(doctorow.medium.com)国連サイバー犯罪条約は悪夢だ

Categories
< Back
You are here:
Print

(doctorow.medium.com)国連サイバー犯罪条約は悪夢だ

「サイバー犯罪 “とは “どの政府にとっても気に入らないすべてのこと “であり、すべての政府は他のすべての政府がそれと闘うための支援をしなければならなくなる。

コーリー・ドクトロウ

2024年7月23日

国連専門機関のNGO代表を長年務めた経験から学んだことがひとつあるとすれば、それは国連の条約は危険であり、権威主義国家と強欲なグローバル資本家の邪悪な同盟に捕らわれやすいということだ。

国連の仕事のほとんどは著作権と「パラコピーライト」に関するもので、私の実績は2:0だった。ひどい条約(WIPO放送条約)の破棄に貢献し、素晴らしい条約(障害者の著作物へのアクセス権に関するマラケシュ条約)の成立に貢献した:

https://www.wipo.int/treaties/en/ip/marrakesh

もう何年も前のことだが、髭を剃り、スーツにネクタイを締めてジュネーブに行かなければならず、私はそれを懐かしんでいるわけではない–そしてありがたいことに、私にはそのような仕事を、かつて私がしていたよりもうまくこなしている同僚がいる。昨日、そんなEFFの同僚の一人、カティッツァ・ロドリゲスからサイバー犯罪条約について話を聞いた:

https://www.eff.org/deeplinks/2024/07/un-cybercrime-draft-convention-dangerously-expands-state-surveillance-powers

つまり、サイバー犯罪は、豚の屠殺からランサムウェアに至るまで、現実に存在するものであり、サイバー犯罪に由来する世界的な危害も存在する。サイバー犯罪は国境を越えたものであり、どの司法管轄区の警察でも対処するのは難しい。そのため、サイバー犯罪と闘うための正式な国際基準を考える理由があるのだ。

しかし、サイバー犯罪条約にはそういった内容は含まれていない。

サイバー犯罪条約の重大な欠陥について簡単に説明しよう。

この条約はサイバー犯罪の定義が極めて緩く、しかもその緩さは意図的なものである。中国やロシアのような権威主義国家(その代表団がこの条約の推進力となっている)では、「サイバー犯罪」とは、コンピューターを使って行うものであれば、「政府が嫌うものは何でも」という意味になっている。「サイバー犯罪」とは、オンライン上での政府批判、宗教的信念の表明、LGBTQの権利を支持する資料などを意味する。

サイバー犯罪条約に署名した国は、他国の「サイバー犯罪」(その定義がどうであれ)と闘うために協力する義務を負う。例えば、彼らは自国内のオンラインサービスにユーザーの個人データを提供するよう強制したり、継続的な監視のためにシステムにバックドアを設置するよう従業員に圧力をかけたりすることで、監視データを提供することが求められる。

監視を支援するこうした義務は強制的なものだが、サイバー犯罪条約の大部分は任意的なものだ。何が任意なのか?人権保障措置だ。加盟国は合法性、必要性、比例性、非差別性、正当な目的に関する基準を「行うべき」あるいは「行ってもよい」としている。しかし、仮にそうだとしても、この条約は、こうした基準を設けないと決めた他の国から発せられた監視命令に協力するよう義務づけることができる。

このような場合、その影響を受ける国の市民はそのことを知ることができないかもしれない。条約には、他の署名国に代わって行われる監視について、無期限の秘密保持義務を定めた8つの条文がある。つまり、あなたの政府はあなたやあなたの愛する人々をスパイするよう要請されるかもしれないし、ハイテク企業の従業員にあなたのアカウントやデバイスをバックドアするよう命令されるかもしれない。このような盗撮・覗き見命令に法廷で異議を訴えるなんてことは無駄だ:

https://www.eff.org/deeplinks/2024/06/un-cybercrime-draft-convention-blank-check-unchecked-surveillance-abuses

この条約は、政府が好まないものを「サイバー犯罪」と称して闘うための幅広い権限を設ける一方で、実際にはサイバー犯罪との闘いそのものを弱体化させている。ほとんどのサイバー犯罪は、ランサムウェア攻撃など、機器やサービスのセキュリティ上の欠陥を悪用するものだ。そしてサイバー犯罪条約は、このような欠陥を指摘するセキュリティ・リサーチャーを危険にさらし、私たちが信頼している技術ベンダーが私たちをリスクにさらしたときに警告してくれる人々に重大な刑事責任を負わせることになる。

これは言論の自由の闘いの大本である。紙テープの時代から、重要なシステムの欠陥を発見した研究者は、内部告発をしたことで威嚇され、脅され、訴えられ、投獄さえされてきた。テック大手は、自社製品の欠陥について誰が本当の事実を公表するかについて拒否権を持つべきだと主張し、この要求をセキュリティへの懸念として装っている。「もしあなたが、私たちが犯したミスを有害な連中に教えてしまったら、彼らはそのバグを悪用し、私たちのユーザーに危害を加えるだろう。しかし、我々のユーザーやカスタマーがバグについて知る適切なタイミングを決めることができるのは我々だけだ」。

自社製品の欠陥についての警告となると、企業は両立しがたい利害の対立を抱えることになる。私たちは何度も何度も、企業がバグ報告を抑制したり無視したりする方法を合理化するのを見てきた。時には、合併が完了するまで警告を遅らせたり、役員報酬に関する取締役会の投票を確保したりすることもある。

Facebookが、誰もがFacebookグループの全メンバーを一覧できるという事実(例えば、がん患者の人々をサポートするグループのメンバーを含む)に対して何もしないことを決めた時のように。このグループ一覧バグは、実は企業の広告ターゲティング・システムの一部であったため、彼らは監視広告ビジネスを再設計するのではなく、このバグを放置することにしたのだ。

バグを秘密にしておけばユーザーはより安全だという考え方は「世に知られないことによるセキュリティ」と呼ばれるが、企業幹部以外は誰もそんなことは信じていない。ブルース・シュナイアーが言うように、「誰でも、自分自身が破ることができないほど安全なシステムを設計することができる。それは安全であるという意味ではなく、システムの設計者よりも愚かな人々に対して安全であるという意味だ」と述べている.

大規模で残忍なサイバーセキュリティ侵害の歴史は、世に知られないことによるセキュリティに対する胸を引き裂かれるような素朴な信頼の連鎖である。

https://pluralistic.net/2023/02/05/battery-vampire/#drained

しかし、それにもかかわらず、一部のバグは秘密にされ、深刻化させておくべきだという考えには、強力な支持者がいる。企業幹部、政府のスパイ機関、サイバー兵器ディーラーによる官民パートナーシップだ。NSAやCIAのような機関は、広く使用されている製品の欠陥を発見するために労を惜しまない巨大なチームを抱えている。これらの欠陥は自国の人々を重大な危険にさらすが、スパイ機関はそれを報じないどころか、これらの欠陥を隠蔽する。

スパイ機関には、この無謀なやり方を擁護する公式の教義がある。彼らはこれを「NOBUS[No One But Us]」と呼んでいる。意味はこうだ. 「我々以外にはこれらのバグを発見できるほど賢い人間はいない、だから我々はバグを秘匿し、敵対者を攻撃するために使用することができる、我々が守ると誓った人々をその敵対者が攻撃するためにバグを使うことを心配する必要はない」という意味だ。

NOBUSは経験的に間違っている。2010年代には、NSAやCIAのサイバー兵器が次々とリークされた。そのうちのひとつ、「Eternalblue」は市販のランサムウェアに組み込まれ、今日でも猛威を振るうランサムウェアの流行につながった。ボルチモアのような都市、国内各地の病院、石油パイプラインの身代金奪取のために、Eternalblueエクスプロイトを開示したりパッチを当てたりするのではなく、隠しておくというNSAの決断にあなたは感謝すべきだろう。

https://en.wikipedia.org/wiki/EternalBlue

このようなサイバー兵器のリークは、世界のサイバー犯罪者に素材を提供するだけでなく、研究者にもデータを提供した。CIAとNSAのNOBUSの不具合を調査したところ、スパイ機関が隠し持っていたバグが犯罪者によって独自に発見され、武器化され、野に放たれる確率は5分の1であることがわかった。

どの政府も自前で欠陥発見活動を行うだけの人員を持っているわけではなく、そこで民間企業の出番となる。NSOグループのようなサイバー武器商人は、広く使われている製品やサービスのセキュリティ上の欠陥を見つけては利用し、人権団体や野党議員、ジャーナリストを攻撃するための軍事用サイバー兵器として製品化している:

https://pluralistic.net/2021/10/24/breaking-the-news/#kingdom

良いサイバー犯罪条約は、私たちがどの製品を信頼し、どの製品を避けるべきかを知るのを妨げるような連携を生み出すような、逆向きのインセンティブを認めるものである。NSOグループのような企業を遮断し、スパイ機関が欠陥をため込むことを禁止し、欠陥に関する本当の事実を明らかにするセキュリティ・リサーチャーに対する絶対的な防御を確立するだろう。

その代わりに、このサイバー犯罪条約は署名国に新たな義務を課し、他国の警察や 裁判所は、このような真実の情報開示を行うセキュリティ・リサーチャーを黙らせ、罰することを支援する:

https://www.eff.org/deeplinks/2024/06/if-not-amended-states-must-reject-flawed-draft-un-cybercrime-convention

サイバー犯罪条約は良いアイデアであり、このサイバー犯罪条約でさえ、なんとか救える可能性がある。加盟国には、人権やセキュリティ研究者を保護し、「サイバー犯罪」の定義を狭め、透明性を義務付ける改定案を受け入れる力がある。他国からの違法な要請を拒否する加盟国の権限を確立することもできるだろう.

https://www.eff.org/press/releases/media-briefing-eff-partners-warn-un-member-states-are-poised-approve-dangerou

画像
EFF
https://www.eff.org/files/banner_library/cybercrime-2024-2b.jpg

CC BY 3.0
https://creativecommons.org/licenses/by/3.0/us/

https://doctorow.medium.com/https-pluralistic-net-2024-07-23-expanded-spying-powers-in-russia-crime-cybers-you-607f0ab61f8a

Table of Contents