ボットネットのテイクダウンで、Citadel決定の分析を聞いてきたのですが、その前にいろいろとあったよね、ということで、ちょっとご紹介してみましょう。
ボットネットのテイクダウンを考えるので、興味深い最初の事件は、Mocolo事件ということができるでしょう。
米国においては、2008年秋ころから、セキュリティの研究者やネットワーク専門家が、スパムや悪意あるプログラムなどを配信しているサイトに対して、これを遮断してしまおうと努力をなして、それが実行されつつありました。
悪質なISPである Atrivo は、最終的に、2008年9月20日にネットワークから遮断されました。また、2008年10月には、 FTC(連邦取引委員会)は、HerbalKingに対して差止命令をえたということもありました。
このような流れのもとで、Mocoloというホスティングプロバイダーが、2008年11月にインターネットから遮断されるという事件がありました(事案の経緯等はこちら)。Mocoloは、UltraNet(ラトビア)、NETRCLLC(米国)、LUCKYNET2(イスラエル)、Peer1(カナダ)などの悪意あるプログラムをダウンロードさせるサイトにネットワークを提供しており、McColo自身、偽物のアンチウイルス製品をダウンロードさせるサイバー犯罪者に対してサイトを提供していたと考えられていました。McColoは、世界のスパムの50-70%をしめていたものと考えられていて、また、通常のネットワークが、問題あるサイトの割合が、0.01%程度であるのに対して、McColoは、2.02%をしめており、有害ネットワークのトラフィックのプラットフォームであったということができるでしょう。
経路的には、Global Crossing(AS3549)が40%、Hurricane Electric(AS6939)が53%をしめていました。住所は、デラウエア州ニューアークにあるとされていたが、実際には、当該場所には、McColoは存在せず、IPアドレスからは、カリフォルニア州のサンホセに存在すると考えられていました。
このMcColoのテイクダウンに尽力したのは、ワシントンポストのセキュリティ・フィックスというブログの関係者でした。彼らは、McColo の過去4ケ月の違法な行為についての調査をなしました。調査チームは、主たるISPと接触し、その過程において、McColo のバックボーンのISPの情報を提供ましした。
McColoに接続を提供していた主なプロバイダーである Global Crossingは、通常の反応をするにすぎなかったのですが、 McColoの他のISPであるHurricane Electricなどは、ワシントンプレス紙から提供された情報をもとに、同年11月11日にその接続を停止しました。
Hurricane Electricのマーケッティング担当取締役の Benny Ngは、「McColoの行為はHurricane Electricのサービス条件に完全に違反するものであり、(遮断措置という)今回の決定はきわめて正当であり完全に合法的なものだ」と強調しているとのことでした。
この遮断行為については、セキュリティ研究者、ISPなどの共同での活動の成果であるという評価が一般的です。その一方で、問題を指摘する立場も存在ました。(具体的には、インターネット・モニタリング会社のRenesysでバイスプレジデント兼ゼネラル・マネジャーを務めるアール・ズミエフスキ(Earl Zmijewski)氏は同社のブログ上で、警察関係者が閉鎖措置に関与しなかったことには疑問があると表明している。)
McColoは、会社で、一般のユーザーに対しても、一定のサービスを提供していました。
一般のユーザーが、そのサービスを利用して、ホスティング等のサービスを利用していた場合、その利用が遮断されたことによって、一般のユーザーが、利用に制限を来してしまうことになってしまいます。その場合にMcColoに対して責任を問いうるのか、そもそも、McColoが通信の遮断されるべき存在であったのかという問題があることになります。
その意味で、裁判所なりの関与による遮断のほうが望ましいものということがいえるでしょう。裁判所の関与した司法手続に基づけば、その上のプロバイダの遮断が仮に、契約の違反に基づくものだとしても、その契約の対象外に生じる損害に対しても、違法性を阻却するということがいえそうである。そこで、裁判所が関与した遮断の具体例をみていくことにする。