善意のハッキングを行うセキュリティ研究では訴えられない新方針を司法省が発表

「善意のハッキングを行うセキュリティ研究では訴えられない新方針を司法省が発表」という記事がでています。

プレスリリース

司法省のプレスリリースは、こちらです。

そのまま訳します。—

司法省は本日、コンピュータ不正利用防止法(CFAA)違反の起訴に関する方針を改定したことを発表しました。

この方針では、善意(good faith)のセキュリティ・リサーチを告発すべきではないことを初めて指示しています。善意のセキュリティ研究とは、セキュリティ上の欠陥や脆弱性を善意でテスト、調査、修正する目的のみでコンピュータにアクセスし、その活動が個人または公衆への被害を回避するように設計された方法で行われ、その活動から得られた情報が主にアクセスしたコンピュータが属する機器、機械、オンラインサービスのクラスや、その機器、機械、オンラインサービスを使用する人々のセキュリティや安全を促進するために使用される場合を指します。

「コンピュータ・セキュリティの研究は、サイバーセキュリティを向上させる重要な推進力です」と、司法長官代理のリサ・O・モナコは述べています。「本日の発表は、公益のために脆弱性を根絶する善意のセキュリティ研究者を明確にすることで、サイバーセキュリティを促進するものです。

新方針は、”CFAA執行に関する省の目標は、個人、ネットワーク所有者、運営者、およびその他の者が、その情報システムに保存されている情報の機密性、完全性、可用性を確保する法的権利を支持することによって、プライバシーとサイバーセキュリティを促進することである “という長年の慣行を明確に述べています。したがって、このポリシーは、一部の裁判所やコメンテーターが懸念している教室事例的(hypothetical)なCFAA(注 こんピュータ詐欺・濫用防止法) 違反は、起訴されないことを明確にしています。デートサイトの利用規約に反してオンラインデートのプロフィールを盛る、雇用・住宅・賃貸サイトで架空のアカウントを作る、禁止されているソーシャルネットワーキングサイトで偽名を使う、職場でスポーツの成績をチェックする、職場で請求書を支払う、利用規約に含まれるアクセス制限に違反するなどは、それだけで連邦刑事責任を問うには十分ではありません。この方針では、被告人がコンピューターへのアクセスをまったく許可されていない場合、あるいはコンピューターの一部(たとえば電子メールアカウント)へのアクセスを許可されていたにもかかわらず、その制限を知りながら、他のユーザーの電子メールなど、許可されていないコンピューターの一部にアクセスした場合に、同局の資源を集中させるとしている。

しかし、新しいポリシーでは、セキュリティ・リサーチを行っていると主張することが、悪意ある行為を行う者の免罪符になるわけではないことを認めています。例えば、所有者を恐喝するために機器の脆弱性を発見することは、たとえ「研究」と称していても、善意によるものではありません。この方針は、この要因の具体的な適用について、刑事部のコンピュータ犯罪・知的財産セクション(CCIPS)に相談するよう検察官に助言しています。

コンピュータ詐欺・乱用防止法に基づいて事件を起訴しようとするすべての連邦検察官は、この新しい方針に従い、起訴する前にCCIPSと相談することが義務付けられています。検察官は、CCIPSが反対を勧告した場合、CFAA事件の起訴前に副司法長官(DAG)に報告し、場合によってはDAGの承認を受けなければなりません。

この新しいポリシーは、2014年に発行された以前のポリシーに代わるものであり、直ちに発効します。


文脈

アメリカにおいて情報セキュリティ的な調査との関係でおきた事件をあげると以下の事件があります。

(ア)US v. Sklyarov事件(2001年)
(イ) MBTA v. Anderson事件(2008年)
(ウ)David Levin事件(2016)
(エ)Justin Shafer事件(2016年)
(オ)Iowa州誤認逮捕事件(2019年)

なお、厳密には、刑事法令の適用又は提供する情報セキュリティサービスに関するものではないが、関連する興味深い事件として、以下(カ)ないし(ケ)の事件がある。
(カ)Bernstein v. 司法省事件(1995年)
(キ)Felton v. RIAA事件(2000年)
(ク)United States v. Aaron Schwartz事件(2011年)
(ケ)Marcus Hutchins事件(2019)
本件は、2017年5月にWannaCryランサムウェアの犯行の拡散を止めて有名になった英国人Marcus Hutchins氏が、2014年に、銀行のウェブサイトからパスワードとその他の認証情報を盗むためのトロイの木馬であるKronosに関与していたとして米国において逮捕・起訴された事件である 。結局、彼は、Kronosへの関与を認め、有罪の判決がなされた(服役は免れている)。

そのなかで、このエントリでは、アーロン・シュワルツ事件をあげます。

2011年1月6日、Schwartz氏は、論文データベースのJSTORから学術雑誌の記事をダウンロードした計画的な犯行に関与したとして、連邦当局に逮捕された。連邦検事は、最終的に通信詐欺2件とコンピュータ詐欺・不正利用防止法(CFAA)違反11件により、Schwartz氏を起訴した。これは最長で35年の懲役刑、100万ドルの罰金と資産没収、損害賠償、保護観察となりうる罪であった。結局、彼は、2013年1月11日、自宅で自殺した。

彼は、有名なプログラマーで、RSSなどの開発に従事し、redditの共同経営者であったこともあり、この事件は、きわめて大きな反響を呼んだ。また、彼の死を契機に、コンピュータ詐欺・不正利用防止法(CFAA)を改正すべきではないか、という議論が盛んになりました。

写真は、EFFペーシより。

ポリシー

でもって、このポリシーをみていきます。実際の改変後のポリシーは、こちらです。

まず、これは、「9-48.000 – COMPUTER FRAUD AND ABUSE ACT」となっています。米国においては、検察官マニュアル(USAM)があります。

9-27は、「連邦起訴」の諸原則となっています。

9-27.230においては、実質的な連邦の利益を考慮にいれて起訴をなすべきとされている 。同規定では、犯罪の性質と深刻さ、起訴の抑止効果、行為者の非難可能性、行為者の犯罪歴、行為者の調査又は訴追に協力する意欲、被害者の利益、有罪判決を受けた場合の量刑その他の結果、を考慮すべきとされている。

これを具体的に、CFAA法に適用する場合を論じられており、従来は、「コンピュータ犯罪事項の立件および起訴ポリシー(Intake and Charging Policy for Computer Crime Matters)」(2014年、2016年に改訂)でした。

このポリシは、A.ポリシー、B.コメント、C.諮問事項に分かれている。ポリシーにおいては、①コンピュータシステムや情報などの重要性、②損害もしくはアクセスが、国家安全・重要インフラ・公衆健康/安全・市場の完全性・国際関係・その他国家または経済利益に与えるインパクトの程度、③さらなる犯罪等につながる程度、④被害者その他に対する犯罪・起訴のインパクト、⑤犯罪が、アクセス権限を超えてなされているか、⑥捜査や起訴の抑止効果、⑦犯罪行為のもつインパクトの性質、⑧連邦が起訴しない場合に他の法域において効果的に起訴されるかどうか、を判断要素として起訴を判断するとされています。そして、これらの要素について、コメントが付されています。

それが今回、改訂されたということになるかと思います。

そのまま、翻訳にかけます。


コンピュータ不正行為防止法(Computer Fraud and Abuse Act、以下「CFAA」)は、米国法典第18編第1030節でコード化されており、検察官がサイバー犯罪に対処する上で重要な法律です。しかし、技術や犯罪行為が進化し続ける中、政府の弁護士によってCFAAが一貫して適用されること、また、一般市民が同省による法律の適用方法をより良く理解することも重要であることに変わりはありません。

これらの目標を達成するために、CFAAの下での起訴を考えている検察官が適切に考慮するよう、政府側弁護士を指導するために以下の方針を策定しました。

A. 相談要件

1.はじめに

 CFAAに基づく事例はしばしば複雑であり、特定の捜査や起訴が以下に述べる起訴方針に合致しているかどうかの分析には、技術、関連情報の機密性、合法的な証拠収集のための手段、国内および国際的な調整の問題、被害者の懸念などの要素について微妙な理解がしばしば必要とされる。JM § 9-50.000 は、特定のケースにおける刑事課のコンピュータ犯罪および知的財産課 (「CCIPS」)との調整および通知を含む、サイバー検察のための一般要件を定めている

2. 捜査上の協議

 ベストプラクティスとして、政府の弁護士は、電子的証拠を得るための法的手続きの発行を含む捜査のすべての重要な段階で、事件が提起されるであろう地区内のコンピュータハッキングおよび知的財産コーディネーター(「CHIP」)と協議する必要があります。しかし、電子証拠は非常に短い保存期間の後に削除されることが多いため、捜査に重要な証拠を保存または入手する必要性から、上記の協議を行う前に予備的な捜査手順を踏む必要がある場合があります。このような場合、できるだけ早く協議を行うべきである。

3. 起訴に関する協議

起訴の決定に関して、政府側弁護士は CCIPS と協議し、事実上、法律上、または政策上の問題の可能性を特定し、他地区の類似事例との照合を支援し(弁護士が他の省令や手続きに従ってまだその照合を完了していない限り)、当該事件が国家の優先事項にどのように関連しているかを検討する。政府の弁護士は、この協議に地区CHIPを参加させることが推奨されます。協議は本質的なものであるべきです。これは、検察官を支援し、急速に発展する実務の分野において、省内の一貫性を促進することを目的としています。これらの目標を達成するために必要な相談の深さと情報の程度は、特定の捜査や問題の事実、複雑さ、敏感さによって異なります。このような協議は、すでにCHIPプログラムの特徴となっており、強力な協力関係は、このプログラムの協力的な成功の重要な理由となっています。

4. 国家安全保障に関わる事件での協議

国際テロや国内テロに関わる CFAA 事件、あるいは国家安全保障に影響、関与、関連する事件では、JM §9-2.136, 9-2.137, 990.020, および/または 9-90.800 が、開始および調査段階を含む NSD への通知、協議、承認の追加要件を定めています。このような場合、政府の代理人は、選択すれば、1回の連絡で CCIPS と NSD の充電協議の要件を満たすことができます。NSD または CCIPS は、他の部門との追加の告発コンサルテーションを促進する責任を負う。問題が国際テロリズム、国内テロリズム、あるいは国家安全保障に影響、関与、または関連しているかどうかに ついて何らかの疑問がある場合、政府の代理人は担当地区内の国家安全保障サイバー専門家(「NSCS」)に相談し、さらなる指導を仰ぐべきである。

 5. 副検事総長室への通知

事務所が CCIPS と協議した上で、本項を適用する書面による勧告に反する方法で CFAA 事件を告発しようとする場合、当該事務局は告発前に副検事総長室に通知するものとする。この方針は、国際テロリズムや国内テロリズム、あるいは国家安全保障に影響・関与・関連するCFAA案件を承認しないNSDの決定に対して不服を申し立てるための既存の関連手続きに影響を与えるものではありません。いかなる場合も、事務所は、副司法長官室の承認なしに、CCIPSからの勧告に反して、「許可されたアクセスを超える」または「許可されたアクセスを超える」で被告人を起訴することはありません。

B. CFAA案件の起訴ポリシー

1. “無権限 “でのアクセス

第 1030 条は、被告が保護されたコンピュータに “無許可” でアクセスした場合に発生する多くの犯罪を記述している。18 U.S.C. §1030(a)(1), (a)(2), (a)(3), (a)(4), および (a)(5)(B)-(C) を参照されたい。ただし、被告の行為時に、(1)被告は、いかなる状況においても、保護されたコンピュータにアクセスする権限を、当該権限を付与する権限を有する個人または団体から与えられていなかった場合、(2)被告は、被告の無権限アクセスを可能にする事実を知っていた場合、(3) 起訴すれば下記B.3に記載するようにCFAAの執行に関する省の目標に貢献できる場合はこの限りではありません。

 2. “権限あるアクセスを超える “アクセス

第 1030 条の 3 段落は、「権限あるアクセスを超える」行為に関わる犯罪を記述しており、「超過権限アクセス」と表現されることもある。合衆国法律集第 18 編第 1030 条(a)(1)、(a)(2)、及び(a)(4)を参照のこと。ただし、被告の行為時に、(1) 保護されたコンピュータがファイル、フォルダ、ユーザアカウント、またはデータベースなどの領域に分割されていること、(2) その分割が契約、サービス契約条件、または従業員方針ではなく、コンピュータコードまたは構成を通じて、つまり計算上の意味で確立されていること、はこの限りではない。(3) 被告が、ある領域へのアクセスを許可されているが、コンピュータの他の領域へのアクセスを無条件に禁止されていること (4) 被告が、許可されたアクセスが及ばないコンピュータの領域にアクセスしたこと (5) 被告が、そのアクセスを無許可とする事実を知っていたこと (6) 起訴が、以下の B. で説明する CFAA 施行のための省庁の目標に合致すること

 3. 起訴が CFAA の執行に関する同省の目標に適うかどうか。

CFAA施行に関する同省の目標は、個人、ネットワーク所有者、運営者、およびその他の者が、その情報システムに保存されている情報の機密性、完全性、および可用性を確保する法的権利を支持することにより、プライバシーとサイバーセキュリティを促進することである。したがって、参照することによりここに組み込まれるJM § 9-27.230に規定された考慮事項に加え、司法省の弁護士は、有罪判決を維持するために十分な証拠であると予想されるケースにおいて起訴することにより実質的な連邦の利益が果たされるため、CFAA起訴が追求されるべきかを決定するにあたり以下の追加要因を検討するべきである。

 1.影響を受けるコンピュータシステム、またはそのシステムによって送信され、もしくはそのシステムに保存される情報の機密性、およびコンピュータシステムへの損害もしくは不正アクセス、または関連する情報の開示および使用に関連する損害の可能性および程度

2.コンピュータシステムに対する損害もしくは不正アクセスの程度、およびコンピュータシステムに対する損害もしくは不正アクセスの程度 3.情報の開示および使用に対する損害もしくは不正アクセスに対する損害もしくは不正アクセスの程度 コンピュータ・システムまたはコンピュータ・システムにより送信もしくは保存された情報に対する損害またはアクセスが、国家安全保障、重要インフラ、公衆衛生および安全、市場の完全性、国際関係、または国益もしくは経済利益に広くもしくは重大な影響を及ぼすその他の考慮事項に関する懸念をどの程度引き起こすか。

3. その活動がより大きな犯罪行為の促進であるか、身体的損害または国家の安全に対する脅威の危険をもたらすか、

4. 犯罪や訴追が被害者やその他の第三者に与える影響

5. 捜査や訴追の抑止力(犯罪活動の新しい分野や拡大、再犯被告人、新規または高度な技術の使用、信頼された地位やその他の機密レベルのアクセスの乱用、または行為が特にひどいか悪質であるために抑止の必要性が高まるかどうかを含む)

 6. 犯罪行為が特定の地区や地域社会に与える影響の性質、

7. 連邦起訴を断念した場合、他の司法権がその犯罪行為を効果的に起訴する可能性があるかどうか、

 8. 利用可能な証拠により、被告の行為が善意のセキュリティ研究であり、被告がそれを意図していたことが示される場合、政府側の弁護士は起訴を拒否すべきです。この方針のために、政府側の弁護士は、著作権登録機関が第1201条規則制定において推奨する「善意のセキュリティ研究」の定義を適用すべきです。8th Triennial Proceeding to Determine Exemptions to the Prohibition on Circumvention, at 258 (Oct. 2021). ということである。「善意のセキュリティ研究」とは、セキュリティ上の欠陥や脆弱性を善意でテスト、調査、または修正する目的でのみコンピュータにアクセスすることで、その活動が個人または公衆への被害を回避するように設計された方法で行われ、その活動から得られた情報が主に、アクセスしたコンピュータが属するデバイス、マシン、オンラインサービスのクラス、またはそのデバイス、マシン、オンラインサービスを使用する人々のセキュリティまたは安全性を促進するために使用される場合を指します。例えば、デバイス、マシン、またはサービスの所有者を恐喝するために、デバイス、マシン、またはサービスのセキュリティホールを発見する目的で、善意で行われないセキュリティ研究は、「研究」と呼ばれるかもしれませんが、善意とは言えません。CCIPS は、この要因の具体的な適用について検察官と協議することができる。

C. コメント

司法省は、被告人がコンピュータ上の特定のファイル、データベース、フォルダ、またはユーザーアカウントにアクセスすることは、あらゆる状況において完全に禁止している契約、協定、またはポリシーを狭義の例外として、被告人が契約、協定、またはポリシーによって特定のファイル、データベース、フォルダ、またはユーザーアカウントにアクセスする権限を付与されているという理論に基づく「アクセス権限超過」案件を扱うことはしない。被告人が、インターネットサービスプロバイダとの契約上の合意やサービス条件に含まれるアクセス制限に違反したことのみによって許可されたアクセスを超えたという理論に基づいてCFAAの訴追を行うことはできない。一般公衆が利用できるウェブサービス(人手を介さず無料または有料で登録できる公開ウェブサイト(ソーシャルメディアサービスなど)を含む)についても同様である。また、従業員が、雇用主の方針で禁止されている方法で、自分専用のコンピュータを使用したという理論で、CFAAを起訴することはできない。例えば、仕事中にスポーツの成績をチェックしたり、請求書を支払ったりすることがそれである。しかし、例えば、複数ユーザーが利用するコンピューターやウェブサービスにアクセスし、そのコンピューターやウェブサービス上の自分のアカウントにのみアクセスする権限がありながら、他人のアカウントにアクセスした被告に対しては、「アクセス権限の範囲を超えた」CFAA起訴が行われる可能性があります。

また、コンピュータやコンピュータ上の特定の領域にアクセスする権限は、ユーザーが何かを行ったり、その他の特定の条件を満たしたりすると、契約やその他の書面の条項に基づいて自動的に取り消されるという理論に基づく「権限を超えたアクセス」のケースも提起されません。したがって、出会い系サイトの利用規約に反してオンライン・デート・プロフィールを装飾すること、雇用、住宅、賃貸のウェブサイトで架空のアカウントを作成すること、禁止されているソーシャル・ネットワーキング・サイトで偽名を使用することは、いずれも保護対象のコンピュータの所有者とユーザーの契約に違反するかもしれないが、単なる契約違反によってユーザーの以前の承認が自動的に取り消され、その時点からユーザーがCFAAの違反行為を行っていたという見解は取らないだろう。しかし、認可者が後に認可を明示的に取り消した場合、例えば、被告が受け取り理解できる明確な書面による中止の連絡を通じて、当局はその時点から被告を認可されていないと見なすでしょう。

「権限なし」のケースでも「権限あるアクセスを超える」ケースでも、政府の弁護士は、被告人がそこに保存されている情報を入手または変更するために、アクセスを許可されていないコンピュータまたはコンピュータの領域に故意にアクセスしたことを証明する準備をしなければならず、単に被告人がコンピュータから入手した時点で許可されていた情報またはサービスをその後悪用したということではありません。被告人が故意または意図的に行動したことを証明する一環として、政府側の弁護士は、被告人の行為の時点で、被告人のアクセスを無許可とする事実を被告人が認識していたことを証明する準備をしなければならない。このような認識は、無許可のアクセスを制限することを意図した(たとえ失敗したとしても)技術の存在、保護されたコンピュータまたはその特定の領域にアクセスする権限がないことを明確に通知した被告に送られた書面または口頭による通信、または自分の行為が無許可であることを反映した被告自身の発言または行動など、さまざまな手段によって証明される可能性があります。これまでの経験から、米国司法省が提訴した「許可されたアクセスを超えた」事例の大部分において、コンピュータシステムのオペレータは、問題となっている情報を保護するために何らかの技術的努力を行い、それによってその情報の重要性や敏感さを示していることが明らかになっています。このような技術的努力は、不可解な「技術的障壁」を築き上げたり、アクセスを防ぐという意図した目的に成功したりする必要はない。それどころか、CFAAに違反した場合、ネットワーク防御者の技術的な阻止の試みが失敗したにもかかわらず、技術が被告の違法なアクセスを「許可」することがあまりにも多いのである。

この司法省マニュアルのセクションに記載された告発方針と原則、およびこのセクションに従って採用された内部事務手続きは、専ら政府側の弁護士の指導のために意図されたものである。これらは、米国との訴訟の当事者によって、実体的または手続き的に、法律で強制可能な権利または利益を創出することを意図したものではなく、また、そのようなものに依拠することはできない。

[2022年5月19日更新]。

関連記事

  1. クラウドの障害対応・フォレンジック-CSAのクラウド・インシデン…
  2. CyConX travel report Day One Key…
  3. 国家支援によるサイバー諜報行為 2
  4. 北朝鮮のサイバー攻撃、国連安保理も対象に 専門家パネル報告書
  5. Cycon 2019 travel memo day3 fina…
  6. 読売新聞 「IoT攻撃 情報共有」の記事
  7. 欧州理事会の域外からのサイバー攻撃への制裁枠組み
  8. 大規模な国際的サイバー攻撃に対するユーロポールの対応
PAGE TOP