サイバー犯罪の定義:あなたの法務論と わたしの技術論が 噛み合いません

My “Cybercrime” Isn’t Your “Cybercrime”

2021/09/12 StateOfSecurity — サイバー・セキュリティの専門家たちと、ネットワーク上のサイバー犯罪について話をすると、スキャン/攻撃/イベント/インシデントなどの、悪意の活動について言及されるだろう。おそらく、どこかの時点で、悪名高い攻撃手法や内部プロトコルといった、業界の略語を参照しながら戦術/技術を説明し、膨大な数の紛らわしい略語や専門用語を使って、マニアックな話をすることになるだろう。

連邦法執行官にサイバー犯罪の話をすると、おそらく Computer Fraud and Abuse Act (CFAA)/不正アクセス/不法侵入/著作権/個人情報保護など、さまざまな法規制について言及するだろう。地元の警察官は、それぞれの管轄区域に固有の法律/法令/規範を持っており、署長や保安官がサイバー犯罪と定義する事件の種類も異なる。

これは何を意味するのだろうか?私の「サイバー犯罪」が、あなたの「サイバー犯罪」とは限らないということだ。サイバー犯罪とは、悪意の活動を意味することもあれば、違法な活動を意味することもあるのだ。

さらに混乱を招くのが、サイバー対応型犯罪 (Cyber-enabled Crime) とサイバー固有型犯罪 (Cyber-native Crime) である。サイバー対応型犯罪とは、従来の犯罪がサイバー空間のツールやメソッドにより助長されたものだ。このカテゴリーに属する悪意の違法行為は、詐欺やペテンと呼ばれることが多く、電話やコンピュータなどのデジタル機器の使用を伴う。サイバー固有型犯罪とは、ネットワークへの侵入や、暗号通貨の採掘、マルウェアなどの、デジタル領域以外では実行できない犯罪のことを指す。(サイバー固有型犯罪は、サイバー依存型犯罪 [dependent] とも呼ばれる)

サイバー犯罪へのアプローチを示す、以下のクオドラントを眺めてほしい。

アプローチサーバー対応型犯罪サーバー固有型犯罪
悪意のサイバー活動誰かを晒す/SNS を介して強盗の標的を特定する/ オンライン・ストリートマップを用いて銀行強盗を計画するマルウェアコードの記述/ネットワークをスキャンによる脆弱性やポートの探索/入力される 資格情報の窃取
違法なサイバー活動誤って公開されたデータベースからの個人情報の窃取コンピュータやネットワークへの不法なアクセスと侵入/マルウェアの展開

なぜこれが重要なのか?

サイバー犯罪の定義は、法的地位に関係なく活動の意図を示すものと、意図に関係なく活動の法的地位を示すものとで、その目的は異なるものになる (確かに、起訴する/起訴しないの判断には意図が考慮されることが多いが)。さらに、機関によっては、サイバー固有型犯罪のみを真のサイバー犯罪とみなす場合もあれば、サイバー対応型犯罪とサイバー固有型犯罪の双方を含む場合もある、という複雑さも生み出している。つまり、あなたの「サイバー犯罪」が私の「サイバー犯罪」だとは限らないのだ。

たとえば、利用規約違反は、サイバー犯罪の定義における最も明白な相違を示しており、企業は悪意のサイバー活動とみなしているが、司法システムでは起訴できないかもしれない。最近の米国最高裁における Van Buren 事件で判決は、定義の違いによる苦悩を浮き彫りにしている。Van Buren は、合法的にアクセスしたデータベースから取得したデータを販売したことで、CFAA から有罪判決を受けたが、上訴に成功した。そして最高裁は、同氏が CFAAの「許可されたアクセス」を超えていなかったことに同意した。この種のケースにおいて、ネットワークを保護する者たちは、違法ではなくても悪意の活動とみなし、サイバー犯罪だと分類するだろう。

この差別化を、さらに進めて、サイバー犯罪の統計にいて考えてみよう。米連邦取引委員会 (FTC : Federal Trade Commission) は、悪意のサイバー活動に関する統計を、詐欺/個人情報窃取/苦情といった種類に分類し追跡している。同様に、他の政府機関 (Canadian Anti-Fraud Centre/Australian Cyber Security Centre/UK Action Fraud and Cyber Crime Reporting Centre) や民間企業も、それぞれの用語やサイバー犯罪の定義を用いて、同様のことを行っている。 そのため、サイバー犯罪の統計は、管轄や機関を超えて、ほとんど比較できないものとなる。

課題

サイバー犯罪全体を研究するためには、報告書や統計の比較を可能にしなければならない。したがって、それぞれの報告書/統計/管轄区域で、何を議論されているかを理解することが重要になる。サイバー・セキュリティの専門家たちは、何が違法であるかの定義が、裁判所の判決により変更される可能性がある、複雑な刑事司法制度での犯罪/事件/管轄の理解を無理強いさせられる。その一方で、司法関係者は、報告書の技術的なニュアンスを理解することを強いられた上で、悪意の活動がサイバー法に違反していないため、起訴できないと説明しなければならないという、不快な立場に置かれている。

前進

サイバー犯罪の定義を、4つのマス目のいずれかに押し込んでも、合理的な結論には至らないだろう。ひとつの固定された定義を強要するのではなく、サイバー犯罪に対する様々な理解を認識し、取り入れていく必要がある。そのための第一歩は、自分の組織や機関が、どのようなアプローチをとっているかを把握し、また、とるべきかを決めることだ。サイバー犯罪の範囲を決定するために内部で話し合えば、サイバー・セキュリティと物理セキュリティのスタッフや、サイバー・セキュリティ専門家をサポートする研究者やアナリストなどの、責任についての明確な理解が生まれてくるだろう。

このような理解を踏まえた上で、次のステップとしては、サイバー犯罪の定義に適したツール/プロセス/手順を確保することになる。つまり、サイバー犯罪の防止を支援するためのトレーニングや教育プログラム、インシデントを防止/修復するための技術の導入、適切な連絡先や情報源の定義、インシデント対応計画の策定などが、そこには含まれるだろう。

結論

とりわけ、サイバー犯罪においては、あらゆる局面で変化は避けられないだろう。私たちはコミュニティとして、サイバー犯罪の暗黙の定義に頼ったり、同じ活動について話していると思い込むのではなく、違いを認め、それを会話の改善に役立てるような、深さを持ったアプローチをとる必要がある。私たちの仕事は保護である。キーボードもしくは手錠を使って、あるいは、その両方を使って、その保護を達成するかにかかわらず、お互いの定義を理解することが、サイバー犯罪に立ち向かうための、すべての努力につながる。

なかなか意味深な話で、訳していて楽しかったです。でも、タイトルには困りました。結局、「法務論」という造語 (?) を押し込んで、なんとか形になりましたが、それだけで1時間以上も考え込んでしまいました 🙂 米国最高裁とか出てきてしまうと、なにやら大きなスケールの話に感じてしまいますが、一般的な企業で繰り返されている、法務部門と技術部門の噛み合わない話なども、ここに原因があるはずです。言葉というものは、相手に伝わってこそ意味のあるものなので、よく考えて使わなければと、自戒を込めて思う次第です。

%d bloggers like this: