ロシアのウクライナへの侵略に対しては、アノニマスが、「ロシア作戦」を開始したり、また、ウクライナのFederov 副首相が仮想IT軍への参加を要請するという事実がありました。
この武力紛争に関して、サイバー関係で、どのような法的論点が生じているのかというのをまとめてみたいと考えています。そこで、CCDCoE のAnn Väljatagaリサーチャーが、「ウクライナを支援するサイバー自警団:法律上の問題点 分析」(Cyber vigilantism in support of Ukraine: a legal analysis)という報告書をまとめていくので、ぞれをもとに参考資料もみて、まとめていきたいと思います。
問題提起
Väljataga論文は、
- 52カ国から約4万人がヴォロディミル・ゼレンスキー大統領の「ウクライナ、ヨーロッパ、世界の防衛に参加する」という申し出に応じ、ウクライナ領土防衛国際軍団に入隊したこと
- 上述のフェドロフ副首相の呼びかけたツイートには、さらに30万人(以上)が返信していること
- ベラルーシを拠点とするハクティビスト集団「ベラルーシ・サイバー・パルチザン」は、ロシア軍の「移動を遅らせる」ためにベラルーシ鉄道の「サーバー、データベース、ワークステーションの大部分」を暗号化し、ミンスク、オルシャ、オシップヴィチの鉄道交通を停止させることに成功したこと
- ロシアが撤退しない場合、アノニマスは産業用制御システムを人質に取ると脅していること
- AgainstTheWest (ATW)のロシア指向のグループは、ロシア宇宙軍、ロシア運輸省、ロシア航空のシステムに侵入したとTwitterで発表したこと
などを紹介しています。
これらの動きについては、「賞賛と叱責の両方で受け止められている。」としています。特に
法的には曖昧で、当初の予定よりも深刻な結果を招きかねない
としています。そこで、本稿では、国際法の観点から何が問題になっているかを説明し、武力紛争時におけるハクティビストのサイバー作戦の法的評価に特に影響を与える3つの具体的な要因を分析することを目指すとしています。
基本的な状況を示すずは、こんな感じでしょうか。
民間人が、国家間の戦闘行為にサイバー的な手段を通じて参加するときに、その民間人の行為は、どのように評価されるのかという問題です。
問題となる国際法上の問題というのは、民間人が、そもそも、そのように戦闘行為に参加をなしうるのか?、なした場合に、その地位はどうなるのか、という問題になります。
1 ハクティビストの立場
Väljataga論文は、最初に、民間人が、ウクライナを支持することの自由について論じています。我が国でも国民が、ウクライナに義勇兵として参加することが可能であるのかというのがすこし議論されました。「ウクライナ義勇軍に参加した場合、私戦予備・陰謀罪となるのか」
Väljataga論文は、欧州の国の立場を紹介しています。
- エストニアは、国防機関に属さない自国民や居住者がウクライナの国防軍に参加することが法的に認められていることを認めています。しかし、この承認は、分離主義グループやロシア軍を承認したことにはならず、また、明示的に承認したことにはならない。
- ウクライナ側での戦闘を非犯罪化するために、ラトビアとチェコ共和国は国内法を改正した。
- 英国は、承認から明示的な禁止まで、さまざまなシグナルを発信している。しかし、その国内法(1870年の外国人入隊法、おそらく2019年のテロ対策・国境警備法も)は、海外での武力紛争への参加を禁止している。
- ドイツは勧誘を犯罪化したが参加は犯罪化していない。
- デンマークとカナダはウクライナ軍の隊列での戦闘を容認している。
- 日本は外国での武力紛争での戦闘は刑法で罰せられると明言しており、現在もそうである(として、「ウクライナ「義勇兵」、渡航には政府が個別注意も検討」の記事を引用しています)。
軍団の設立はウクライナ外務大臣が発表したもので、2016年の大統領令に基づき、非ウクライナ人のウクライナ軍への入隊が認められている。にもかかわらず、ロシア国防省によると、軍団に参加する外国人戦闘員は国際法上の戦闘員とはみなされず、捕虜(POW)の地位は与えられないということだ。
とのことです。
2 構造、組織および政府の関与
Väljataga論文は、
IT軍は軍団とは異なり、戦闘員としての地位を決定するための組織的な武装集団とは見なされないため、戦闘やさまざまな形での民間人参加に関する質問の多くが非常に重要である。例えば、捕虜として扱われる特権はサイバーファイターにとってそれほど重要ではないかもしれないが、合法的な軍事標的になることや、刑事訴追からの限定的な法的免責 などの他の側面は非常に重要になる可能性がある。
としています。
次にウクライナIT軍を考えます。同論文によると、
IT軍は国際的な組織であるが、ウクライナ政府(最も直接的なのはデジタル変換省)によって創設され、ある程度調整されているため、ウクライナの実効支配下に置かれている。しかし、交戦国との関係が明確であるにもかかわらず、IT軍はウクライナの防衛組織の一部として認められているものの、大多数はウクライナ軍や非正規軍に属していないため、IT軍のメンバーは戦闘員としての地位を示す基準を満たすとは考えにくい。
とされます。IT軍は国家が支援するハッキングと分散型ハクティビズムの中間的な存在と言えるかもしれないとされていますが、具体的な論点との関係でどのように解されるのか、という問題があります。
A) 敵対行為への直接参加
物理的な距離があるかどうかは、「敵対行為への直接参加」をなしているか、というのとは、関係がないことを同論文は、論じています。 文民の直接参加(DPH-Direct Participation in Hostilities)の概念は、タリンマニュアル2.0の規則97で
規則97 (敵対行為に直接参加する文民) 文民は、敵対行為に直接に参加してないか義理、攻撃からの保護を享受する
とさているところです。この論点については、赤十字国際委員会法律顧問 ニルス・メルツァー 著「国際人道法上の敵対行為への直接参加の概念に関する解釈指針」があります(翻訳は、防衛大学校総合安全保障研究科准教授 黒﨑 将広 先生です)。
直接参加の要件は、「危害の閾値」「因果関係(direct causation)」「交戦者とのつながり(belligerent nexus)」になります。
- 「危害の閾値」
紛争当事者の軍事作戦または軍事能力に悪影響を及ぼすあらゆる結果に及ぶ「被害の閾値」を満たすこと。ただし、武器の供給・移動、業務妨害・通信途絶についてのインテリジェンスの収集を含む。
- 「因果関係(direct causation)」
行為とその行為またはその行為が不可欠な部分である協調的軍事作戦から生じるまたは生じる可能性のある被害との間の直接的な因果関係(直接的因果関係)
- 「交戦者とのつながり(belligerent nexus)」
紛争当事者の支援と他の者の不利益のために必要な閾値を直接引き起こす行為実行の意図
交戦国に対するサイバー活動に従事する個人が民間のDPHの定義に該当する場合、その個人は正当な軍事目標となります。 これは、敵対行為に組織的に参加する限り、彼らに対して軍事力を行使できることを意味します。
一方、敵対行為に「散発的に」しか参加していない個人に対する報復的または予防的な武力行使は、違法とみなされます。
参加は、準備、標的の特定、活動的な作戦、および事後評価の段階を通じて、組織的かつ構成的であるとみなされる。敵対行為に直接参加するハクティビストは、ベラルーシ鉄道、ロシアの科学研究衛星、国営テレビ放送のプラットフォームなどの目標に関する情報収集を含む準備段階で標的となりえます。同様に、ターゲットシステムへのアクセス、マルウェアの実行、結果や再攻撃の必要性に関する事後評価を通じて、軍事攻撃の正当な対象であることに変わりはありません。
とされています。
文民か否かの疑義がある場合には、文民とみなされるとされています(タリンマニュアル2.0 規則95)が、ロシアは正当な軍事目標と直接参加を広範に定義して、傭兵や外国人ボランティア、ウクライナへの武器輸送に携わる人々に対しても攻撃目標としうると示唆しています。
同論文においては、
最も深刻な影響を与えるように設計されたサイバー操作(産業用制御システムを「人質に取る」行為はこれに該当すると思われる)を行うことでウクライナを支援する民間人は、国際人道法に従って、どの作戦領域においても国境を越えた軍事的対応を発動する可能性があるため、こうした操作を控えることが個人の安全確保とエスカレートの防止につながる可能性が高くなる。
としています。
3月1日には、アノニマスと関係のあるNetwork Battalion 65 (‘NB65’)というグループが、ロシアの宇宙研究機関ロスコスモスのコントロールセンター遮断しました。この行為に対して、ロシアは、偵察衛星と地上局との通信を失わせたサイバー作戦を「戦争行為」だとする立場をとっています。
この衛星は間違いなく科学的な研究を行っており、二重利用や軍事的な機能は全く満たしていなかったにもかかわらず、その意味で、上の交戦者とのつながりの閾値を満たすかという問題があるのにもかかわらず、このような解釈を示すというのは、
ロシアが現在、あらゆるサイバー操作を最も攻撃的かつエスカレートした言葉で解釈することを望んでいることを示している。
とされています。
B) 間接参加
3つの要件を満たさない場合には戦争を支援する手段であっても、間接的な参加と考えられることになります。これには後方支援、財政支援、食糧の提供、啓蒙活動、プロパガンダが含まれます 。
サイバー領域では、ウクライナの重要ネットワークの防御活動や、啓蒙活動・敵の情報操作の停止に向けた作戦が大きな割合を占めると思われます。
一方、諜報活動、データ流出、DDoS 攻撃は、軍事的被害との因果関係を考慮した上で、個別に分析される必要があります。
例えば、IT軍が2月下旬にクレムリンの電話帳に侵入したという事件があった。ウクライナ内務省は、全従業員の電話番号を公開するとともに、ウクライナの民間人などに対して、ロシア人に電話をかけて会話を録音し、その録音を後に司法手続きの証拠として使用するように促した。このケースについては、この作戦はシステムへの不正アクセスを伴うため、刑事犯罪を構成するが、直接参加に相当するほど軍事的被害に貢献することはできていない。その結果、作戦に参加した個人は刑法で起訴されうるが、彼らは民間人としての地位を保持し、正当な軍事目標にはならないと考えられます。
この理は、作戦が国家に属さない集団によって行われる場合にも適用されます。
- 2月26日、アノニマスはロシアの国営テレビ局の通信を妨害し、ウクライナ戦争の映像やそれに反対するメッセージのストリームを再プログラミングしたと主張した。この妨害は可逆的で一時的なものであり、ロシア国民の残虐行為に対する意識を高めることを目的としていた。
- 3月10日、Anonymousはロシア連邦通信・情報技術・マスメディア監督局(「コムナゾール」)のデータベースに侵入し、その過程で36万以上のファイルを流出させたと主張した。この文書は、Distributed Denial of Secretsのウェブサイトで公開された。この規模の漏洩が長期的にどのような影響を及ぼすかはまだわからないが、軍事的な被害への直接的な貢献となることを期待するのは酷な話であろう。
単なる情報の拡散はこれまで文民の戦闘行為への直接参加の適用範囲から除外されており、軍事的被害との合理的な因果関係もないため、犯人は民間人としての地位を失う危険はなかったとされます。
彼らは明らかに、ロシア刑法やサイバー犯罪に関する法律を持つ他のほとんどの国で犯罪とされる一連のサイバー犯罪を行ったのです。
となるのです。
C)群民隊(Levée en masse)
国際的な武力紛争において、「群民隊」の一員としてサイバー作戦に従事する非占領地域の住民は、戦闘員免除と捕虜の地位を享受することができるとされます。
群民隊というのは、ハーグ陸戦規則2条で
第二条 占領セラレサル地方ノ人民ニシテ敵ノ接近スルニ当リ第一条ニ依リテ編成ヲ為スノ遑ナク侵入軍隊ニ抗敵スル為自ラ兵器ヲ操ル者カ公然兵器ヲ携帯シ且戦争ノ法規慣例ヲ遵守スルトキハ之ヲ交戦者ト認ム
とされているものです。この概念はもともと、正式に戦闘部隊を編成する時間がないまま侵略に対して自発的に立ち上がる人々に、戦闘員の責任と特権(捕虜の地位と限定的な法的免除)を与えるために導入されたものです。
もっとも、 世界中のメンバーで構成され、戦闘部隊を思わせる構造を獲得する意思のないハクティビスト集団は、この基準を満たす可能性は低いとされます。というのは、
- ウクライナIT軍については、組織やウクライナ政府への従属の度合いが高く、群民隊と見るには無理があるように思われること
- サイバー領域では、「住民」で構成されているという要件は適用されないこと。
- 群民隊は一般住民の自然発生的な蜂起を想定しているので、特定のスキルセットで結ばれた集団をこの概念に当てはめることも同様に問題があること
- 群民隊のメンバーは、武器を公然と携帯することが要求されること。
3. 国家責任の根拠となる相当な注意のサイバー上の義務
アニマス、ATW、NB65 などのハクティビスト集団の活動モデルは政府との関係を排除していますが、それでも国家はその管轄内で活動する集団の活動に対して責任を問われうる可能性が存在します。というのは、標的となる国家にとって戦略的に有益であると証明されれば、デューディリジェンス義務の違反に言及することで、ハクティビスト活動を国家に帰属させようとする可能性があるからです。
これについては、「相当な注意」(デューディリジェンス)として、私のブログでも何回かふれたところです(とりあえずは、「パイプライン攻撃事件の法的論点(国家責任・デューディリジェンス)-Colonial Pipeline事件」参照)。タリン・マニュアル2.0は、規則6でデューディリジェンスの一般原則、規則7で、デューディリジェンス原則への適合を論じています。
もっとも、Väljataga論文では、ロシアの情報機関と法執行機関は、ロシア領内から発生したサイバー攻撃の波に対して、捜査や起訴の権限を行使することに消極的な姿勢を示しているとしています。
同論文は、原則として、他国が自国の領域で行われているサイバー攻撃の被害防止と調査においてデューディリジェンスを怠っていることを立証すれば、標的国は、例えば、制裁を課す、攻撃元のシステムに損害を与えるか妨害する、特定の国からのインターネット・トラフィックをブロックする、外交官を追放するなど、武力行使に相当しない非友好的または不法な行為によって主権侵害または禁止された介入に対応することが可能であるとしています。
さらに、同論文は、今日の緊迫した政治情勢において、サイバー手段による行為は信憑性があるだけでなく、進行中の紛争に波及して、どのような結果をもたらしうるかについては、予測ができるものではないことを明らかにしています。
そこでは、
ハッキングの失敗が原因で紛争が拡大しないように、不当な侵略の犠牲になった国家を助けたいという願望に駆られた活動に署名する前に、個人はあらゆる国家機関との関係における自分の立場と、参加する予定の特定のハクティビスト集団の立場を心に留めておく必要があります。情報漏えいや反プロパガンダのハッキングは、民間人を合法的または非合法的な戦闘員に変えるものではありませんが、進行中の政府の諜報活動を危険にさらすことになります。逆に、オープンソースのサプライチェーン攻撃や重要インフラを標的としたものなど、制御不能または無差別的な影響を及ぼす可能性のあるハクティビスト活動は、軍事、人道、犯罪といったリスクに見合うものでは決してないのです。
として結論にしているのです。