MFA
MFA(多要素認証)バイパスとデータ漏洩:事例と保護のベストプラクティス
サイバー犯罪は巨大なビジネスです。サイバーセキュリティのウェブサイトコンパリテック社の調査によると、サイバー犯罪の被害者が被る年間コストは全世界で7,140億ドル(米ドル)超え。サイバー犯罪の15%しか報告されていないといわれており、実際の被害額は年間兆ドル以上とい推定されています。
近年、情報通信技術の急速な発展に伴い、サイバー犯罪(不正アクセスやランサムウェアなどコンピュータ攻撃を含む)が世界的に増加しています。 このような背景の中、2024年7月29日から8月9日の日程で、国連本部において開催されていたアドホック委員会の最終会合にて、条約案がコンセンサスにて承認(合意)され、交渉が妥結しました。この条約案は来月、国連総会にて採択される予定です。
今回のブログでは、草案の内容の一部と、各国の姿勢を解説していきます。
目次
「サイバー犯罪条約」の目的
2024年11月、国連総会にて「A/AC.291/L.15」としてサイバー犯罪に関する条約が採択される予定です。
https://documents.un.org/doc/undoc/gen/v24/055/06/pdf/v2405506.pdf(Report of the Special Rapporteur on the promotion and protection of human rights and fundamental freedoms while countering terrorism 2023年5月 発行者:United Nations))
草案の冒頭では、「情報通信技術を使って行われる特定の犯罪と、重大な犯罪の証拠を電子的に共有するために、国際的な協力を強化すること」と宣言されています。
サイバー犯罪に関する国連条約草案の表紙
この条約の目的は次の3つです。
(a) サイバー犯罪をより効率的かつ効果的に予防・対処するための対策を推進、強化すること(b) サイバー犯罪の予防・対処における国際的な協力を推進、促進、強化すること
(c) サイバー犯罪を予防・対処するための技術支援や能力構築を推進し、特に発展途上国の利益のために支援すること
注記:項目(a)と(b)については、まだ完全な合意が得られておらず、最終的な採択の前までにさらに議論されることが期待されています。
各国の姿勢
ここに、条約第7条の一部を示します:
- 締約国は、自国の法律に基づいて、権利なく情報通信技術システムの全体または一部に故意にアクセスすることを国内法上で犯罪とするために、必要な立法措置などを講じるものとする
- 締約国は、犯罪行為が、不正又は犯罪的な意図をもって行われた場合や、他の情報通信技術システムに接続された情報通信技術システムに関連して行われることを要件とすることができる
犯罪的な傍受や干渉、デバイスの使用などに関しても同様の条項が存在します。
重要なのは、加盟国が定義された行為を犯罪化するための国内法を施行しなければならないことと、要件とするために犯罪の意図が求められる(必須ではない)点です。
興味深いことに、オーストラリア、イギリス、アメリカなどの国々はこの条約に対して曖昧な姿勢を示しており、オーストラリアに至っては2019年にロシアが提案して以来、明確に敵対的です。一方、中国やインドなどの国々はこの概念に共感し、ロシアやイランのような制裁対象の国々は積極的な姿勢を示しています。
サイバー犯罪を撲滅することは、称賛に値する目的ですが、なぜオーストラリアのような自由民主主義国はこの条約に対して疑念を抱いているのでしょうか?また、日本の立場はどうなのでしょうか?
実際、アメリカ、イギリス、オーストラリア、日本、そして他の74カ国は、サイバー犯罪から社会を保護することを目的として2001年に欧州評議会 にて採択された「ブダペスト条約」(https://www.coe.int/en/web/cybercrime/the-budapest-convention (The Budapest Convention on Cybercrime 発行者:Council of Europe(欧州評議会))の締約国です。ロシア、中国、インド、シリア、イランなどの国々はこのリストに含まれていません。
サイバー犯罪に関するブダペスト条約の締約国 (リンク)
インドやロシアなどの国々は、ブダペスト条約に署名することには消極的ですが、新しい国連決議を採用する可能性が高いのはなぜでしょうか?その理由は、主に2つの概念に関係しています。それは「主権」と「範囲」です。
ブダペスト条約は、国境を越えた協力を強調しています。これは、サイバー犯罪が国境や領土の制限を受けない性質を持っているためです。しかし、一部の国々は、国際的なサイバー犯罪との戦いのためであっても、自国の主権を最優先し、それが侵害されることを懸念しているのです。
新しい国連の条約では、サイバー犯罪の定義が明確ではありません。
例えば、インドは「サイバー・テロリズム」に関連する犯罪を含めるよう主張しました。テロリズムは社会や個人に深刻な被害をもたらし、国境を越えて広がる性質を持っています。テロ行為の蔓延に伴い、情報通信技術の悪用が増加しているためです。
https://www.unodc.org/documents/Cybercrime/AdHocCommittee/4th_Session/Statements/India_4_EN.pdf(Statement by India at the Fourth Session of the Ad Hoc Committee on Cybercrime 2023年9月 発行者:United Nations Office on Drugs and Crime (UNODC))
中国は「深刻な社会的混乱を引き起こす可能性のある虚偽の情報の流布」を犯罪とすべきだと提案しました。また、ロシアは「政治的、イデオロギー的、社会的、人種的、民族的、または宗教的な憎悪によって動機づけられた違法行為を呼びかける資料の流布」を犯罪とする条項を提案しました。
これらの提案は、政治的な反対意見が加盟国によってサイバー犯罪として分類され、国家が新条約を利用して政治的な異議を唱える人々を犯罪化し、政治的敵対者を攻撃し、さらに他の国々に協力を強いることができてしまうという強い懸念がもたれ、最終草案には採用されませんでした。
加盟国の「主権」
改めて、主権の問題に戻ります。新しい草案では、国家の主権が最も重要であると明記されています。
第5条では、加盟国は他国の領土内でその国の法を越えて活動することは許されないと明記されています。また、第40条では、互助的な法的支援を拒否できる理由として、国の主権や安全が脅かされる可能性がある場合が挙げられています。
(https://documents.un.org/doc/undoc/gen/v24/055/06/pdf/v2405506.pdf) (Report of the Special Rapporteur on the promotion and protection of human rights and fundamental freedoms while countering terrorism 2023年5月 発行者:United Nations)
国連の条約において主権の尊重は明確です。
オーストラリアのサイバー問題および重要技術担当大使、ブレンダン・ダウリングは、次のように述べています:
「提案された条約は、当初は人権や政治的自由にとって危険な規定が多く含まれていました。しかし、最終的な結果として、表現の自由や個人データの保護が強化されました。」
日本の立場
日本はこの条約の原則に対して支持を表明しつつも、その権限の使い方には慎重であるべきだとしています。特に、条約の対象となる犯罪の範囲が広がりすぎないように警戒しています。日本の立場としては、サイバー犯罪に対する権限が不当に利用されないよう、正義や個人の自由が守られることを強調しています。
新しい条約で犯罪とされる行為はサイバー犯罪に限定されるべきであり、定義される犯罪は主にサイバー依存犯罪を対象とし、サイバー支援犯罪は必要な場合に限り、加盟国の合意がある場合に限られるべきだと主張しています。
https://www.unodc.org/documents/Cybercrime/AdHocCommittee/First_session/Comments/National_submission_JAPAN_AHC.pdf(National Submission Japan AHC 2023年 発行者:United Nations Office on Drugs and Crime (UNODC))
日本は国連サイバー犯罪特別委員会に提出を行いました。
まとめ
国連は2024年11月に条約の草案について採択を行う予定です。アメリカはまだ条約を批准することを決めておらず、オーストラリアは国連総会の投票結果を見守り、批准の検討するとしています。日本はまだ正式な声明を発表していません。今後、世界の各国がどのようにこの条約に対応するか、サイバー犯罪対策の国際協力がどのように進展するかが注目されます。
関連情報
- https://www.chathamhouse.org/2023/08/what-un-cybercrime-treaty-and-why-does-it-matter
(What is the UN Cybercrime Treaty and Why Does it Matter? 2023年8月 発行者:Chatham House)
- https://www.aspistrategist.org.au/the-un-cybercrime-convention-a-victory-for-state-sovereignty/
(The UN Cybercrime Convention: A Victory for State Sovereignty 2023年6月 発行者:The Strategist ((オーストラリア戦略政策研究所))
- https://www.internationalaffairs.org.au/australianoutlook/the-un-cybercrime-convention-what-it-means-for-policing-and-community-safety-in-australia/
(The UN Cybercrime Convention: What It Means for Policing and Community Safety in Australia 2023年7月 発行者:Australian Institute of International Affairs)