的な考え方は、1つのドメイン名に多数のIPアドレスを関連付け、DNSレコードを変更することで、IPアドレスを極めて高い頻度で入れ替えていくというものです。 このフラッキングの目的は、法執行機関による悪意のあるドメインやIPアドレスの検出を妨害することにあります。
Avalancheは、そのサーバーを経由して送られてくるマルウェアやマネーミュールオペレーションの量とバリエーションの多さが特徴です。Id. atl10. ドイツ当局は、このスキームが始まって以来、100万人以上の被害者がAvalancheのインフラを介して実行されたマルウェアに感染したと推定している。Id. また、Avalancheは、インフラのサーバーが頻繁に変更され、マルウェアの行為者や管理者が身元を隠すための手段を講じているため、対策に対して非常に強いことが証明されています。同上。さらに、Avalancheで使用されているサーバーは、盗み出された資金で賄われていることが多く、法執行機関による発見を妨害するためのその他の手段が用いられています。
3 被告
数年にわたるFBIの調査により、アバランチの管理者である被告人は、「FLUX」と「FLUX2」というニックネームで活動していることが明らかになりました。
この捜査では、捜査令状とタイトル3の通信傍受を利用して、FluxとFlux2からの通信網を発見しました。その中には、FluxとFlux2とのサービス上の通信を許可された顧客の100以上のJabberアカウントのバディリストが含まれていました。管理者であるFLUXとFLUX2の顧客は、アバランチのインフラを利用したマルウェアやマネーミュールのスキームを運営しています。
被告がもたらした被害の全容を計算することは不可能だが、入手可能な最善の証拠によると、Avalancheとそれを経由するマルウェアシステムにより、米国の企業や個人は百万ドル以上の損害を被ったが、実際にはその何倍もの損害を被っている可能性がある。同上。 atl-. これらの管理者は、様々な犯罪フォーラムに掲載された広告によって初めて特定されました。Id.a1!
2025年11月10日、「User41」という名前で犯罪者フォーラムに投稿された広告には、高速で変化する弾丸のようなホスティングサービスの宣伝がありました。この広告では、潜在的な顧客に対し、flux@jabber-im.net および flux2@jabber-im.net の管理者に連絡するよう指示していました。その後、2015年10月12日、犯罪者フォーラムMazafakaby “Firestarter “に行われた投稿では、速いフラックスの防弾ホスティングサービスを宣伝していました。この広告では、潜在的な顧客に対して、fftrost@jabberbr.org と ffhost2@jabber-br.org の管理者に連絡するよう指示していました。同じユーザーによる後の投稿では、これらのjabberの連絡先は fftrost@xmpps.net と ffhost2@xmpps.net に変更されました。同様に、2016年3月24日、「User4l」がVerifiedに行った別の投稿では、高速流動性のあるbullet proofホスティングサービスを宣伝していました。この広告でも、潜在的な顧客に対して、flux@abberim.net と flux2@jabber-irn.net の管理者に連絡するよう指示しています。これらの広告やその他の広告は、特定のjabberコンタクトとAvalancheの管理者を結びつけていました。
というような記述がなされて、
フランシス特別捜査官の説明によると、フラックス2はアバランチの顧客チョップに請求書が&teであることを伝えている。同書61ページ フラックス2はさらに、チョップにペイマー(オンライン通貨の一種)を使い、ウェブマネー口座(番号)に資金を送るように頼んでいる。 この特定のWebMoney口座は、アバランチの顧客の支払いをすべて受け取っていた。同上。したがって、ジャバーアカウント flux@abber-im.net および ffhost@xmpps.net を使用する個人は、これらのアカウントを利用して、アバランチ・インフラストラクチャの管理のためにアバランチ・サービスを管理した。Id. atll63. 同様に、Flux2 aka ffhost2は、jabberアカウント flux2@jabber-im.net および ffhost2@xmpps.net を使用し、これらのアカウントを利用して、アバランチ・インフラストラクチャの管理のためにアバランチ・サービスを管理しました。
4 アバランシュとマルウエアシステムがこの地区の被害者に被害を与え、また、与えようとしていること
ここは、具体的な被害の記述なので、省略
5 合衆国がアバランシュとマルウエアシステムを停止(disrupt)させるのに準備ができていること
FBIとドイツ当局は、アバランシェとそれを経由するマルウェアシステムを破壊するための包括的な技術計画を策定しました。同書の第83項による。この技術的な破壊活動とその後の修復活動については、以下の通りである。
となっていて、以下は、墨塗りの部分が続きます。
6 法的議論
A 管轄および裁判席が当法廷であること
(省略)
おもしろいのは、「2 裁判所は、インターネットでの公表をもって送達の手続とするべきこと」でしょうか。
連邦法や国際協定で禁止されていない限り、米国外の個人は「裁判所の命令に従って」送達することができる。Fed. Fed. R. Civ. a(fl(3))を参照してください。選択された送達方法は、あらゆる状況下で、利害関係者に訴訟の係属を知らせ、意見を聞く機会を与えるために、合理的に計算されたものでなければならない」。Mullane v. Central Hanover Bank & Trust Co.339 U.S. 306, 314 (1950).
ここでは、Avalancheの管理者として知られているFluxとFlux2は、彼らのJabberアカウントとインターネットでの公開を通じてサービスを受けることができます。有効な送達のための物理的な物理的な住所は知られていません。政府はFLUXとFLUX2に電子メッセージで通知します。捜査の過程で、これらの被告人が使用していたJabberアドレスはドイツ当局とFBIによって発見されました。政府は、これらの電子メールアドレスと、Jabberアドレスに裁判所提出書類を送付し、これら3名の被告に対して裁判の通知とします。
さらに、政府は、司法省とFBIのウェブサイトに裁判所提出書類のコピーを掲載します(司法省の掲載ページにリンクしています)。TRO(暫定的差止命令)が認められれば、司法省とFBIがこの件に関して発表するすべてのプレスリリースは、これらの答弁書にアクセスできるウェブサイトに被告を誘導します。さらに、AvalancheおよびAvalancheを経由するマルウェアシステムの被害者を支援するための政府の計画には、メディアへの積極的な働きかけが含まれているため、被告は、自分たちのインフラの破壊に司法省とFBIが関与していることを知ることになると思われます。したがって、被告が司法省とFBIの公開インターネットサイトにアクセスして追加の情報を求め、それによってこの訴訟が通知されると信じるに足る十分な理由があります。
したがって、規則4(f)(3)に従い、裁判所は、政府によるプロセスの送達計画を承認しなければならない
B 裁判所は、アバランチ・ボットネットによって行われている継続的な詐欺行為および違法な通信傍受を阻止するために、米国が上記の技術的破壊を実施することを許可することができまること
差止命令を発令にるにあたっては、非常に裁量が広いことが述べられています. (See General Instrument Corp. of Delaware v. Nu-kk Elecs. & Mfg., Inc.,l97 F.3d 83, 90
(3d Cir. 1999))。そして、それは、公共の利益が関係するときは、そうです(Instant Air Freight Co. v. C.E Air Freight,lnc.,882F.2d7g7,803 (3d Cir. 1989) (quoting Virginian Ry. Co. v. System Fed’n No. 40,300U.S. 515, 552 (1937)))。
そして、上の1345条がでてきます。
タイトル18の第1345条と第2521条は、政府が裁判に基づいた場合、進行中の不正または無許可の傍受を直ちに差し止めることを可能にすることで、裁判所の伝統的な衡平法上の権限を強化している。これらの法律は、裁判所が「随時」差し止め命令を出したり、「継続的で実質的な損害を防ぐために必要な他の措置を取る」ことができる幅広い権限を与えている。18 U.S.C. $1354(b)、$2521。特に、第1345条は
第63章のあらゆる違反に対する広範な差止命令による救済を認めており、政府の不正対策の強力な武器となっています。差し止めによる救済を認めることに加えて、同法は裁判所に、差し止め命令や禁止命令を出し、「米国や、訴訟が提起された人や人の集団に対する継続的で実質的な損害を防ぐために必要なその他の措置をとる」権限を与えている。. . . その結果、1345条に基づく民事訴訟は、長期にわたる並行した刑事捜査の間、現状を維持するためにしばしば使用されます。
United States v. Payment Processing Ctr,435 F. Supp.2d 462, 464 (E.D. Pa. 2006); id. at 466 (United States v. Cen-Card Agency/C.C.A.C., No.88-5764,1989 WL 30653 (3d Cir. March 23, 1989) (不正行為を阻止するための第1345条の過去の使用についての議論)も参照してください。) 実際、連邦議会は第1345条を「司法長官が第63章違反の十分な証拠を入手したと判断した場合、連邦地方裁判所に差止命令を求めることで、詐欺行為を迅速に終わらせることができるようにするため」に制定し、地方裁判所が、刑事法によって保護されるように設計された人々のクラスに対する継続的かつ実質的な損害を防止するために正当化される措置を与えることを意図していた。S. Rep. No. 98-225, at 402 (1984). 第1345条の後に制定された第2521条にも同様の法文が使用されていることから、司法長官が継続的な不法傍受を「速やかに終わらせる」ことを許可するという議会の意図がうかがえる。S. Rep. No. 99-541, at 34 (1986)も参照のこと。政府は、まさにそのような目的のために、ここに記載された救済を求めている。
本申請で求めているような民事上の差止命令による救済は、いくつかの地区で、広範囲に及ぶコンピュータハッキングの大規模な混乱を達成するために用いられてきました。米国政府が原告の場合もあれば、私人が差止命令を求めた場合もあります。いずれの場合も、差止命令によって、被害者やその他の当事者のプライバシーや財産権を侵害することなく、原告はハッカーの計画を阻止することができました。
として、Coreflood botnet事件、 GameOver Zers (GOZ) 事件( United States v. Bogachev, No. 2:14-CY0685 (W.D. Pa., filed May 26,2014)),ZeroAccess botnet事件、Dridex/Bugat 事件などが紹介されています。
これらの事件を前提に、具体的な制定法の枠組についてふれていきます。
1 制定法枠組
連邦法の1345条については、説明しました。また、同2521条も差止を定めています。これは、違法な通信の傍受についての規定です。
誰かが本章の重罪違反となる行為を行っている、または行おうとしていると思われる場合、司法長官はそのような違反行為を差し止めるために、米国の地方裁判所で民事訴訟を起こすことができる。裁判所は、このような訴訟の審理および決定を可能な限り速やかに行うものとし、最終決定前のいかなる時点においても、米国、または訴訟が提起された個人もしくは個人の集団に対する継続的かつ実質的な損害を防止するために正当化されるような禁止命令もしくは禁止措置を取り、またはその他の措置を取ることができる。
となっています。マルウエアシステムは、感染したコンピュータとインターネットのウエブサイトとの通信を傍受していることなり、この適用がなされるとされています。
2 差止命令の伝統的な要件を示すことなく、差止命令が取得されるべきこと
そのため、米国は、回復不能な損害や十分な公共の利益といった、TRO(暫定的差止命令)や仮処分の伝統的な前提条件を示す必要はありません。United States v. Livdahl,356 F.Supp.2d 1289, 1290-91(S.D. Fla. 2005); Sene X Eleemosynory Corp.,479 F.Supp.at 980-81 (「脅迫された行為が議会の宣言された禁止事項の範囲内であることだけを示せば十分である」); Nutrition Serv., Inc. l F. Supp.at 388-89; また、Government of the Virgin Islands v. Wrgin Islands Paving,7l4F.2d283,286 (3d Cir. 1983) (他の理由で法令に取って代わられた、Edwards v. Hovensa,497 F.3 d 355, 359 (3d Cir.) を参照)。 d 355, 359 (3d Cir. 2007); United States Postal Service v. Beamish,466F.2d 804, 806 (3d Cir. 1972); CSXTransp, Inc. Of Equalization,964F.2d 548, 551 (6th Cir. 1992)
3 被告が銀行詐欺および電信詐欺を行い、電子通信を違法に傍受していることから、米国は合衆国法律集第 18 編第 1345 条および合衆国法律集第 18 編第 2521 条に基づく差止命令による救済を得る権限を有すること。
これは、さらに
a. 被告は電信詐欺を犯している(18 U.S.C. 1343条)
電信詐欺の要素は以下のとおりです。(1)詐欺の計画、(2)計画を実行する目的での電線の使用、(3)詐欺の意図。Devon IT, Inc.対IBM Corp.805 F.Supp.2d ll0, 123 (8.D. Pa.2011) (United States v. Pharis,298 F.3d 228,234 (3d Cir. 2002) を引用); National Sec. Systems, Inc.対Iola,700 F.3d 65, 105 (3d Cir.2012) を参照してください。
被告らの行為は、Avalanche(アバランシュ)とそれを経由するマルウェアシステムを通じて、これらの要素をすべて容易に立証している。
例えば、Corebotは、被害者がコンピュータから送信する機密情報を傍受する「マンインザミドル」攻撃によって、感染したコンピュータから銀行の認証情報を取得しています。このような攻撃の効果を高めるために、被告はCorebotを使って被害者のウェブブラウザに追加コードを注入し、被害者が閲覧しているウェブサイトの外観を変更します。例えば、Corebotに感染したユーザーが、通常はユーザー名とパスワードの入力しか求められない銀行のウェブサイトにアクセスした場合、被告は、ユーザーのウェブブラウザに表示されるウェブサイトに、ユーザーの社会保障番号やクレジットカード番号などの機密情報を要求する追加のフォームフィールドをシームレスに注入することができます。これらの追加フィールドは、ユーザーが選択した合法的なウェブサイトの一部であるように見えるため、ユーザーはしばしば騙されて要求された情報を提供し、Corebotによって速やかに傍受され、Avalancheを通じて送信される。
b 被告は、銀行詐欺を犯していること(合衆国法典18巻1344条)
銀行詐欺の要素は、(1) 連邦政府が保証する金融機関を詐取する計画 (2) 被告が重要な虚偽の口実、表明、約束によって計画に参加したこと (3) 被告が故意に行動したことです。United States v. Goldblatt, 813 F.2d 619,624 (3rd Cir. 1987); McCoy-McMahon v. Godlove, No.08-CV05989,2011 WL 4820185, at *12 (E.D. Pa. Sept. 30,2011).
被告の犯罪行為は、これらの各要素を満たしています。被告人らは、アバランシェとそれを経由するマルウェアシステムを利用して、上述の具体的な攻撃に例示されているように、連邦政府が保証する銀行から不正な金融送金を行うためにボットネットを使用しています。第2に、被告人は、不正なスキームを実行するために、銀行と被害者の双方に対して、被害者を騙してマルウェアをインストールさせたり、被害者になりすまして不正送金を行ったりするなど、重大な虚偽の説明を行っています。最後に、被告人は、高度に洗練されたボットネットソフトウェアを操作して不正行為を行ったことからもわかるように、故意に行動しています。
c 被告らは、違法に電子通信を傍受していること(合衆国法典18巻2511条)
これについては、上でふれているので省略。
4 提案された破壊行為は、憲法修正第4条に基づく捜索でも押収でもなく、令状の発行を必要としない
政府が計画しているAvalancheとそれを経由するマルウェアシステムの破壊行為は、憲法修正第4条に基づく捜索でも押収でもありません。したがって、当裁判所は、令状を発行せずにこの破壊計画を許可することができます。憲法修正第4条の捜索を構成するためには、政府の行為が個人の合理的なプライバシーの期待を侵害するか、情報を得る目的で財産に物理的に侵入することが必要である。United States v. Jones,132 S.C. 945,951 (2012); Ware v. Donahue,95O F.Supp.2d738,744 (D. Del. 2013) (憲法修正第4条に基づく捜索と押収を区別し、プライバシーに対する個人の合理的な期待が侵害された場合に捜索が発生すると説明している)を参照してください。
計画された作戦には、憲法修正第4条に基づく捜索を構成するものは何もありません。承認されれば、作戦中に政府が収集する唯一の情報は、感染したコンピュータが代理サーバでチェックインする際に政府が記録するダイヤル、アドレス、ルーティング、シグナリングの情報です。これらの情報は、ペン/トラップ命令に基づいて収集されるものであり、プライバシーの合理的な期待はありません。例えば、United States v. Christie, 624 F.3d 558, 573-74 (3d Cir. 2010) (IPアドレスには、合理的なプライバシーの期待は存しない); United States v. Forrester, 5l2 F.3 d 500, 5lO-I2? d 500, 5lO-I2 (9th Cir. 2008) (電子メールメッセージの送受信アドレス、訪問したウェブサイトのIPアドレス、アカウントとの間で送受信されたデータの総量など、コンテンツ以外の情報を明らかにする政府の監視技術は、憲法修正第4条の捜索には該当しないとしています)。
計画された破壊行為もまた、押収を構成するものではありません。押収は、政府が個人の財産の所有権を大幅に侵害した場合に起こります。Soldal v. Cook Cnty.,506 U.S. 56,61 (1992)を参照してください。ここでは、提案されている操作は、被害者のコンピュータに対する所有権やその他の所有権に意味のある干渉を引き起こすことはありません。裁判所がTROを認めれば、Avalancheに感染したコンピュータとそれを経由するマルウェアシステムは、被告および経由するマルウェアシステムに関与する他の者が管理するコンピュータとの通信ができなくなります。感染したコンピューターは、代理サーバーと経路情報の交換を開始します。この移行は、ユーザーにとっては完全に透明であり、ユーザーのコンピュータはこれまでと全く同じようにすべての許可された機能を実行します。この気づかれない変化は、ユーザーの所有権に対する重大な干渉にはなりません。
5 一方的手続の妥当性、6 封印命令については、省略。
では、これに対応する日本の制度は、どのようになるのでしょうか。組織犯罪対策立法の没収保全命令になるのかと思います。(一般的な刑事没収制度は、有体物のみなので、難しい)
22条 (没収保全命令)1項
裁判所は、別表若しくは第二条第二項第二号イからニまでに掲げる罪、同項第三号に規定する罪又は第九条第一項から第三項まで、第十条若しくは第十一条の罪に係る被告事件に関し、不法財産であってこの法律その他の法令の規定により没収することができるもの(以下「没収対象財産」という。)に当たると思料するに足りる相当な理由があり、かつ、これを没収するため必要があると認めるときは、検察官の請求により、又は職権で、没収保全命令を発して、当該没収対象財産につき、この節の定めるところにより、その処分を禁止することができる。
でもって、起訴を待っていられないので23条(起訴前の没収保全命令)になります。
1 裁判官は、前条第一項又は第二項に規定する理由及び必要があると認めるときは、公訴が提起される前であっても、検察官又は司法警察員(警察官たる司法警察員については、国家公安委員会又は都道府県公安委員会が指定する警部以上の者に限る。次項において同じ。)の請求により、同条第一項又は第二項に規定する処分をすることができる。
2 司法警察員は、その請求により没収保全命令又は附帯保全命令が発せられたときは、速やかに、関係書類を検察官に送付しなければならない。
3 第一項の規定による没収保全は、没収保全命令が発せられた日から三十日以内に当該保全がされた事件につき公訴が提起されないときは、その効力を失う。ただし、共犯に対して公訴が提起された場合において、その共犯に関し、当該財産につき前条第一項に規定する理由があるときは、この限りでない。
4 裁判官は、やむを得ない事由があると認めるときは、検察官の請求により、三十日ごとに、前項の期間を更新することができる。この場合において、更新の裁判は、検察官に告知された時にその効力を生ずる。
5 第一項又は前項の規定による請求は、請求する者の所属する官公署の所在地を管轄する地方裁判所の裁判官にしなければならない。
ということでボットネットって
不法財産であってこの法律その他の法令の規定により没収することができるもの(以下「没収対象財産」という。)に当たる
のか、という問題になりそうです。そもそも、その財産が、我が国にあるのか、という話もありますね。
たとえば、MSさんとかが民事の差止命令をつかうことはできるのだろうかと考えると、そもそも、John Doeで誰かわからないけど、訴訟を提起するという手法もないし、メールで送達するという仕組みもないので、どうしようもないし、ということになるのですが、そこで諦めてしまうと、結局、変わらないね、ということになりそうです。
では、どうすればいいのか、ここら辺は、しかるべきルートで、研究会の提案をするといいのかもしれませんね。
あと、米国合衆国法典の18巻1345条については、ランサムウエア対応の関係で、改正案が示唆されています。これは、さすがに次のエントリで。