2012年7月19日に、米国とEU、英国、NATOとが共同でステートメントをだしています。これについての新聞報道は「中国技術猛追、米の危機感強く 制裁での各国足並み焦点」です。
この論点を法的に見ていくと、まず
- 行為者が誰かという論点
と
- その行為者が中国の国家機関なのか、また、有効なコントロールを受けているのか
という論点があります。(でもって後者の問題のみを「アトリビューション」といったらいいのではないでしょうかというのが個人的な意見だったりします)
この図でわかるように、行為者を特定した場合に、その行為者が、国家機関であれば、そのまま国家責任、もし、国家機関でなければ、有効なコントロールがなされているかをみて、もし、それがない場合には、国家としての「相当な注意」と、違法行為に関与している場合の停止義務の論点になるわけです。
でもって、これらの論点について各国がどのように認識しているのかというのをみるのは、興味深いように思います。なお、以下の日本語訳は、丸山さんの「まるちゃんの情報セキュリティ気まぐれ日記-米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。」のところに上がっています。
ホワイトハウスのスナートメントは、こちらです。
米国と同盟国およびパートナーは、中国の悪質なサイバー活動の詳細を明らかにし、米国および同盟国の経済と国家安全保障に大きな脅威を与える中国の悪質なサイバー活動に対抗するため、さらなる行動を起こします。(略)
2018年10月および2020年7月と9月に開封された公的な告発文書に詳述されているように、中華人民共和国国家安全部(MSS)に勤務した経歴を持つハッカーたちは、ランサムウェア攻撃、サイバーを利用した恐喝、暗号ジャッキング、世界中の被害者からのランク窃盗などを、すべて金銭的な利益のために行っています。
(略)
2021年3月上旬に公開されたMicrosoft Exchange Serverのゼロデイ脆弱性を利用して、中国のMSSに所属する悪意のあるサイバーアクターがサイバースパイ活動を行ったと高い確度で断定しています。
(略)
中華人民共和国の悪質な行為を明らかにすることで、システムの所有者や運営者に情報を提供し、行動を促すための政府の取り組みを続けています。
この声明の特徴は、上記のサイバー活動が、それ自体で、中国の機関である中華人民共和国国家安全部(MSS)に所属する悪意のあるサイバーアクターによるものであるとしており、それ自体で国家責任を発生される国家行為であると認定しているところかと思います。
ところが、EUになると法の適用の枠組みが異なります。
EU のステートメント「中国 欧州連合(EU)を代表して上級代表が中国当局に対し、自国の領土で行われている悪意あるサイバー活動への対応を促す宣言を発表(China: Declaration by the High Representative on behalf of the European Union urging Chinese authorities to take action against malicious cyber activities undertaken from its territory)」は、こちらです。
我々は、中国当局に対し、これらの規範を遵守し、自国の領土が悪意のあるサイバー活動に利用されることを許さず、状況を検知し、調査し、対処するためのあらゆる適切な措置および合理的に入手可能で実現可能な手段を講じるよう引き続き求めています。
このステートメントの特徴は、標題といい、上の引用部分といい、中国自体への責任の帰属は、させていないで、中国が、その「相当な注意」もとにしかるべき中止手段をとるようにという法的な構成で作成されている点です。(これは、コロニアルパイプライン事件におけるロシアのなすべき義務についての米国の認識と同様の構成です。
英国の「英国と同盟国は、中国の国家が広範囲にわたるハッキングに責任があると考える(UK and allies hold Chinese state responsible for a pervasive pattern of hacking)」というステートメントは、こちら。
英国は、ステートメントのタイトルは、米国と同様の法的構成(中国の国家責任を前提としている)のにもかかわらず声明自体は、むしろ、相当の注意を前提として侵害行為停止義務から構成しているように思えます。
中国政府は、このような組織的なサイバー妨害行為をやめさせなければならず、そうしなければ責任を問われることになります。
(略)
中国政府は、無謀な活動をやめるようにとの再三の呼びかけを無視し、その代わりに、国が支援するアクターが攻撃の規模を拡大し、捕まっても無謀な行動をとることを許しています。
この声明は、米国の声明が、直接、中国の機関の関与による国家への責任を正面から認めているのに、むしろ停止義務を前提としているように見えます。もっとも、声明のタイトルが、国家の責任をそれ自体として認めており、一貫していないなあという印象があるように思えます。
MATOの声明は、「北大西洋理事会は、Microsoft Exchange Serverの不正アクセスを含む最近の悪質なサイバー活動の影響を受けた人々に連帯する(by the North Atlantic Council in solidarity with those affected by recent malicious cyber activities including the Microsoft Exchange Server compromise)」
我々は、カナダ、英国、米国などの同盟国が、Microsoft Exchange Serverの危殆化の責任は中華人民共和国にあるとした国別声明を認めます。
(略)
我々は、自由で開かれた平和で安全なサイバースペースを推進し、国際法の尊重と、国連の全加盟国が認めているサイバースペースにおける国家の責任ある行動に関する自発的な規範を促進することにより、安定性を高め、紛争のリスクを低減するための努力を追求します。我々は、同盟として、また志を同じくするパートナーと協力して、これらの課題に取り組んでいます。すべての国は、責任ある国家行動の自主規範を促進し、維持するために重要な役割を担っています。
NATOの声明の特徴は、中国の国家責任について何らコメントしないで、他の声明を「認めます」としているのにすぎないところかと思います。自分たちとしては、他の同盟国の声明を否定することはないけど、直接、国家責任について何か考えるということはしていません、みたいな感じのように思えます。