President Biden Signs Executive Order Restricting Use of Commercial Spyware
2023/03/28 TheHackerNews — 2023年3月27日 (月) に、米国のジョー・バイデン米大統領は、連邦政府機関による商用スパイウェアの使用を制限する大統領令に署名した。この大統領令には、「スパイウェアのエコシステムが、米国政府にとって深刻な防諜上のリスクとセキュリティ上のリスクをもたらし、また、外国政府または外国人により不適切に使用される重大なリスクをもたらす」と記されている。また、こうしたツールの政府による使用が、法の支配および、人権と、民主主義の規範/価値の尊重と一致する方法で行われることを、保証するよう求めている。
そのため、大統領令により、米国政府機関による使用の資格を失う可能性のある、商用スパイウェアに関連する基準を示している。その中には、以下のものがある。
- 米国政府を標的として、市販のスパイウェアを購入する外国の政府/個人。
- 米国を狙うスパイ活動に従事する外国政府の支配下で、サイバー監視ツールから得た機密データを無許可で使用/開示する商用スパイウェア・ベンダー。
- 表現の自由を制限するため、また、人権の侵害を目的とするために、活動家や反体制派に対して商業用スパイウェアを使用する外国の脅威アクター。
- 法的認可/保護措置なしに、商業用スパイウェアを用いて米国市民を監視する外国の脅威アクター。
- 政治的抑圧や人権侵害行為などを組織的に行った実績のある政府への、商用スパイウェアの販売。
ホワイトハウスは声明で、「この大統領令は、監視技術の責任ある使用を促進し、そのような技術の拡散や悪用に対抗し、業界の改革を促進するための、国際協力を深める基盤としても機能する」と述べている。
Wall Street Journal は、少なくとも 10カ国に在住する上級職の米国政府関係者約 50人が、この種のスパイウェアに標的にされ、感染していると推定しているが、この数値は以前のものよりも高いと報じている。
この大統領令は、スパイウェアの全面的な禁止を要求するものではない。しかし、ゼロクリック攻撃による電子機器へのリモート・アクセスを行い、対象者の知識や情報を引き出す高度で侵襲的な監視ツールの、導入が進んでいる中での展開となった。
先週に New York Times は、Meta の元 security policy manager である Artemis Seaford が、Cytrox が開発したスパイウェア Predator を用いるギリシャの国家情報機関に、電話を盗聴されハッキングされたと報じている。
とは言え、この大統領令は、IMSI キャッチャーなどのスパイウェア・デバイスが、政府機関による貴重な情報の取得のために使用される可能性をも残している。
このように考えると、この種の技術により、政府の安全保障上のリスクが高まっているにしても、情報収集活動においてスパイウェア業界が、重要な役割を果たしていることを認めることにもなる。
2023年3月の初めに 米連邦捜査局 (FBI) は、従来の令状手続きを回避する手段として、米国市民の位置情報をデータ・ブローカーから購入していたことを認めている。
また、2020年〜2021年にも FBI は、イスラエル企業である NSO Group が提供する Pegasus のライセンスを購入したとされており、研究開発目的で使用したことを認めている。
同様に、麻薬取締局 (DEA) も、イスラエル企業 Paragon が開発したスパイウェア・ツール Graphite を、麻薬対策オペレーションに使用している。現時点において、他の米国連邦機関が、何らかの商用スパイウェアを使用しているかどうかは明らかにされていない。
最近の米政府の動きですが、2023/02/27 に「米国の国家サイバー戦略が規制を強化:攻撃的な Hack-Back アプローチも容認」という記事があります。重要インフラ・ベンダーに対する強制的な規制を承認する一方で、外国の敵対者に対する積極的な Hack-Back アプローチを容認すると、この記事では解説されています。よろしければ、カテゴリ Government も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.