……小ネタと補論ばかりで申し訳ありませんが、2021/07/07にサイバーセキュリティ戦略本部から発表された『次期サイバーセキュリティ戦略』、うち資料1-1の5ページ目
https://www.nisc.go.jp/conference/cs/dai30/pdf/30shiryou01.pdf
という一節に対し、中国側が記者会見上で反論を行った旨の報道があったのでその件について。
***************
***************
1.アトリビューションの慎重さに欠けた『次期サイバーセキュリティ戦略』
中国外務省の汪文斌(おう・ぶんひん)報道官は7日の記者会見で、日本政府が中国やロシアのサイバー攻撃を念頭に置いた次期「サイバーセキュリティ戦略」の方針を決定したことに対し、「日本は基本的な事実を顧みず、隣国の脅威を悪意を持ってあおっている」と反発した
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
※この件に関しては、ロシア・スプートニクの記事が実際の受け答え内容へのリンクを含めて詳しく記されておりますので、ご興味のある方はそちらをどうぞ。
というか実のところ今回の話を報道官に振ったのが、中国や北朝鮮と並んで非難されたロシアの報道機関スプートニクを所有する『ロシアの今日』……ぶっちゃけシナリオ通りの質疑応答と考えられます。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
さてこの一見馬鹿馬鹿しいオウム返しのような反論ですが、残念ながら今回は中国側に十分な理があります。
というのも、以前こちらの小ネタでGGEレポート第30項(d)の内容について触れたように、
あるいはOpen-ended Working Group に関する議長サマリーの第15項で指摘されたように、この春以降、サイバー犯罪が特定国家の領土やインフラの下で行われたとしてもそれ自体で当該国への犯罪帰属(アトリビューション)を問うことは困難となっているのです。
……そりゃこちらがサイバー犯罪の国家帰属について、どの様に十分な証拠を提出しても中国はのらりくらりと否定し続けるでしょう。
当たり前です。国家へのアトリビューションを慎重にする旨働きかけたのが当の中国なのですから。
”When attributing an ICT incident to a particular State, States should demonstrate genuine, reliable and adequate proof”
むしろスノーデン事件| 東洋経済オンライン | のような国際的に著名な事件を「基本的な事実」として「サイバー窃盗や盗聴に最も熱心な国家」を国名を挙げず非難した中国側の方が、この春以降は真っ当であり国際的な説得力があるのです。
それゆえ、本来であれば『次期サイバーセキュリティ戦略』からこのような特定国家を加害国として言及することは避けるべきだったと思われます。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
***************
2.デューデリジェンスによる国家責任追及
ではどうかあるべきであったか。実は日本は既に答えを出しています。
https://www.mofa.go.jp/mofaj/files/100200951.pdf
(4)相当の注意
>(前略)サイバー行動に関する相当の注意義務に基づく領域国の義務の内容の外縁は
必ずしも明確ではないが、これらの相当の注意義務の概念に関連した ICJ 判決も参照すれば、サイバー行動の重大性や、領域国の攻撃主体に対する影響力等を考慮して、当該義務の範囲を個別具体的に検討する必要があると考えられる。>少なくとも、例えば、他国の重要インフラを害するといった重大で有害な結果をもたらすサイバー行動について、ある国が、同国が財政的その他の支援を行っている自国の領域に所在する者又は集団がそのようなサイバー行動に関与している可能性について信頼に足る情報を他国から知らされた際には、当該者又は集団がそのようなサイバー行動を行わないように、当該情報を知らされた国が保持している影響力を行使する義務等は、上記の考え方に鑑みると、相当の注意義務に基づく当該領域国の義務に含まれると解される。
>また、サイバー行動の特徴の一つとして、国家への帰属の判断が困難なことが挙げられる。この点、相当の注意義務は、国家に帰属しないサイバー行動に対しても、同行動の発信源となる領域国に対して、国家責任を追及する根拠となり得ると考えられる。たとえ国家へのサイバー行動の帰属の証明が困難な場合でも、少なくとも、相当の注意義務への違反として同行動の発信源となる領域国の国家責任を追及できる
……『相当の注意義務』いわゆるデューデリジェンスのもと、サイバー犯罪に何らかの形で支援している「と他国から情報が入った場合」、加害領域国は責任ある国家に相応しい行動として犯罪者の活動を防止する義務があること。またこの義務の違反を以て、加害領域国への国家責任を追及できる。
これが今年6月に表明した日本の立ち位置です。誤解を避けるため、これはすべての国で全面的に認められたものではなく、日本が外交その他国際活動を通じ地道に各国への浸透を図るべき考え方です。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
たとえサイバー犯罪に対する加害領域国の帰属の判断基準が困難な国際情勢を迎え、特定国家発信のサイバー犯罪の指摘と注意義務の履行にとどめる事しか出来ないとしても、改めてその行為自体が特定国家への糾弾となっているのです。
またこの方法論は日本が進めてきたサイバー司法外交、「サイバー空間における国際法適用」の要諦の一つであり、この立ち位置を維持して特定国家を糾弾し続けることこそ、日本のサイバー司法外交の一貫性を示す上で求められる行為だったのではではないか、と思われます。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
ちなみにこの様な糾弾を淡々と行った分かりやすい例が、2021/04/20の中国外交部報道官に対するNHKの質問です。
>JAXA=宇宙航空研究開発機構や防衛関連の企業など日本のおよそ200にのぼる研究機関や会社が大規模なサイバー攻撃を受け、警察当局の捜査で中国人民解放軍の指示を受けたハッカー集団によるものとみられることが分かったことについて、中国外務省の汪文斌報道官は、20日の定例の記者会見で、事件については「把握していない」と述べました。
>そのうえで「中国はサイバー空間は仮想性が強く、追跡が困難だと強調してきた。サイバー事件を調査する際には十分な証拠に基づくべきであり、理由もなく推測すべきではない。中国はいかなる国や機関がサイバー攻撃の問題を口実に中国をけなすことやサイバーセキュリティーの問題を卑劣な政治目的として利用することに断固として反対する」と述べました
このNHK自身の報道ではごっちゃになっているのですが、中国外交部のHP(リンクの閲覧は個人の判断にお任せします)から当日の質疑内容を確認すると
- NHK記者より「中国軍がサイバー攻撃で使用したサーバーをレンタルした疑いで、警視庁が30 代の中国人男性を捜査することを決定した件への中国側からのコメント」及び 「日本からの調査要請に対して中国側は支援を行うか」を質問→中国側は「把握していない」と回答を拒否
- ブルームバーグ記者よりNHK記者の質問を引き継ぐ形で「『中国軍がハッカーグループを指導し約200の日本の研究機関にサイバー攻撃を仕掛けた』というNHKの報道に対する中国側からのコメント」を要望→中国側より「サイバー空間は仮想性が強く、追跡が困難だと強調してきた。サイバー事件を調査する際には十分な証拠に基づくべきであり、理由もなく推測すべきではない。中国はいかなる国や機関がサイバー攻撃の問題を口実に中国をけなすことやサイバーセキュリティーの問題を卑劣な政治目的として利用することに断固として反対する」と反論
……平たく言えば
- NHK記者が淡々と「相当の注意義務(デューデリジェンス)」に中国側が従うかを問いかけ、中国側が回答を言い澱んだのに対し
- ブルームバーグ記者が同日のNHKニュースを引き合いに出しアトリビューションについて藪蛇な質問を行い、中国側から「十分な証拠に基づかない」「卑劣な政治利用」と反論
された訳です。
この質疑は日本の姿勢が上記文書の形で示される前の時点で行われたものですが、それ以前から国際会合の場で示された日本の態度、国際法から導き出される責任ある国家として相応しい行動を相手国に求める切り口そのものです。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
***************
3.浮かび上がる問題:国内向きのサイバーセキュリティ戦略本部
その意味で、今回の『次期サイバーセキュリティ戦略』が特定国家の関与を前提とした記述を採用してしまったことは特定国家側からの格好の的になっただけでなく、特定国家群と対立する日本のサイバー司法外交の非一貫性、また情勢変化に伴う記述内容見直しのレスポンスの遅さまで示してしまった、と非難されても仕方ないことではあるのです。
※G7コーンウォールサミットではGGE報告書の内容に従い、外務開発大臣会合から本会合までのひと月足らずの間にロシアのサイバー犯罪に対するコミュニケ記載内容を変更しています。
このような問題が発生してしまった理由については、日本のサイバーセキュリティ戦略があまりにも国内に目を向けすぎた事が原因だったと思われます。
このHPから確認する限り、2021/02/09の第26回会合で(議事内容から恐らく素案を突き合せた形の)論議を経た結果
https://www.nisc.go.jp/conference/cs/dai26/pdf/26gijigaiyou.pdf
2021/05/13の第28回会合で『次期サイバーセキュリティ戦略(案)』の骨子が会合の場で示されたようですが
https://www.nisc.go.jp/conference/cs/dai28/pdf/28gijigaiyo1.pdf
この会合に参加する閣僚は官房長官ほかオリンピック担当・総務・経済産業・IT担当大臣(第28回会合では総務副大臣が参加)であり、外務省からは以前から副大臣が参加する流れとなっていますが、この点から見てもサイバーセキュリティの焦点はあくまで国内の実務であり、GGEやOEWGといった国際的なサイバー司法の潮流などはほとんどその視界に入っていないことが推測されます。
いや、この第26回会合で遠藤信博NEC会長、野原佐和子イプシ・マーケティング研究所会長、中谷和弘東大教授、前田雅英都立大客員教授からアトリビューション(サイバー犯罪者の追跡)について指摘、さらに前田氏からは
と無意識にサイバー犯罪の国際性と国家の存在を指摘している状態であるにも関わらず、誰もこのアトリビューションの肝
- サイバー犯罪について、その発信国まで含めたアトリビューションの国際的枠組みに関する潮流
の現状を考慮に入れずただ国内整備にばかり目を向けており、またこの会合の機会にOEWGやGGEの動向について情報提供すべき外務副大臣も失念しているように思われます。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
当たり前の話ですが、サイバーセキュリティあるいはサイバー空間から派生する問題はITや軍事、外交や司法といったあらゆる世界とリンクしています。どこか一つに穴があれば、そこからセキュリティは瓦解するもので……言い換えればサイバーセキュリティを破壊しようとする側はあらゆる視野から穴を探し、突破口と自らの武器を結び付けようとします。
それを防止するため、内閣のITやセキュリティ担当だけでない実務関連者を招いて行われたはずのサイバーセキュリティ戦略だったはずですが……今回は最低限必要な情報交換を怠ったがための失策であったと思われます。
***************
***************
