国連のサイバー犯罪条約草案にマイクロソフトも反対 NGO等が批判の声上げる中
かねてより人権団体などから「政府当局による圧制の手段として使われかねない」、「人権セーフガードが盛り込まれていない」などと非難されていた、国連のサイバー犯罪条約草案。同条約は元々ロシアによって2017年10月に提唱されたもので、現在ニューヨークでのアドホック委員会(AHC)第6回会合で協議されているが、この草案に対し、大手テクノロジー企業としては初めてマイクロソフトも異議を唱えた。
同社サイバーセキュリティ部門の代表Amy Hogan Burney氏が火曜日に公開したLinkedInの投稿には主に、同条約に関する以下のような懸念が記されている。
・権威主義的な国家に対し、反対派を弾圧するための手段を与えかねないこと
・サイバーセキュリティ研究者やエシカルハッカーを守るための文言がないこと
・人権セーフガードが盛り込まれていないこと
懸念①権威主義的な国家による悪用
Hogan Burney氏が表明した懸念の1つは、このサイバー犯罪条約が権威主義的な国家により反対派を抑え込むための手段として使われることになりかねないというもの。同氏は以下のように記している。
「この条約は犯罪者を起訴するための道具ではなく、むしろデータへの侵入的なアクセスや監視手段の使用を可能にする武器になる危険性がある。その結果、権威主義的な国家に、サイバー犯罪と戦うという名目で反対意見を弾圧する力を与える国際協定になりかねない」- Amy Hogan Burney氏
Hogan Burney氏は、同条約を理由に権威主義的な国家が悪意のないオンラインコンテンツを違法とみなしたり、新たな監視権限を導入したり、個人データへ国境を越えてアクセスする権限を拡大したり、また条文の曖昧さを悪用し、本来は悪質でない一般的なセキュリティ慣行を犯罪化したりする可能性があるとも述べている。
懸念②エシカルハッカーが守られない
先週、デジタル人権擁護団体の「アクセス・ナウ」は同条約の草案にサイバーセキュリティ研究者を保護するための文言が含まれていないことについて懸念を表明したが、マイクロソフトのHogan Burney氏もこの問題に言及している。Hogan Burney氏は、条約草案内のいくつかの条項の内容があまりにも曖昧であり、「犯罪意図」について明確に規定していないことから、ペネトレーションテストのような活動が合法的であり続けることが保証されない恐れがあると指摘。同氏によれば、これにより、脆弱性の特定やサイバー攻撃のシミュレート、システムの保護策のテストといった目的でエシカルハッキングを行う者たちが保護されなくなる恐れがあり、ひいては「サイバー犯罪が繁栄するための理想的な状態」が作られる可能性があるという。
国連のサイバー犯罪条約、今後の流れは?
この条約の内容については現在も協議が続いており、条約のゼロドラフトテキストが予定されているが、議論の結果、条約の内容が上記のような懸念を払拭するものへと変更されるかどうかは未知数。なお、第6回会合の後には2024年1月〜2月頃にアドホック委員会(AHC)の最終会合が行われ、この会合で条約の条文案の議論、完了、承認が行われる予定だという。承認がなされた場合、条約案は2024年の国連総会で検討・採択に付されることになる。
(情報源:The Record “Microsoft joins opposition to current version of UN cybercrime treaty”、The Register “Microsoft ain’t happy with Russia-led UN cybercrime treaty”、EFF “UN Cybercrime Draft Treaty Timeline”)
8月31日:その他の注目ニュース
サイバースパイグループ「Earth Estries」、政府やテクノロジー部門を標的に
SecurityWeek – August 30, 2023
中国との関連を持つ疑いがあるサイバースパイグループ「Earth Estries」が、米国、ドイツ、南アフリカ、マレーシア、フィリピン、台湾の政府機関やテクノロジー部門の組織を標的にしており、インド、カナダ、シンガポールも同じく狙われている可能性がある。Trend MicroはEarth Estriesを特定の国と直接関連づけてはいないものの、同社によると、同グループは遅くとも2020年から存在していて、APTであるFamousSparrow(2021年に政府機関やホテルを標的にしており、中国関連の脅威アクターSparklingGoblinやDRBControlに関連している可能性があるグループ)とTTPにおいて重なる部分があるという。
Earth Estriesは通常、標的となった組織の内部サーバーのハッキング後、管理者アカウントを侵害する。その後、ラテラルムーブメントを行ってバックドアやその他のツールを展開し、データを収集・抽出する。またTrendo Microによって、同アクターがさらにGithub、Gmail、AnonFiles、File.ioなどの公開サービスを悪用して、コマンドおよび窃取したデータのやり取りや転送を行ったり、フットプリントをできるだけ残さないよう、Windows Antimalware Scan Interface (AMSI) のロギングメカニズムからの検出を回避する目的でPowerShellダウングレード攻撃を利用したりしていることも判明した。
同グループが使用するマルウェアは、HemiGateやZingdoor、情報スティーラーのTrillClientなど。Earth EstriesのC&Cインフラは、過去に中国のAPT41関連の脅威アクターに悪用されていたFastly CDNサービスに依存している。また、C&Cサーバーは米国、インド、カナダ、英国、フィンランド、ドイツ、マケドニア、中国、韓国、日本、南アフリカ、オーストラリアといった、さまざまな国の仮想専用サーバー(VPS)サービスでホストされていることが、ある分析により明らかとなっている。
この進行中のキャンペーンで使われるツールや技術から、Earth Estriesの背後の脅威アクターはサイバースパイ活動や不法行為において高いレベルのリソースと高度なスキル・経験を用いて活動していると考えられている。また、複数のバックドアやハッキングツールを使用して、侵入ベクトルを強化しているという。