(lawfaremedia.org)傭兵スパイウェアと闘わずにサイバー犯罪と闘うというグローバル条約

Categories
< Back
You are here:
Print

(lawfaremedia.org)傭兵スパイウェアと闘わずにサイバー犯罪と闘うというグローバル条約

(訳者まえがき)以下は、国連サイバー犯罪条約への批判的なコメントとして、カナダのCitizenLabのケイト・ロバートソンがlawfaremedia.orgに寄稿したエッセイを翻訳したもの。

このなかで、「傭兵スパイウェアmercenary spyware」という文言がキーワードとして登場する。mercenaryには{金目当て」という意味もあるが、国家が後ろ盾となって政治的な意図をもってスパイウェアを導入する場合が対象となるので、「傭兵」という訳語を当てた。今年(2024年)4月にAppleはユーザーに対して「Appleの脅威通知と傭兵スパイウェアからの保護について」という注意喚起を発表し、「mercenary spyware(傭兵スパイウェア)」という名前が用いられた。このAppleの文書では以下のように述べられている。

「Apple の脅威に関する通知は、傭兵スパイウェア攻撃の標的となった可能性のあるユーザーへの情報提供と支援を目的としています。 このような攻撃は、通常のサイバー犯罪活動や消費者向けマルウェアよりもはるかに複雑です。傭兵スパイウェア攻撃者は、ごく少数の特定の個人とそのデバイスを標的にするために、並外れたリソースを投入するからです。 傭兵スパイウェア攻撃は、数百万ドルのコストがかかり、多くの場合、有効期限が短いため、検出および防止が非常に困難です。 大多数のユーザーは、このような攻撃の標的にされることはありません。

市民社会組織、テクノロジー企業、ジャーナリストによる公的な報告や調査によると、このような非常に高額で複雑な個人を標的にした攻撃は、NSOグループのPegasusのような、国家に代わって傭兵的スパイウェアを開発する民間企業など、歴史的に国家主体に関連しています。 傭兵スパイウェアは、ジャーナリスト、活動家、政治家、外交官など、ごく少数の個人を標的に展開されることが多いものの、その攻撃は世界規模で継続的に行われています。 」

Appleは、巧妙な傭兵スパイウェアからデバイスを防御するためにロックダウンモードを導入した。

上記のAppleの告知に具体的な名前が挙げられているNSOグループによる世界各国政府向けに提供されているスパイウェアの存在が最も有名なものだ。このNSOグループについては、反監視ブログでも何度か紹介している。(アムネスティの記事もうひとつのアムネスティの記事Forensic Architectureの記事Citizenlabの記事など) しかし、日本がターゲットになったことや日本がNSOグループの傭兵スパイウェアを利用したなどの事実が把握されていないために、ほとんど注目されていない。しかし、SNOグループのスパイウェアの影響は世界規模で拡大した深刻な問題だった。

下記の記事で注目されるのは、ホワイトハウスが今年3月にソウルで開催された民主主義サミットにおいて、「スパイウェアを国家セキュリティと人権の両方に対する脅威と認識する共同声明」を発表したという指摘だ。この共同声明はオーストラリア、カナダ、コスタリカ、デンマーク、フランス、フィンランド、ドイツ、日本、ニュージーランド、ノルウェー、ポーランド、アイルランド、大韓民国、スウェーデン、スイス、英国、米国が署名している。この声明について日本政府は外務省などのウエッブでも公表していないようだ。(見落しがあれば訂正する)JETROGigazineなどが報じたのみで主要メディアも報じなかったようだ。一方でスパイウェアの脅威を声高に声明しながら他方でスパイウェアの国家利用を正当化しかねないサイバー犯罪条約に賛成しかねないこれらの国々の二重基準を批判したのだ。

国連のサイバー犯罪条約は、各国捜査機関が国境を越えて捜査対象に対して非公然で、しかも、各国の捜査機関が相互に連携して展開するスパイ行為を国際条約としてお墨付きを与えるものだ。実は、こうした枠組での国家のスパイ行為の具体的な前例がNSOグループが提供しているスパイウェアの利用にみいだせるのだ。民間のスパイウェアを政府が調達して、反体制活動家や人権活動家、時には外国政府要人を監視する行為を国連のサイバー犯罪条約は禁じていない。むしろ民間企業のテクノロジーを用いた国家のスパイ行為が正当化されかねない、というのだ。これまでもこのブログでは、国連のサイバー犯罪条約についての批判記事を幾つも紹介してきたが、この記事の観点を重点的に指摘したものはこれまで紹介してこなかった。カナダのCitizenLabはNSOグループ問題を最も詳細に調査してきた団体のひとつでもあり、CitizenLabのシニアリサーチャーならではの批判の観点だといえる。(小倉利丸)


国連総会会場。2017年9月13日。(GPA Photo Archive, https://www.flickr.com/photos/iip-photo-archive/36396494843, CC BY 2.0)

ケイト・ロバートソン

2024年8月22日 木曜日 12時30分

国連の新たなサイバー犯罪条約は、世界的な傭兵スパイ売買への共犯となる構えだ。

ケイト・ロバートソン

8月8日、国際社会は国際サイバー犯罪条約をめぐる国連での最終交渉を終えた。この条約は現在、国連総会での投票にかけられることになっており、締約国のサイバー犯罪に関する法律と捜査警察権の足並みを揃えることを意図している。交渉の過程で、デジタル時代における人権の役割について、国際社会における深い溝が明らかになった。数多くの論争があるなか、傭兵スパイウェアの世界的拡散を助長する可能性が、この条約の最終案に影を落としている。ホワイトハウスが強調しているように、国家による営利目的のスパイウェアの悪用は、人権と、米国とその同盟国双方の国家安全保障上の利益に対する明白かつ差し迫った脅威である。

国連の条約プロセスの提案者は、国際的なサイバー犯罪と闘うための世界的な努力を調和させることを望んでいた。しかし、この条約は、市民社会セキュリティ研究の第一人者人権当局はもとより、 国際報道機関や 産業界からも、世界中の人々のデジタルの安全保障にとって、益よりも害の方がはるかに大きくなる恐れがあるとして、激しい非難を浴びている。

この条約案は、オンライン・コンテンツに対する監視と国境を越えたデータ共有の権限を求めており、ロシアや中国、その他の対立国によって提唱されているようにサイバー犯罪との闘いという狭い焦点から大きく逸脱している。条約草案のIV章とV章は、条約に加盟する各国において、国内刑法捜査の参考となるあらゆるデジタル情報に関する監視とデータ共有の義務を求めている。したがって、この条約は、すでに過剰な負荷がかかっている法的協力チャンネルに、優先順位の低いあるいは濫用的な警察のデジタル情報提供要請をあふれさせることになる。

傭兵スパイウェアの拡散に対抗する最近の取り組み

総会で採択された場合、国連の条約は、傭兵スパイウェアに対抗するための国際的な取り組みが進行する中で、最初の大きな後退のひとつとなる。ホワイトハウスが2023年に営利目的のスパイウェアに関する大統領令を発表したことを受け、他の16カ国は米国とともに、スパイウェアを国家セキュリティと人権の両方に対する脅威と認識する共同声明を発表した。この共同声明は、スパイウェアが権威主義政権と民主主義国家の両方によって、人権擁護活動家やジャーナリストを含め、あまりにも頻繁に悪用されていることを強調している。米国主導の連合は、「商業スパイウェアの拡散に対抗し、防止するという基本的な国家安全保障と外交政策の利益を共有する」ことを確認した。米国は、連邦政府が商用スパイウェアを使用することを禁止することで、これをさらに一歩進め、例えば、輸出管理、商用スパイウェア事業体に関与する個人を標的とした制裁など、このテクノロジーに対抗するための政府全体の対応を展開した。米国はまた、現在英国とフランスが主導する、「商業的サイバー侵入能力の拡散と無責任な使用に取り組む 」という目的のEUにおける並行イニシアチブにも参加した。

グローバルなスパイ取引の国際的枠組み

この条約が成立すれば、すべての署名国は、自国の商用スパイウェアの使用を正当化するための法的根拠を求める国によって武器化可能な監視・傍受能力を採用することが要件とされる。例えば、条約の第28条は署名国に対し、自国の領土内に保存された電子データに対する監視能力の獲得、第29条と第30条はトラフィックデータとコンテンツデータをリアルタイムで傍受する能力の獲得を義務づけている。注目すべきは、この条項は、国家が必要な能力を得るために、商業スパイウェアを駆使するサイバー傭兵に頼ることを禁じていないことだ。国家は前述の条文に基づき、必要な監視能力を得るために商業スパイウェアベンダーに頼ることを条約が認めていると主張することができる。第40条には、条約に基づく法執行捜査において「最も広範な手段」による法的相互援助を提供することを国家に要求する文言があり、このような解釈上の主張にとってさらに格好の材料となる。各国政府がスパイウェアを悪用することで、国内外で専制的な慣行が強化され、民主的な制度が損なわれる可能性が高い。デジタル・スパイの普及と影響に関するCitizen Labの研究者による調査では、 人権擁護活動家ジャーナリスト政治的反体制派を 含む市民社会に対する標的型攻撃が、 国内でも国境を越えて行われている証拠が報告されている。
草案の他の条項は、各国がスパイウェアの使用を、プライバシー管理が緩い外国の法執行機関に委託したり、条約の後援の下で作られたり公認された秘密のデータ共有チャンネルを通じてスパイウェアから得たデータを洗浄したりする道を開くものである。例えば、第46条は、コンテンツデータのリアルタイム傍受と記録について、「相互に法的援助を提供するよう努める」ことを各国に要件としている。この規定では、問題のデータが被援助国の領域内にあるかどうかについては、何ら制限を設けていない。第47条2項は、世界中の警察機関の「直接協力」を可能にする多国間または二国間の「協定または取決め」によって運営される国境を越えたネットワークの使用を一般的に支持している。第48条はまた、警察機関同士の国境を越えた「共同捜査」の利用を容認しており、これによって法執行当局は、スパイウェアに好意的な司法管轄区との提携を求めてフォーラム・ショッピング[法廷地あさり◆原告が自己に有利な裁判所で訴訟を提起すること]を行うことができるようになる。第40条20項に基づく無制限の秘密保持義務は、傭兵スパイウェアによって入手された証拠が、こうしたネットワークを通じて発見されたり、異議を唱えられたりすることが困難になる可能性を高めている。

すでに国際社会は、国境を越えた警察活動をより大胆に活用している。たとえば、FBIとオーストラリア連邦警察の協力による国境を越えた合同捜査では、暗号化された携帯電話のメッセージが世界中で数百万件も密かに収集された。この捜査は、捕捉されたメッセージの保管場所をサードパーティーの国(後にリトアニアであることが判明)にあるサーバーに置くことで米国の憲法上のプライバシー保護に基づく法的障壁を回避するように仕組まれていた。米国の法執行機関はその後、リトアニアからの法的相互援助ルートを通じてこのデータにアクセスできるようになった。この例は、特に傭兵的なスパイウェアを振り回す司法管轄区と協力する可能性を考えると、国境を越えた捜査において国際的な人権保護と説明責任管理を同様に強固にする方法について疑問を投げかけている。

第47条1項はまた、あらゆる「データ」や関心を持つ人物の位置情報を含む、国境を越えたチャンネルを通じた迅速な情報交換を認めている。非自由主義体制のサブグループもまた、データ共有のリスクについて深刻な懸念を抱かせる慣行をすでに確立している: 例えば、上海協力機構のテロ対策部門は、反体制派を標的にしたり、逮捕・連行すべき人物のリストを回覧したりするために、このようなデータ共有戦術を使用していると報道されている。不適切または不正確な情報を非公式に共有するだけでも、無実の人物の移送や拷問につながる可能性がある。強固な人権管理がなければ、傭兵スパイウェアから得たデータの入手と共有を求める国々によって、可視性の低いネットワークは特に悪用されやすい。

INTERPOLの遺産からの習得するのが難しい教訓

サイバー犯罪に関する国連の条約案に加盟する可能性のある国は、国際刑事警察機構(INTERPOL)を参考にすることで、すべての参加国に強固な人権保護を要求し調和させない国境を越えたデータの共有プロトコルの危険性を示すことができる。

1923年に設立され、1946年に改組されたインターポールは、世界196カ国の加盟警察機関の間を仲介する国際的なデータ共有組織である。長年にわたるさまざまな改革にもかかわらず、市民的及び政治的権利に関する国際規約など、法執行捜査に適用される国際人権文書へのコミットメントは、インターポール加盟の前提条件となったことはない。実際、加盟を規定する組織規約の第4条には、人権遵守に関する文言や加盟のためのその他の要素は含まれていない。加盟要請が「国」の適切な政府当局から来ることだけが要件であり、インターポール加盟のために「公的な警察機関」を提案することができる。その後、インターポールの統括機関である総会が、投票によって加盟を決定する。さらに、インターポール規約の第2条には、世界人権宣言の「精神に則り」相互援助を促進することがインターポールの目的であると記されているが、インターポールとその加盟国のいずれにも遵守を義務付けるまでには至っていない。

インターポールの国際協力メカニズムの慢性的な濫用は、強固な人権基準へのコミットメントを共有することを要件とせず、国境を越えた警察活動の枠組みの危険性を示している。例えば、ロシア政府の汚職を暴露したことで知られる金融業者、ビル・ブラウダーの場合、ロシアはインターポールのレッドノーティス・プログラムを通じて8回もブラウダーを逮捕しようとした。(彼の弁護士であるセルゲイ・マグニツキーは、ロシアで同じ告発に関連して逮捕され、モスクワの刑務所で殴られて死亡した)。レッド・ノーティスとは、逮捕状を発行した元の国に引き渡されるよう、世界中の法執行機関に個人の所在を突き止めて逮捕するよう要請するものである。レッドノーティス・プログラムやインターポールにおける その他の協力 手続きは、しばしば不当な逮捕、拘留、独房監禁、場合によっては正当な手続きによる不当な引き渡しや拷問につながる、繰り返され、根強く残る国家的虐待に関係している。

インターポールのユルゲン・ストック事務局長は、現段階では、インターポールがレッドノーティス・プログラムによる国家の濫用から個人をより適切に保護するには限界があると説明している。ストック事務局長は、地政学的な緊張とテロリズムの国際的な共通定義がないことを挙げ、インターポールの枠組みを国境を越えた抑圧の道具として悪用する国々の危険性を指摘した。権威主義国家はしばしば、言論の自由の剣として刑法を振りかざし、反対派を黙らせ、反対意見を封じ込める。ロシアの反腐敗の代表的支持者であり、野党の党首であったアレクセイ・ナヴァルヌイの場合のように。モスクワはナヴァルヌイに過激な犯罪者というレッテルを貼り、ナヴァルヌイは2月にロシアの刑務所で死ぬまで投獄された。インターポールの枠組みが繰り返し濫用されているにもかかわらず、今年初め、ストックは、レッド・ノーティスに対する国家の要請を精査する一方で、この組織は加盟国の人権記録を取り締まらないnot to police the human rights recordsことを選択したと強調し、これは 「テクニカルな警察組織としての」インターポールの役割ではないと述べた。

しかし、いかに 「テクニカルな」国境を越えた警察権力とはいえ、その悪用が国際法で知られる最もデリケートな人権の利益に壊滅的な打撃を与える可能性があることは間違いない。また、インターポールをテクニカルな組織と位置づけるストックは、国家の監視や警察機関への機密情報の開示をめぐる手続き上の保護措置の不備が、人権にとって単に周辺的な問題ではないことを認識していない。国家当局による濫用を防ぐ独立した司法の承認や監督機能といった手続き上の保護措置は、法執行機関の捜査に適用可能な国際人権基準の核心に関わるものである。

交渉の最終段階で、多くの国々が、第40条22項を含む複数の保障措置を条約の最終文書から削除することに賛成票を投じ、国連が提案した条約が同様の種類の濫用につながる危険性を明確にした。第40条22項は、外国の捜査や訴追の目的が「その人の性別、人種、言語、宗教、国籍、民族的出身、政治的意見を理由に」その人を処罰することであると信じる「実質的な根拠」がある場合、国家は外国の警察の捜査に法的援助を提供する義務はないと定めている。ロシア、中国、インドを含む25カ国が第40条22項の削除に賛成し、さらに17カ国が棄権した。言い換えれば、40カ国以上が、外国が政治的意見による差別や処罰を目的として個人を調査している状況での協力義務を制限する条項を削除することを支持または容認したのである。採決は失敗に終わったが、この試みは、条約が総会で承認された場合、多くの国が条約の履行にどのような姿勢で臨む可能性があるのか、特に人権保護における欠点が濫用の余地を十分に残していることを考えると、警告となっている。

傭兵スパイウェアを標的とする国際法改正の機会を逃す

インターポールの枠組み同様、国連のサイバー犯罪条約草案もまた、締約国が市民的及び政治的権利に関する国際規約(ICCPR)のような国際人権文書にコミットしているかどうかに無関心である。第6条1項は、締約国が条約の履行を「国際人権法上の義務に合致する」ようにする必要性に言及しているが、主要な人権条約やデータの保護条約への署名を拒否している国によって、この措置は大きく損なわれている。たとえば中国は、国連の条約への支持を表明しているが、国際人権規約(ICCPR)には加盟しておらず、インターポールの協力手続きの濫用が確認された責任を負っている。アラブ首長国連邦(UAE)も国連交渉に参加し、国連条約に署名する可能性がある。UAEは国際人権規約(ICCPR)の署名国ではなく、NSOグループのスパイウェア「ペガサス」の悪用に関係している。また、UAEはインターポールに多額の資金援助をしており、インターポールのレッドノーティス・プログラムの悪用が問題視されている。ICCPRのような国際人権基準へのコミットメントに関係なく、すべての国に条約を開放することで、国連の条約はさらなる国境を越えた虐待への扉を開くことになる。

提案されている条約の最終文書に人権上の隔たりがあることから、この条約が可決された場合、その影響を最も受けることになる世界中の個人を保護するのに十分な措置がとられていないとして、この条約は民主主義国家によって否決されるべきだというのが、市民社会と産業界の幅広いコンセンサスとなっている。提案されている条約の最終文書には重要な保護規定もあるが、とりわけ第6条1項など、その規定の大半は欠如しており、濫用されやすいと評価されている。第6条1項に加えて、第6条2項には、人権と基本的自由を抑圧するような形で条約が解釈されることを基本的に防止する規定が含まれている。第6条2項は重要だが、非常に広範であるため悪用されやすい。例えば、国家は第5条に概説されている強固な主権規定を引き合いに出して、第6条の具体的な内容や、傭兵スパイウェアのようなサイバー侵入手段の使用に対する国際人権基準の適用可能性に異議を唱えるかもしれない

第24条に見られるもう一つの重要な保護措置は、締約国が条約を実施する際、国内法を国際人権義務に合わせることを要件とし、それらの実施法が比例原則を盛り込まなければならないと規定している。第24条2項は、司法審査や 効果的な救済権の必要性など、特定の条件や保障措置の必要性を規定している。このような規定があるにもかかわらず、第24条はこれらの本質的な人権義務を任意としており、合法性の原則個別通知権といった他の確立された人権義務の必要性を提起していないという批判もある。全体として、第24条には、そのセーフガードの多くは主として国内的な好みの問題であるという一部の国の見解を補強するものが多い。このような弱点があるにもかかわらず、多くの国が条約の最終文書から第6条2項と第24条を削除しようとすることに票を投じた。

特に懸念されるのは、一部の国家が商用スパイウェアの使用に固執していることを考えると、第24条の保護措置は、第5章にある条約の協力規定にも非常に限定的にしか適用されないことである。第46条から第48条までの協力規定は、まとめて言えば、ハッキングされたデータや商用スパイウェアから得た情報を共有することを明示的に禁止するものではない。また、国境を越えた捜査において人権を保護するための、独立した司法の監督機能や透明性の義務も課せられていない。透明性と監督機能は、国境を越えた影のネットワークがいつまでも秘密裏に広がるのを防ぐために不可欠である。条約は人権基準へのコミットメントを要件とする点で欠点があるにもかかわらず、第47条2項は条約そのものが協力の「基礎」として機能することを認めている。

国家によるスパイウェアの濫用は、人権保護を「国内法」の領域にまで委譲し、各国が自国の条件に基づいて策定することの危険性を示している。国際人権当局や学者たちは、サイバースパイや商業スパイウェアに立ち向かうための国際法改正の必要性に注意を喚起している。これには、スパイウェアに対する「法的効力を持つ多国間の義務的行動」を要求するグローバルな規制や、国境を越えた反体制派のサイバースパイ行為に対処する国際条約の必要性が含まれる。国連の条約は、このどちらの目的も達成するものではない。

同様の批判は、もともと欧州評議会議が策定したレガシーのサイバー犯罪条約(一般にブダペスト条約と呼ばれる)に対しても指摘できる。ブダペスト条約もまた、監視能力を保持することを国家に義務づけており、署名国に市民的及び政治的権利に関する国際規約やそれに匹敵する人権文書に署名することを義務づけてはいない。しかし、ブダペスト条約の条文が作成されたのは2001年であり、サイバー傭兵がゼロクリック攻撃チェーンのような強力なツールを使いこなす能力を開発するずっと前のことであるため、この条約の起草時点では流通していなかった高度に侵略的な攻撃を許容する意図があったと国家が主張するのはかなり難しい。商業スパイウェアの世界的な拡散は国境を越えた弾圧の蔓延と危険性と同様に、現在、国際社会の正面に立ちはだかっている。研究者たちは、国境を越えた抑圧が「新しい現象ではないが、デジタルテクノロジーの市場拡大とインターネット接続の普及によって、そのような手口が拡大している」ことに、ますます注意を喚起している。スパイウェアは、国境を越えた抑圧を容易にする道具として、あるいはそれ自体が抑圧的な手段として使用されることが増えている。国連のサイバー条約草案を通じて過去の過ちを繰り返すことは、こうした問題を根付かせ、悪化させることになる。

基本的人権に関する問題について国際社会がコンセンサスを得ることができないため、国連加盟国は重要な人権保障措置なしに条約に署名するかどうかの選択を迫られることになる。しかし、歴史を教訓とするならば、強固な人権保障を義務付けることなく国境を越えた協力を義務付けることは、国境を越えたサイバー犯罪との闘いにとって得策ではないことを物語っている。アントニー・ブリンケン国務長官が今年に入ってから強く訴えているように、商業スパイウェアの悪用は、「恣意的な拘束、強制失踪、超法規的殺害につながる最も悪質なケース」である。基本的自由、人間の安全保障、国家安全保障を守ろうとする国々にとって、この闘いは決して負けるものではない。

ケイト・ロバートソン

トロント大学Munk School of Global Affairs & Public Policyに拠点を置くCitizen Labのシニアリサーチャー。

https://www.lawfaremedia.org/article/a-global-treaty-to-fight-cybercrime-without-combating-mercenary-spyware

Table of Contents