[レポート]基調講演1:脆弱性調査をサポートするためのサイバー犯罪法の改正。英国の経験とその後 – CODE BLUE 2020 #codeblue_jp

CODE BLUE 2020で行われた「基調講演1:脆弱性調査をサポートするためのサイバー犯罪法の改正。英国の経験とその後」というセッションのレポートです。
2020.10.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

今回はCODE BLUE 2020で行われた以下のセッションのレポートです。

基調講演1:脆弱性調査をサポートするためのサイバー犯罪法の改正。英国の経験とその後

サイバー犯罪法(ハッキング法)は、往々にして悪名高いものとなる。というのも、これらの法律は「無権限アクセス(不正アクセス)とは何か」という仮定に基づいているが、それらは技術や倫理分野の仮定とは大きくかけ離れたものだからだ。その結果、無権限アクセスの実行やツールの誤使用は、正当な脆弱性調査(発見・概念実証・開示)であったとしても犯罪と見なされる可能性がある。独立したセキュリティ研究者は、定義上、ベンダーの事前承認なしに仕事をするため、特に刑事訴追のリスクに晒されることとなる。 英国はその好例であり、コンピューターの電源をオンにするだけでも不正アクセス罪に問える独自の「コンピューター不正使用法1990」を起草した。さらに、2006年と2015年の改正では、当初の犯罪と同様に広い範囲の他の行為を修正または追加することで、法律の範囲がさらに拡大した。英国はこの点において異例だが、情報システムに対する攻撃に関する「EU指令2013/40/EU」や「サイバー攻撃に関する条約n.185」(事実上の国際条約)では、刑法の範囲を制限したり、セキュリティ研究者を保護したりするため、真剣かつ効果的な取り組みを行っているが、それでも独自の弱点がないわけではない。 起訴のガイドライン、もしくはセキュリティ業界と検察当局との間の覚書は、セキュリティ研究者の法外な起訴を避けるには歓迎すべき第一歩だ。しかし、いったん起訴されてしまえば、それだけでは十分な保護だと言うことはできない。セキュリティを向上させるという彼らの動機(および用いられる手法)は、公益防衛*(public interest defence)がない限り法的な議論として成り立たない。 そこで、私はサイバー犯罪法(英国・EU)の改正を提案する。具体的にはサイバー犯罪の行為、特にハッキング行為(無権限アクセス)に公益防衛を組み込むのだ。 英国内での改正の機運は高まっている。刑法即時改正ネットワーク(Criminal Law Reform Now Network:CLRNN)は、一連の推奨事項を盛り込んだコンピューター不正使用法の包括的な調査レポートを発表した。このレポートと刑法改正を支持する英国セキュリティ業界のスローガンを借りるならば、「サイバー犯罪法を21世紀に適合させる時が来た」と言える。

*公益防衛(訳者注):機密情報や保護された情報を開示した被告が、その情報を開示することの公共の利益が開示しないことの公共の利益を上回ることを立証することで、犯罪性を回避することを可能にする防衛のこと(https://en.wikipedia.org/wiki/Public_interest_defence より)。

Presented by : オードリー・ギンジャード

ちょっと断片的になってますがご容赦をorz

レポート

  • 法制度についての話
  • 3つに焦点をあてている
    • UK, France, US
  • イギリスでは法改正を求める声が高まっている
  • ネットワークによるコンピュータ乱用防止法
  • 法律は管轄がある
  • ある国で保護されているからといって、別の国でも守られているというわけではない
  • イギリスおよび世界の法制度について考える
    • EC司令の話
      • サイバー犯罪条約185条がある
      • 48カ国が加盟している
      • サイバー犯罪との戦いにおいて脆弱性を修正していく必要がある
      • 実行前に正式な承認をとっているわけではない
    • サイバー犯罪者を捕まえるということについて幅が広い
    • うっかりとグレーゾーンを作ってしまう
    • 正しい研究者を捕まえてしまうこともあるかもしれない
  • 一部では刑事告訴や有罪判決につながることもある
  • 無罪になるまでに費用がかかってしまう
  • セキュリティ研究者を保護するためのプロジェクトを始めた
  • 犯罪の種類は大きく3種類
    • 無許可なハッキング
    • 無許可のダメージを与える
    • 介入する
  • ポイント
    • 認証
    • アクセス
    • 意図
    • ツール
  • アクセスはconduct + result
    • でもこの呼び方はあまり正しくない
    • S17 CMAでは以下のように言われている
      • コピーや印刷など
      • 古いためプリンタを前提としている
    • イギリスではコンピューターの電源を入れることも犯罪になる可能性上がるなど、問題がある
    • 新聞記事を読んだりすることも危険になる
    • システムを分析したりすることも
  • イギリスの法律に基づいてあらゆるアクセスが犯罪になってしまう
    • 条約第2条など
    • イギリスでは他とは違ったやり方をしてる
  • 法的確定要素
    • ポートスキャニングは国によっては準備行為で大丈夫とみなされることがある
    • フランスでは準備行為は責任がない
    • オランダでは未遂で責任がある
  • 認証がない
    • アクセスの権限がない、合意を得ていないなどは無権限になる
    • 企業から委任されていない状態でサイトを見ることが無権限になる
    • 委任されていても法が適任されないことがある
    • 権利なしという言葉が使われている
    • セキュリティ研究者を念頭に置いているわけではないが、これだと意味がない
    • システムオーナーから依頼を受けていないことが問題になる
    • 認証について何が問題なのか
      • 報奨金プログラムなどがあるが問題になる
      • ポリシーが曖昧であることが問題
      • 業者がノーと言えば権限を与えたと言えないとなる
  • アクセスする意図は持っていなかった、脆弱性を是正しようとしたとセキュリティ研究者が言っても法では関係ない
    • 理由の良し悪しは関係ない
    • 意図と動機が違うから
    • 実際の事例もある
    • Cuthbert 2005
    • 判事は有罪にしないといけないことを残念だと思うと言った
  • ツール
    • ツールの悪用について条約でもセキュリティ研究者を守ろうとしているものもある
    • Article 6 (2)
    • ただし同じものが国内にはない
    • フランスにはあるが
    • 類推で適用拡張はできない
  • 解決策
    • 第一歩として覚書を設けるなど
      • オランダなどはやっている
      • ただ訴追を拒否することはできない
      • 一度訴追手続きが開始されると保護はない
      • 裁判に持ち込まれる流れを止める必要がある
    • 犯罪の範囲を限定する
      • イギリスでは取り組みがある
      • しかし他の国では機能しない
      • 多くの国で犯罪の範囲を変えることができない
      • 裁判になるとセキュリティ研究者は何もできない
  • 刑法での防衛
    • 最もな理由が存在する、正当化も認められる
    • 正当防衛は認められても反撃は許されない
    • 合法なセキュリティ研究者が必要性を訴えることができる
    • リスク認識が重要になる
    • 2018のデータ保護法で防衛が入っている
    • 比例原則は重要

感想

セキュリティ研究者が普段行っている行為が犯罪となってしまうことが多いというのは、日本でも他人事ではないなあと思いました。

が、イギリスは特になかなか大変なようですね…

私は法にあまり詳しくないので慎重に生きようと思いました。「裁判になるとセキュリティ研究者は何もできない」というのはまさにそうだなぁと思います。