Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

FBIシャーロット現地事務所は年末年始のホリデー休暇中にセクストーション未遂が増加する可能性があると警告

2024-01-19 14:47:02 | サイバー犯罪と立法

Last updated: january 19,2024

 サイバー犯罪たるセクストーション(Sextortion)につき、米国や中国、フィリピンなどでも被害が確認されている。「性的な」という意味の「セックス(Sex)」と「脅迫・ゆすり」を指す「エクストーション(Extortion)」を合わせた造語で「性的脅迫」と訳され、性的な動画や写真を入手し、それを「ばらまく」などと脅して金銭を要求することを指す。(FBIのyoutube)(筆者注1)

大阪府警資料から抜粋

 また、グルーミング(チャイルド・グルーミング)とは、子どもからの信頼を得て、その罪悪感や羞恥心を利用するなどにより、関係性を操る行為である。特に、子どもを手なずけることによって、性的な接触・搾取をする目的で行われる性犯罪の準備行為をいう。(筆者ブログ(1)同(2完)参照) なお、米国の未成年者に対する性犯罪規制立法については筆者ブログ参照。

 グルーミングの対象となった児童は、失望させたくないと思って相手の要求を断れなかったり、相手を信頼するあまり相手の要求に疑問を抱くことなく、わいせつな写真を送信したり、性行為をしてしまうことがある。

 2023年7月13日施行の刑法改正において、面会要求等罪は、悪質なグルーミングを処罰することによって、児童を性加害から保護することを目的として成立し、面会要求等罪には、わいせつ目的で児童に対して面会を求める面会要求罪と、わいせつな映像の送信を求める映像送信要求罪の2つがある。

 今回のブログは、わが国の(1)セクストーションの正確な定義、手口の解析、被害防止策、法的対策・検討状況, (2) グルーミング(チャイルド・グルーミング)に関する刑法改正とその意義、(3)米国で話題となっているAI画像生成ツールと児童性的虐待素材 (CSAM)問題、(4)関連した立法として「児童買春、児童ポルノに係る行為等の規制及び処罰並びに児童の保護等に関する法律」の概要と意義を解説する。

 なお、本ブログで取り上げるとおり、これらサイバー性犯罪の加害者は医師や教員、公認会計士等社会的ステイタスが高いことが多い。病む現代社会の象徴であろう。

Ⅰ.セクストーションの正確な定義、手口の解析、被害防止策、法的対策・検討状況

1.わが国のセクストーションの解説例

NHKの解説から一部抜粋引用する。

(1)「セクストーション」被害は?

 セキュリティー会社などによるとアメリカでは、10年以上前から被害が確認され、2022年には、被害にあった17歳の少年が、自ら命を絶ったとして、2023年5月、アメリカ司法省はSNSで女性になりすましたアカウントで脅迫したナイジェリア人の3人を起訴するなど、被害が深刻化している。

(2)その手口は 不正アプリのインストールの誘導も並行する

 セクストーションのようなサイバー犯罪からどう身を守ればいいのか。

 わが国のセキュリティーの専門機関「情報処理推進機構=IPA」に取材した。

 手口としては、SNSや、語学学習・国際交流を目的として外国人と出会える「言語交換アプリ」のメッセージでやりとりをしている際に、性的な動画や写真を送るよう要求されるケースが多く、「もっと動画が交換しやすいアプリがある」などと誘導され、不正アプリをインストールする被害も確認されている。

 こうした不正アプリでは、スマートフォン内の電話帳の情報が盗み取られ、「友人や知人に動画や写真をばらまく」と脅されるケースもあるということである。

 このほか、いきなりメールが送りつけられ、「あなたがアダルトサイトを見ているときに、恥ずかしい姿を録画した」などと、暗号資産のビットコインを要求する手口も確認されている。

 セキュリティー会社のノートン(norton)によると、こうした「セクストーション」に関連するメールは、世界各国で確認されている。2023年11月24日から12月15日までの間に世界であわせて554万件あまりを検知し、国別で見ると、日本は64万件と、1位のチェコ、2位のアメリカに次いで、3位の多さだったということである。

(3) 専門家「相手の手に渡ったものは取り戻せない 十分注意を」

 情報処理推進機構(IPA)セキュリティセンター 中島尚樹さんによると「SNSなどでやりとりするセクストーションは攻撃側の立場で考えればやり取りの手間がかかっていると思うが、高額な口止め料が手に入るという面がある。『どうすれば相手から画像を取り戻せるか、どうすれば消してもらえるか』という相談も寄せられるが、残念ながら一度、相手の手に渡ったものは消すことも、取り戻すこともできない。日ごろから十分注意する必要がある。

(4)被害に遭わないための施策?

 そして、以下のような対策が重要だと指摘する。

①他人に見られて困る写真や動画は、スマートフォンに残さない。

②第三者に送るのは、なおさら非常にリスクが高まるため、絶対に共有しない。

③通常の公式マーケットで配信されていない不正アプリは無料であってもインストールしない。

(5) もし被害に遭ってしまったら?

①警察に相談すること。(筆者注2)

②不正アプリをいったんインストールしてしまった場合は、電源を切るかWi-Fiでなく機内モードにするなどして通信を遮断してから警察に相談すること。

筆者補足】

「セクストーション」犯罪に関し法的扱いはどうなるのか。ネット上の解説では消費者被害にくわしい金田万作弁護士は、脅してお金を請求するため「恐喝罪」にあたると説明している(お金を払っていなければ恐喝未遂罪)というのが一般的である。筆者も同様の考えであるが、サイバー犯罪で恐喝罪で立件するのは簡単ではない。すなわち、(1)証拠の保存も含め加害者の特定や被害額等が極めて困難である点、(2)わが国ではサイバー犯罪に精通した弁護士や裁判官が極めて少ない点などである。これらにつき機会を改めたい。

2.米国のセクストーション犯罪と被害防止対策

(1) FBIシャーロット現地事務所のリリース「FBI Charlotte Warns Sextortion Attempts Likely to Increase During Holiday Break」内容の仮訳

 FBIシャーロット現地事務所は、セクストーション犯罪は通常、学校や休暇中に増加することを親、介護者、十代の若者たちに警告している。 セクストーションとは、成人が十代のふりをして被害者を操作または誘惑し、露骨な性的画像を作成および共有させ、追加の写真や金銭を強要することをいう。

 全米でセクストーション事件が急増しており、特に10代の少年をターゲットにした金銭的セクストーションが急増している。 2022 年から 2023 年にかけて、シャーロット FBI ではセクストーションの報告が 20% 増加した。 実際には、犠牲者の数はさらに多いようです。 被害者の中には犯罪を通報することをためらう人もいるかもしれない。

(2)金融セクストーション事件では、捕食者(若い女の子を装った詐欺師)が欺瞞と操作を用いて、通常 14 歳から 17 歳の若い男性を説得し、ビデオを通じて露骨な行為に従事させ、その様子を詐欺師が秘密裏に録画する。次に、詐欺師は、自分たちが録音・録画したことを明らかにし、被害者にお金を払わせたり、露骨な写真やビデオをオンラインに投稿させたりするよう脅して、金銭を強要しようとする。

 児童性的虐待資料 (CSAM) とみなされるものの作成を大人が子供に強制した場合は、最高で連邦刑務所での終身刑を含む重い刑罰が科せられる。

 被害に遭うことをやめさせるには、子供たちは信頼できる大人、親、教師、介護者、または法執行機関に通報する必要がある。このことは子どもにとっては当惑するかもしれないが、法執行機関が加害者を特定できるよう名乗り出れば、その被害者や他の人たちに対する無数の性的搾取事件を防ぐことができるかもしれない。

 「子どもたちがうつ状態に陥ったり、孤立したり、自傷行為をしたりするのを時々見てきたが、それは私たちが絶対に起きてほしくないことである。親は子どもにデバイスを与えるとき、意図的に接する必要があります。子どもたちは そのデバイスが何なのか、そのデバイスにどんなアプリケーションがあるのかを知る必要があり、親は子供たちが誰と通信しているのかを知り、その危険性について説明する必要がある」とFBI担当特別捜査官ノースカロライナ州でロバート・M・デウィット氏は  「加害者は、私たちの子供たちを操作し、コミュニケーションをとる方法を理解しています。繰り返しになるが、それが彼らのフルタイムの仕事である」語った。

 FBI は、オンラインで子供たちを守るために次のヒントを提供している。

 ① 地元の法執行機関または FBI (tips.fbi.gov) または FBI のインターネット犯罪苦情センター (IC3) (ic3.gov) にお問い合わせください。

 ②法執行機関が調査する前に、デバイス上の何も削除しないでください。

 ③オンラインでの出会いについてすべて法執行機関に伝えてください。 恥ずかしいかもしれませんが、犯罪者を見つける必要があり、他の子供たちを守ることができます。

 セクストーションの詳細については、fbi.gov/sextortion を参照されたい。

(2) 連邦法に基づく既存の要件とSTOP CSAM法案の内容

Pumphrey Law事務所の解説から抜粋、仮訳

 18 U.S. Code § 2258A - Reporting requirements of providers オンラインサービス・プロバイダーは、サービスに対する明らかなCSAM違反の知識を報告する必要がある。連邦法では、見かけのCSAMを故意かつ喜んで報告しなかったプロバイダーは、最初の知識と故意の報告の失敗に対して$ 150,000(約2,145万円)の罰金を科されると記している。プロバイダーが2回目以降に報告に失敗した場合、$ 300,000(約4,290万円)までの罰金を科すことができる。

〇 2023年4月、米国連邦議会上院多数派で上院司法委員会委員長ホイップ・ディック・ダービン(Whip Dick Durbin (D-IL)氏は 法案(Strengthening Transparency and Obligation to Protect Children Suffering from Abuse and Mistreatment Act of 2023:STOP CSAM Act)を上程。

Whip Dick Durbin氏

 「2023年の虐待および虐待法に苦しむ子供たちを保護するための透明性と義務の強化(STOP CSAM)法案」は、児童の性的虐待資料(CSAM)の急増をオンラインで阻止するために作成された。主な改正内容は以下のとおり。

(ⅰ) 義務的な児童虐待報告範囲の拡大

(ⅱ) 連邦裁判所における子どもの保護: 連邦刑事訴追中の児童被害者と目撃者のための特別なプライバシー保護を強化(身体的傷害、心理的虐待を含む)

(ⅲ) 特定の児童被害者に対する賠償– 特定の被害者の賠償を管理するために裁判所が受託者を任命することを許可する法的枠組みを新たに作成

(ⅳ) 被害者がCSAMをテクノロジー企業に報告し、コンテンツを削除するように依頼する簡単な方法を作成。またテクノロジー企業がコンテンツを削除できなかった場合は、管理上の罰則を新たに規定。

(3) カリフォルニア州中央部連邦検事局では以下の事案を取り上げている。

(ⅰ) 2023.12.1 元小児科医は児童の性的虐待資料の多数の画像を所有したとして連邦刑務所で7年6カ月の刑を宣告された。

 元小児科医は12月1日、数十枚のDVDに児童の性的虐待資料(CSAM)を所持し、パーソナル・コンピューティング・デバイスに数百枚のそのような画像を所持したとして連邦刑務所で7年6カ月の刑を宣告された 。

 ロサンゼルスのビバリーグローブ地区住の62歳のゲイリー・デビッド・グーリン(Gary David Goulin)は、児童ポルノの所持の1カウントに有罪を認め、連邦地方判事のマーム・エウシ=メンサー・フリンポン(Maame Ewusi-Mensah Frimpong)氏から罰金5万ドルと特別査定で追加の2万2100ドルの支払いを命じられた。 彼は性犯罪者として登録する必要があり、刑務所から釈放されると15年間監視付き釈放されることになる。

 2021年11月、グーリンは12歳未満の未成年者を含む性的に露骨な素材を含む4枚のDVDを故意に所有していた。グーリンはさらに、CSAMを含む追加の57枚のDVDを故意に所有することを彼の嘆願の合意で認めた。これらのDVDの平均実行時間は3時間21分であった。

(ⅱ)サンタクラ住の男性が児童ポルノの制作の罪で有罪

 2023.5.22連邦陪審は、住宅地で未成年の被害者のヌードを隠しカメラでこっそり撮影したとして、児童性的虐待資料(CSAM)を作成したとしてキャニオンカントリーの男性で元海軍特殊部隊に有罪判決を下した。

 ロバート・キド・ステラ(Robert Quido Stella)被告(50歳)は5月22日午後、児童ポルノ製造の3件の罪で有罪判決を受け、それぞれの罪には連邦刑務所で最低15年、最高30年の拘禁刑が科せられる。

 法廷文書によると、国土安全保障省捜査局(HSI)は2年前、ステラがダークウェブの児童ポルノサイトにアクセスしたという通報を受けた。

(ⅲ) サンバーナーディーノ郡の女性は、乳児を含む子供の性的虐待の素材を作ったとして40年の刑を宣告

2023.5.8ロサンゼルス –サンバーナーディーノ郡の女性ステファニー・ケイシー・マリー・スティーブンス(Stefani Kasey Marie Stevens)(31歳)は、5月8日、露骨な性的ビデオを制作する目的で幼児の監護権を得たことなど、児童性的虐待に関わる重大な犯罪を犯した罪で、連邦刑務所で40年の刑を言い渡された。

ユカイパ在住のスティーブンスは、バージニア・A・フィリップス連邦地方判事から判決を受け、この訴訟で7月31日に賠償審理を予定されていた。 スティーブンスは釈放されたが、残りの人生は監視付き釈放となる。

(ⅳ) フィリピン人被害者の児童の性的虐待資料を作成した連邦刑務所での生活に対するサウスベイ住の公認会計士への有罪判決

ロサンゼルス –サウスベイ住の男性ビリー・エドワード・フレデリック(Billy Edward Frederick) (52歳)は、30人近くの子供たちの何千もの性的に露骨な画像やビデオを制作したことを認めた後、連邦刑務所で仮釈放なしの終身刑を宣告された。

 そのうちの被害者のうち1人は少なくとも2年間にわたって搾取され、お金と引き換えにオンラインで性行為を行った。

   フレデリック(52歳)は、米国連邦地方裁判所のデール・スーザン・フィッシャー裁判官から判決を受けた。

Dale Susan Fischer 判事   

 フィッシャー裁判官は、「刑務所での生活は、犯罪が深刻であることを適切に反映していると付け加えた”フレデリック“が”の被害者を対象とし、子供がいる世界の一部 性的に搾取されていることで知られている」と述べた

   フレデリックは2021年9月に2件の重罪につき有罪を認めた, すなわち、米国への輸送のための児童ポルノの作成、および犯罪的な性行為に従事する未成年者の誘惑の罪である。

(4) セクストーションの犯罪特性と予防策

 TREND MICROの解説から抜粋、引用する。

煩雑な指示を送る攻撃者

 今回確認されたセクストーションは、最初のメールから最後に要求金額を明かすまで以下の段階がある。

 メール受信者の裸が映った動画を保有している、と知らせるメールが攻撃者から送信される。メールに記載されたユーザ名とパスワードを使用して、あるメールアカウントにログインするように指示が書かれている。

 メールアカウントにログインすると、一通のメールがあり、開封すると3つのライブ映像らしきページへのリンクが埋め込まれている。1つは被害者の携帯電話のカメラからの映像、もう2つはその携帯電話からマルウェア感染したとされる公共の場所に設置された監視カメラからの映像である。しかし、携帯電話のカメラからの映像とされる画面には、「Connection Lost」(接続が失われました)と表示される静止画が表示されている

 ページには、マルウェアの詳細と前述の脅迫内容が表示される。脅迫状にはさらに、指定した別のメールアドレスにメールを送信するよう指示が書かれている。

 受信者がメールを送信すると、また別のユーザ名とパスワードが記載されたメールが返信され、それを使用してまた別のメールアカウントにログインするように指示がある。

セクストーションの被害に遭わないためには

 セクストーションによるネット詐欺の手口は常に変化している。そのような詐欺を回避する方法を知っておこう。セクストーションに直面した場合、パニックに陥らないことが重要です。恐怖にかられてしまうと、攻撃者の要求に屈してしまいがちです。脅迫メールに返信することも避けよう。

 以下は、セクストーションによる被害を回避する方法である。

①個人情報は、安全なプラットフォームにのみ保存する。

②不明な送信元から送られたメールに埋め込まれたURLをクリックしたり、添付ファイルを開いたりしない。送信元が見慣れた商標または会社である場合は、公式サイトに記載されている電話番号またはメールアドレスに照合して確認するか、連絡してメールが本物か確認する。

③インターネットで利用するアカウントには破られにくいパスワードを使用し、定期的に変更する。

(5)金銭目的のセクストーション(Financially motivated sextortion )の特性(2024.1.19 FBIサクラメント現地事務所リリースに基づき補筆)

  金銭目的のセクストーションも、異なる目的を持って同様のパターンに従う。性的に露骨なコンテンツを受け取った後、犯罪者は、被害者が支払い (ギフト カード、モバイル決済サービス、電信送金、暗号資産など) を提供しない限り、被害者の権利を侵害するコンテンツを公開すると脅迫す。 このような場合、犯罪者の動機は性的満足だけではなく、主に金銭的利益である。この、金銭目的でセクストーションを行う犯罪者は、米国外にいることが多く、主にナイジェリアやコートジボワールなどの西アフリカ諸国、またはフィリピンなどの東南アジア諸国にいる。 犯罪者がターゲットとする被害者の多くは14歳から17歳の男性であるが、どんな子供でも被害者になる可能性がある。

(6) AI画像生成ツールと児童性的虐待素材 (CSAM)問題

 2023年12月20日Stanford Digital Repository「AI画像生成ツールが子供の露骨な写真を使ってトレーニングされていることが研究で判明(Identifying and Eliminating CSAM in Generative ML Training Data and Models)」要約を仮訳する。

 人気の人工知能画像生成装置の基盤の中に、児童の性的虐待に関する数千枚の画像が隠されていることが、企業に自社が構築した技術の有害な欠陥に対処するための措置を講じるよう促す新たな報告書で明らかになった。

 これらと同じ画像により、AI システムが偽の子供のリアルで露骨な画像を生成したり、着衣を着た本物の十代の若者のソーシャル メディア写真をヌードに変換したりすることが容易になり、世界中の学校や法執行機関が警戒を強めています。

【要約】

 生成機械学習モデルは、児童性的虐待素材 (CSAM) を含む露骨なアダルト コンテンツを作成できることや、服を着た被害者の無害な画像を変更してヌードまたは露骨なコンテンツを作成できることが十分に文書化されている。 この研究では、LAION-5B データセット (人気のある安定拡散シリーズ モデルのトレーニングにその一部が使用された) を調べて、このデータセットでトレーニングされたモデルのトレーニング・ プロセスにおいて CSAM 自体がどの程度役割を果たしたかを測定した。本研究にあたり 「PhotoDNA 知覚ハッシュ マッチング(PhotoDNA perceptual hash matching)」(筆者注3)、「暗号化ハッシュ・ マッチング(cryptographic hash matching)」(筆者注4)、「k- 最近傍クエリ(k-nearest neighbors queries)、機械学習分類手法( ML:Machine Learning classifiers)」技術を組み合わせて使用した。

 この方法では、トレーニング セット内の既知の CSAM の数百の教材例と、その後外部関係者によって検証された多くの新しい候補が検出された。 また、このトレーニング セットのコピーの維持、将来のトレーニング セットの構築、既存のモデルの変更、LAION-5B でトレーニングされたモデルのホスティングが必要なユーザーに対して、この問題を軽減するための推奨事項も提供した。

Ⅱ.グルーミング犯罪の日米比較

 弁護士法人VERYBESTの解説から抜粋するとともに、筆者の判断で補筆した。

1.日本のグルーミング対策:グルーミングの具体的な手口

(1)SNSを通じて、子どもの信頼を得てから性的行為に及ぶ手口

TwitterやInstagram、TikTokなどのSNSでは、小・中学生や高校生でも、誰でも簡単にアカウントを開設することができる。

(2)元々近い関係にある者が、徐々にボディタッチからエスカレートさせる

たとえば学校の教員や家庭教師、習い事の先生、保育士などは、仕事の中で子どもの信頼を得やすい職業の代表例である。

(3)公園などで子どもに声をかけて、徐々に親しくなる。

公園などで遊ぶ子どもに声をかけて接近するのも、グルーミングの古典的手口としていまだに散見される。悩みなどの相談に乗るふりをして子どもと親しくなり、自宅へ連れ込んでわいせつ行為や性交渉などを迫るグルーミングには要注意である。

(2)未成年者を被害者とする重大な性犯罪の処罰「不同意わいせつ罪」と「不同意性交等罪」(2023.7.13[施行の刑法改正)

 法務省の刑法一部改正図解

 「不同意わいせつ罪」とは、被害者が同意していないにもかかわらず、体を触ったり、自己の性器を触らせたりするなどのわいせつな行為を行うことを指す。法定刑は「6か月以上10年以下の拘禁刑」(刑法第176条)である。

 また、「不同意性交等罪(刑法第177条)」は、暴行または脅迫があったり、アルコールや薬物の影響があったりするような、性交等に同意しない意思を形成、表明、もしくは全うすることが困難な状態となった被害者に対して、性交・肛門性交・口腔(こうくう)性交、または膣や肛門に陰茎以外の身体の一部や物を挿入する行為でわいせつなもののいずれかをした場合に成立する。

 さらに、被害者が16歳未満の場合には、暴行または脅迫などがあったか否かにかかわらず、性交・肛門性交・口腔(こうくう)性交、または膣や肛門に陰茎以外の身体の一部や物を挿入する行為でわいせつなもののいずれかが行われた時点で強制性交等罪が成立する。不同意性交等罪の法定刑は「5年以上20年以下の有期拘禁刑」である。

(3)16歳未満の子どもに対する「面会要求等に対する罪」(刑法第182条)が新設

 グルーミングの段階では、一般的にはまだ具体的な性的接触・搾取は行われません。そのため、グルーミングの行為自体を犯罪として処罰することはできません。

 ただし、グルーミングに引き続いて性的接触・搾取が行われる可能性が高い点が問題視され、性被害を予防する観点から、グルーミングの段階で法的な規制を及ぼすべきではないかと議論されている状況でした。

 令和5年7月13日の刑法改正により、16歳未満の子どもにわいせつ目的で面会要求等を行うことに対しても処罰がくだるようになった。

 面会要求等の罪については、威迫、偽計または誘惑したり、拒否されたのに繰り返し会うことを求めたり、金銭やお金を与えることを約束したりすることで成立する。

 このように会うことを求めるだけでも1年以下の拘禁刑または50万円以下の罰金が科され、また、実際に会うことにより、2年以下の拘禁刑または100万円以下の罰金が科される。

 つまり、グルーミング行為そのものが犯罪になる。

2.米国のセクストーション罪の概要と法規制の内容

  FBIの解説(金銭目的のセクストーション:Financially Motivated Sextortionとは?)および(Sextortionとは?)から抜粋、仮訳する。

(1 ) 概要

大人がオンラインで子供のふりをして、被害者に性的に露骨な写真やビデオの撮影と送信を強要し、その後すぐに支払いを要求したり、被害者の家族や友人に写真を公開すると脅したりする行為は、金銭目的のセクストーションとして知られている。

 金銭目的のセクストーションは犯罪であり、あらゆる年齢の親、教育者、介護者、子供は、オンラインでの安全を保つ方法、リスクと危険信号、自分や知り合いが被害者になった場合の報告方法について知っておく必要がある。

(2)犠牲者

  〇 被害者は通常 14 歳から 17 歳の男性であるが、どんな子供でも被害者になる可能性がある。

 〇金銭目的のセクストーション計画の男性被害者の驚くべき数の自殺者が確認されている。

  被害者はしばしば孤独を感じ、当惑し、助けを求めることを恐れる。 しかし、被害者が自分たちだけではないことを理解することが重要である。 身の危険を感じた場合は、信頼できる大人に助けを求めてほしい。

〇自分の子供や知人が搾取されている場合はどうすればよいか?

 あなた、あなたの子供、またはあなたが知っている人が搾取されている場合は、最寄りの FBI 出張所に連絡するか、1-800-CALL-FBI に電話するか、オンラインで Tips.fbi.gov に報告してください。

覚えておいてください:あなたは一人ではありません、そしてこれはあなたのせいではありません。

(3)悪用されている被害者は次のことも行う必要がある。

 ①プラットフォームの安全機能を介して犯人たる捕食者のアカウントを報告します。捕食者があなたに接触するのをブロックします。

②プロフィールまたはメッセージを保存する。 これらは、法執行機関が捕食者を特定して阻止するのに役立つ。

③ お金やその他の画像を送信する前に、信頼できる大人または法執行機関に助けを求めてください。 捕食者と協力しても脅迫や嫌がらせを止めることはめったにありえないが、法執行機関は可能である。

  Ⅲ. わが国のグルーミング(チャイルド・グルーミング)に関する刑法改正とその意義

1.面会要求等の罪の新設

 弁護士法人VERYBEST「グルーミング行為とは|子どもに性犯罪を犯す人間の手口や罪」から一部抜粋する。なお、「面会要求等罪(グルーミング罪)とは?構成要件や罰則について弁護士が解説」も併せ参照されたい。

 「面会要求等の罪」については、威迫、偽計または誘惑したり、拒否されたのに繰り返し会うことを求めたり、金銭やお金を与えることを約束したりすることで成立する。

 このように会うことを求めるだけでも1年以下の拘禁刑または50万円以下の罰金に科され、また、実際に会うことにより、2年以下の拘禁刑または100万円以下の罰金が科される。(刑法第182条第1項)

 つまり、グルーミング行為そのものが犯罪になる「可能性がある」ということである。

 また、性交等を行っていたり、性的部位を露出していたりする写真や動画を求めることでも、1年以下の拘禁刑または50万円以下の罰金が科されることとなった(第182条第3項)

 さらに性犯罪は不法行為(民法第709条)にも該当し損害賠償請求の対象になる。

したがって、性犯罪の被害を受けてしまった方は、加害者に対して損害賠償(慰謝料など)を請求することが可能である。

 Ⅳ.関連した立法として「児童買春、児童ポルノに係る行為等の規制及び処罰並びに児童の保護等に関する法律」の改正概要と意義

警察庁サイトから以下、抜粋する。

1.平成26年(2014年)6月18日,第186回通常国会において,児童ポルノ禁止法が改正され,同年7月15日から施行された。

ここでは,本改正の経緯及び概要を説明する。

(1)児童ポルノの定義規定の改正

 児童ポルノの定義は,児童ポルノ禁止法第2条第3項に定められているが,そのうち第3号に定められている児童ポルノの定義が明確化され,「衣服の全部又は一部を着けない児童の姿態であって,殊更に性的な部位(性器等若しくはその周辺部,臀部又は胸部をいう。)が露出され又は強調されているものであり,かつ,性欲を興奮させ又は刺激するもの」(下線部が追加部分)となった。

(2)一般的禁止規定の新設

 児童ポルノ禁止法第3条の2に,何人も,児童買春をし,又はみだりに児童ポルノを所持し,児童ポルノに係る電磁的記録を保管し,その他児童に対する性的搾取又は性的虐待に係る行為をしてはならない旨の一般的禁止規定が新設された。

⑶ 自己の性的好奇心を満たす目的での所持・保管罪の新設

 児童ポルノ禁止法第7条第1項に,自己の性的好奇心を満たす目的で,児童ポルノを所持し,又は児童ポルノに係る電磁的記録を保管した者(自己の意思に基づいて所持又は保管するに至った者であり,かつ,当該者であることが明らかに認められる者に限る。)は,1年以下の懲役又は100万円以下の罰金に処することとする罰則が新設された。

2.わが国の児童買春、児童ポルノこれら犯罪の処罰事例の検索

 最高裁判所サイト:わが国裁判例結果一覧のうち「児童買春、児童ポルノ裁判例検索」で検索できる。

***********************************************

(筆者注1) 2023年10月9日付け東京新聞web版は「恥ずかしい写真、拡散される恐怖で泥沼に…セクストーション被害が増加 狙われる若者、男子も多数」を取り上げている。

(筆者注2)NHKの解説は不親切である。より正確にいうと警視庁相談窓口のうち以下が該当しよう。

「サイバー犯罪対策課(平日午前8時30分から午後5時15分まで)

電話:03-5805-1731

STOP!児童ポルノ・情報ホットライン(24時間)

電話:0570-024-110」

性犯罪被害相談電話(ハートさん)

電話:#8103

24時間対応(年中無休)

性犯罪にあわれた方が少しでも相談しやすいように、警察庁が設置した全国共通番号です。(都県境では、他県につながることがあります)

新規ウィンドウで開きます。性犯罪被害相談電話全国共通番号「#8103(ハートさん)」(外部サイト)

(筆者注3) Google、Facebook、Twitterなど、数多くの企業が違法コンテンツをプラットフォームから削除するためにMicrosoftが開発した画像識別技術「PhotoDNA」を利用しています。PhotoDNAは違法画像にデジタル署名を付与してデータベース化し、インターネット上の画像をこのデータベースと照合するという形で利用します。Microsoftはハッシュ化された違法画像のデータから画像を再構成することはできないと主張していますが、研究者が新たに、PhotoDNAから画像を再構成することに成功したと報告しました。(GIgaZINE記事から抜粋)

(筆者注4) 暗号学的ハッシュ関数(cryptographic hash function)は、ハッシュ関数のうち、暗号など情報セキュリティの用途に適する暗号数理的性質をもつもの。任意の長さの入力を(通常は)固定長の出力に変換する。

****************************************************************:

Copyright © 2006-2024 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

米国FBI、イスラエルとハマスの紛争中に慈善詐欺が米国民の善意を悪用する可能性があると警告

2023-11-24 14:29:24 | サイバー犯罪と立法

 2023年11月24日、筆者の手元に米国連邦捜査局(FBI)の警告リリースが届いた。本ブログではこれまで慈善詐欺に関する連邦司法省やFBIの注意喚起を取り上げてきたが、わが国でも同様の詐欺が広がることが予想されることから引き続き取り上げる。

 米国連邦捜査局(FBI)のカリフォルニア州サクラメント現地事務所は、イスラエルとハマスの紛争中に関し犯罪者が偽寄付を募っていると国民に警告している。これら慈善詐欺は、善意の地域コミュニティおよび人生を変えるような大災害(life-changing catastrophes)の影響を受けやすい弱い立場にある人々の両方を犠牲にしている。

 これらの詐欺は、戦争、自然災害、広範囲の伝染病などの紛争が激化している時期に特に蔓延する。犯罪者は多くの場合、これらの危機を、人道活動を支援しようとする個人を搾取する機会として利用する。これら犯罪者は、既存の慈善団体、または新たな紛争に関連する新しい慈善団体の創設者と関係があると主張する。

 また地元コミュニティは、被害を受けた家族のために寄付金を集め、その寄付金を個人的な利益のために、または国内または国際的な犯罪企業の支援に使用すると主張する犯罪者個人によって標的にされる可能性がある。

 外国のテロ組織では、ソーシャル・ メディア・ プラットフォームを使用して偽の慈善団体を設立し、知らないうちに寄付者を誤ってその活動に関し入手した慈善寄付金を振り向けることがよくある。彼らはその後、①ソーシャル ・メディアへの投稿、②電子メール、違法な勧誘電話(cold call)や電子メール、またはクラウド・ファンディング・ Web サイトのリクエストを通じた勧誘等が行われる。

*慈善詐欺の被害者にならないようにするにはいかなる点に留意すべきか。

  • ダイレクト・ メッセージ、電話、電子メールを含むすべての望まない一方的なコミュニケーションには疑いを持って対処されたい。
  • 電子メール内のリンクを安易にクリックしたり、一方的な電話が公式の情報源からのものであると考えるのではなく、受け取った個人は必ず慈善団体の公式 Web サイトに直接アクセスして連絡先情報を入手してほしい。
  • 新しい慈善団体についてはオンラインで徹底的に調べ、寄付する前に電話番号または電子メール・アドレスを確認されたい。オンラインで指定された慈善団体がこの詐欺に関与しておらず、主張どおりに資金を使用していることを十分に確認されたい。
  • 有名な慈善団体の公式 Web サイトに類似したURL等を使用していないかを確認されたい。犯罪者は、既知の組織・団体の URL に似た URL を持つ、類似した「なりすまし(spoofed)」Web サイトを作成する可能性がある。
  • 以下のカリフォルニア州司法長官の慈善団体登録検索ツールにアクセスして、当該慈善団体がカリフォルニア州に登録されていることを確認されたい。

➅ 以下のIRS 免税組織検索にアクセスして、組織等への慈善寄付が税控除の対象となるかどうかを確認されたい。

 現金、ギフトカード、電信送金、または暗号資産では決して支払わないでほしい。これらの支払い形式はそれぞれ、資金の追跡や取消しが極めて困難または不可能である。

 FBI は一般の人々に対し、これらの詐欺的または不審な行為を FBI インターネット犯罪苦情センター ( IC3.gov)に報告するよう呼びかけている。一般の人々は、地元のFBI 現地事務所または駐在機関に電話照会することもできる。

FBI等の追加的関連情報サイト

**************************************************************************

Copyright © 2006-2023 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

証券取引委員会(SEC)が連邦地方裁判所に対し大手国際法律事務所Covington & Burling LLPへの調査召喚状申請を行った真の目的とその背後にあるサイバー集団犯罪対策の重大問題性

2023-01-18 16:47:59 | サイバー犯罪と立法

 

 1月12日、米国の証券取引委員会(以下、SECという)は、大手国際法律事務所Covington & Burling LLP(以下、Covingtonという)(注1)に文書の調査召喚状の狭い部分に従うよう指示するコロンビア特別区連邦地方裁判所に求める申請書を提出したと発表した。

 SECが連邦地方裁判所に提出した召喚申請書類によると、SECは、Microsoft Exchange Server に対する防衛請負業者、法律事務所、および感染症研究者等に対するHafnium集団(以下、「ハフニウム」という)のサイバー攻撃に起因する連邦証券法の潜在的な違反を調査している。申請に伴う提出書類によると、2020年11月頃、Microsoft Hafniumサイバー攻撃に関連するハッカー集団は、SECによって規制されている298のCovingtonクライアントの非公開ファイルへのアクセスを含む、Covingtonのコンピューター・ネットワークおよび特定の個々のデバイスへのアクセスを悪意を持って違法に取得した。SECは2022年初頭にCovingtonへのサイバー攻撃を知り、その後すぐに召喚状を発行した。

 この問題につき、主要メディアは国際的ローファームの顧客情報管理権とSECのサイバー集団被害の実態調査権の行使問題として取り上げられている。

 しかし、筆者から見るとその論点はより国際ハッカー集団によるサイバー犯罪、被害の予防・防止等大きな社会、経済問題であり、さらにわが国の関係機関や事業者等として無視できない重要なリスク対策問題を抱えていると思える。

 このため、本ブログでは、(1) ハフニウム・ハッカー集団の犯罪手口の実態、(2) Microsoft がとったセキュリテイ対策の具体的対応、(3)SECが行った対応措置、(4) Covingtonの対応、反論主張につき、各論点をつぶさに解説のうえ論ずることとした。

1.中国国家が支援するサイバー・ハッカー集団「ハフニウム」の実態

Microsoft Blog およびThe Registerの解説記事を補足しつつ仮訳する。

(1)マイクロソフト社の脅威インテリジェンス センター (MSTIC) によって特定されたハッカー集団「ハフニウム」 と呼ばれる中国国家が支援するサイバー犯罪集団に関する情報を共有している。ハフニウムは中国国家が支援しており、その活動について議論するのはこれが初めてである。それは非常に熟練した洗練された技術を有するサイバー集団である。

 顧客のセキュリティと信頼を守る Microsoft のCorporate Vice President, Customer Security & Trustである Tom Burt氏はこの悪党集団を「ハフニウム」と名付け、彼らは中国で活動しているが米国ベースのサーバーを使用していると述べ、サイバー スパイ チームを国家が後援する「非常に熟練した洗練された犯罪者」であると分類した。

Tom Burt氏

 これまで、歴史的に、ハフニウムは、感染症研究者、法律事務所、高等教育機関、防衛請負業者、政策シンクタンク、NGOなど、多くの業界セクターからの情報を盗み出す目的で、主に米国の事業体、組織、団体等をターゲットとしている。ハフニウムは中国に拠点を置いているが、主に米国のリースでの仮想プライベートサーバー(VPS)(注2)から業務を行っている。

 最近、ハフニウムは、オンプレミスのExchange Serverソフトウェアを標的とした、これまで知られていなかった不正行為を使用して多数の攻撃を行っています。現在まで、ハフニウムはこれらの不正に利用しているのを見る主要な犯罪者であり、MSTICによって詳細に説明されている。これを詳細を見る攻撃には3つのステップが含まれている。まず、1)盗まれたパスワードを使用するか、以前に発見されていない脆弱性を使用して、アクセスする必要がある人物になりすますことにより、Exchange Serverにアクセスする。次に、2)侵害されたサーバーをリモートで制御するためのWebシェル(注3)と呼ばれるものを作成する。3)第三に、米国を拠点とするプライベートサーバーから実行されるリモートアクセスを使用して、事業体、組織のネットワークからデータを盗む。

2.ハッカー集団に対抗するマイクロソフトの具体的措置

 マイクロソフトは、これらの攻撃を実行するために使用される悪用からお客様を保護することに重点を置いている。2021年3月2日、マイクロソフトは Exchange Server を実行している顧客を保護するセキュリティ更新プログラムをリリースした。マイクロソフトは、Exchange Server (注4)を利用する顧客に、これらの更新プログラムを直ちに適用することを強く勧めた。Exchange Server は主に法人のお客様によって使用されており、ハフニウム の活動が個人の消費者を標的にしたという証拠や、これらの不正利用が他のマイクロソフト製品に影響を与えるという証拠はない。

 マイクロソフトはハフニウムの悪行に対抗すべくアップデートを迅速に展開したが、多くの国民国家の攻撃者や犯罪グループがパッチが適用されていない脆弱性のあるシステムを利用するために迅速に行動することを知っている。本日のパッチを迅速に適用することは、この攻撃に対する最善の保護である。

3.連邦議会の要請を受けたSECの調査の取組み

 「Covington は、外国の犯罪者が、委員会によって規制されている企業を含む、Covington のクライアントのファイルに意図的かつ悪意を持ってアクセスしたことを認めた」と召喚状申請状で記されている 。「この報告された違反に照らして、 SECは、悪意のある活動が連邦証券法に違反して投資家に不利益をもたらしたかどうかを判断しようとしている」

 2022 年3月、SEC は Covington に対し、影響を受けた298のクライアントすべての流出についてのクライアントの名前、アクセスまたは盗まれた情報の量、法律事務所間の通信など、セキュリティ侵害に関する情報を引き渡すよう求める召喚状を発行した。

 裁判所の文書によると、Covington は召喚状のほとんどに応じたが、期限までに影響を受ける組織の完全なリストを作成することはできないだろうとSEC に語った。

 SEC はその後、申請対象をCovingtonへの攻撃中にデータが閲覧、コピー、変更または盗み出されたSEC の規制下にあるクライアントの名前と、それらの上場企業とその弁護士との間の通信に要求を絞り込んだ。

 訴訟文書によると、ハフニウムはSEC によって規制されている298を含む、Covington の一部のクライアントに属する個人情報にアクセスしたため、SECは連邦議会から被害、侵害を調査し、「悪意のある活動が連邦証券法に違反して投資家に損害を与えたかどうかを判断する」という命令を受けている。

 一方、当然のことながら、Covingtonは物事の見方が異なる。

 Covington の広報担当者は、SEC の訴訟を「クライアントの信頼と弁護士の守秘義務とクライアントの特権を侵害する不当な試み」と呼んだ。

 2021 年、セキュリティ侵害に気付いた後、Covington は影響を受ける可能性のあるクライアントに通知し、FBI と協力して調査を支援したと広報担当者はThe Register に語った.

 「さらに最近、SEC は本事件に関連してCovingtonに召喚状を発行し、それに応じて、攻撃と FBI との協力に関する詳細な情報を委員会に速やかに提供した。

 しかし、「同時に、影響を受けるクライアントの身元や弁護士とクライアントのコミュニケーションなど、クライアントの機密情報を取得しようとする当局の試みに自発的に応じることはできないこともSECに明らかにした。このような背景に対して、SECの召喚令状執行措置に対し、Covingtonは異議を唱えるつもりである。」とスポークスパーソンは述べた。

4.1月12日、米国の証券取引委員会(以下、SECという)は、Covingtonに文書の調査召喚状の狭い部分に従うよう指示する命令を求める申請書を提出

  1月12日、SECのリリース文を抜粋、仮訳する。

 SECがコロンビア特別区連邦地方裁判所に提出した召喚申請書類によると、SECは、Microsoft Exchange Server に対するハフニウム集団のサイバー攻撃に起因する連邦証券法の潜在的な違反を調査している。起訴状に伴う提出書類によると、2020年11月頃、Microsoft Hafniumサイバー攻撃に関連する脅威アクターは、SECによって規制されている298のコビントンクライアントの非公開ファイルへのアクセスを含む、Covingtonのコンピューター・ネットワークおよび特定の個々のデバイスへのアクセスを悪意を持って違法に取得した。SECは2022年初頭にCovingtonへのサイバー攻撃を知り、その後すぐに召喚状を発行した。

 SECは、召喚状の執行措置を通じて、脅威アクターによってファイルが表示、コピー、変更または盗み出されたクライアントの名前のみを求めている。提出書類によると、SECは、脅威アクターまたはそれらの顧客の証券における他の人による疑わしい取引を特定し、脅威アクターがサイバー攻撃の一部として表示または盗み出した重要な非公開情報(material non-public information:MNPI)(注5)に基づいてそのような取引が違法であったかどうかを特定するのに役立つこの情報を求めている。

 さらに、この情報は、影響を受けたクライアントがサイバー攻撃に関連する重要なサイバーセキュリティイベントについて投資家に必要なすべての開示を行ったかどうかをSECが判断するのに役立つ。現在までに、Covingtonは2人を除くすべてのクライアントの名前を提供することを拒否しており、これら2人のクライアントはSECに名前を提供することに同意した。

 SECの申請は、裁判所が召喚状で要求されているように文書を提出することを強制すべきではない理由を示すようにCovingtonに指示する裁判所からの命令を求めている。申請はさらに、原因を示す命令に関する判決に続いて、裁判所からの命令を求め、Covingtonに召喚状に従うように指示している。申請は裁判所の判決の対象となる。SECは事実調査を継続しており、これまでのところ、個人または団体が連邦証券法に違反していると結論付けていない。

5.Covingtonの立場の難しさ

 2023 年 1 月 13 日Bloomberg Law「SEC、法律事務所 Covington がサイバー攻撃調査を妨害したと非難 (1)」から一部抜粋、仮訳する。

 Covington は、SECの裁判所への提出書類によると、問題となっている 298 のクライアントのうち、「脅威アクター」がアクセス、変更、または取得した「重大な非公開情報(MNPI)(注5) を持っていたのは7人だけであるとSECに語った。SECはその情報を確認できず、MNPI とは何かという会社の決定に同意しなかった。

「大手ローファームが抱える重大なクライアント情報管理リスク」

 「何百もの上場企業のクライアントを持つ大規模な法律事務所として、Covingtonは定期的に MNPI を所有しており、その盗難は投資家を重大なリスクにさらす。サイバー攻撃の犠牲者としてのCovingtonの立場も、法律事務所であるという事実も、CovingtonをSECの正当な調査責任から切り離すものではない」とSECは裁判所への提出書類で主張した.

 一方、Covington は声明の中で、法廷で召喚状を執行しようとする SEC の努力に対抗すると述べた。同社は、情報をSECに「速やかに」提出し、連邦捜査局に協力したと述べたが、「我々は、SEC が影響を受けたクライアントの身元と弁護士とクライアントのコミュニケーションにつき、顧客の機密情報を取得しようとするいかなる試みにも自発的に応じることはできないことを SEC に明らかにしている。すなわち、Covingtonは声明で、「SECの措置は、弁護士の基本的な倫理的義務であるクライアントの秘密と弁護士とクライアントの特権を侵害する不当な試み」と見なしている。

ローファームの中国政府への関心

 これらの攻撃は後に、中国政府に関係するハフニウムと呼ばれるアクターによるものであることが判明した。しかし、Microsoftの欠陥のニュースが公になると、他のハッキング グループが Microsoft の電子メール ソフトウェアの欠陥を攻撃することに加わった。

 SECの法廷文書に含まれるギブソン・ダン法律事務所の弁護士による 2022 年のメモによるとCovington は以前、SEC に対し、独自の調査により、ネットワークへの侵害は、「次期バイデン政権に照らして中国が特に関心を持っている政策問題について学ぶ」ために、同社の特定のメンバーを標的にしたことが判明したと語った。

 SEC は、提出書類の中で、侵害の影響を受ける可能性のある特定の企業を特定しなかった。その弁護士は、どの上場企業が「重要な」情報を公開したかを知ることで、他のツールを使用して「疑わしい取引」を探し、それらの企業が投資家や一般に必要な開示を確実に行うことができるようになると主張し、SECは企業と協力して情報提供の要求の範囲を狭めようとしたが、合意に達することができなかったと述べた。

 Covington の2022年6 月のメモは、SECの「投機的な必要性」は、当事務所の保護された弁護士と依頼者の関係に対する結果を上回らなかったと主張した。

ブルームバーグ・ニュースへの声明・SEC法執行責任者グルビル・S・グレワル(Gurbir S. Grewal:Director, Division of Enforcement)氏は、

Gurbir S. Grewal 氏

「この召喚請求が唯一の情報源であり、ハッカーや証券法違反の可能性を特定するために必要であると述べた。彼は、規制当局が、「厳密に調整された単一の文書要求に応じるように」Covingtonに指示する裁判所命令を求めている。また、裁判所への要求は、弁護士とクライアントの特権またはその他の機密情報によって保護されている情報までを求めていない。むしろ、Covington に対するサイバー攻撃の一環として悪意を持って違法にデータが侵害された、SECによって規制されている事業体の名前のみを要求するものである」と付け加えた。

********************************************************************************:

(注1) Covington は、ワシントンに本拠を置く最大かつ最も権威のある多国籍法律事務所の1つであり、元司法長官エリック・ホルダーそのパートナーや、ジョー・バイデン大統領の 2020 年の大統領選挙戦などの政治的クライアントも擁している。同社は証券および規制業務を行っており、いくつかの大規模取引の法律顧問・代理人も務めている。例えば2021年9月 Merck & Co .Inc.の115 億ドルのAcceleron Pharma Inc.の買収1/18(16)、2021年2月のルネサス エレクトロクスのDialog Semiconductorを約49億ユーロ(約6157億円)で買収する等の代理人となっている。

(注2) VPSの特徴としては、「ユーザごとに(仮想ではあるものの)丸ごと1台のサーバが貸し出される」という形になります。すなわち、管理者権限もユーザに託されます。Webやメールのみ使える「レンタルサーバー」と、物理サーバーを丸ごと利用できる「専用サーバー」の中間的なものとして提供されています。

 管理者権限が渡されるということは、利便性は大変高いといえます。他のユーザのシステムと分離されているため、ユーザの必要なソフトウェアをインストールすることができます(制限がある場合もあります)。一方、管理者権限が渡されるということは、当然責任が大きくなります。IPアドレスもグローバルIPアドレスが渡されますので、インターネットから直接攻撃されることも普通に起こります。ここでサーバを乗っ取られて、データ流出などが起こった場合には当然ユーザの責任となります。(LinuC解説から抜粋))

(注3) ウェブシェル(webshell)とは、任意のコマンドをWebサーバーに対して実行しWebサーバー上でファイルをアップロード、削除、ダウンロード、システムコマンドなどを実行させるプログラム。Web バックドアとも呼ばれる。

(注4) Microsoft Exchange Server は、マイクロソフトの開発したグループウェア / 電子メール製品。Microsoft Serversの一部であり、マイクロソフト製品を採用している企業で広く使われている。対応しているオペレーティングシステムはWindows Serverのみである。Exchangeの主な機能は、電子メール / 予定表 / 連絡先などの共有と携帯機器やウェブからの情報アクセスサポート、さらにデータ格納サポートである。(Wikipedia から抜粋)

(注5) 重要な非公開情報(Material Nonpublic Information)とは、企業のニュースや、まだ公開されておらず、株価に影響を与える可能性のある情報を指す。この種の情報を株式やその他の証券の取引で有利に使用することは違法です。法的には、重要な非公開情報がどのように取得されるか、またはそれに基づいて行動する人が会社に雇用されているかどうかは関係ない。インサイダー取引は、非公開の重要情報の使用を伴う場合、違法である。(investopediaから抜粋、仮訳)

**********************************************************************************

Copyright © 2006-2023 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

FBIの民間部門との精査された米国の基幹産業等重要人物情報共有ネットワーク“InfraGard”がハッキングされた、そのハッカー集団の実態を探る

2022-12-19 17:04:19 | サイバー犯罪と立法

 12月14日に筆者の手元に米国のサイバー犯罪専門サイト“KrebsonSecurity”からFBIが管理する情報共有パートナーシップを構築するための運営プログラムである会員が8万人以上の“InfraGard”がハッカー被害にあった旨のニュースが届いた。

 最近、わが国の一般メディアでもサイバー犯罪問題が出ない日はないといえる。この問題の先進国である米国の話だけに興味深く読んだ。同時に基幹インフラにかかる重要人物の個人情報を販売するサイバー犯罪は今後ますます増加するとともに、一方で法執行に機関が協働しての犯罪クループの撲滅作戦もEuropolや主要国警察等が積極的に行っている。

 本ブログは、これら最新動向を改めて整理する。

 なお、“InfraGard”問題はワシントン・ポストでも取り上げられている。

1.“KrebsonSecurity”blog記事の概要(仮訳)

   米国連邦捜査局(FBI)が民間部門とのサイバーおよび物理的脅威情報共有パートナーシップを構築するための運営プログラムである“InfraGard”は、今週、80,000人以上のメンバーの連絡先情報のデータベースが英語のサイバー犯罪フォーラム“Breached(別名: BreachForums))”(注1)で売りに出された。一方、この問題につき責任を持つハッカーは、FBI自体によって精査された金融業界のCEO等の身元を想定した新しいアカウントを使用して、オンラインの“InfraGard”ポータルを介して“InfraGard”メンバーと直接通信している。

 2022年12月10日、比較的新しいサイバー犯罪フォーラム“Breached”は、数万人のInfraGardメンバーの名前と連絡先情報を含むInfraGardのユーザーデータベースという爆弾の新しい販売スレッド(注2)を特集した。

 FBI等の“InfraGard”プログラムは、飲料水や電力会社、通信・金融サービス会社、運輸・製造会社、医療提供者、原子力エネルギー会社など、国の重要なインフラのほとんどを管理する企業で、サイバーセキュリティと物理的セキュリティの両方に関わる民間部門の役割を担う主要人物の精査された Who's Who であると想定されている。

 FBIのInfraGard概要説明(ファクトシート)は、「InfraGardは、重要なインフラストラクチャの所有者、オペレーター、および利害関係者をFBIと結び付けて、セキュリティの脅威とリスクに関する教育、ネットワーキング、および情報共有を提供します」と書いている。

 KrebsOnSecurityは、ハッカーのハンドルネーム(注3)USDoD」を使用し、アバターが米国国防総省の印章である侵害されたフォーラムメンバーであるInfraGardデータベースの売り手に連絡を取り、USDoDのインフラガード販売スレッドに行き着いた。下図参照。

 USDoDは、InfraGardメンバーシップが付与される可能性が高い会社の最高経営責任者の名前、社会保障番号、生年月日、およびその他の個人情報を使用して新しいアカウントを申請することにより、FBIのInfraGardシステムにアクセスできるようになったと述べた。

 問題となるCEO(現在、ほとんどのアメリカ人の信用力に直接影響を与える米国の大手金融会社の責任者)は、コメントの要請に応じなかった。

 USDoDはKrebsOnSecurityに対し、偽の申請書は11月にCEOの名前で提出され、申請書には彼らが管理する連絡先の電子メールアドレスだけでなく、CEOの実際の携帯電話番号も含まれていると語った。

 USDoDは「あなたが登録するとき、彼らは承認されるのに少なくとも3ヶ月かかることができる。私は承認されることを期待されていなかった」と語った。

 しかし、USDoDは、12月初旬にCEOの名前の電子メールアドレスに、申請が承認されたという返信を受け取ったと述べた(以下、編集されたスクリーンショットを参照)。

 FBIのInfraGardシステムではデフォルトでは多要素認証が必要であるが、ユーザーはSMSまたは電子メールでワンタイム・コードを受信することも選択できる。

 「もしそれが電話だけだったら、さらに悪い状況に陥るであろう。それは、なりすましている人の電話を使用したからである」とUSDoDは述べた。

 USDoDによると、InfraGardのユーザーデータは、InfraGardメンバーが相互に接続して通信するのに役立つWebサイトのいくつかの主要コンポーネントに組み込まれているアプリケーション・プログラミング・インターフェイス(API)を介して簡単に利用できるようになっている。

 USDoDは、InfraGardメンバーシップが承認された後、友人にPythonでスクリプトをコーディングしてそのAPIを照会し、利用可能なすべてのInfraGardユーザーデータを取得するように依頼したと述べた。

 USDoDは「InfraGardは、著名人のためのソーシャルメディア・インテリジェンス・ハブであり、彼らは物事を議論するためのフォーラムさえ持っていた」と述べている。

 KrebsOnSecurityは、詐欺師のInfraGardアカウントを分離するのに役立つ可能性のあるいくつかのスクリーン・ショットやその他のデータをFBIと共有したが、FBIはこの話についてコメントすることを拒否した。

 12月13日の夕方の公開時点でInfraGardにアクセスできることを証明するために、USDoDはInfraGardのメッセージングシステムを介して、データベース販売スレッドのティーザーとして最初に公開されたInfraGardメンバーに直接メモを送信した。

 米国の大手テクノロジー企業のセキュリティ責任者であるInfraGardのメンバーは、USDoDのメッセージの受信を確認したが、この話については匿名を希望した。

 USDoDは、InfraGardデータベース全体で50,000ドル(約680万円)の提示価格は、すでにセキュリティを非常に意識している人々のかなり基本的なリストであることを考えると、少し高い可能性があることを認めた。また、ユーザーアカウントの約半分だけが電子メールアドレスを含み、社会保障番号や生年月日などの他のデータベースフィールドのほとんどは完全に空であった。

 「誰かがその価格を支払うとは思わないが、私が望む価格を[交渉]するには、もう少し高く[価格]を付ける必要がある」と彼らは説明した。

 InfraGardでの侵入によって公開されたデータは最小限である可能性があるが、ユーザーデータは侵入者にとって真の最終ゲームではなかった可能性がある。

 USDoDは、詐欺師のアカウントが、InfraGuardメッセージング・ポータルを使用してCEOとして他の幹部にダイレクトメッセージを送信し終えるのに十分な長さで続くことを望んでいると述べた。USDoDは、そのようなメッセージの1つであると主張したものから、次の編集されたスクリーンショットを共有したが、それに関する追加のコンテキストは提供しなかった。

 USDoDが共有したスクリーンショットで、FBIのInfraGuardシステムのメッセージ・スレッドを示している。

 USDoDはセールス・スレッドで、取引の保証人はサイバー犯罪フォーラム“Breached”の管理者であるポンポンプリン(pompompurin)であると述べた。フォーラム管理者のエスクロー・サービス(注4)を通じてデータベースを購入することにより、購入者になる可能性のある人は、理論的にはだまされるのを回避し、両当事者が両当事者を満足させるように取引を完了することができる。

 「ポンポンプリン」は、何年もの間FBIの苦痛の種であった。彼らにより侵害されたフォーラムは、2022年4月に米国司法省によって閉鎖された非常によく似た英語のサイバー犯罪フォーラムである” RaidForums”の2番目の化身であると広く見なされている。FBIによる捜査侵入の前に、RaidForumsは、世界最大のデータ侵害のいくつかで盗まれた100億を超える消費者記録データへのアクセスを販売した。

 2021年11月、KrebsOnSecurityは、ポンポムプリンが州および地方の法執行当局と情報を共有するように設計されたFBIオンラインポータルの脆弱性をどのように悪用したか、およびそのアクセスを使用して、すべてFBIの電子メールとインターネットアドレスから送信された何千ものデマ電子メールメッセージを爆破した方法を詳しく説明12/14(33)した。

2.Washington Post記事の仮訳

 前述1.との重複を極力避け、仮訳した。

 ハッカーは金融機関の CEO を装って InfraGard のオンライン ポータルへのアクセスを取得した、と彼らは独立したサイバーセキュリティ ジャーナリストの Brian Krebs に語った。 彼らは審査プロセスが驚くほど緩いと語った。

 FBI はコメントを控えた。 Brian Krebs氏は、FBIが虚偽のアカウントの可能性を認識しており、問題を調査しているとFBIに伝えたと報告した。

 InfraGard のメンバーシップは、Who's Who の真に重要なインフラストラクチャである。 これには、金融業務等ビジネスリーダー、IT 専門家、軍隊、州および地方の法執行機関、政府関係者が含まれ、配電網や輸送から、ヘルスケア、パイプライン、原子炉、防衛産業、ダム、水道施設に至るまで、あらゆるものの安全性を監視している。 1996 年に設立された FBI の最大の官民パートナーシップであり、すべてのFBI現地事務所と提携しているローカル ・アライアンスもある。 FBI と国土安全保障省(DHS)からの脅威に関する勧告を定期的に共有し、厳選された内部関係者向けの非公開のソーシャル メディア・ サイトとして機能してきた。

 そのデータベースには、何万人もの InfraGard ユーザーの名前、所属、連絡先情報が含まれている。 Brian Krebs氏は12月13日にその個人情報の盗難に事実を最初に関係先に報告した。

 BreachForums サイトで USDoD というユーザー名でアクセスしているこのハッカーは、フォーラムのメンバーのわずか 47,000 人 (半数強) の記録に一意の電子メールが含まれているとサイトで述べている。 またハッカーは、データには社会保障番号も生年月日も含まれていないと投稿した。つまり、その情報用のフィールドに項目はデータベースには在していたが、InfraGard のセキュリティ意識の高いユーザーはそれら欄を空白のままにしていたのである。

3..2022年4月12 日Europolリリース「違法なサイバー犯罪フォーラム「RaidForums」の閉鎖および容疑者2名を逮捕」

  Europolのリリース文を仮訳する。

 Europolは、米国、英国、スウェーデン、ポルトガル、ルーマニアの独立した調査を支援するためにEuropolによって調整された複雑な法執行努力である「TOURNIQUET作戦(Operation TOURNIQUET)」の結果として閉鎖され、そのインフラストラクチャが押収された。同時にフォーラムの管理者と彼の共犯者2人も逮捕された。

 2015年に立ち上げられたRaidForums(注1)は、50万人以上のユーザーのコミュニティを持つ世界最大のハッキングフォーラムの1つと見なされていた。この個人情報販売市場は、さまざまな業界の多くの米国企業に属する注目を集めるデータベース・リークへのアクセスを販売することで名を馳せていた。これらには、数百万のクレジットカードの情報、銀行口座番号とルーティング情報、およびオンラインアカウントにアクセスするために必要なユーザー名とパスワードが含まれていた。

・スウェーデン:スウェーデン警察

・ルーマニア:国家警察

・ポルトガル:司法警察

・ドイツ:連邦刑事警察局(Bundeskriminalamt)

・米国:米国シークレットサービス(USSS)、連邦捜査局(FBI)、内国歳入庁犯罪捜査局(IRS-CI)

・イギリス:国家犯罪対策庁(NCA)

・Europol::欧州サイバー犯罪センター(EC3)、合同サイバー犯罪対策タスクフォース(J-CAT)

*******************************************************************

(注1) 2022年9月12日KE LA の脅威インテリジェンス・アナリストであるヤエル キション(Yael Kishon)「誕生から6カ月、BreachedはRaidForumsの後継となりえたのか?」から抜粋する。

 人気を博したサイバー犯罪フォーラム「RaidForums」が差押えの末に閉鎖されたことを受け、2022年3月14日、英語話者の集う新たなフォーラム「Breached(別名BreachForums)」が誕生した。サイバー脅威アクター(threat actor)「pompompurin」がRaidForumsの代わりとして立ち上げたこのフォーラムは、RaidForumsと同じデザインで構成されており、大規模なデータベースのリーク情報やログイン資格情報、アダルトコンテンツ、ハッキングツールなどを提供する場となっている。・・・

 なお、KE LAはサイバー犯罪社会を専門とするKELAのモニタリング及び分析業務は、高度に洗練された脅威アクターたちの活動を浮き彫りにしてその謎を解き明かし、世界中の企業や組織、政府機関等に貢献している。Tel Aviv, Israel、New York, US、Tokyo, Japan、London, UK、 Singaporeaに事務所を置く。

(注2) 電子掲示板やメーリングリストにおける、ひとつの話題や議題についての投稿の集まりをいう。

(注3) ハンドルネームはプライバシーを守りつつ個人を簡単に識別する手段として、電子掲示板(BBS)、チャット、オンラインゲーム、SNSなどのコミュニティサイトで定着している。本名を公開することに抵抗がない人でも、カジュアルで親しみやすい印象を与えるハンドルネームで日常的な活動を行う例は多い。(IT用語辞典)

(注4) 取引保全(エスクロー)サービスとは、物品などの売買に際し、信頼の置ける「中立的な第三者」が契約当事者の間に入り、代金決済等取引の安全性を確保するサービスである。(用語解説から抜粋)

***********************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce material available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

米連邦司法省やFBI、各州で未成年者に対するとくにインターネットなどを介した性犯罪の急増を受け各種立法や厳しい取締りや法執行の実態を検証

2022-12-10 12:55:41 | サイバー犯罪と立法

 米国連邦司法省やFBI、各州で未成年者に対するとくにインターネットなどを介した性犯罪の急増を受け、厳しい取り締まりや法執行が行われていることは、筆者のブログでもしばしば取り上げてきたところである。

 わが国でも、この性犯罪に対する刑法改正について法務省の「性犯罪に関する刑事法検討会」(第1回(令和2年6月4日)~第16回会議(令和3年5月21日))において、平成29年刑法一部改正法附則9条に基づき,法務省として,性犯罪に係る事案の実態に即した対処を行うための刑事法に関する施策の在り方について検討を行うため,法務大臣の指示に基づき,被害者心理・被害者支援等関係者,刑事法研究者,実務家を構成員とする検討会を開催し,法改正の要否・当否について,幅広く意見を伺って論点を抽出・整理し,議論を行うという目的で検討が行われている、とある。

 しかし、令和3年5月21日の「性犯罪に関する刑事法検討会:取りまとめ報告書」(全71頁)を読んで、期待はずれと感じたのは筆者だけではあるまい。

 以下で、関連する報告箇所を取り上げる。

(1)(イ) 一定の年齢未満の者を被害者とする罰則の在り方に関する議論

新たな罰則を設けることの要否・当否

 現行法上,13歳未満の者に対する性交等については,暴行・脅迫がなくても強制性交等罪が成立し(刑法第177条後段),18歳未満の者に対し,その者を現に監護する者であることによる影響力があることに乗じて行った性交等については,監護者性交等罪が成立する(同法第179条第2項)。

 また,13歳以上の者に対する性交等については,暴行・脅迫や心神喪失・抗拒不能の要件を満たせば,それぞれ,強制性交等罪,準強制性交等罪が成立する(同法第177条前段,第178条第2項)。

 その上で,これらに該当しない一定の年齢未満の者に対する性的行為について新たな罰則を設けることについての賛否に関し、検討した。

(2)いわゆるグルーミング行為を処罰する規定一定の年齢未満の者に対し,性的行為や児童ポルノの対象とすることを目的として行われるいわゆるグルーミング行為を処罰する規定を創設すべきかの議論の結果部分を抜粋すると、以下のとおりである。

 「グルーミング」とは,手なずけの意味であり,具体的には,子供に接近して信頼を得て,その罪悪感や羞恥心を利用するなどして関係性をコントロールする行為であって,例えば,㋐SNS等を通じて徐々に子供の信頼を得た上で,会う約束をするなどして性交に及ぶ類型,㋑子供と近い関係にある者が,子供の肩をもむといった行為から始め,断りにくくさせた上で徐々に体に触れる類型,㋒子供と面識のない者が公園等で子供に声を掛けて徐々に親しくなる類型があり,このような行為をされても,子供は被害に遭っていることを認識できないことが指摘された。

 これを前提に,小括は「今後の検討に当たっては,グルーミング行為を処罰する規定については,その要否・当否を検討した上で,これを設ける場合には,行為者の主観面だけによらずに,性犯罪を惹起する危険性が客観的にも認められる行為を処罰対象とするなど,適切な構成要件の在り方について更に検討がなされるべきである」とある。

 筆者は、この法務省の検討姿勢自体、すなわち性交等(注1)に結びつく犯罪行為のみを刑法の犯罪類型の対象とする考え自体が問題と考える。すなわち、筆者が都度取り上げているとおり米国の連邦法や州法は(1)子供の性的虐待に関するわいせつな視覚的表現物の所持、(2) 児童ポルノの作成等子供の性的搾取、(3) 親、法定後見人等の子供の売買、(4) 未成年者の性的搾取を児童ポルノの発送、受領、または配布等に関連する特定の活動、 (5) 児童ポルノを構成または含む資材(meterials)の郵送、輸送、出荷、受領、配布、または複製に関連する特定の活動、を犯罪類型としている。わが国の場合、(3)は考えにくいが、その他については最近時の犯罪手口の実態、予防法の観点から法整備にむけ前向きに考えるべきであろう。(注2)

 また、第1項(3)で述べるとおり、被告は6人の犠牲者に計30,000ドル(約408万円)の賠償金を支払うよう命じられたとある。このような被害者救済の方法というのもわが国での検討の余地はないのか。

 法務省や国会の姿勢は、日々、連日報じられる未成年者のSNSなど手段を介したグルーミング行為や児童ポルノ等を早期に取り締まる緊急性が高い問題への具体的な対策を先延ばししているとしか思えない。

 一方で、2021年3月24日の 大阪府議会の意見書「性犯罪被害から守るために刑法規定を見直すこと等を求める意見書」や2020年6月5日の自由民主党政務調査会 司法制度調査会「性犯罪・性暴力対策の抜本的強化を求める緊急提言」、筆者が本ブログで指摘するような具体性はないものの社会的ニーズは反映していると考える。

 また、わが国でもグルーミング行為や児童ポルノ等に対する米国の擁護団体、例えばProject Safe Childhood(www.projectsafechildhood.gov/)等の具体的活動の解析とともに法執行機関の起訴実態等を詳細に解析するのが急務であると考える。

 その意味で、今回のブログが、すこしでもわが国の関係者に参考、寄与することになれば幸いである。

1.最近時の米国における児童ポルノ等に関する重罰化起訴事例

(1)2022.12.7 FBI ・マサチューセッツ連邦検事局リリース「マサチューセッツ州ウスターの住民男性が、ソーシャルメデイアを利用してわいせつな素材を14歳の未成年者に転送したとして逮捕、起訴」

 アンドリュー・ジェームズ・ギャラガー(Andrew James Gallagher :28歳)は、未成年者へのわいせつな資料の転送の1つのカウント(訴因)で起訴された。ギャラガーは12月6日の朝に逮捕され、ウスターの連邦裁判所12/8(29)に最初に出廷した後、2022年12月9日に予定されている拘留審問(detention hearing)まで拘留された。

 起訴文書によると、2022年4月、ギャラガーはソーシャルメディア・プラットフォームを使用して被害者に連絡した。ギャラガーが「あなたは未成年ですか?」と尋ねたとされており、未成年の被害者は14歳であると答えた。その後、ギャラガーは自分のわいせつな画像を2枚未成年の被害者に送信し、未成年の被害者と直接会うことに興味を示し、未成年の被害者に自分の露骨なビデオをギャラガーに送信するように依頼したとされている。

 同州では未成年者へのわいせつな資料の転送の罪は、最高10年の拘禁刑、3年間の監視付き釈放(supervised release)(注3)、および最高250,000ドルの罰金を規定している。判決は、刑事事件における判決の決定を規定する米国の量刑ガイドラインおよび法令に基づいて、連邦地方裁判所の裁判官によって科される。

 この事件に関して質問、懸念、または情報がある一般の人々は、617-748-3274に電話する必要がある。

 この事件は、プロジェクト・セーフチャイルドフッド(Project Safe Childhood)(注4)(注5)の一部として提起された。2006年、連邦司法省は、子どもを搾取や虐待から保護するために設計された全国的なイニシアチブであるプロジェクトであるセーフチャイルドフッドを設立した。Project Safe Childhoodは、米国検事局と司法省の児童搾取およびわいせつセクションが主導し、連邦、州、および地方のリソースを統合して、子供を搾取する個人を特定、逮捕、起訴し、被害者を特定して救助している。Project Safe Childhoodの詳細については、www.projectsafechildhood.gov/ を参照されたい。

 起訴文書に含まれる詳細は閲覧不可である。また、被告は、法廷で合理的な疑いを超えて有罪と証明されない限り、無罪と推定される。

(2) 2022.11.22 イリノイ州中央地区連邦検事局リリース「イリノイ州スプリングフィールドの男が未成年者の誘惑未遂で連邦刑務所で120か月の刑を宣告された」

 イリノイ州スプリングフィールドの男性、ステイシー・ファーロウ(Stacey Furlow :61歳)は、11月22日、未成年者の誘惑未遂で120か月の拘禁刑、未成年者に関する情報を送信しようとしたために州際高速道路施設を使用したことに対する60か月の拘禁刑および未成年者へのわいせつな資料の転送の試みに対する120か月の拘禁刑を宣告された。刑務所から釈放されると、ファーロウは5年間の監視付き釈放を務める。

 米国連邦地方裁判所のスーE.マイヤーズコー裁判官の前での判決公聴会で、連邦政府は、2020年8月27日から8月29日の間に、ファーロウが15歳の子供であると信じていた個人にオンラインで会ったことを立証した。個人の年齢を知ったにもかかわらず、ファーロウはその人と性的活動に従事することについて話し、何度も個人の住所を尋ね、自分の不適切な写真を送信した。2020年8月29日、未成年者と思われる人物が一人であることを確認した後、子供の住所を尋ね、性行為を行うことを期待して住居に車で行った。その後、彼は逮捕された。

 ファーロウは2020年9月に起訴され、2日間の陪審員裁判の後、2022年6月に有罪判決を受けた。ファーロウは逮捕されて以来、連邦保安官の拘留下に置かれている。

 未成年者の誘引未遂に対する法定罰則は、10 年の終身刑、場合によっては 250,000ドルの罰金、および 5 年の監視付き釈放である。未成年者に関する情報を送信しようとするために州際高速道路施設を使用した場合の法定罰則は、最高5年の拘禁刑、250,000万ドルの罰金、および監視付き釈放の終身刑5年である。未成年者へのわいせつな素材の譲渡の試みに対する法定の罰則は、最大10年の拘禁刑、250,000ドルの罰金の可能性、および最大3年間の監視付き釈放である。

 この事件は、児童の性的搾取と虐待の蔓延と戦うための連邦司法省による全国的なイニシアチブであるプロジェクト・セーフチャイルドフッドの一環として提起された。Project Safe Childhoodは、米国検事局と刑事部の児童搾取およびわいせつ対策部(CEOS)が主導し、連邦、州、および地方のリソースを統合して、インターネットを介して子供を搾取する個人をより適切に特定、逮捕、起訴し、被害者を特定して救助している。Project Safe Childhoodの詳細については、www.projectsafechildhood.gov参照。

(3)2022.12.7 連邦司法省、テキサス州西部地区米国連邦検事局の緊急リリースサンアントニオ・ガーデンリッジの住民男性が児童の性的虐待資料の配布の罪で連邦刑務所での17年以上の刑を宣告された」

 被告は12月6日、拘禁刑210か月、監視付き釈放の終身刑10年の刑を宣告され、児童の性的虐待資料を配布したとして6人の犠牲者に30,000ドル(約408万円)の賠償金を支払うよう命じられた。

 カイル・ロス・リバーズ(Kyle Ross Rivers:38歳)は、2022年8月23日、ソーシャルメディア・メッセージング・アプリを使用してグループの覆面捜査官に児童ポルノを人身売買した後、児童ポルノの配布の1つのカウントで有罪を認めた。捜査官は、リバーズが思春期前の子供を含む児童の性的虐待資料の何千もの画像とビデオを所有していることを発見した。逮捕されたとき、リバーズは住宅自閉症治療センターで働いており、多くの非言語的な子供たちの世話をしていた。

(4) 2022.12.8 テキサス州東部地区連邦検事局ジャスパー郡のユースコーチが連邦児童搾取罪で起訴

 テキサス州ボーモント–シルスビーの男性がテキサス州東部地区で連邦児童搾取の罪で起訴されたと、連邦検事のブリット・フェザーストン(U.S. Attorney Brit Featherston)は12月8日発表した。

 アダム・デール・アイザックス(Adam Dale Isaacks,39歳)は、2022年12月7日に連邦大陪審によって返された起訴状で指名され、性的行為のために未成年者の6件の輸送の罪で彼を起訴された。

 連邦検事によると、2020年と2021年に、アイザックスはユース・コーチであり、エヴァデール・リトルリーグ野球組織(Evadale Little League Baseball organization)の会長であり、コミュニティの信頼できるメンバーであった。一方で、アイザックスは未成年者との性的行為におよぶ目的で、スポーツやキャンプのイベントのために未成年者をテキサスから他の州に輸送したと言われている。

 有罪判決を受けた場合、アイザックスは連邦刑務所での10年から終身刑に直面する。

 この事件は、児童の性的搾取と虐待の増大する流行と戦うために司法省によって2006年5月に開始された全国的なイニシアチブであるプロジェクト・セーフチャイルドフッドの一部である。

2.児童ポルノに対する米国の州法や連邦法の規制内容

 ここに挙げたほか、性犯罪に関する刑事法検討会資料を参照されたい。

(1)児童ポルノに対するフロリダ州の罰則

 フロリダ州法 (2021 Florida Statutes)§ 847.001(3)は、児童ポルノを「性行為に従事する未成年者を描写するあらゆる画像」と定義している。フロリダ州法第 847.001(8) 条では、未成年者は「18 歳未満の者(“Minor” means any person under the age of 18 years.)」と定義している。

Florida Statute § 847.001(16) は、性的行為(Sexual conduct)を次のいずれかと定義している。

①実際の性交またはシミュレートされた性交(Actual or simulated sexual intercourse)

②常軌を逸脱した性交(Deviate sexual intercourse)

③獣姦的な性交(Sexual bestiality)

④オナニー(Masturbation)

⑤サドマゾ的虐待(Sadomasochistic abuse)

⑥性器の実際のわいせつな展示(Actual lewd exhibition of the genitals)

⑦いずれかの当事者の性的欲求を喚起または満足させる目的で、着衣または脱衣の性器、陰部、臀部、またはその人物の女性の場合は乳房との実際の身体的接触(Actual physical contact with a person’s clothed or unclothed genitals, pubic area, buttocks, or, if such person is a female, breast with the intent to arouse or gratify the sexual desire of either party;);

⑧性的暴行を構成する、または性的暴行が行われている、または行われることをシミュレートする行為または行為そのもの(Any act or conduct which constitutes sexual battery or simulates that sexual battery is being or will be committed)

 なお、フロリダ州刑法の下では、フロリダ州の児童ポルノ事件に関係する写真や画像はそれぞれ別の犯罪として扱われる。

〇容疑者が起訴される可能性のある特定の犯罪には、次のようなものがある。

①子供に性行為を行わせるまたは誘引する行為と罰則(Sexual performance by a child; child pornography; penalties.)(フロリダ州刑法§ 827.071)– 容疑者がその性格と内容を知りながら、18 歳未満の子供を雇用、許可、または誘引した場合、最大 15 年の拘禁刑および/または最大 10,000 ドル(約136万円)の罰金が科される第 2 級重罪(second-degree felony)(注6)である。

 性的行為に従事する年齢に達している、またはそのような子供の親、法定後見人、または保護者である、または性的行為へのそのような子供の参加に同意しうる者; その性格と内容を知り、18 歳未満の子供による性的行為を含むパフォーマンスを制作、指示、または促進すること。または、写真、動画、展示会、ショー、表現、またはその他のプレゼンテーションを宣伝する目的で、全体または一部に子供による性的行為を含むものを所有すること。

 写真、映画、展示会、ショー、表現、画像を故意に所有、管理、または意図的に閲覧した容疑者は、最高 5 年の拘禁刑および/または最高 5,000 ドル(約68万円)の罰金が科される第 3 級重罪(third-degree felony)である。

 データ、コンピューターによる描写、またはその他のプレゼンテーションで、全体的または部分的に、子供による性的行為を含むことがわかっているもの。そのような写真、動画、表現、またはプレゼンテーションの 3 つ以上のコピーを所有することは、宣伝する意図の一応の証拠であることに注意することが重要である。

 彼または彼女は、子供による性的行為を含めることを知っている。そのような写真、動画、表現、またはプレゼンテーションの 3 つ以上のコピーを所有することは、宣伝する意図の一応の証拠であることに注意することが重要である。

 彼または彼女は、子供による性的行為を含めることを知っている、そのような写真、動画、表現、またはプレゼンテーションの 3 つ以上のコピーを所有することは、宣伝する意図の一応の証拠であることに注意することが重要である。

②コンピューター・ポルノ画像等の違法公開や未成年者への接触と罰則(Computer pornography; prohibited computer usage; traveling to meet minor; penalties)(フロリダ州刑法 § 847.0135)– コンピュータのオンライン・サービス、インターネット・サービス、地域の掲示板サービス、またはその他の機能を備えたデバイスを故意に使用することは、第 3 級重罪であり、最高 5 年の拘禁刑および/または最高 5,000 ドルの罰金が科せられる。

 フロリダ州刑法第 794 章に記載されている違法行為を行うために、子供または子供であると信じている人を誘惑、勧誘、おびき寄せ、誘惑する、または誘惑、勧誘、おびき寄せ、または誘惑しようとする電子データの保存または送信、フロリダ州刑法第 800 章または同第 827 章、またはその他の方法で、子供または子供であると信じられている別の人物との違法な性行為に関与すること。または、子供または親であると信じられている人の親、法定後見人、または保護者を勧誘、おびき寄せ、または誘惑する、または勧誘、おびき寄せ、または誘惑しようとすること。フロリダ州刑法第 794 章、同第 800 章、または同第 827 章に記載されている行為への子供の参加、または性的行為に関与することに同意する、子供の法定後見人または保護者たる容疑者がこの法律に違反して自分の年齢を偽って伝えた場合、その違反は第 2 級の重罪となり、最大 15 年の拘禁刑および/または最大 10,000 ドルの罰金が科せられる。コンピューター・ オンライン・ サービス、インターネット・ サービス、地域の掲示板サービス、または電子データの保存または送信が可能なその他のデバイスを個別に使用して、本編に記載されている違反が行われた場合は、個別の違反として請求される場合がある。またはフロリダ州刑法の第827章、またはその他の性的行為に従事すること。容疑者がこの法律に違反して自分の年齢を偽って伝えた場合、その違反は第 2 級の重罪となり、最大 15 年の拘禁刑および/または最大 10,000 ドルの罰金が科せられる。コンピューター・ オンライン・ サービス、インターネット・ サービス、地域の掲示板サービス、または電子データの保存または送信が可能なその他のデバイスを個別に使用して、本編に記載されている違反が行われた場合は、個別の違反として請求される場合がある。またはフロリダ州刑法の第827章、またはその他の性的行為に従事すること。容疑者がこの法律に違反して自分の年齢を偽って伝えた場合、その違反は第 2 級の重罪となり、最大 15 年の拘禁刑および/または最大 10,000 ドルの罰金が科せられる。コンピューター・ オンライン サービス、インターネット・ サービス、地域掲示板サービス、または電子データの保存または送信が可能なその他のデバイスを個別に使用して、本セクションに記載されている違反が行われた場合は、個別の違反として告発される場合がある。

③未成年者の親権等の売買と罰則(Selling or buying of minors; penalties)、フロリダ州刑法§ 847.0145 – 親、法定後見人、または未成年者の親権または管理権を持つその他の者が、親権または管理権を売却または譲渡する場合、最大 30 年の拘禁刑および/または最大 10,000 ドルの罰金が科せられる第 1 級重罪である。そのような未成年者の、またはそのような未成年者の親権の売却またはその他の方法での譲渡の申し出は、売却または譲渡の結果として、未成年者が、他の人が関与する、または関与するのを支援する視覚的描写で描写されることを知った上で、性的に露骨な行為、またはそのような行為の視覚的描写を作成する目的で、そのような未成年者による性的に露骨な行為への関与を促進する意図で、または、未成年者が、性的に露骨な行為を視覚的に描写する目的で、他の人に性的行為を行うのを支援する場合である。

(2)連邦法における児童ポルノに対する処罰

 児童ポルノの多くの事例には、インターネットを介して送受信される画像が含まれているため、そのような送信は、州の境界を越え、合衆国憲法の通商条項に違反する行為であると法的に解釈される可能性がある。これが発生した場合、児童ポルノ事件は 連邦の管轄権に属する。

 連邦機関が扱う児童ポルノ事件は、州裁判所で行われた同様の犯罪よりも厳しい罰則が科せられる。児童ポルノ犯罪に適用される連邦法には次のようなものがある。

①子供の性的虐待に関するわいせつな視覚的表現物の所持(18 US Code § 1466A) 容疑者は、性的に露骨な行為を行っている未成年者を描いたあらゆる種類の視覚的描写を所持しているとして、最大 10 年の拘禁刑および/または最大 250,000 ドル(約3400万円)の罰金の支払いを命じられる可能性がある。12 歳未満の未成年者が関与した疑いのある犯罪には、最大 20 年の拘禁刑および/または最大 250,000 ドルの罰金が科せられる。2 回目以降の違反の場合は、最低 10 年から 20 年の拘禁刑および/または最高 250,000 ドル(約3400万円)の罰金によって処罰される。容疑者は、あらゆる種類の視覚的描写を配布する目的で性的に露骨な行為を行っている未成年者を描写したものを作成、配布、受信、または所有した場合、最低 5 年から 20 年の拘禁刑、および/または最高 250,000 ドルの罰金の支払いを命じられる可能性がある。

②児童ポルノの作成等子供の性的搾取(18 US Code § 2251)– 容疑者は、児童ポルノを作成しようとする試み、またはその陰謀は、最低 15 年から 30 年までの拘禁刑を宣告される可能性がありおよび/または作成に関係する最初の違反に対しては、最高 250,000 ドルの罰金の支払いを命じられる可能性がある。2 回目の違反は、最低 25 年から 50 年の拘禁刑および/または最高 250,000 ドルの罰金によって処罰される。さらに3 回目以降の違反は、最低 35 年の拘禁刑から終身刑および / または最高 250,000万ドルの罰金によって処罰される。

③親、法定後見人等の子供の売買(18 US Code § 2251A) 親、法定後見人、または未成年者の監護権または支配権を持つ者は、未成年者が性的に露骨な行為に従事すること、または他の人が従事するのを支援することを知っていることを含む行為を行った場合、最低 25 年から 50 年までの強制的な拘禁刑および/または罰金の支払いを命じられる可能性がある。そのような最初または2回目の違反に対して、そのような行為の視覚的描写を作成する目的で、または目的のためにそのような行為の生の視覚的描写を送信することは、最高250,000ドルの罰金が科せられ、3 回目以降の違反は、最低 35 年から終身刑、および / または最高 250,000ドルの罰金によって処罰される。

④未成年者の性的搾取を児童ポルノの発送、受領、または配布等に関連する特定の活動(18 US Code § 2252 )– 容疑者は、児童ポルノの郵送、輸送、発送、受領、配布、または複製を含む最初の違反に対して、最大 20 年の拘禁刑および/または最大 250,000 ドルの罰金の支払いを命じられる可能性がある。 2 回目以降の違反は、最低 10 年から 40 年の拘禁刑および/または最高 250,000 ドルの罰金によって処罰される。

⑤児童ポルノを構成または含む資材(meterials)の郵送、の輸送、出荷、受領、配布、または複製に関連する特定の活動(Certain activities relating to material constituting or containing child pornography)18 US Code § 2252A 郵送、児童ポルノの輸送、出荷、受領、配布、または複製を行った容疑者は最長 20 年の禁固刑を宣告されるか、および/または。2 回目以降の違反は、最低 10 年から 40 年の拘禁刑および/または最高 250,000 ドルの罰金によって処罰される。

********************************************************          

(注1) 他州の例でみたとき、ミシガン州刑法の場合、例えば相手方が13歳以上16歳未満であり,行為者が相手方の4親等以内の血族又は姻族であることを要件とするもの

性的挿入を行った場合は,第一級性犯罪(同法第750.520b条⑴ )。

性的接触を行った場合は,第二級性犯罪(同法第750.520c条⑴ )。

というように「性的行為」につき犯罪類型を明確に分けている。

 具体的にいうと、(注1)「性的挿入」とは,性行為,クンニリングス,口淫,肛門性交,又は,たとえわずかであれ,人の体の一部若しくは物による他の人の体の性器若しくは肛門の開口部への侵入をいう。射精を伴うことは求められない(ミシガン州法第750.520a条 )。

(注2)「性的接触」には,相手方若しくは行為者の恥部の意図的な接触又は相手方若しくは行為者の恥部を直接覆う衣服の意図的な接触を含む。ただし,意図的な接触が性的興奮や満足を得る目的と合理的に考えられ,又は性的目的で行われたと合理的にいえ,又は復讐,加虐若しくは怒りのために性的な態様で行われたものに限る(同法第750.520a条 )。(「性犯罪に関する刑事法検討会資料」から一部抜粋)

 また、ニューヨーク州刑法では以下のとおり定めている。

(注3)「性的行為」とは,性交,口淫,肛門性交,加重性的接触又は性的接触をいい(ニューヨーク州刑法第130.00条第10号),

〇 「口淫」とは,口と陰茎,口と肛門又は口と女性器外陰部若しくは膣との接触からなる,人間同士の行為(同条第2号 )。

〇 「肛門性交」とは,陰茎と肛門との接触からなる人間同士の行為(同号 )。

〇 「加重性的接触」とは,医学的目的がないのに,異物を子供の膣,尿道,陰茎,直腸又は肛門に挿入し,それにより当該子供に身体的傷害を与えること(同条第11号)

〇 「性的接触」とは,いずれか一方の側の性的欲望を満足させる目的で,性器その他の人目につかない身体の部分に接触すること(直接又は着衣の上からかを問わず,行為者が相手方に接触することのみならず,相手方が行為者に接触することも含まれ,また,相手方が服を着ているかいないかにかかわらず,行為者が相手方の体の一部に精液をかけることも含む。)(同条第3号)と規定されている。

「性犯罪に関する刑事法検討会資料」から一部抜粋)

(注2) 推定無罪は、米国の刑事司法制度の基礎と考えられているが、多くの 性犯罪者は、児童ポルノに関連するあらゆる種類の犯罪で起訴された場合、代わりに有罪と推定され、無罪を証明する必要があるかのようにすぐに感じる。 州政府と連邦政府の両方が、これらの種類の犯罪で有罪判決を受けた人々に厳しい罰則を科している。

 多くの人が電子メールを開いたり、不快な内容を含むリンクをクリックしたりするだけの罪を犯しているにもかかわらず、あらゆる種類の児童ポルノの告発は、個人の個人的および職業的生活に大きな負担をかける可能性がある。

  例えば、2011 年 1 月、フロリダ州の 58 歳の男性が児童ポルノの疑いで捜査され、別の個人が男性のセキュリティで保護されていないルーターを使用して近くのマリーナのボートから 1,000 万ファイルの児童ポルノをダウンロードしたことが判明した例などが挙げられる。

(注3) 連邦では1984年の量刑改革法によってパロール(パロール存置州におけるパロール委員会が決定する裁量的釈放(仮釈放)後の監督指導。パロールの遵守条件として外出禁止措置等の条件が設定される場合や,監督指導を強化する必要がある場合に,電子監視機器装着条件が付加され位置情報確認がなされることがある)が廃止され,量刑ガイドラインによる定期刑制度が実施されており,連邦の監督付釈放は,拘禁期間とは別に量刑の際に定められる裁判所の決定に基づく釈放後の社会内処遇である。

・監督付釈放の一条件として,一部対象者に,中間処遇施設における処遇を実施する代わりの措置として,外出禁止等の管理目的で電子監視機器による位置情報等確認が行われることがある。(法務省 研究部報告44 「諸外国における位置情報確認制度に関する研究」6. 米国から一部抜粋)

(注4) プロジェクト・セーフ・チャイルドフッドは、児童搾取と闘うための統一された包括的な戦略である。2006年5月に開始されたプロジェクトセーフチャイルドフッドは、法執行機関の取り組み、コミュニティの行動、および一般の認識を組み合わせたものである。プロジェクトセーフチャイルドフッドの目標は、子供の性的搾取の発生率を減らすことであり、プロジェクトセーフチャイルドフッドには次の5つの重要な要素がある。(1)パートナーシップの構築。(2)法執行機関の調整。(3)PSCパートナーのトレーニング。(4)国民の意識(5)説明責任。

 連邦司法省は、子供たちの安全と福祉に取り組んでおり、未成年者の性的搾取の保護と撲滅に高い優先順位を置いている。2006年にProject Safe Childhoodが開始されて以来、米国検事局によって起訴された事件と被告の数は40%増加し、2009会計年度に2427人の被告に対して2315件の起訴が提出された。米国検事局によるPSCによる起訴は、イニシアチブの開始以来、毎年増加している。

 連邦議会は、2008年に子供へのサイバー脅威を根絶するためのリソース、役員、およびテクノロジーの提供法(「2008年子供を保護する法律(S.1738 - PROTECT Our Children Act of 2008)」)(注5)を可決した。同法で義務付けられているように、2010年2月、同省は国家薬物情報センターと協力して、児童搾取の規模に関するこの種の脅威評価を1年間にわたって初めて完了しました。この評価の結果は、以下を含むすべての種類の児童の性的搾取の増加、場合によっては大幅な増加を示す不穏な傾向を報告しています。(2)性的目的での児童のオンライン誘惑。(3)児童の商業的性的搾取。(4)児童買春観光。

 Fact Sheet参照。

(注5) 「2008 年の子供へのサイバー脅威を根絶するための資源、法執行官吏、技術の提供強化・改善法:または 2008 年の子供の保護法(S. 1738 (110th): PROTECT Our Children Act of 2008) 」: 全文text

 連邦司法省に対し、1)児童搾取の防止と阻止に関する国家戦略の策定と実施、2)児童に対するインターネット犯罪タスクフォース(Internet Crimes Against Children (ICAC) Task Force Programs)の改善、3)地域のコンピューター・フォレンジック・ ラボのリソースの増加、4)その他の子供の捕食者を調査し起訴するための法執行機関につき改善を行うこと等を要求する法律である。

 なお、司法長官は、同法にもとづき戦略の策定を調整する司法省 の高官を指名する必要がある。

(注6)第一級重罪や第二級重罪等について各州によりかなり内容が異なる。フロリダ州を例として解説する。(Nolo, a wholly owned subsidiary of MH Sub I, LLCの解説から、抜粋、仮訳した)

第一級重罪(Felony in the First Degree)

 フロリダ州では通常、第 一 級の重罪は最大 30 年の拘禁刑と最大 10,000 ドルの罰金が科せられる。 さらに、裁判所の命令により、被告は被害者に賠償金を支払うよう命じられる場合もある。法執行官に対する加重暴行材 (故意に重大な身体的危害を引き起こす)、カージャック、および暴行または暴行を伴う強盗は、第一級重罪の例である。

第二級重罪(Felony in the Second Degree)

 第 二 級重罪の有罪判決は、最高 15 年の懲役刑と 10,000 ドル以下の罰金を科される可能性がある。 例としては、恐喝(extortion )、危険運転致死罪(自動車による殺人(罪):飲酒運転などによる交通事故で相手を死なせること等(vehicular homicide )、銃器所持の重罪などが挙げられる。

第三級重罪(Felonies of the Third Degree)

 第 三 級重罪は、フロリダ州で最も深刻度の低い重罪であり、最大 5 年の拘禁刑と最大 5,000 ドルの罰金が科せられる。 例としては、悪質なストーカー行為、車両や銃器の盗難、武装した状態での不法侵入(trespass)などがある。

**************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce material available at this site for your own personal use and for non-commercial distribution.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

5億7500万ドルの暗号資産詐欺とマネーロンダリング・スキームで逮捕された2人のエストニア国民を巡る国際的共同捜査・起訴と暗号資産詐欺等を巡るわが国の法的取り組み

2022-11-25 13:41:38 | サイバー犯罪と立法

 2人のエストニア国民が不正な暗号資産マイニング契約を世界中の数十万人の投資家に販売した。

 2022年11月20日、EU加盟国であるエストニア共和国の首都タリン(Tallinn)で、2人のエストニア国民が、共同謀議(conspiracy)電信送金詐欺(wire fraud)マネーロンダリングの共同謀議につき起訴した計18の訴因で逮捕された。起訴状は10月27日にワシントン州西部地区の大陪審によって差し戻され、逮捕後、本日開封された。

外務省サイトから引用

 このリリース文を読んで筆者がまず気になったのは、(1)わが国で被害者がいるのか, (2)国際化、大規模化するfintech financial crimesに対処するためのわが国の法執行、取締機関は法制整備も含め十分機能しているのか、(3)米国連邦司法省やエストニア警察および国境警備隊の国家刑事警察のサイバー犯罪局の起訴事由いかなるものか、(4)わが国の資金決済に関する法律等は改正が繰り返されるが、はたして規制法としての有効性は如何、(5) コンピュータ・ネットワーク利用した新たなねずみ講犯罪手口等、(6)刑法第246条の詐欺罪出資法(出資の受入れ、預り金及び金利等の取締りに関する法律の適用問題等である。

 これらの問題はいずれも重要性が高くまた、情報不足などもありそれだけで論文が書ける内容なので別途まとめる予定である。

1.米国連邦司法省・連邦検事局リリース

リリース文を補足しながら、仮訳する。

 起訴状によると、セルゲイ・ポタペンコ(Sergei Potapenko)とイワン・トゥロギン(Ivan Turõgin)(2人とも37歳)は、数十万人の被害者にHashFlare(解説例1解説例2)と呼ばれる暗号通貨マイニングサービスで契約を購入し、ポリビウス銀行(Polybius Bank)(注1)と呼ばれる仮想通貨銀行に投資するように誘導したとされている。被害者は被告の会社に5億7500万ドル(約810億7500万円)以上を支払った。その後、被告は複数のダミー会社(shell companies)を使用して詐欺収益を洗浄し、不動産や高級車等を購入した。

Sergei Potapenko

Ivan Turõgin

 司法省の刑事部門のケネスA.ポライト・ジュニア司法次官補(Assistant Attorney General Kenneth A. Polite, Jr. of the Justice Department’s Criminal Division)は、「新しいテクノロジーにより、悪意のある人物は、米国と海外の両方で、ますます複雑化する詐欺で無実の被害者を利用することが容易になった。司法省は、一般市民がこれらの詐欺で苦労して稼いだお金をさらに失うことを防ぐことを約束しており、これらの被告や彼らのような他の人々が彼らの犯罪の成果を維持することを決して許さない」と述べた。

Kenneth A. Polite, Jr.氏

 また 、ワシントン州西部地区担当の米国連邦検事ニコラス・W・ブラウン(Nicholas W. Brown)氏は「疑惑のスキームの規模と範囲は本当に驚くべきものである。これらの被告は、暗号通貨の魅力と暗号通貨マイニングを取り巻く謎の両方を利用して、巨大なねずみ講(Ponzi scheme)(注2)を犯した。彼らは虚偽の表現で投資家を誘惑し、その後、後で投資した人々からのお金で初期の投資家に支払った。彼らは、世界中のエストニアの不動産、高級車、銀行口座、仮想通貨ウォレットで不正な利益を隠そうとした。米国とエストニアの捜査当局は、これらの資産を押収して拘束し、これらの犯罪から利益を奪うために働いている」と述べた。

Nicholas W. Brown氏

 FBIのシアトル現地事務所を担当する特別捜査官のリチャードA.コッロディ(Richard A. Collodi, Special Agent in Charge of the FBI’s Seattle field office)は「ポタペンコとトゥロギンは、50億ドル以上について投資家をだまし取った罪で起訴されている。最終的に、彼らの精巧なねずみ講は崩壊し、彼らは彼らの計画の犠牲者から取ったお金を隠して洗浄するために共謀しました。エストニア当局とのパートナーシップのおかげで、2人の被告は彼らが犯したと非難されている大規模な詐欺に答えるであろう」

 起訴状によると、ポタペンコとトゥロギンは、彼らのビジネスであるHashFlareが大規模な暗号通貨マイニング事業を運営していると主張した。暗号通貨マイニングは、コンピューターを使用してビットコインなどの暗号通貨を利益のために生成するプロセスである。被告は、顧客がHashFlareのマイニング事業の一部を借りるための料金を支払うことができる契約を提供し、その事業の一部によって生成された仮想通貨と引き換えに。HashFlareのウェブサイトでは、顧客はマイニング活動が生成したと思われる仮想通貨の量を確認することができた。ワシントン州西部を含む世界中の顧客は、2015年から2019年の間に5億5000万ドル以上のHashFlare契約を購入した。

 HashFlareは、所有していると主張する仮想通貨マイニング機器を十分持っていなかったとされている。実際、起訴状によると、HashFlareの機器は、それが持っていると主張する計算能力の1パーセント未満の割合でビットコインマイニングを実行した。投資家が採掘収益の引き出しを求めたとき、被告は約束どおりに採掘された通貨で支払うことがなかった。代わりに、被告は支払いに抵抗するか、被告が採掘した通貨ではなく、公開市場で購入した仮想通貨を使用して投資家に支払った。HashFlareは2019年に事業を閉鎖した。

 2017年5月、ポタペンコとトゥルーギンはポリビウスという会社への投資を申し出、仮想通貨に特化した銀行(Polybius Bank)を設立すると述べた。被告は、ポリビウスの利益から投資家に配当を支払うことを約束した。男性はこのスキームで少なくとも2500万ドルを調達し、ほとんどのお金を他の銀行口座や彼らが管理する仮想通貨ウォレットに送金した。結局、ポリュビウスは銀行を設立したり、配当を支払ったりすることはなかった。

 また起訴状は、ダミー会社や偽の契約書や請求書を使用して犯罪収益を洗浄するために共謀したとして被告を起訴している。起訴状は、マネーロンダリングの陰謀には、少なくとも75の不動産、6台の高級車、暗号通貨ウォレット、および数千台の暗号通貨マイニングマシンが関与していると主張している。

 両被告はタリンの法廷に出廷し、米国への身柄引き渡しまで拘禁されている。

 これら男性被告は、電信詐欺を犯すための共同謀議、16訴因の電信詐欺、およびマネーロンダリングを犯すための共同謀議の1つの訴因で起訴されている。これらの犯罪はそれぞれ、最高20年の拘禁刑に処せられる。

 起訴状に含まれる容疑は、申し立てのみであり、被告は、法廷で合理的な疑いを超えて有罪と証明されない限り、無罪と推定される。

 FBIは事件をさらに調査している。

 米国は、エストニア警察および国境警備隊の国家刑事警察のサイバー犯罪局がこの調査を支援してくれたことに感謝する。米国司法省の国際問題局(OIA)は、調査に広範な支援を提供した。

 この捜査と逮捕は、米国とエストニアの法執行機関の間の素晴らしい協力と協力を示しています。エストニアは、このサイバー犯罪を阻止するための重要な同盟国であり、米国はエストニア人の継続的な支援と調整に感謝します。

 この場合、被害者である可能性があると思われる個人は、www.fbi.gov/hashflareにアクセスして詳細を確認する必要がある。

2.エストニア共和国の警察国家刑事警察および国境警備局サイバー犯罪局(Cybercrime Bureau at the National Criminal Police of Estonian Police and Border Guard Board)の具体的活動

(1) e-estonia「デジタル時代のサイバー犯罪との戦い」を仮訳

サイバー犯罪ユニットの機能は何か?サイバー犯罪やサイバーセキュリティを扱う他の組織と比較して、どのように位置付けられているか?

 中央刑事警察のサイバー犯罪ユニット(C3)には、2つの主要な目標がある。まず、最大のサイバー脅威と犯罪者に関する情報を収集、管理、分析する。第二に、前者に基づいて関連する措置を講じる。時々、予防、法律などの側面にも取り組む。

 他の組織と比較した場合の最大の違いは、権限や力の独占であり、犯罪を帰属させ、犯罪者を捕まえるときに成功することを意味する。しかし、我々はこの戦いを単独で実行することはできない。我々の刑事事件では、証拠の多くはデジタルである。したがって、サイバーセキュリティ企業や他の組織との協力は私たちにとって不可欠である。さらに、これは、刑事訴訟中に情報を要求する場合と、サイバーセキュリティ会社、CERT(注3)またはその他の組織が疑わしいものを発見した場合の両方のシナリオに当てはまる。

 予防もこの分野で非常に重要である。特にインターネットのダークサイドに好奇心を示すかもしれない若者に関しては、手遅れになる前に、人々をサイバーの法的(そして非常にエキサイティングな)側に戻すことが重要である。世界のいくつかの国は、リハビリテーションのための興味深いアイデアを実行し始めている。今後数年間で、私たちも同じことをしなければならない。

〇サイバー犯罪ユニットは約3年前に設立された。この間、サイバー犯罪の傾向にどのような変化と継続性が見られたか?

 最も明白な側面は、インターネットに接続されたデバイスの指数関数的成長であり、これにより、より広い範囲の脆弱性と、人々に対して悪意のあるツールを使用する方法が生まれた。犯罪環境の観点からは、参入障壁が低くなり、サイバー犯罪を犯し始めるために必要なコンピュータースキルが少なくなっている。 

 この理由の1つは、サイバー犯罪環境のかなりの大部分がサービスベースの経済に変わったことである。たとえば、Minecraftサーバーに対してDDOS攻撃を行うには、最初に1000台のコンピューターに感染してから、サーバーに対して大量のリクエストを行うように命じる代わりに、Webサイトにアクセスし、ドメイン/ IPアドレスをコピーしてテキストフィールドに貼り付け、暗号通貨でコストを支払い、「再生」を押す。一部のWebサイトでは、無料トライアルを提供している場合もある。これは、マシンの感染からマネーロンダリングサービスなど、多くのサービスにまで及ぶ。

 サイバー犯罪が低リスクで高報酬のタイプの犯罪であることについては、多くの議論がある。過去に「伝統的な」種類の犯罪に焦点を当ててきた犯罪者も、サイバー犯罪に興味を持つようになるかもしれない。世界がデジタル化に向かうにつれて、サイバーコンポーネントは他の種類の犯罪でもより大きな役割を果たしていることがわかる。

 サイバー領域を神秘化しないことが大事だと思う。人々に彼らがコントロールしていないと感じさせることは非常に簡単である、そしてそれはインターネットを神秘化することの問題である。サイバー犯罪は「ただ起こる」ものではなく、これらのイベントの背後には実在の人々がいることを覚えておく必要がある。人々はオンラインでコントロールできる。サイバー攻撃は技術的な謎のように見えるかもしれないが、注意を怠ることと関係がある。神秘化は、インターネットを実際のもの、つまりオンラインの人々のグループと見なすのではなく、インターネットを技術的な混乱として考えさせるものである。

 また、人々がオンラインで読んだものを信じる傾向がある理由の1つかもしれない(たとえば、高齢の裕福な人は、金庫がいっぱいで、誰かにお金を渡す必要があるため、5,000万ドルの余裕がある)。何かが真実であるには良すぎるように聞こえる場合、それはおそらくそうではない。

〇犯罪を「現実」の世界から仮想空間に変換すると、人々を危害から保護する上での違いと類似点は何か?

調査手法は少し異なるが、サイバー犯罪の調査には、人々が想像するよりもはるかに多くの刑事警察の仕事が含まれる。

 その違いの1つは、現実の世界では害が修復できることはめったにないということである。たとえば、身体的暴力は元に戻すことはできないが、サイバー犯罪では場合によっては害を元に戻すことができる。「No More Ransomプロジェクト」(注4)は、ファイルを復号化するためのツールを提供することを目的としている。 ランサムウェアで暗号化された被害をほとんど元に戻すことができる良い例である。

 

 「現実の世界」での脅威に対して行うのと同じように、予防作業でサイバー犯罪から人々を保護することが可能である。出発する前にドアをロックするように全員にアドバイスするのと同じ方法で、疑わしいリンクをクリックしないことを勧める。

〇警察の観点から、サイバー犯罪に取り組む上で現在最大の課題は何か?

 匿名性は、サイバー犯罪におけるゲームの名前である。おそらく、最大の課題の1つは、前述のサービスベースの経済モデルに関連している。つまり、サービスの場合、匿名性が組み込まれていることが多いため、個別のインシデントの調査がより複雑になる。

 もう一つの課題はもちろん高度な専門スタッフの採用である。エストニア共和国のセクターは多くの機会を持つ高度なIT主導の国である。しかし、我々の技術チームの人を見つけるのは難しいといえる。我々は非常に用途の広いトピックを扱っており、技術ユニットの各人は非常に幅広いスキルを持っている必要がある。

(2) エストニア警察国家刑事警察および国境警備局サイバー犯罪局の責任者であるOskar Grossについて

 Oskar Gross氏 は、エストニア警察国家刑事警察および国境警備局サイバー犯罪局の責任者である。 同警察に入る前は研究者であり、ヘルシンキ大学で「教師なし自然言語分析(Unsupervised Natural Language Analysis)」(注5)に焦点を当てたコンピューター サイエンスの博士号を取得していた。 過去には、ソフトウェア開発および研究会社で働いていた。

Oskar Gross 氏

3.わが国の暗号資産のマイニング等の法規制を概観

 筆者は各種の解説を知らべたが、いずれもほとんどは曖昧模糊とした内容で詐欺まがいの記述が多かった。

まず取り組むべき正確な法規制に関する解説を調べた。以下で引用する。

【連載】第1回 資金決済法の改正に伴う「仮想通貨交換業」の規制とは仮想通貨をめぐる法的なポイント (注6)および「仮想通貨マイニング事業を開始する際の3つの法律規制を弁護士が解説」等から重要と思われる事項を抜粋する。

 (1)仮想通貨交換業者に対する登録制の導入(資金決済法の改正)

 ビットコインをはじめとする仮想通貨の法的位置づけは必ずしも明らかではなく、またこれを規制する法律もなかった。

 しかし、平成28年5月に、「資金決済に関する法律」(以下「資金決済法」といいます)および「犯罪による収益の移転の防止に関する法律」(以下「犯収法」といいます)等を改正して仮想通貨に関する規制を行うこと等を内容とする法律案(情報通信技術の進展等の環境変化に対応するための銀行法等の一部を改正する法律)が成立し、はじめて「仮想通貨」に関する規制がなされることになりました(以下、改正された資金決済法を「改正資金決済法」といいます)。

 改正資金決済法においては「仮想通貨」が定義され、仮想通貨の売買等を行う仮想通貨交換業者に対して登録制が導入されるとともに、利用者保護のためのルールに関する規定の整備がなされました。

(2)内閣府令・事務ガイドラインの公表(平成28年12月28日)

(3) 登録制の導入

(4) 登録が必要となる仮想通貨サービスの種類

 では、どのようなサービスを行う場合に仮想通貨交換業の登録が必要となるのでしょうか。

 改正資金決済法上、登録の対象となる「仮想通貨交換業」とは、次に掲げるいずれかを業として行うことをいいます(同法2条7項)。

①:仮想通貨の売買または他の仮想通貨との交換

②:①に掲げる行為の媒介、取次ぎまたは代理

③:①・②に掲げる行為に関して、利用者の金銭または仮想通貨の管理をすること

(5) 仮想通貨サービスの「業務」性

 仮想通貨交換業の規制を受けるのは、仮想通貨の売買・交換等を「業として」行う場合に限られます(改正資金決済法2条7項)。「業として」行う場合とは、事務ガイドラインによれば、「対公衆性」のある行為で「反復継続性」をもって行う仮想通貨の売買・交換等をいうものとされています。

(6)外国の業者による登録について

 改正資金決済法において、資金決済法に相当する外国の法令の規定により当該外国において「仮想通貨交換業者」と同種類の登録を受けて仮想通貨交換業を行う者(外国仮想通貨交換業者)であっても、改正資金決済法63条の2の「仮想通貨交換業者」としての登録を受けていない場合には、日本国内にある者に対して、仮想通貨交換業の勧誘が禁止されることが明示されました(改正資金決済法63条の22)。

 もっとも、外国仮想通貨交換業者は、日本国内に株式会社を設立しなくても、国内に営業所と代表者を置くことにより、登録を行うことができることになりました。

(7) 登録業者に対してどのような規制がなされるのか

仮想通貨交換業者に対しては各種の規制が設けられていますが、規制の具体的内容については、法令上は必ずしも明らかではなく、内閣府令案、事務ガイドラインの他、改正資金決済法制定に至る議論(金融審議会「決済業務等の高度化に関するワーキング・グループ報告」(平成27年12月22日)等)を踏まえて検討することが必要となります。

(A)録業者の財務規制

(B)登録業者の行為規制

①:名義貸しの禁止(資金決済法63条の7)

②:情報の安全管理(同法63条の8)

③:委託先に対する指導(同法63条の9)

④:利用者の保護等に関する措置(誤認防止等のための説明・情報提供義務)(同法63条の10)

⑤:利用者財産の管理義務(同法63条の11)

⑥:指定仮想通貨交換業務紛争解決機関との契約締結義務等(同法63条の12)

(C)利用者の保護等に関する措置(誤認防止等のための説明・情報提供義務)

(D)利用者財産の管理義務

(E) 登録業者に対する監督規制

(F) マネーロンダリング規制(犯収法)

 上記のような資金決済法上の規制に加えて、仮想通貨交換業者は、犯収法上の「特定事業者」(同法2条2項31号)として、以下の義務を負うことになります。

①:口座開設時の取引時確認義務(犯収法4条)

②:確認記録・取引記録等の作成・保存義務(同法6条、7条)

③:疑わしい取引の届出義務(同法8条)

④:社内管理体制の整備(従業員の教育、統括管理者の選任、リスク評価書の作成、監査等)(同法11条)

(8) 2017年末から2018年前半にかけて、Coinhiveが提供する「コインハイブ(Coinhive)プログラム」というマイニングツールが問題となり、16人が摘発され、そのうち3名が逮捕されるという事件が起きた。

 「コインハイブ(Coinhive)プログラム」とは、仮想通貨「Monero」のマイニングを行うためのマイニングツールです。サイトの運営者は自身のサイトに専用のJavaScriptコードを埋め込むことにより、サイトの閲覧者のパソコンを用いて、「Monero」のマイニングを行います。マイニングの報酬はサイトの運営者が獲得するという仕組みになっていました。

 コインハイブプログラムの仕組みを簡単に表すと以下の図のようになります。

 Coinhiveがこのようなプログラムを作成した目的は、サイト運営者に広告以外の収益をもたらす手段を用意することで、多くのWEBサイトに表示されている邪魔な広告を無くすことにありました。

 では、日本において、このプログラムのどのような側面が問題になったのでしょうか。

  結論から言うと、コインハイブプログラムが刑法上の「不正指令電磁的記録に関する罪」(刑法168条の2)にあたるのはではないかという点が問題となりました。

 「不正指令電磁的記録に関する罪」とは、犯罪目的でコンピューターウィルスを作成、提供、供用、取得、保管する行為を罰するものです。

 コインハイブプログラムは、コンピューターウィルスであると判断され、不正指令電磁的記録に関する罪のうち、供用の罪(他人のパソコンやスマートフォンなどの端末に対して、その使用者の意図に反する動作をさせるような不正な指令を与えること)あるいは、保管の罪に当たるものとされたのです。

 2019年1月より、コインハイブプログラムがコンピューターウィルスといえるだけの不正な指令を与えるものなのかといった点を争点とした全国初の裁判が横浜地方裁判所で始まりました。第一審では無罪となりましたが、検察により控訴されているため、まだ確定していません。裁判所がどのような判断を示すかが注目されるところです。

 また、警視庁は次の通り、マイニングツールに関し注意喚起(仮想通貨を採掘するツール(マイニングツール)に関する注意喚起)を行っています。

 自身が運営するウェブサイトに設置する場合であっても、マイニングツールを設置していることを閲覧者に対して明示せずにマイニングツールを設置した場合、犯罪になる可能性があります。

 マイニングは、その成功報酬として仮想通貨を手に入れることができます。もっとも、その取り扱い次第では仮想通貨周りを規制する改正資金決済法の規制対象となったり、金融商品取引法上のファンド規制の対象になる可能性があります。最悪の場合、刑事罰を受ける可能性すらあります。

 このようなことにならないためにも、マイニングをする際には、関係する法律規制やリスクをきちんと理解し、そのうえで自分に合った手法を選択することが重要です。

【要約】

〇「マイニング」とは、POW(Proof of Work)という膨大な計算量を必要とする作業を成功させた人が取引の承認者となる仕組みを前提として、ブロック内の取引データが改ざんされていないかを確認し、取引を確定させるために必要な計算作業を行うことである。

〇マイニングには、①改正資金決済法、②金融商品取引法、③刑法といった3つの注意すべき法律がある

〇マイニングを通して獲得した仮想通貨を反復継続して売買したり、他の仮想通貨に交換する場合、仮想通貨交換業の登録が必要となる場合がある

 プールマイニングやクラウドマイニングでは、スキームによっては、ファンド規制の対象となり、第二種金融商品取引業の登録が必要となる場合がある

**************************************************************

(注1) Polybius Bankの実態についてCOINJINJAの解説例がある。以下、抜粋する。

Polybiusエコシステムの重要な要素は、Polybius FoundationとDigital Passです。Polybius財団は、初めにPolybius銀行またはPolybius支払機関(P.I.)を育成することが目的です。同社の顧客は、さまざまな金融サービスにアクセスできるだけでなく、Digital Pass環境につなげるPolyIDを最初に取得することになります。デジタルパスは、暗号化された個人情報の保管場所として機能する、サービスとしての独立した環境です。情報へのアクセスのセキュリティは、SSL証明書、動的PIN、そしてある程度はバイオメトリックデータによって可能になります。セキュリティは、2017年2月23日にEBA当局によって発行されたPSD2 RTS要件に準拠します。

なお、STO/ICO情報のCOINJINJAは、仮想通貨・暗号資産・ブロックチェーン技術やSTO/ICO情報などの検索エンジンです。英語と日本語で暗号通貨とトークンの情報を発信します。

(注2) 【弁護士監修】ネズミ講とマルチ商法の違いとは? から一部抜粋

ねずみ講の特徴

ねずみ講は無限連鎖防止法で禁止されています。

第二条  この法律において「無限連鎖講」とは、金品(財産権を表彰する証券又は証書を含む。以下この条において同じ。)を出えんする加入者が無限に増加するものであるとして、先に加入した者が先順位者、以下これに連鎖して段階的に二以上の倍率をもつて増加する後続の加入者がそれぞれの段階に応じた後順位者となり、順次先順位者が後順位者の出えんする金品から自己の出えんした金品の価額又は数量を上回る価額又は数量の金品を受領することを内容とする金品の配当組織をいう。

引用元:無限連鎖講の防止に関する法律第二条

 ねずみ講では、「儲かるビジネスがありますよ。」と勧誘して高額の会員費を請求します。他人を勧誘すると、会員費の半分が自分に、もう半分が上のメンバーに分配されていきます。(取り分は組織によって異なります)

 マルチ商法と違って特定の商品を扱っておらず、勧誘による会員の登録料でまわしているので、勧誘ができなくなると収入が途絶えビジネス自体が破綻します。勧誘するだけで金品が得られ手軽なため蔓延しやすいですが、人口は有限で最終的に必ず崩壊するシステムのため、上にいる人は得をし、下にいる人は会員費を回収できず損します。

(注3) CERT(サート)Computer Emergency Response Teamの略称。

 コンピューターへの不正アクセスや脆弱性などのコンピュータセキュリティ・インシデントに対応する活動を行う組織をいう。具体的には、コンピュータセキュリティ・インシデントについて、情報収集・分析を行い、結果の公表や関係組織との調整により、問題の解決・再発の防止を図っている。

 最初のCERTは、当時のインターネット上の10%のシステムを停止させた「モーリス・ワーム事件」をきっかけとして、1988年に米国カーネギーメロン大学内に設立されまた。日本ではJPCERT/CC)がその任務に当たっている。(株式会社日本レジストリサービス(JPRS)用語辞典から引用)

(注4) 司法当局とITセキュリティ企業は、サイバー犯罪ビジネスとランサムウェアのつながりを撲滅するために、連携協力している。

 ウェブサイト「No More Ransom」は、オランダ警察の全国ハイテク犯罪ユニット、ユーロポールの欧州サイバー犯罪センター、Kaspersky、McAfeeが主導している。 ランサムウェアの被害者が犯罪者に不当な支払いをすることなく、暗号化されたデータを取り戻すための支援を目的としている。

 システムが影響を受けてから脅威に対処するよりも、脅威を回避する方がはるかに容易であるため、当プロジェクトでは、ランサムウェアの仕組みや、感染を効率的に防ぐための対策についてユーザーに周知することも目的としている。当プロジェクトを支援する団体が増えるほど、得られる成果も大きくなる。他の公的機関および民間組織もこの取り組みに参加することが可能である。(No More Ransam Project 日本語サイトから抜粋)

(注5) 自然言語処理(natural language processing)の技術を利用して実問題を解決するアプローチとして、機械学習における教師あり学習(supervised learning)や教師なし学習(unsupervised learning)、半教師あり学習(semi-supervised learning)、Few-shot学習など様々なアプローチが存在します。しかし、実際にはビジネス要件に合わせた判断の結果、多くの場合はタスクの専門性および多様性に対応しやすい「教師あり学習」によるアプローチがとられます。・・・・いずれの技術でも、準備した学習データの量および品質は、最終的な精度に直結します。テキストデータはインターネット上に大量に存在します。しかし、ウィキペディアやウェブサイト、SNSなどから大量にテキスト情報を入手できたとしても、学習データとしての可用性は非常に低いです。自然言語処理においてテキストデータを学習データとして活用するためには、テキスト情報に対して、解決したい問題に対する「正解」情報を付与する必要があるからです。(金 弓冶 「学習データの枷を打ち砕く!データ拡張の技術開発」(NTT DATA)から一部抜粋)

(注6) 仮想通貨をめぐる法的なポイント

〇第1回 資金決済法の改正に伴う「仮想通貨交換業」の規制とは

なお、この解説を行っている牛島総合法律事務所の解説は精度が高く、他の項目の解説も参考になる。

*******************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

米国国務省「勇敢な正義の実現にかかる北朝鮮支援者にかかる情報提供行為への報酬 = クウェック・キー・センに関する情報提供に対する高額報酬(RFJ)の申し出

2022-11-05 06:04:38 | サイバー犯罪と立法

 米国国務省の外交保安局(Diplomatic Security Service) (注1)が管理する司法に対する報奨金(RFJ)プログラム(U.S. Department of State’s Rewards for Justice (RFJ) program)は、マネーローンダリング、北朝鮮への高級品の輸出など、特定のサイバー活動および大量破壊兵器の拡散を支援する行動等、北朝鮮を支援する特定の活動に従事する人々の金融メカニズムの混乱につながる情報に対して、最大500万ドル(約7億3500万円)の報奨金を提供している。

 この司法への報奨(RFJ)の元は、米国国務省の主要な国家安全保障報奨プログラムである。これは、1984年の国際テロ対策法(公法98-533(22 U.S.C. § 2708で成文化)によって設立され、外交保安局によって管理されている。RFJの使命は、アメリカ人の生命を保護し、米国の国家安全保障の目的を促進する情報に対して報酬を提供することである。

 1984年以来、連邦議会はRFJの法定権限を拡大し、このプログラムは、(1)テロ、(2)米国の選挙への外国関連の干渉、(3)米国に対する外国向けの悪意のあるサイバー活動、および(4)北朝鮮政権を支援するための特定の活動に従事する個人の財政メカニズムに関する情報に対する報酬を提供するものである。

 11月3日付けで国務省は、シンガポール国籍のクウェック・キー・セン(Kwek Kee Seng)(シンガポール国籍で、シンガポールを拠点とする海運会社およびターミナル運営会社スワンシー・ポート・サービス(S)Pte Ltd)の取締役であり、米国の法律に違反して北朝鮮に燃料を密かに輸送することで、米国と国連の制裁を回避する広範な計画に従事していたとして広く情報提供を求めた。

 米国や欧米主要国の北朝鮮に対する国をあげての取り締まりの実態を見るにつけ、わが国の取り締まりの甘さは比較すべきもない。

 今回のブログは、(1) 司法に対する報奨金(RFJ)プログラムの内容、運用実態、(2) クウェック・キー・センに関する捜査情報、(3)11月16日の大統領の中間選挙を控え、米国の選挙への外国の干渉に関する情報に対する報酬オファー(最高1,000万ドル(約14億7000万円)の申し出につきその概要を説明する。

1.シンガポール国籍のクウェック・キー・セン(Kwek Kee Seng)対する報奨金(RFJ)プログラムの適用の背景

 国務省は、シンガポール国籍のクウェック・キー・セン(Kwek Kee Seng)(シンガポール国籍で、シンガポールを拠点とする海運会社およびターミナル運営会社スワンシー・ポート・サービス(S)Pte Ltd(Swanseas Port Services (S) Pte Ltd)の取締役であり、米国の法律に違反して北朝鮮(Democratic People’s Republic of Korea :DPRK))に燃料を密かに輸送することで、米国と国連の制裁を回避する広範な計画に従事していた。

 クウェック・キー・センは、石油製品の北朝鮮への直接配送と、石油タンカーの1つであるM/T Courageousを使用した北朝鮮向けの燃料の瀬取り(ship-to-ship transfer)を指示した。

 クウェック・キー・センと彼の共謀者は、一連のシェル会社を通じて金融取引を行うことにより、彼らの身元と活動を曖昧にしようとした。彼は、パナマ、シンガポールなどに拠点を置くシェル会社から、そして米国の銀行を通じて、石油、M / T Courageous、船のサービスと材料、乗組員の給与の支払いを米ドルで指示した。これらの取引は、北朝鮮の利益のための金融サービスの輸出の禁止に違反した。

 2021年4月23日、クウェック・キー・センが「国際緊急経済権限法(International Emergency Economic Powers Act)」違反の陰謀および国際マネーローンダリングの共謀(Conspiracy to Commit International Money Laundering)で起訴された後、ニューヨーク南部地区の米国連邦地方裁判所で米国の連邦逮捕状(U.S. federal arrest warrant)が発行された。現在、彼は逃走中である。

 2022年10月7日、米国連邦財務省・外国資産管理局(U.S. Department of the Treasury’s Office of Foreign Assets Control)は、クウェック・キー・センとスワンシースポートサービスPte Ltdを「北朝鮮への石油の輸出に関連する活動のための大統領令13810」に基づき同社は、北朝鮮の兵器プログラムとその軍隊の開発を直接支援したとして指定した。

 この報酬オファーの詳細については、Rewards for Justice(RFJ)のウェブサイトおよびTwitterhttps://twitter.com/RFJ_USA 参照されたい。https://twitter.com/RFJ_korean;そして https://twitter.com/RFJ_mandarin。Kwek Kee Sengに関する情報を持つ方は、Torベースのヒント報告チャネル(he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion)を介して司法のための報奨事務所に連絡することを推奨する(Torブラウザー(注2)が必要である)。

 司法への報奨プログラムは効果的な法執行ツールであり、米国国務省の外交保安局によって管理されている。1984年の開始以来、このプログラムは、テロを防止し、テロリストの指導者を裁判にかけ、米国の国家安全保障に対する脅威を解決するのに役立つ情報を提供した世界中の125人以上の人々に2億5000万ドル (約73億5000万円)以上を支払ってきた。その金額のうち、RFJは、国際的および米国の制裁に違反して北朝鮮に利益をもたらす違法な金融計画を混乱させるのに役立った2人の個人にそれぞれ500万ドルの報酬を支払った。

2.正義への報酬: 米国の選挙への外国の干渉に関する情報に対する報酬オファー

 2022年6月30日付けの連邦国務省のメディア・ノートを以下仮訳する。

 外交保安局が管理する米国国務省の司法報酬(RFJ)プログラムは、米国の選挙への外国の干渉に関する情報に対して最大1,000万ドル(約14億7000万円)の報酬を提供している。

 この報奨オファーは、外国の選挙干渉に故意に関与した、または関与している外国企業を含む外国人の特定または所在につながる情報、および外国の選挙干渉行為の防止、欲求不満、または有利な解決につながる情報を求める。

 外国による選挙干渉には、(1)連邦刑事法、投票権法、または選挙資金法に違反する外国人による特定の行為、または(2)外国政府または犯罪企業の代理人として、外国政府または犯罪企業の代理人として、または外国政府または犯罪企業に代わって、または協力して行動する人物によって実行される特定の行為が含まれる。

 この行為には、有権者に影響を与えたり、選挙プロセスや制度に対する国民の信頼を損なったり、一般または予備の連邦、州、または地方の選挙や党員集会の結果や報告結果に影響を与えたり、信頼を損なったり、変更したりする特定の意図を持って行われた、秘密の、詐欺的、欺瞞的、または違法な行為または試み行為、または盗難によって取得した情報の使用を知ることが含まれる。このような行為には、投票の改ざんやデータベースへの侵入が含まれる可能性がある。特定の影響力、偽情報、およびボットファームキャンペーンまたは悪意のあるサイバー活動が含まれる。

 この報酬オファーは、「2021財政年度のウィリアムM.「マック」ソーンベリー国防授権法(William M. (Mac) Thornberry National Defense Authorization Act for Fiscal Year 2021)」によって提供される国内選挙への外国の干渉に関する情報に対する報酬を提供する追加の当局の方針を反映している。

 米国の選挙への外国の干渉に関する情報を持つ方は、Torベースのヒント報告チャネル(he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion)を介して司法のための報奨事務所に連絡することを推奨する(Torブラウザーが必要である)。

3.RFJについての補足説明

 外交保安局の解説を仮訳する。

 1984年以来、議会はRFJの法定権限を拡大し、次のカテゴリの情報に対して報酬を提供してきた。

(1)テロ

 次の情報については、以下を参照されたい。

①米国または海外の米国人または財産に対する国際テロ行為を計画、実行、支援、または試みる者の逮捕または有罪判決につながる。

②そもそもそのような行為が起こらないようにします。

③主要なテロリストのリーダーを特定または特定します。

④外国のテロ組織の財政メカニズムを混乱させる。これには誘拐ネットワークの混乱や、そのような組織を財政的に支援する誘拐イベントが含まれる。

(2)米国の選挙への外国の干渉

次の情報については、以下を参照されたい。

①連邦刑事法、投票権法、選挙資金法に違反する活動、または外国政府または犯罪企業の代理人として、または外国政府または犯罪企業に代わって、または協力して行動する人物によって実行される活動を含む、米国の選挙干渉に故意に関与した、または関与している外国人の特定または場所につながる。

②米国の選挙における外国の干渉行為の防止、欲求不満、または有利な解決につながる。

(3)悪意のあるサイバー活動

 次の情報については、以下を参照されたい。

 外国政府の指示または管理下で行動している間に、1986 年「コンピュータ詐欺と濫用に関する法律(Computer Fraud and Abuse Act, CFAA)18 U.S.C. § 1030」の違反を支援または教唆する個人を特定または特定する。これには外国の選挙干渉も含まれる。

(4)北朝鮮

次の情報については、以下を参照されたい。

 北朝鮮政権を支援する特定の活動に従事する個人または団体の金融・財政メカニズムを混乱させる。

 北朝鮮政府の指示または管理下で行動している間に、1986 年に「コンピュータ詐欺と濫用に関する法律(Computer Fraud and Abuse Act, CFAA)18 U.S.C. § 1030」の違反を支援または教唆する個人を特定または特定する。これには、米国政府のシステムに対するサイバー攻撃や侵入が含まれる。

***********************************************************

(注1) Diplomatic Security Serviceは、米国国務省の連邦法執行機関および安全保障機関である。 外交の安全を確保し、米国の旅行書類の完全性を保護する任務を負う Diplomatic Security Service は、米国の 29 の都市と世界中の 270 を超える場所にオフィスを構え、米国連邦法執行機関の中で最大のグローバル規模を誇っている。

(注2) 「Torブラウザーとは」から一部抜粋する。

Tor(トーア)ブラウザーは、匿名性を確保しながらWebサイトを閲覧することを目的としたオープンソースのソフトウェアである。一部の国や地域で行われているインターネット検閲の回避や、プライバシー保護の目的で利用されることを目指している。一般的なWebブラウザーと同様に、パソコンやAndroidスマートフォンにインストールして利用できる。

一方で、Torブラウザーはダークウェブを閲覧する手段としても知られている。ダークウェブとは通常の検索エンジンからはアクセスできず、専用ツールを必要とするWebサイトを指す。その匿名性の高さから、ダークウェブでは児童ポルノや麻薬、盗み出した個人情報といった違法性の高い情報や物品が扱われるようになった。さらに、暗号資産(仮想通貨)が犯罪者の決済手段として使われるようになった結果、ダークウェブでの取引も活発になったと言われている。

*************************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

FBIラスベガス現地事務所のSIMカード・スワッピング詐欺リスクと対策の警告

2022-10-25 18:13:35 | サイバー犯罪と立法

 10月21日、FBIラスベガス現地事務所(field office )は、SIMカードのスワップとその潜在的な壊滅的結果について一般市民を教育したいという警告記事を公表した。(Nortonの警告リリースも参照されたい)

 2021年、FBI・インターネット犯罪苦情センター(Internet Crime Complaint Center:IC3)に寄せられた苦情によると、SIMスワップの被害者は全米で1,650人を超え、全国で8,600万ドル以上(約129億円)の損失額が発生している。ラスベガスがあるネバダ州はトップ10に入っており、42人の犠牲者が最大50万ドル(約7,500万円)を失った。すべての主要なモバイル・プロバイダーがすべて利用された。

  この問題に関し、わが国ではそもそも論でeSIMについての解説記事は多く存在するものの、SIMスワップとその潜在的な壊滅的結果に関する解説は皆無である。わが国で解説があるのは、以下注書きで述べるとおり米国のセキュリティ問題の専門家レポートの抄訳、仮訳のみである。

  今回のブログは、この問題点につき、被害が多くなる前に消費者に迅速な情報提供を行うべく急遽まとめた。まず、(1)FBI ・IC3の警告内容、一方で(2) わが国のインターネット詐欺申立・救済窓口の実態は如何という内容で整理した。

1.FBI・IC3の消費者への警告内容

 リリース文に補足説明を加えながら仮訳、解説する。

(1) SIMとはいかなるものか?

 SIMまたは加入者識別モジュール(Subscriber Identity Module)とは、モバイル・デバイスに挿入された小さなメモリカードで、これにより電話をかけたり、テキスト文を送信したり、連絡先を保存したりできる。それはあなたの電話番号に固有である。このチップを取り外し、別の電話に挿入し、番号に電話をかけると、その電話がアクテイブになるものである。

(2) eSIMとは何か?

 eSIMまたは組み込み加入者識別モジュール(Embedded Subscriber Identity Module)は、デバイスにインストールされているソフトウェアの一部であり、物理的なSIMチップの必要性を排除するものである。

(3) SIMスワップとはいかなる行為をいうのか?

 SIMスワップ自体は毎日発生し、常に悪意のある違法行為ではない。あなたは携帯電話を紛失したことがありますか? あなたがもともと携帯電話を持っている場合、あなたはおそらくあなたの携帯電話会社に足を踏み入れ、新しい電話を購入し、そしてあなたの同じ電話番号を保つことができるし、そのこと自体有益である。あなたは順調にSIMスワップを完了したことになる。

 しかし、犯罪者は、ソーシャルエンジニアリングを通じて被害者の身元を仮想し、被害者の電話番号をSIMカードと犯罪者の管理下にある電話番号に移植するために、携帯電話会社の「プラグ」を欺くか、または金銭を支払うのである。eSIMは、ある程度のセキュリティを強化するが、携帯電話会社モバイルキャリアの「プラグ」サービスはこの犯罪を支援し続けている。(注1)(注2)

(4) 何が問題なのか。

 電話番号にはいくつのアカウントが接続されているか? 多要素認証があるアカウントはいくつあるか? SMS多要素認証を持っているアカウントはいくつあるか? 

 サイバー犯罪者は、あなたの人生を完全に支配するために1人だけの詐欺者をでっちあげる。あなたの電話番号をなりすまして装備し、犯罪者はあなたの電子メールのパスワードをリセットすることができるのである。(注3)

 詐欺師の手順を見てみよう。パスワード>テキストコードを忘れた場合 > ログインの成功時にパスワードをリセットするにはここにクリック>ログインが成功した

 このように受信トレイと電話番号の両方にアクセスできるようになったので、犯罪者は銀行口座、暗号資産ウォレットソーシャルメディア・アカウント、クラウド・ストレージ(注4)、機密文書などにアクセスできる。ほとんどの犯罪者は、被害者の暗号資産を盗むという最終ゲームのためにSIMスワッピングに取り組んでいるが、一度暗号資産が空になると、他の伝統的な金融口座に対象を替え、他のタイプの個人情報の盗難に使用されるために個人識別符号(PII)を販売するのである。

(5) 被害にあわないためにどうすればいいのか。

①PINを設定する。ほとんどの携帯電話会社では、アカウントの変更に必要なPINまたはパスワードを設定できる。

②アカウント全体につき強力でユニークなパスワードを採用する

③閲覧画面ですべてを投稿することをやめる。SmellyCat (注5)が大ヒットしたとき、あなたは興奮していたことを知っているが、あなたの壮大な財布の成長のスクリーンショットを投稿すると、SmellyCatの終焉よりもあなたを傷つけた。そのたった1回の投稿は、犯罪者がどの財布を使用しているか、そこにどれだけの暗号資産があるか、そして潜在的にあなたのユーザー名を示した。

④暗号資産をコールドス・トレージに移行する

⑤アカウントには非 SMS 多要素認証を使用する。代わりに、アプリケーションベースのオーセンティケータを選択すべきである。

⑥あなたは携帯電話が通じないデッド・ゾーンにいるか、それともSIMを交換したか? 原因不明のサービスが受けられないことの経過を十分認識すべきである。

(6)ああ、私の携帯はスワップされた! 、自分がSIMスワッピングの犠牲者であると思われるときはどうすればよいか。

①携帯電話会社に直ちに連絡して、電話番号の管理権を取り戻すべきである。これはおそらく直接の会社への訪問を必要とするであろう。

②取引金融機関の金融口座にアラートを掲載する。

③関係機関へ早期通知を行う。最初の数回の暗号資産の転送が発生すると、これらの資産を取り戻すことは非常に困難である。法執行機関への早期通知は、回復プロセスと調査に役立つ。www.ic3.gov にあるFBIのインターネット犯罪苦情センターに被害の経緯、活動内容等を直ちに報告されたい。

2.わが国のインターネット詐欺申立・救済窓口の実態は如何

 わが国で法執行機関であるFBI のサイバー専門機関であるIC3に該当する機関はあるか。筆者なりに調べてみたが、以下述べるとおり、「ない」というのがその答えである。

 つまり、特定の犯罪被害救済窓口や調査・研究機関はあるが、本格的な法執行機関ではなく、また警視庁や県警への相談するにしても、専門性の高いこれらの問題に具体的に取り組むには組織に見て現状は不十分といえる。

 その中で最高検察庁は2021年4月に最高検察庁・先端犯罪検察ユニット(JPEC)を鳴り物入りでスタートさせ、米国FBIとの連携で立件に至った事例をメデイア記事に載せている。

 しかし、筆者が詳細に見るにつけ、その活動の実態はIC3と比較できるレベルとは思えない。出来る範囲でわが国の具体的取組みの内容を紹介する。

(1) 振り込め詐欺救済法に基づく公告

預金保険機構の振り込め詐欺救済法に基づく公告が限定的であるが被害者保護、補償対策に関し参考になろう。

(2) わが国においても警察庁や検察庁を中心とする法執行機関の役割

 中心となるべきであろう。ちなみに、2022年4月10日付け 日経記事は「最高検が『先端犯罪検察ユニット(JPEC)』を発足させて4月で1年となる。犯罪手口や対応策を各高検、地検と共有するとともに、既に約150の事件で捜査をサポートした。米連邦捜査局(FBI)との連携が奏功し、立件につながったケースもある。最高検サイバー班、捜査支援150件 発足1年で海外連携も」とある。このJPECは2022年8月15日(最終更新)にfacebookページ運用方針を以下のとおり、公表している。

 先端犯罪検察ユニット(JPEC)では、広報活動の一層の充実のため、公式Facebookページ(以下「当ページ」という。)を取得し、情報発信を行います。

 Facebookを通じた情報発信に当たり、当ページの運用方針を次のとおり定めます。(以下、略す)。

 しかし、実際にfacebookを見ても「このコンテンツは現在ご利用いただけません」が表示されるのみである。

(3)警察庁の取組み

 警察庁の2021年3月8日広報資料「スマートフォン決済サービスを利用した不正振替事犯に係る対策について」を読んだ。

 内容的に見て、今回取り上げたeSIM SWAP問題への取組みにつながる対応と考える。しかし、国際犯罪グループに対する取り組みとしては決して十分とは思えない。

(4) 独立行政法人情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)

 最新のサイバーーセキュリテイ問題につき。調査研究、啓蒙活動機関ではあるが、IC3のような苦情受け付け、告発機関ではない。

 なお、IPAにおいてソーシャルメディア公式アカウントを有しており、実際にアクセス可である。

(5) (一財)日本サイバー犯罪対策センター(JC3)

 同センターは産業界、学術機関、法執行機関等、それぞれが持つサイバー空間の脅威への対処経験を集約・分析し、その結果を共有することで、サイバー空間全体を俯瞰し、サイバー犯罪等のサイバー空間の脅威の大本を特定・軽減・無効化することを目指す非営利団体といえる。

 しかし、米国のIC3とは全く機能や権限が異なることも明らかである。

***********************************************************************************

(注1) SIMスワップ詐欺の仕組み

 SIMスワップ詐欺は、別名「SIMハイジャック」や「SIM分割」とも呼ばれ、一種のアカウント乗っ取り詐欺として知られている。この攻撃を仕掛けるにあたり、攻撃者は標的についてあらゆる方法で情報収集をする。インターネットを検索したり、そのなかでもユーザーが過剰に公開しているごくわずかな情報を見つけ出すなどし、情報をかき集める。また、被害者の個人情報はすでに漏えいした情報からも収集される。あるいは、詐欺師が標的から直接個人情報を盗むフィッシング詐欺や電話を介して誘導するビッシング詐欺(注2)といった、ソーシャルエンジニアリングの手法を通じて個人情報が詐取されるケースもある。

 十分な情報を手に入れた詐欺師は、標的が契約している携帯電話会社に連絡し、標的になりすますことで顧客サポートの担当者を騙し、標的の電話番号を詐欺師が保有しているSIMカードへ移すよう仕向ける。その場合の口実の多くは、携帯電話が盗まれたか、失くしたため切り替えが必要になったというものだ。

 この手続きが完了すると、被害者はモバイル接続や電話番号が利用できなくなり、さらには被害者にあてられた電話やテキストメッセージを詐欺師が受け取るようになってしまう。(Welivesecurityレポート記事から一部抜粋)

(注2) フィッシング詐欺は、信頼できる企業になりすましたメールで受信者を騙し、機密情報を聞き出したり、マルウェアをダウンロードさせたりするような詐欺の常套手段だ。そしてビッシング詐欺は、その音声版だ。個人や組織を問わず標的にされる詐欺行為であり、手法もさまざまで場合によっては甚大な被害をもたらす。

(注3) なぜSIMスワップ詐欺がそれほど危険なのか。

 一般的に、この種の攻撃の狙いは、被害者が保有するいくつかのオンラインアカウントへのアクセスを得ることだ。SIMスワップ詐欺を用いるサイバー犯罪者は、被害者が電話やテキストメッセージを二要素認証(2FA)に使用していることを前提としている。

 この場合、被害者のオンライン上での行動や私生活に対し、目に見えない大惨事をもたらす可能性がある。具体的には、銀行口座から預金を全て引き出す、クレジットカードを限度額まで使用する、返済中のローンの支払いを滞らせる、といった被害があり得るだろう。

 また攻撃者は、被害者のソーシャルメディアを乗っ取り、プライベートなメッセージや会話をダウンロードすることも可能だ。これらは長きにわたって被害者にダメージを与える可能性がある。さらには、被害者の評判を貶める侮辱的なメッセージを投稿することさえあるのだ。(Welivesecurityの解説記事から一部抜粋)

(注4) クラウド・ストレージとは、データを格納するためインターネット上に設置されたスペースです。「オンラインストレージ」や「ファイル・ホスティング」とも呼ばれています。パソコン内のストレージや社内のファイルサーバーを利用しなくても、大事なデータの保存が可能です。(iTSCOM解説から抜粋)

(注5) 「猫はくちゃい」(Smelly Cat)は、アメリカ合衆国のテレビシリーズ『フレンズ』に登場した楽曲。リサ・クドローが演じる主要キャラの1人・フィービー・ブッフェの自作である。(Wikipediaから抜粋 )

**********************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserve.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

北朝鮮の弾道ミサイル連続発射等の本当の資金源は何か!

2022-10-15 10:24:40 | サイバー犯罪と立法

  

 今年に入って合計27回目となる連日のように続く朝鮮民主主義人民共和国 (DPRK または北朝鮮)の弾道ミサイル発射の実態を見るにつけ、わが国政府の米国や韓国からの情報収集のみに依存し続け、一方で頼みの国連の制裁決議もロシアや中国等の反対により北朝鮮制裁が徹底されないという問題が、防衛省、外務省、内閣府等を見てもなんら解決できていない。

 ところで、北朝鮮の資金源問題につき米国のサイバー犯罪関係の調査機関の情報を見るにつけ、最近半年間の動向から見て、(1)暗号資産サイトを利用した北朝鮮のハッキンググループである“Lazarus Group”の暗躍、例えば金融機関向け犯罪から暗号資産、ゲームへの拡大等その実態を明確化し、同時に、(2)国際的な大手求人情報プラットフォームである“LinkedIn”と“Indeedから被害者の履歴書やプロファイルをコピーしているという報告が極めて鮮明に報告されている。

 今回のブログは、はたしてハッキンググループである”Lazarus Group“の犯罪手口、急速な手段の拡大傾向、主要国の警告内容を補足しつつ概観する。また。最近では「豚の屠殺(pig butchering)」という新たな投資詐欺の裏に”Lazarus Group”が暗躍しているとも報じられており、最後にその危険性を述べておく。

 なお、本ブログを詳細に読んで気がつかれると思うが、北朝鮮のハッカーグループ”Lazarus Group”の存在はかなり前から欧米の関係機関ではその存在や活動内容に対する警告は行われていた。一方、これだけ北朝鮮につき世界の関係国中で最も研究し、警戒すべき日本が今になって動き始めたことの問題点を改めて考えるべきであろう。

1.北朝鮮のハッカーを利用した金正恩政権の不法な収入源・資金源を明らかにする

 2021年以降の北朝鮮のハッカー集団の犯行の実態概要を関係記事や米国捜査機関等で見ておく。

(1)2022.1.23 WIRED.jp記事「北朝鮮のハッカー集団は、2021年だけで総額450億円相当もの暗号資産を盗んでいた」を抜粋、引用する。

【すべては北朝鮮政府のために】

  Chainalysis(チェイナリシス) (注1)は2021年に起きた7件の暗号資産のハッキング被害について、マルウェアのサンプルやハッキングのインフラを調査した。また、盗まれた資金を追跡し、北朝鮮ハッカーに管理されていると特定されたブロックチェーン・アドレスのクラスターに流入していたことを突き止めた。その結果、これら7件すべてに北朝鮮とのつながりが見られたとしている。

Chainalysisによると、これらの窃盗はすべて北朝鮮政府のために働いているとみられる、緩くつながったハッカー集団「Lazarus」が実行したという。一方で、ほかのハッカー追跡企業は、Lazarusには多数の独立したグループが含まれると指摘する。

 それでもサイバーセキュリティ企業のMandiant (注2)は、同社が追跡するほぼすべての北朝鮮のグループにとって、いまやほかの任務に加えて暗号資産を盗むことが最重要事項になっていると指摘している。これはChainalysisの調査結果を裏付けるものだ。

 例えば、MandiantがTEMP.HermitKimsukyと呼ぶ2つの北朝鮮のハッカーグループは2021年、おそらく新型コロナウイルスに関する情報を盗むために、生物医学や医薬関係の団体を狙う任務を担っていたと考えられると、Mandiantのシニアアナリストのフレッド・プラン(Fred Plan)は言う。だが、どちらもグループも年間を通じて暗号資産を保有する組織も狙い続けていた。「2021年、これらのグループが命じられていたあらゆる活動の根底には、そうした金目当ての作戦や活動が一貫して流れ続けている」

 さらにMandiantがAPT38と呼ぶグループは、メキシコの金融企業Bancomextから1.1億ドル(約125億円)、バングラデシュの中央銀行から8,100万ドル(約92億円)を盗むなど、以前は従来型の金融機関へのハッキング攻撃に注力していた。ところが現在は、暗号資産を保有する標的に目を向けているようだ。「我々が追跡しているほぼすべての北朝鮮のグループは、何らかのかたちで暗号資産に手を出している」と、プランは語っている。

【資金源として暗号資産が狙われる理由】

 ハッカーがほかの金融犯罪より暗号資産に目を向けた理由の1つは、間違いなくデジタルキャッシュの資金洗浄が比較的容易だからであろう。例えばバングラデシュの銀行がAPT38による窃盗被害に遭ったあと、北朝鮮のグループは盗んだ資金に捜査の手が及ぶ事態を避ける目的で、中国のグループを招集してマニラのカジノで何千万ドルもの資金をギャンブルに使わせなければならなかった。

 これに対して暗号資産の場合、グループは豊富な資金洗浄手段を持つことをChainalysisは発見したという。グループは盗んだ資金を本人確認規制のコンプライアンスが緩いアジアの取引所を主に使用し、中国人民元に換金していたのだ。

 また、グループは資金源がわかりにくくなるよう、しばしば複数のサービスを組み合わせる手法をとってきた。そして多くの場合、仲介業者が入らず、暗号資産取引業者と直接つながれる分散型取引を用いてきた。そうした取引には、マネーロンダリング防止ルールによる規制がほとんどないのである。

 Chainalysisは、盗んだ暗号資産の現金化に関して、北朝鮮は驚くほど辛抱強いことを発見した。何年も待ってからマネーロンダリングすることも珍しくないという。ハッカー集団は過去数年間に盗んだ1.7億ドル(約250億円)もの未洗浄資金をいまだに保有しているとみられるが、間違いなくそのうち現金化するだろう。

 これらの何億ドルもの資金は最終的に、すべて何年間も厳しい制裁を受けて高度な軍事化を遂げた「ならず者国家」の口座に収まるだろうと、Mandiantのフレッド・プランは言う。「北朝鮮政権は、ほかに手段がないと考えたのである。世界や経済に対応する手段はもうほかにはないというわけです。それでも、かなり優れたサイバー能力を有している。この能力を活用して、国にお金を集めることができるわけですから」

 暗号資産の業界が、これらのハッカーに対して自衛するか、あるいはコインがクリーンな資金に洗浄されるのを防ぐ方法を見出すことができるまで、実体を欠いた金正恩政権の不法な収入源は増え続ける一方だろう。

(2)2022.10.5 KrebsonSecurity blog 「偽のLinkedInプロファイルの過剰は、ボット攻撃に対してHuman Resource」(人的資源.一般的には、企業における人的資源の活用」を意味)をピット」から一部抜粋、仮訳する。

 最近、KrebsOnSecurityは、バイオジェン、シェブロン、エクソンモービル、ヒューレットパッカードなど、さまざまなフォーチュン500企業で最高情報セキュリティ責任者(CISO)の役割を主張している偽のLinkedInプロファイルの洪水を調べた。

 それ以来、LinkedInのユーザーと読者からの反応は、これらの偽のプロファイルが事実上すべてのエグゼクティブの役割、特に最近の世界的な出来事やニューストレンドに隣接する仕事や業界に一斉に現れていることを明確にしている。

 LinkedIn(注3)上での偽のエグゼクティブ・プロファイルの最近の急増は、ビジネス・ネットワーキングサイトと、将来の従業員を雇用しスクリーニングするためにそれに依存している企業にとって、アイデンティティの危機のようなものを作り出している。AIが生成したプロフィール写真と正当なアカウントから持ち上げられたテキストを組み合わせた、偽造されたLinkedInアイデンティティは、企業の人事部門や招待制のLinkedInグループを管理する人々にとって大きな頭痛の種となっている。

 「サイバーセキュリティ企業のMandiant(最近Googleに買収)はブルームバーグに対し、北朝鮮政府の下で働くハッカーは、暗号資産企業に雇用を獲得するための精巧なスキームの一環として、国際的な大手求人情報プラットフォームであるLinkedInIndeedから履歴書とプロフィイルをコピーしていると語った。

 これら偽のプロファイルは、いわゆる「豚の屠殺(pig butchering)」詐欺に結びついている可能性があり、人々はオンラインで浮気性の見知らぬ人に誘惑され、被害者が現金化しようとすると最終的に資金を奪う暗号資産取引プラットフォームに投資することになる。

 さらに、これらアイデンティティ泥棒は、LinkedInで求人募集人を装い、雇用詐欺に陥った人々から個人情報や財務情報を収集することが知られている。

(3) 2022.6.30 FORTUNE記事「北朝鮮のハッカーは、1億ドルのハーモニー暗号強盗の背後にいた、とブロックチェーン調査会社は言う」を一部抜粋、仮訳する。

 ブロックチェーン調査会社Elliptic による新しい分析によると、北朝鮮の金政権によって支援されていると考えられている北朝鮮のハッキンググループであるLazarus Groupは、6月23日公表した1億ドル(約147億円)近いHarmony Bridgeのハッキングの背後にいる可能性が高い。

 この攻撃により、Harmonyブロックチェーンと他のブロックチェーンの間で暗号資産を取引できるサービスから、6月24日の朝にイーサー(ether)、テザー(tether)、ラップ(wrapped)されたビットコインを含む1億ドル相当の暗号が枯渇した。

 北朝鮮のハッカーはますます巧妙になっている。2021年に彼らは推定4億ドルを盗み、そのほとんどはエーテルで盗んだ。2022年の合計は、すでにその数字をはるかに上回っています。

 Ellipticによると、攻撃者はハッキング後に盗まれた資産を85,837 ETH(イーサリアム:約164億4800万円)に変換し、6月27日から、違法に入手した暗号を洗浄するために一般的に使用されるミキサーであるTornado Cashを介してETHの一部を送信し始めた。これまでのところ、約35,000 ETH(盗まれた総資金の41%)がTornado Cashに送られた。

 ハーモニー・ブリッジンへのハックは、2022年3月の6億3,500万ドルのRonin Bridgeハックを含む、Lazarus Groupに起因する他のハッキングと一致している。

(4)2022.4.2 米国連邦司法省のリリース「北朝鮮の制裁回避を共謀した米国市民に5年以上の拘禁刑と10万ドルの罰金」を抜粋、仮訳する。

 暗号資産とブロックチェーン技術を使用して制裁を回避するための技術的助言を含め、朝鮮民主主義人民共和国 (DPRK または北朝鮮) にサービスを提供することを共謀した米国民は、国際緊急経済権限法 (International Emergency Economic Power Act:IEEPA) (注4)違反の陰謀行為で有罪を認めた後、63 か月の拘禁刑を言い渡された。

 連邦地方裁判所の文書によると、39歳のヴァージル・グリフィス(Virgil Griffith)

Virgil Griffith

は、暗号資産の採掘を含む暗号通貨インフラストラクチャの開発と資金提供により、北朝鮮の個人にサービスを提供する計画を2018年に策定し始めた。グリフィスは、北朝鮮がこれらのサービスを使用して、米国の制裁を回避および回避し、核兵器計画やその他の違法行為に資金を提供できることを知っていた。

 IEEPA および2008年6月26日大統領令 13466 に従い、米国人は、連邦財務省外国資産管理局 (OFAC) からの許可なしに、商品、サービス、または技術を北朝鮮に輸出することを禁じられている。

 2019 年 4 月、グリフィスは北朝鮮を訪れ、「平壌ブロックチェーンと暗号資産会議」(DPRK 暗号資産会議)に出席して発表した。国務省はグリフィスの北朝鮮への渡航許可を拒否していたにもかかわらず、グリフィスは北朝鮮の聴衆に合わせて北朝鮮暗号資産会議でプレゼンテーションを行った。

 北朝鮮の暗号資産会議で、グリフィスと彼の共謀者は、北朝鮮がブロックチェーンと暗号資産技術を使用してマネーローンダリングを行い、制裁を回避する方法について説明した。DPRK Cryptocurrency Conference での Griffith のプレゼンテーションは、DPRK 当局者によって承認されており、とりわけ、「スマート コントラクト」などのブロックチェーン技術を使用して、米国との核兵器交渉を含め、DPRK に利益をもたらす方法に焦点を当てていた。グリフィスと彼の共謀者は、グリフィスが北朝鮮政府で働いていると理解している個人を含む北朝鮮の聴衆のために、ブロックチェーンと暗号通貨技術に関する特定の質問にも答えた。

 北朝鮮暗号資産会議の後、グリフィスは北朝鮮と韓国の間の暗号通貨の交換を促進する計画を追求したが、そのような交換を支援することは北朝鮮に対する制裁に違反することを知っていた。またグリフィスは、北朝鮮に旅行し、北朝鮮の人々に同様のサービスを提供するために他の米国市民を募集しようとし、北朝鮮の他の暗号通貨およびブロックチェーンサービスプロバイダーへの紹介を仲介しようとした。 グリフィスは、商品、サービス、または技術を北朝鮮に提供する許可を OFAC から取得したことは一度もない。

(5)2022.4.26 JapanTimes記事「2022.4.26 Japan Times記事「北朝鮮での暗号資産会議は、より多くの刑事告発につながる」 を一部抜粋、仮訳する。

 スペイン籍のアレハンドロ・カオ・デ・ベノス(Alejandro Cao de Benos:47歳)

Alejandro Cao de Benos

Christopher Douglas Emms

と英国市民のクリストファー・エムズ(Christopher Douglas Emms: 30歳)は、米国の制裁法(IEEPA)に違反する陰謀で起訴された、と司法省は4月25日に公表した。カオ・デ・ベノスCao de Benos と Emms は、北朝鮮の首都平壌で開催された 2019 年のブロックチェーンと暗号資産の会議に参加した元イーサリアム財団の暗号資産の開発・研究者である Virgil Griffith と協力していたという。

 グリフィスは4月、制裁邦違反の罪を認めた後、5 年以上の拘禁刑を言い渡された。Cao de Benos  と Emms は、有罪判決を受けた場合、最長で 20 年の拘禁刑に直面する可能性があるが、彼らは米国に拘留されていない。

(4)2022.10.3 FBI マイアミ事務所のリリース文および2022.7.21 KrebsonSecurity大規模な損失が「豚の屠殺」の流行を定義する」を元に抜粋、仮訳する。

 米国の州および連邦捜査機関は、「豚の屠殺(pig butchering)」として知られる複雑な投資詐欺に関連して数十万ドルまたは数百万ドルを失った人々からの報告で氾濫しており、人々はオンラインで浮気性の見知らぬ人に誘われて暗号資産取引プラットフォームに投資し、被害者が現金化しようとすると最終的に資金を押収してしまう。

 「豚の屠殺」という用語は、出会い系アプリやソーシャルメディアで偽のプロファイルを使用して、人々を精巧な詐欺に投資するように誘う、長年の実績があり、スクリプト化され、人間集約的なプロセスを指す。より平易な意味では、豚の屠殺は屠殺の前に獲物を肥育させることを意味する。

 「この詐欺手口(豚の屠殺)は、詐欺師が被害者を切り離してすべてのお金を奪う前に、ロマンスと富の約束を被害者に食べさせる方法にちなんで名付けられた」と連邦捜査局(FBI)は2022年4月に警告した。「被害者のために出会い系アプリやその他のソーシャルメディアを採掘する暗号通貨詐欺師の詐欺リングによって運営されており、詐欺は驚くほど人気が高まっている。

詐欺的な暗号資産投資スキーム

 FBI マイアミ フィールド オフィスは、インターネット犯罪苦情センター (IC3) と連携して、豚の屠殺(Pig Butchering) と呼ばれる暗号資産 を含む投資スキームについて警告している。このスキームでは、仮想通貨で大成功を収めたトレーダーを装った詐欺師が、仮想通貨への投資と称して被害者を誘惑し、追加の投資を促す架空の収益を提供するというものである。

 詐欺師は、さまざまなソーシャル メディアや出会い系アプリで被害者と連絡を取り (被害者が長い間失っていた連絡先を偽装するか、潜在的な友人やロマンチックなパートナーになりすます)、多くの場合、被害者の自信と信頼を得るために時間を費やす。その後、被害者は投資プロセスを通じて指導を受け、詐欺師によって継続的な預金を行うように勧められる。偽の Web サイト/アプリにより、被害者は投資を追跡し、指数関数的に成長しているという印象を与えることができる。その後、被害者が投資資金を現金化しようとすると、所得税や追加料金を支払う必要があると言われ、追加の資金を失うことになる。被害者は、主張された投資を取り戻すことができず、多くが詐欺師との連絡手段を失うことになる。

 多くの被害者は、海外口座への電信送金や大量のプリペイド カードの購入を指示されたと報告している。暗号資産と暗号資産 ATM の使用も、新たな支払い方法である。これらのスキームに関連する個人の損失は、数万ドルから数百万ドルに及んでいる。

 FBI は、個人がこの活動を認識して抑止できる可能性のある方法を次のとおり特定した。

① ソーシャル メディアの Web サイトで、見知らぬ人や長い間連絡を失っていた人からの投資機会の有効性を確認する。

② 正当な金融機関、特に仮想通貨取引所になりすましたドメイン名に注意してください。多くの場合、実際の金融機関の Web サイトとわずかに異なるつづりの URL は、偽物である可能性がある。

③ アプリの正当性を確認できない限り、疑わしいアプリをダウンロードしたり、投資のツールとして使用したりしないでください。

④ 投資機会がうますぎると思われる場合は、その可能性が高い。一攫千金の計画に注意してください。

 豚の屠殺計画やその他の詐欺計画の被害者になったと思われる場合は、FBI のインターネット犯罪苦情センター ( www.ic3.gov )に報告されたい。可能であれば、以下の内容を連絡されたい。

*個人が最初にあなたに連絡した方法と、その個人がどのように識別されたかに関する情報、あなたの名前、電話番号、住所、メールアドレス、ユーザー名などの識別情報、日付、支払いの種類、金額、関連する口座番号 (暗号資産ウォレットを含む)、受取金融機関の名前と住所、受取暗号通貨アドレスなどの金融取引情報等が重要である。

********************************************************************

(注1) チェイナリシス(Chainalysis)は、ブロックブロックチェーン(分散型台帳)データプラットフォーム企業である。本企業は、70カ国以上の政府機関、取引所、金融機関、保険会社、サイバーセキュリティ企業にデータ、ソフトウェア、サービス、および研究を提供している。本企業のデータは、世界で最も注目を集めている刑事事件のいくつかを解決し、消費者の暗号通貨へのアクセスを安全に拡大するために使用されている調査、コンプライアンス、およびマーケットインテリジェンスソフトウェアを強化している。(Chainalysisの英字HPを仮訳)

(注2) マンディアント(Mandiant)は、サイバーセキュリティの最前線で培った脅威インテリジェンスと専門知識のマーケットリーダーとして、世界中の企業、政府、法執行機関から認められている。すべての組織が自信を持ってサイバー脅威に備えられるように、MandiantはMandiant Advantage SaaSプラットフォームを通じてインテリジェンスと専門知識を拡大し、最新のインテリジェンス、アラート調査の自動化、さまざまなベンダーのセキュリティ制御製品の優先順位付けと検証を提供している。(MandiantのHPを仮訳)

(注3) LinkedInは、世界最大級のビジネス特化型SNS、および同サービスを提供するシリコンバレーの企業である。ウェブサイトやモバイルアプリを介し利用することが可能である。2003年5月5日のサービス開始後、アメリカ合衆国を始め、世界各国で普及し、2022年4月現在、登録メンバーは7億5千万人を超す。(Wikipedia から抜粋)

(注4) CP&RMセンター解説「国際緊急経済権限法(International Emergency Economic Powers Act/ IEEPA)」の解説が詳しい。

*********************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserve.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

中国が取り組んでいる国家安全法やサイバー強化法の重要性を最新、正確な情報入手および平易に理解する方法

2022-02-28 17:33:23 | サイバー犯罪と立法

 Last Updated:March 1,2022

 筆者は2017年以降中国の国家サイバー強化やインターネット安全法やプライバシー保護立法の最新動向を紹介してきた。(注0)

 その中で「平成29年度内外一体の経済成長戦略構築にかかる国際経済 調査事業(デジタル貿易に関連する規制等に係る調査)調査報告書」を読んだ。経済産業省の委託研究であり、筆者のレベルをはるかに超える網羅した内容であることは否定しがたい。

 しかし、他方で同報告書も含めペーパーベースの報告書の限界も見えてきた。すなわち、同報告書は今から約4年前に作成されたものである。注記で最終アクセス日が記載されており、詳しい最新情報は機密情報を除き独自に調べざるを得ないと考えるが、さらに専門解説書として読んだ場合、不備な点が多く見られた。

 以下で、具体的な中国の最新法令情報の入手や前記報告書の課題点等を例示する。

1.中国の法令の最新情報の入手方法

(1)情報の入手先の拡大

当然ながら中国政府の公式サイトから入手するのが間違いない。しかし、中国の大手ローファームの情報も有益である。JETROや北大法宝(pkulaw)(中国の法律、条約、判例、逐次刊行物等が提供されている法情報データベース: 法律については100%英訳が併記されている。ただしその閲覧対象は限定されている)のみに頼るのではなく、実際に利用してほしい。

 例えば、「中倫(zhong lun)法律事務所」(注1)(注2)である。同事務所の「データアウトバウンドセキュリティ評価ガイド(ドラフト)の解釈」を読まれたい。

要旨を一部引用し、仮訳すると以下のとおりである。

 「2017年5月27日、国家情報セキュリティ標準化技術委員会(以下「安全基準委員会」)は、「情報セキュリティ技術データの出国安全評価ガイドライン(草案)」(以下「評価ガイドライン」)の草案を公表した。 データ出国安全評価の国家推奨基準として、評価ガイドラインは、データ出国安全評価プロセス、評価ポイント、評価方法などを定め、重要なデータ識別ガイドラインを初めて公表し、27の産業における重要なデータの範囲を網羅し、個人情報や重要なデータの出国評価に規範的なガイダンスを提供し、データフローによるセキュリティリスクを防止するためのガイドラインを定める。・以下。略す・・・」

(2)最新の法令にあたるには

 欧米の中国系弁護士の法解説を引用するとともに、原典にあたるのが手っ取り早い。筆者もそのような手段を引用する時が多い。

2.補足解説が必ず必要

(1)政治体制、法制度が全く異なる中国の法制度を理解するうえで、用語の定義は重要である。具体例で説明する。

人民共和国网安全法 (サイバーセキュリテイ法:インターネット安全法)第1条にいう「公民」とは?「人民」とはどこが違うのか?

(a)「公民」

一般的に言えば、中国国籍の持つ国民であろう。しかし、中国においてそう簡単ではない。

 「1995年に「居民身分証条例」が、翌1996年に「居民身分証条例実施細則」が定められ、国内に居住する満16歳以上の中国公民を公布対象として、「居民身分証」が配布されるようになった。記載項目として氏名・性別・民族・生年月日・住所ならびに15桁の「居民身分証番号」があり、発行日・有効期限・番号・顔写真とともに担当部局である公安機関、すなわち本人の居住地の戸口登記機関の印章を捺しカード型にラミネート加工された後、一人に1枚が交付された。居民身分証番号編成工作の組織・実施主体は公安部であり、番号の編成にあたっては公民の常住戸口所在地を基準として編成される

 実施細則は1999年10月に2度目の改正が行われており、「居民身分証」の番号は公民身分番号を使用することとなった。「戸口登記機関は公民の出生登記を行うとき、公民に公民身分番号を編成する」と定めた。これにより中国の身分証制度は、労働社会保障管理情報システムにも連動することになった。

 2003年には、居民身分証条例が改正され、「居民身分証法」が成立し、非接触式のICカード技術を用いた新しい「第二世代身分証」(第二代身分証)が公布されるようなった。2011年の居民身分証法の改正で指紋情報の登録されるようになった。」(Wikipediaから一部抜粋)

 より正確にいうと公民とは「中華人民共和国の国籍を有する者」の中でも、社会主義体制を擁護する者を意味している概念であると解せよう。「公民の基本的権利」とは、近代立憲主義で想定されている「人」一般の権利とは言えないのである。

 一方、わが国の法律では日本国憲法の条文上「公民」という用語も見受けられない。『法律用語辞典』452 頁では現在の日本で「公民」は以下のように定義される。「現行法令上は、選挙権、被選挙権、直接請求権等の参政権を通じて国又は地方公共団体の公務に参加する地位における国民をいう(労基 7、教基 8①参照)」。

  ここに言う「労基 7、教基 8①」とは、それぞれ労働基準法第 7 条および教育基本法第 8 条第 1 項を意味する。確かに労働基準法第 7 条は「使用者は、労働者が労働時間中に、選挙権その他公民としての権利を行使し、又は公の職務を執行するために必要な時間を請求した場合においては、拒んではならない」と規定しており、「公民」という用語を使っている。そして、かつての教育基本法第 8 条第 1 項も「良識ある公民たるに必要な政治的教養は、教育上これを尊重しなければならない」と規定していた。

 要するに国民としての具体的な公的な権利行使に伴う場合に「公民」というともいえよう。

(中国政法大学(北京)刑事司法学院博士課程 高橋 孝治「「国民」、「公民」、「人民」の日中台比較 (Comparison of “Kokumin” “Koumin” and “Jinmin” in Japan, China and Taiwan)」)から一部抜粋。

(b)中国における「公民」と「人民」について

 中華人民共和国の公民とは、中華人民共和国の国籍を持つ人を指す。 中華人民共和国のすべての市民は法の下で平等である。 国家は人権を尊重し保護している。 すべての公民は、憲法と法律によって定められた権利を享受し、同時に、憲法と法律によって定められた義務を果たさなければならない。

 「中華人民共和国憲法」第33条は、中華人民共和国の国籍を持つすべての人が中華人民共和国の公民であると規定している《中华人民共和国宪法》规定 第三十三条 凡具有中华人民共和国国籍的人都是中华人民共和国公民。)

(中国オンライン百科「中华人民共和国公民」を抜粋、筆者が仮訳)

(https://baike.baidu.com/item/%E4%B8%AD%E5%8D%8E%E4%BA%BA%E6%B0%91%E5%85%B1%E5%92%8C%E5%9B%BD%E5%85%AC%E6%B0%91/4950422)

【原文】

第三十三条 凡具有中华人民共和国国籍的人都是中华人民共和国公民。

中华人民共和国公民在法律面前一律平等。

国家尊重和保障人权。

任何公民享有宪法和法律规定的权利,同时必须履行宪法和法律规定的义务。

【訳文】

第三三条(法律の前の平等、人権・権利及び義務)

1.およそ中華人民共和国国籍を有する人は、中華人民共和国公民である。

2.中華人民共和国公民は、法律の前において一律に平等である。

3.国家は、人権を尊重し、及び、保障する。

4.いかなる公民も、憲法及び法律が定める権利を享有し、同時に、憲法及び法律が定める義務を履行しなければならない。

(2)中華人民共和国憲法における基本的人権

(a)中国憲法は、第2章で「公民」の基本的権利と義務を定めている。2004年の改正までは「人権」という用語はなかった。ここにいう「公民」とは、中国という政治社会の一員であって、そのことにより憲法が定める権利の主体となるという考え方に基づいている。日本国憲法において国民の権利とされるものは、国籍が重要な要件となる場合を除いては、日本国籍を有する者に限られないと解されている。それは日本国憲法が人権という考え方を基礎としているからである。

 中国憲法33条は中華人民共和国国籍を有する人を「公民」としているので「国民」と訳すこともできる。国家の一員であって初めて権利の主体となることが合意されているので、「市民」という訳も可能である。どう訳しても説明が必要な言葉である。

 中華人民共和国国籍を有する人の集合を「公民」とすると、その大部分は「人民」であり、それ以外に少数ではあるが「人民の敵」となる人々がいるというのが中国の法や政治の発想である。憲法1条に言う人民民主独裁と言う時の「人民」や、憲法2条が「中華人民共和国の一切の権力は、人民に属する」と言う時の「人民」はこれである。(百度百科 (https://baike.baidu.com/item/%E4%B8%AD%E5%8D%8E%E4%BA%BA%E6%B0%91%E5%85%B1%E5%92%8C%E5%9B%BD%E5%85%AC%E6%B0%91/4950422) を筆者が仮訳

(b)・・「人民主権」原理に立脚すれば、必ず広範な参政権の保障が求められる。周知のように、中国では、国民の政治参加に関わる詳細な規定が欠けている。郷鎮レベルと県レベルの人民代表大会代表しか選挙民の直接選挙により選出されないと規定されており(『中華人民共和国全国人民代表大会和地方各級人民代表大会選挙法』第 2 条。『中華人民共和国全国人民代表大会和地方各級人民代表大会選挙法』は、以下、中国選挙法と略す)、直接選挙の実施レベルは低く、人民代表大会、人民代表から一切の直接民主制や解散制度を排除することによって民意からの独立を保障しようとする。

 人民代表大会代表の定数は、農村代表 1 名が代表する人口数を、都市代表 1 名が代表する人口数の 4 倍とする原則に従い配分する(中国選挙法第 12 条、第 16 条)。以下、略す。

(「中国における主権原理の研究―国民主権と人民主権との関連から」 から一部抜粋)

(2)国務院(同報告書p.158)の機能や権限とは

【概要】

 中華人民共和国憲法の規定によると、国務院は中華人民共和国の中央人民政府で、最高国家権力機関(全国人民代表大会および全国人民代表大会常務委員会)の執行機関であり、最高国家行政機関である。国務院は全国人民代表大会に対して行政上の責任を負い、業務を報告する義務がある(大会閉会中は全国人民代表大会常務委員会に対して責任を負い、業務報告の義務がある),最高軍事指揮機関は中央軍事委員会;最高司法機関は最高人民法院、最高人民検察院、国家監察委員会。

 国務院の構成は「中華人民共和国国務院組織法」によって定められている。(Wikipedia )

中国法ブログ「国務院」参照

(3)中国国務院の現下の課題例

 以下のポートをあえてあげる。

① 日本総研調査部 主任研究員 佐野 淳也「中国習近平政権による国務院改革―重点は許認可権限の見直しと管理機能の統合―」(太平洋ビジネス情報 RIM 2013 Vol.13 No.50)

②JETRO「【中国・潮流】13年ぶりの長期計画にみる知的財産強国への布石」

*****************************************************

(注0) 2017.8.1 「中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その1) 」( 4分割)

2017.9.7「中国のサイバーセキュリティ法施行にあわせた4ガイドライン草案の内容並びに関係法制整備等の概観(その1)」

2017.9.9 「中国のサイバー空間統治の制度・規制面からの進展」(法律、規則/法令/ガイダンス、国家戦略/計画、標準化等)の体系的理解」

2021.7.10「中華人民共和国が『データ安全保障法(データセキュリティ法):中华人民共和国数据安全法)』を可決」

(注1) 1993年に設立された中倫法律事務所は、中国司法省が承認した最初のパートナーシップ法律事務所の1つである。中倫は中国最大の総合法律事務所の1つとなっており、1993年に設立された中倫法律事務所は、中国法務省が承認した最初のパートナーシップ法律事務所の1つです。24の事業分野、19の産業分野.360名以上のパートナー弁護士、世界で東京を含む18のオフィスを擁する(同事務所のHPを仮訳)。

( 注2) 中国法務省の法令解説サイト、法律で英訳があるのは以下のみである。

2019-07-05

Constitution of the People's Republic of China

2021-06-22

Civil Code of the People's Republic of China

2021-06-22

Law of the People’s Republic of China on Foreign Investment

2021-06-22

Law of the People’s Republic of China on the Protection of Investment of Taiwan Compatriots

2021-06-23

Regulations of the People's Republic of China Concerning Diplomatic Privileges and Immunities

2021-06-23

Judges Law of the People's Republic of China

2021-06-24

Procurators Law of the People’s Republic of China

2021-06-24

Law of the People's Republic of China on Community Corrections

2021-6-26

Vaccine Administration Law of the People’s Republic of China

2021-6-26

Law of the People's Republic of China on Basic Medical and Health Care and the Promotion of Health

法務大臣:唐一军 氏 (国務院のメンバーでない)

******************************************************************:

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

欧州議会が可決した新EU規則は児童虐待を検出するためオンライン・グルーミング・メッセージのスクリーニングを可能にする一方でプライバシー保護面から多くの異論(その1)

2021-07-25 10:59:22 | サイバー犯罪と立法

 7月6日のEUROACTIVの記事を読んだ。表題のみではなにが問題であるのかが皆目わからなかった。その答えを見出すのに半日かかった。

 結論を要約すると5つポイントがある。

 (1)欧州委員会が2020年は児童虐待を含む約400万件の画像と動画が報告され、同じ時期に、未成年者と仲良くするために性的捕食者によって使用される技術に関し1,500の報告がグルーミング(オンラインを介して相手の警戒心を解き信頼を得ようとすること(child grooming ; sexual grooming))のために提出された。これらに対応するためEUでは現行”ePrivacy Directive”があるものの、同委員会が策定した新しいEU暫定規則は、ハイテク企業が未成年者の性的虐待や子供を教育する試みを描写した資料を検出して報告することを目的として、自発的に対人コミュニケーションを監視できるシステムための法的枠組みを提供するものである。(注1)

 (2)米国に拠点を置くNGO「ソーン(Thorn)」は、過去15年間に報告されたグル―ミング・ファイルが15,000%増加したと指摘し、今回の新しいEU暫定規則を歓迎した。我々はオンライン児童の性的虐待の世界的な危機に直面しており、この戦いで後退する余裕はないと述べ、、Microsoft、Roblox、The Meet Groupなどのパートナーと協力して、特にマイクロソフトが、小児性愛者を検出するツールを開発、単語や話し方のパターンから自動検知するシステム”Project Artemis”等最近さらに一歩前進したと論じている。

 他方、(3)欧州議会、欧州評議会、欧州データ保護監察機関(EDPS)、人権擁護団体であるEDRi等が強く反論している。

 また、(4) 2021年2月10日、EU加盟国は、ePrivacy Regulation案に対するEU理事会の交渉義務に合意し、これにより、欧州連合理事会は、ePrivacy 指令(2002/58 / EC)に代わるePrivacy 規則の最終版について欧州議会との交渉を開始できるようになったが”ePrivacy Regulatin”とGDPRの関係である。この問題はEU内でも比較的詳しく論じられていない。2021.4.21 英国・ドイツ独立法律事務所activeMind.legal等が詳しく整理しているので併せて引用する。

 最後に、(5)児童虐待規制立法の先進国(?)である米国や、ドイツ、英国等の状況を概観しておく。

 これらを1回のブログで網羅できるか自信がないが、少なくとも筆者の手元に集めた資料をできる限り、整理、一覧化したい。

 また、”ePrivacy Regulation”に関する検討経緯や概要については、2021年4月6日インターネットイニシアティブ 鎌田博貴「ePrivacy規則 閣僚理事会案について」や2020.11 5 第21回総務省:プラットフォームサービスに関する研究会(第21回)配布資料4「EU・eプライバシー規則(案)に関する議論の状況」P.13 (注2)が詳しくかつ体系的に解説している。この問題自体が別途論じるテーマであるため機会を改める。

 なお、2回に分けて掲載する。

1.欧州委員会の問題意識と暫定規則案の主なポイントおよび議会の採択

(1)欧州委員会の暫定規則案策定の経緯と規則案

  2021年月4月29日付けの欧州委員会のコミュニケがこれまでまのでの経緯を含め今後のEUの取組を明らかにしているので仮訳する。

○ 欧州委員会は、通信サービスにおけるオンラインでの児童の性的虐待の検出に関する暫定立法に関するる欧州議会と欧州連合理事会の間の本日の政治的合意を歓迎する。

 この法的調整は、2020年12月21日時点でePrivacy 指令7/7(27)の下で児童の性的虐待をオンラインで検出して報告し、児童の性的虐待資料を削除するための自発的な措置において、ウェブメールやメッセージングサービスなどの特定のオンライン通信サービスに法的確実性を与えるために緊急立法が必要であった。

 新しい規則は、プライバシーと個人データの保護を保護するための保証を提供する。すなわち、自主的な措置は、被害者の特定と救助を可能にし、児童の性的虐待資料のさらなる普及を減らすうえで重要な役割を果たし、犯罪者の特定と捜査、犯罪の防止に貢献する。

○本日合意された暫定規則は狭い範囲を持っている。すなわちそれらはオンライン通信サービスの自発的な検出活動に関する一時的かつ厳密に制限された部分的廃止(derogation)を作成する。本日の議会での合意の主な要素は次のとおりである。

○ この暫定規則は、その適用から遅くとも3年以内に適用されなくなる。 「児童の性的虐待とのより効果的な戦いのためのEU戦略」および「2021年の委員会作業プログラム」で発表したように、本委員会は2021年後半にオンラインとオフラインで児童の性的虐待と戦うための詳細な保護手段を備えた新しい包括的な法律を提案する。 これらの長期適用規則は、本日合意された暫定法に取って代わることを目的としている。

児童の性的虐待に関する既存のEU規則(児童の性的虐待を構成するコンテンツや児童の勧誘など)に沿ったオンラインでの児童の性的虐待の定義を行う。

②誤って削除されたコンテンツをできるだけ早く復元できるようにする苦情対応のメカニズムを策定する。

③必要に応じて、公的利益のために行動する法執行当局または組織に報告する前に、個人データの処理に対する人間による監視ができることとする。

④プライバシーを保護するための保証:

 サービス・プロバイダーは、オンラインで児童の性的虐待を検出するために使用する技術がプライバシーに最小限に侵入しないようにする必要がある。

⑤データ保護対策:

 サービス・プロバイダーは、オンラインで児童の性的虐待を検出して報告し、児童の性的虐待資料を削除するために、処理に関するデータ保護当局と協議する必要がある旨を明確化した。また、欧州データ保護会議(EDPB)は合意された規制の範囲内で処理の一般データ保護規則(GDPR)の遵守を評価する際に関係当局を支援するためのガイドラインを公開するよう求める。 

⑥ 欧州委員会は、児童の性的虐待に対して公共の利益のために行動する組織の公的なレジスタを確立する必要があり、オンライン通信サービス・プロバイダーは、自発的な措置に起因する個人データを共有することができる。

⑦ 年次透明性レポートによりサポートされるべき透明性と説明責任を担保する。

⑧ 暫定規制の適用を3年間とする制限は、この分野での長期法制の採用のための検討時間を可能にする。

○ 次のステップ

 現在、暫定規則は欧州議会と欧州連合理事会により正式に採択されなければならない。この暫定規則は、その適用から遅くとも3年以内に適用されなくなる。

【暫定規則案の提案の背景】

 児童の性的虐待に対するより効果的な闘いのためのEU戦略で発表したように、委員会は2020年9月に、ウェブメールやメッセージング・サービスなどの特定のオンライン通信サービスの提供者が、これらのサービス・プロバイダーが、欧州電子通信コードの近代化された定義により、電子プライバシー指令(ePrivacy Directive)の範囲内に入った場合、児童の性的虐待をオンラインで検出して報告し、2020年12月21日を超えて児童の性的虐待資料を削除するための自主的な措置を継続できるようにするための暫定法案を提案した。

 現行のe-Privacy指令には、児童の性的虐待をオンラインで検出して報告し、児童の性的虐待を取り除く目的で、コンテンツや交通データを自主的に処理するための明示的な法的根拠は含まれていない。今回提案された暫定規則案は、これらのプロバイダーがオンラインで児童の性的虐待を検出して報告し、サービス上の児童の性的虐待資料を削除するための活動を維持することを可能にする一時的かつ厳密に制限された規則の部分的廃止の根拠となる。

(2) 欧州委員会の暫定規則案の議会の可決に関するRACTIVの記事仮訳

 欧州議会は、7月6日、電子通信サービスの提供者が児童の性的虐待を描写した資料を含むプライベート・オンライン・メッセージをスキャンして報告することを可能にする一時的な措置であるが、逆にePrivacy指令の保護低下に繋がる欧州委員会の規則案EU規則最終版(final Reulation) COM(2020) 568 finalを採択した。また、この規則は、IT企業が違法なグルーミング技術を検出するために承認された技術を適用することをも可能にする。

 「この暫定規則は、企業の不確実性を終わらせるが、それは子供たちに危険を終わらせるものではない。これは、急性の緊急事態を修正するための一時的な解決策に過ぎない。本来は「子どもたちに対する永続的な脅威に対抗するための恒久的な答えが必要である」と、イルバ・ヨハンソン( Ylva Johansson)欧州委員会の域内担当委員は7月5日に欧州議会で法案を提示した。

 Ylva Johansson 氏

 欧州委員会によると、2020年は児童虐待を含む約400万件の画像と動画が報告された。同じ期間に、未成年者とえせ友だちとなるために性的捕食者によって使用される技術に関し1,500の報告がグルーミングに関し提出された。ユーロポール(Europol)によると 、COVID-19パンデミックの間にこの状況はさらに悪化している。

(3)プライバシー vs. 児童の保護

  新しいEU規則は、ハイテク企業が未成年者の性的虐待や子供を教育する試みを描写した資料を検出して報告することを目的として、自発的に対人コミュニケーションを監視するシステムための法的枠組みを提供するものである。

 米国に拠点を置くNGOである「ソーン(Thorn)」は、過去15年間に報告されたファイルが15,000%増加したと指摘し、今回の新しいEU規則を歓迎した。「我々はオンライン児童の性的虐待の世界的な危機に直面しており、この戦いで後退する余裕はない」とソーンの対外関係担当副会長VPのサラ・ガードナーは述べた。

Sarah Gardner氏

 しかし、他方このEU規則はあまりにも押し付けがましく、民間通信の無差別監視を可能にしていると批判されている。EUの公的プライバシー・ウォッチドッグである欧州データ情報保護監察機関(EDPS))は、2020年11月10日の拘束力のない意見の中で、今回の措置とプライバシーの基本的権利との互換性に疑問を呈した。同様の懸念は、欧州評議会の報告でも表明された。

 プライベートな会話のスキャンは、人工知能を搭載した自動コンテンツ認識ツールを通じて行われるが、人間の監督下で行われる。サービス・プロバイダーは、データ保護当局との協議の後、相手の警戒心を解き信頼を得ようとしないアンチ・グルーミング技術を使用することもできる。

 欧州デジタル人権と自由権擁護ネットワーク(EDRi)の政策責任者であるディエゴ・ナランホ(Diego Naranjo)はEURACTIVに対し、この欧州委員会の提案は「あまりに急いだ」と述べ、「議論は合理的から感情的な議論に移された」ため、プライバシーの権利とオンラインで子供たちを保護する必要性とのバランスを取ることができなかったと語っている。

(4)物議を醸す結果

 最終的な規則文案を交渉するに当たって、欧州議会はいくつかのプライバシー上の懸念を提起した。つまり、交渉をリードするMEPであるBirgit Sippelの主な改善点には、通信のスキャンの可能性についてユーザーに明確に知らせることが含まれ、明確なデータ保持期間と技術の展開に関する制限も含まれていた。

Birgit Sippel 氏

 しかし、MEPパトリック・ブライアー(Patrick Breyer )は、自動化されたツールが86%のケースで関連性のないコンテンツを報告し、ユーザーに通知されることなく民間組織や警察当局に不審な通信を開示することになると述べ、最終的な妥協案を批判した。

Patrick Breyer  氏

 プライバシーに関する懸念は、ヌード写真やセックスなどの成人間の正当な私的コミュニケーションを暴露するリスクに関連し、虐待の扉を開く可能性がある。

 5Rights FoundationのEU担当責任者であるレアンダ・バリントン・リーチ(Leanda Barrington-Leach)にとって、新しい規則は「EU憲章の要求に応じて、プライバシー権の潜在的な乱用と子供の最善の利益の優先順位を考慮して、児童の性的虐待の非常に現実的で進行中で凶悪な犯罪に比例した対応」を提供すると評価した。

 一方、児童虐待の元被害者であるアレクサンダー・ハンフ(Alexander Hanff)は反対する。彼は新規則の条項を公然と批判し、機密カウンセリングのために被害者のチャンネルを奪うと主張した。「子どもたちが虐待されるのを防ぐものではなく、虐待をさらに地下に追いやり、発見をますます困難にする。それは最終的により多くの子供たちが虐待されることにつながる」と、ハンフが強く述べた。

(5)EUの児童の性的虐待問題に対処すべく長期的な立法計画

  2021年の初め、EU法に基づく「電子通信の定義」は、メッセージング・サービスも含むように変更された。(注3)その結果、プライベート・メッセージは、EUのプライバシー・フレームワークであるGDPRの範囲内ではなく、「2002年ePrivacy指令」を適用することとなった。

 GDPRには児童の性的虐待を検出するための措置・規定が含まれているが(注4)、ePrivacy指令には当てはまらない。法的体制の変更により、多くのオンライン・プロバイダーは自発的な報告を停止させ、2021年初からこれまで53%減少した。

(6)ePrivacy暫定規則の関係でみる「デジタル・サービス法案」(注5)

 2017年、欧州委員会はePrivacy指令を改訂する提案を出したが、交渉は何年も停滞しており、代わりに一時的な措置を講じなければならなかった。今回の一時的な解決策は2025年12月31日まで実施されるが、改訂されたePrivacy指令が発効する時点ではいつでも廃止されうる。

 一方、2020年12月15日、欧州委員会は、「デジタルサービス法(Digital Services Act:DSA)」) (欧州委員会の解説サイト「デジタル市場法(Digital Markets Act:DMA)」 (欧州委員会の解説サイト)と題する新たなデジタル・プラットフォーム規制法案を欧州議会と欧州連合理事会に提出した。

 両法案の内容をそれぞれ一言でまとめるならば、DSAはデジタル・プラットフォームに対して違法コンテンツへの対策を求めるものであり、DMAはデジタルプラットフォームによる自社サービスの優遇を禁止するものと言える。(2021.6.28  情報通信総合研究所 主任研究員 鈴木 康平「EUのデジタルサービス法案の概要・検討状況と日本のデジタルプラットフォーム規制との関係」から一部抜粋。なお、このレポートは丁寧に解説されているが、注記のURLリンクに関してほとんどがエラーとなる。筆者のブログのように掲載時に直接リンクを張ることで読者のデータの原データの確認作業が大幅に軽減できるし、正確性が高まるといえる)

 DSAの対象となるのはプロバイダ-であり、サービスの種類ごとに、①仲介サービス(intermediary service)、②ホスティング(hosting)、③オンライン・プラットフォーム、④超巨大プラットフォーム(Very large online platforms)の4つに分類される。特に筆者は以下のプロバイダの免責に関する規定に注目した。

 すなわちホスティングサービスのプロバイダ-は、①違法行為等を知らないこと、又は、②違法と知った場合には、違法なコンテンツを速やかに削除又はアクセス不可の措置をとること、を満たす場合、保管された情報について責任を負わない(5条)。この規定は電子商取引指令14条に相当するが、電子商取引指令にはなかった内容として、オンライン・プラットフォームの消費者法上の責任について、平均的かつ合理的な消費者が、提供されている商品等について、オンライン・プラットフォーム自身やその支配下等にあるサービス受領者によって提供されていると信じるような方法で提供されている場合には免責されない旨の内容がDSAには追加されている(5条3項)。関連して、DSA前文18段では、仲介サービスプロバイダが中立的にサービスを提供するにとどまらない場合(提供された情報を単に技術的・自動的に処理するだけでなく、その情報に関する知識を得たり、管理したりするような積極的な役割を果たす場合)には、DSAの免責は適用されないとされている。

 また、プロバイダーには、送信又は保存する情報を監視する義務や、違反行為を積極的に探す義務は課されない(7条)。この規定は電子商取引指令15条に相当するが、電子商取引指令では、プロバイダーに対して、そのサービス利用者が行った違法行為や提供した違法な情報を管轄当局に通知する義務を課すことを加盟国が定めることができるとしているものの、義務を課すための具体的な要件は定められておらず、加盟国の判断に委ねられていた(電子商取引指令15条2項)。DSAではそのような義務は課されていないが、代わりに犯罪行為が疑われる場合の法執行機関への報告がオンライン・プラットフォームに対して義務化されている(21条)(前記 鈴木 康平  「EUのデジタルサービス法案の概要・検討状況と日本のデジタルプラットフォーム規制との関係」から一部抜粋)。

 欧州委員会は、2021年末までに児童の性的虐待とオンラインおよびオフラインで戦うための包括的な法案の提案を見込んでいる。

2.Microsoft、Thornおよび他のパートナーの新しいグルーミング防止ツール

(1) 2020.2.11 Thorn「Microsoft、Thorn、およびパートナーの新しいグルーミング防止ツールに会おう]仮訳する

○この新しいグルーミング防止技術について知っておくべきこと

テクノロジーは強力なツールである。子供たちをオンライン上で安全に保つために使用することを決定できる。

ソーンでは、子供たちがテクノロジーと対話し、安全で好奇心が強く、幸せでいられる世界を構築することを固く信じている。その世界を構築するにはさまざまなソリューションが必要であり、Microsoft、Roblox、The Meet Groupなどのパートナーと協力して、最近さらに一歩前進した。

 ”Project Artemis”という言葉を聞いたことがあるかもしれない。 これはツールに関連することが多い用語であるが、実際には元々、内部目的のコードネームとしてのみ使用することを目的としていた。 混乱を避けるために、この新しいグルーミング防止ツールをProjectArtemisの前進とは呼ばない。

 しかし、この問題はそれほど重要ではない。これは、子供たちのオンライングルーミングを検出し、IT企業や通信事業者がいつどこでそれを中断して報告するのに役立つ、初めての手法である。 

A.このアンチ・グルーミング・ツールはどのように始められたか?

  オンラインによる略奪的グルーミングは、子供を性的搾取に強制するために子供の信頼を得るために設計された戦術または一連の戦術といえる。身だしなみは、性的虐待、性的虐待、人身売買につながる可能性がある。

 最近のニューヨークタイムズの記事は、マルチプレイヤービデオゲームのチャット機能を介してグルーミングが急増していることを指摘している。ソーンは、ユーザー生成コンテンツをホストする、またはピアツーピアの相互作用を可能にするすべてのプラットフォームが、グルーミングや悪用が発生する可能性がある場所であることを知っている。

 ニューヨークタイムズの記事の1年以上前に動いていたアンチグルーミング・テクニックを実際入力してみてください。このツールは、2018年後半にオンライングルーミングに対処するためにMicrosoftが主催したハッカソン(注6)中にシードされたものである。

 ”WePROTECT Global Alliance””Child Dignity Alliance”が後援するこのハッカソンには、Roblox、Kik、Thorn、The Meet Group、Microsoftなどの技術リーダーのチームが集まった。このプロジェクトは、児童の性的搾取の画像をオンラインで検出して報告するためのPhotoDNAツールを開発したカリフォルニア大学バークレイズ校情報学部の教授で副学部長であるHanyFarid氏が主導した。教授の専門はデジタルフォレンジック、フォレンジックサイエンス、偽情報、画像分析、および人間の知覚 などである。

HanyFarid 氏

B.アンチグルーミング・ツールは何ができるのか

 これは、テキストベースのチャットをスキャンしてグルーミングの可能性を探り、個々の企業がグルーミングの可能性を監視して法執行機関に報告できるようにする手法である。

 それは、子供の性的虐待グループを混乱させ、IT企業や通信事業者等がそれが実施されたプラットフォームでのグルーミングを報告できるようにするのに役立つ。

C.グルーミング防止ツールは誰が使用できか?

 プラットフォームでのオンラインの略奪から子供を保護しようとしているチャット機能を備えたテクノロジー企業は、この技術の無料使用を申請できる。法執行機関および非政府組織(NGO)も申請する資格がある。

 このツールのライセンス取得と配布はThornによって管理されている。 2020年1月の時点で、ソーンはMicrosoftからツールの管理を移行し始めた。これは、2020年の春までに完了する予定である。アクセスに関心のある方は、antigrooming [at] thorn.orgに問い合わせてください。

D.グルーミング防止ツールの次は何ですか?

 ThornのCEOであるJulie Corduaが語ったように、「プラットフォームが失敗した自己管理の慣行から離れ、子供の手入れや虐待の予防的な防止に向けて動く時が来た」

  この手法は完全な解決策ではないが、この戦いで積極的になるための大きな前進である。デジタル・ツールボックス(注7)に追加されたすべてのテクノロジーは、ソーンのテクノロジー・ベースのアプローチの影響を増大させる。ツールを追加すると、ツールもシャープになり、強化される。

 今後もパートナーと協力して、新機能の開発、言語の追加、新しい機能の構築を行っていく。私たちは、現場でこの手法を利用している企業や組織と協力して、反復し、継続的に改善する。

 インターネットから児童の性的虐待を排除することができる。チームとして最先端のテクノロジーを構築および実装することは、子供が安全で好奇心旺盛で幸せな世界を作るための重要な構成要素である。

 これは重要なマイルストーンであるが、ほんの始まりにすぎない。

(2)分かりやすい解説例

 2020.1.22 Gizmode「マイクロソフトが、小児性愛者を見つけるツールを開発。単語や話し方のパターンから自動検知」Technology Reviewの日本語訳)

一部抜粋する。

「そんな親の心配は万国共通。だから、マイクロソフトはオンラインで子供をターゲットとした性犯罪者を自動検知するシステム「Project Artemis」を作ったとTechnology Reviewが伝えた。

 Technology Reviewが伝えた詳細によると、「Project Artemis」は、単語や話し方のパターンに基づいて、チャットの参加者が繕っているかの可能性を評価するのだそうだ。スコアを設定して、一定のスコアを超えるとフラグ付けされた会話がモデレーターに送られてレビューされるそうでである。モデレーターが危険と判断すれば、法執行機関に報告することもあるとのことである。

 また、児童保護の専門家の協力で、ペドフィリア(pedophilia:小児性愛者)がオンラインでどのような活動をしているのかも把握できるそうである。

 どのような単語や話し方がペドフィリア認定の材料になるのかは明かされていないので詳細はわからないが、例えば、大人が年齢を偽って子供の振りをしようとした時なんかに違和感が出たりするのかもしれない。

 マイクロソフトはこの技術を「Xbox」や「Skype」で数年間使ってきたそうである。そして今後は、子供たちをペドフィリアから守るために技術開発している非営利団体の「Thorn」を通して、オンラインチャットを運営している企業に無料提供する予定になっているそうだ。

3.欧州評議会、欧州データ保護監察機関(EDPS)、人権擁護団体であるEDRi等のプライバシー保護面からの具体的問題提起

 (1) 2020.12.11 欧州評議会の欧州委員会の草案に対する修正意見報告

 【立法の正当化理由】

  オンラインでの児童の性的虐待の問題は非常に深刻であり、被害者の生活のあらゆる面でそのようなひどい結果を伴うため、決して軽視することはできない。同様に、インターネットの使用が爆発的に増加し、そのツールやアプリケーションが増え続けることで、ポルノ・コンテンツを検索する消費者の天国になった。データによると、最年少のインターネットは12歳から17歳までの範囲であり、ポルノ素材への依存は、ポルノが人体、女性と男性の間の関係と相互作用のひどく歪んだ見方を提示するので、人間の心に重大な影響を及ぼす。これに、ミラの非常にカバーされたケースのように、脆弱な女性と少女を対象とした性的ネットいじめの増大する問題を追加する必要がある。後者は、フランスのLGBT女子高生で、2020年の初めに保護下に置かれ、イスラム教を批判した後、インターネットでのオンラインレイプと殺害の脅迫を受けて学校から退学させられた。

 最後に、何年にもわたって提起されてきた性的虐待の虚偽の申し立ての事件は、加盟国の関連当局がこれらの故意に作成された事件の作者が完全に法的責任を負うようにあらゆる措置を講じることを正当化する。一般に、子供に対する性犯罪の疑いの段階から、犯罪者に対する起訴と制裁に至るまで、正義が勝つためにはすべての予防措置とベストプラクティスを適用する必要がある。

 見たところ、子供に対する刑事性的行為の虚偽の告発のために開始された手続上の誤りまたは刑事事件は、時には罪のない市民を制裁することによって正義の道を混乱させる可能性がある。したがって、女性または男性がオンラインの児童性的虐待の疑いの対象となった場合、無罪の推定の原則が決して無視されないことが重要である。

 オンラインでの児童性的虐待の根底にある問題に取り組むには、他の戦略の中でもとりわけ、学校と保護者が協力して、自分自身、自分の体、自分のイメージ、尊敬の観点から関係を築くように子供たちを教育する必要がある。

 自分自身と他人を尊重することは、身体を客体化することなく、感情的および精神的な次元で人間を評価することから生じる。

 最後に、有罪判決を受けた児童虐待者に関する十分なデータが入手できないことを残念に思い、有能な関係者がこの点で彼らの努力を強化することを要求する。ただし、これは、委員会の提案に記載されているように、必要かつ法的に許可されている場合に限り、電子プライバシーの権利に関する措置を講じることの重要性と矛盾しない。 

 (2)Data Guidanceから抜粋、仮訳

 欧州データ保護監察機関(「EDPS」)は、2020年11月11日に、「プライバシーおよび電子通信に関する指令(2002/58 / EC)(ePrivacy Directive)」からの一時的な低下させる欧州委員会の提案に関する意見7/2020(Opinion 7/2020)」(注8)を発表した(オンラインでの児童の性的虐待と闘うことを目的とした「ePrivacy Directiveの改正案)。特に、EDPSは、エンドユーザーとその権利がこれらを使用する際に効果的かつ平等に保護されることを保証する目的で、同等のオンラインサービスを含むように「電子通信サービス」の概念を拡張することが欧州議員の目的であることを強調した。 ePrivacy Directiveからの委任に関連する問題は、法執行目的のコラボレーションを目的としたすべてのイニシアチブに適用される。

 より具体的には、以下の目的で個人データおよびその他のデータを処理するための、番号に依存しない対人通信サービスプロバイダーによる技術の使用に関する”ePrivacy Directive”の特定の規定からの逸脱を管理する将来の規制に関する欧州委員会の提案に基づいてオンラインでの児童の性的虐待との闘いにおいて、EDPSは、通信の機密性が最も重要であり、欧州委員会の提案で概説されている措置は、インスタント・メッセージング・プラットフォームおよびアプリケーション含む広く使用されている電子通信サービスのユーザーの私生活とデータ保護を尊重する基本的な権利と矛盾することに留意した。

 さらに、EDPSは、とりわけ同委員会の提案が一般データ保護規則(EU規則(EU)2016/679):GDPR)の意味の範囲内で処理するための法的根拠を提供するかどうかを明確にする必要があると概説した。

  また、個人データが影響を受ける人がデータが悪用のリスクから効果的に保護されることを十分に保証できるように、新規則には問題の措置の適用と最小限の保護措置の適用に関する正確な規定を含める必要がある旨論じた。 

(3)人権擁護団体であるEDRi政策代表Diego Naranjo氏の暫定規則の反対意見仮訳

Diego Naranjo氏

 本質的に、欧州議会で採択された暫定規制(2022年12月に有効でなくなる一時的な規制である)は、特定のサービスプロバイダーが常にすべての通信の自主的なスキャンを継続し、オンライン児童性的虐待資料(CSAM)を検出して当局に報告することを可能にする。最後の規則案のテキストは、 ここ にある。

 A.なぜ私は懸念する必要があるのか?

 全体として、この法律は、民間企業によるすべての通信の継続的な自主的なスキャンを合法化するという意味で否定的な意味で進化である。暫定規制の範囲内のサービスは、Facebookメッセンジャーのメッセージ、出会い系Tinderチャット、電子メール、および将来的に発生するその他のオンラインコミュニケーションを含むePrivacy指令と同様に広く定義されている。

B.こんまま続けていいか? ビッグテックはすでに私のプライベートコミュニカティションを引き起こしているのか?

 これは驚くべきことであるが、最初の提案では、未定義の数のプラットフォーム/サービスがすでに暗号化されていないプライベート通信をスキャンしていたことが明らかになった。欧州委員会がそのような実務慣行の法的根拠は何かと尋ねられたとき、彼ら自身が手がかりを持っていなかったことを認めた。つまり、エンドツーエンドの暗号化通信を使用していない場合は、サービスを実行している会社が通信をスキャンする可能性があると仮定する必要がある。

C.メッセージの自主スキャンの可能性? 誰がそんなことをするのか?

 いい質問である!自主スキャンしているサービスやアプリケーションの公式リストはないが、Facebookは少なくともすでにこれを行っているように見えるし、他の人がフォローする可能性がある。すなわち、あなたのティンダースパイシー(わいせつな)会話もスキャンされるかもしれない。

D.なぜ今、規則を制定するのか?

 第一に法的な理由がある。欧州電子通信コード(EECC) (注9)が施行されたため、ほとんどのオンライン通信サービスや事業者はプライバシーと機密性を尊重する義務がある。我々はすでに別のところで説明したように、これは良いニュースだったはずですが、弱いプライバシーと通信の機密性の支持者は、これらの新しいルールを施行することは、EUが「小児性愛者のための安全な避難所(“safe haven for peadophiles”)」になることにつながると主張した。

第二の理由は、Facebookがエンドツーエンドの暗号化でFacebookメッセンジャーの会話を暗号化することに決めたということである(それは他の製品WhatsAppの場合と同様である)。これらの会話を暗号化すると、Facebook(および他の誰も)があなたの会話の内容を読むことを妨げ、これらのプラットフォームで検出されるCSAM(Child Sexual Abuse Material :オンラインの性的な児童虐待画像)の数が減少すると言われている。その結果、彼らはこれが裁判所に連れて行かれる容疑者の数を減らすことになるだろうと主張している(そして、より違法な資料が広く集められている)。

E.この狂気の施策はいつまで続くのか? 私は何かを行うことができるか?

  暫定規制は2022年12月まで施行され、その間に長期的な立法による解決が開発され、採択される予定である。CSAMに関する長期適用法は、2021年10月に欧州委員会によって提案される予定でである。暫定規制に関しては、我々ができることは何もありません。しかし、私たちの地元のデジタル著作権団体に連絡し、採用されたばかりの法律に代わる今後の長期的な法律の前にどのように役立つかを尋ねることを勧奨する。

F.暫定規はプライバシー保護からどのように見えるか?

 一言で言えば、この暫定規制の最悪の側面は、例えばテロや「国家安全保障」の実現を防ぐために、企業や政府があなたの私的なコミュニケーションやオンラインインタラクションを読むことを可能にする危険な前例を作り出すということである。

 また、暗号化が犯罪者を保護するという一般的で繰り返しの物語を提供する(欧州委員会からのこのツイートでは、暗号化に関するポイントはバラクラバを身に着けている人によって示されている)。欧州議会の議長によると、議論は急いで、巨大な圧力を受けた。彼らは、欧州連合司法裁判所((CJEU))の前に異議を申し立てられた場合、今回の暫定規則は深刻な分析に抵抗しないだろうと言ってさらに進めた。

**************************************************************************************:

(注1) なぜ欧州委員会が3年間という期間限定の暫定規則をとりまとめたのかが疑問である。つまり、委員会の真の狙いは長期的観点にたった””ePrivacy regulationの早期決定することではないか。現に2019年9月の規則案での追加条文第6d条(注2)で見てのとおり、これらデータ処理企業に児童ポルノを構成する要素の検出、削除および報告することのみを目的とした行為は許可されると書いてある。

 欧州委員会の真の狙いはマイクロソフトが提供する、小児性愛者を検出するツールを開発、単語や話し方のパターンから自動検知するシステム”Project Artemis”に法的根拠を与えることだけなのか。

(注2) 2019年9月時点のePrivacy regulation (draft)の新規提案を読んだ。原文はここp.60である。

 訳文は2020.11 5 第21回総務省:プラットフォームサービスに関する研究会(第21回)配布資料4「EU・eプライバシー規則(案)に関する議論の状況」P.13である。ただし、この条文が今回欧州委員会がまとめた暫定規則に該当するか否かはなお、調べてみたい。

(注3)「電子通信」の定義の変更

EUは従来、「電子通信(Electronic Communications)サービス」は「電気通信(Telecommunications)サービス」と「放送用の伝送(Transmission)サービス」から構成されるとしてきたが、欧州電子通信コード(EECC)指令(2020/12/21)7/7(51)においては前者(「電気通信」)をさらに「個人間通信サービス(Interpersonal Communications Service)」と「インターネット接続サービス(Internet Access Service)」の2つに区分した。その結果、回線(すなわちインターネット接続)を保有しないプラットフォーマーであっても、「個人間通信」の提供事業者に該当することとなり、電子通信サービスの規制対象として補足することが可能となった。

(注4) GDPR第8 条 情報社会サービスとの関係において子どもの同意に適用される要件

第18 条 取扱いの制限の権利

  1. データ主体は、以下のいずれかが適用される場合、管理者から、取扱いの制限を得る権利を有する:

(a) 個人データの正確性についてデータ主体から疑義が提示されている場合、その個人データの正確性を

管理者が確認できるようにする期間内において。

(b) 取扱いが違法であり、かつ、データ主体が個人データの消去に反対し、その代わりに、そのデータの

利用の制限を求めている場合。

(c) 管理者がその取扱いの目的のためにはその個人データを必要としないが、データ主体から、訴訟の提

起及び攻撃防御のためにそのデータが求められている場合。

(d) データ主体が、管理者の正当性の根拠がデータ主体の正当性の根拠よりも優先するか否かの確認を争

い、第21 条第1 項により、取扱いに対する異議を申立てている場合。

第21 条 異議を述べる権利

  1. 情報社会サービスの利用の過程において、かつ、指令 2002/58/EC にかかわらず、データ主体は、技術的な仕様を用いる自動化された仕組みによって異議を述べる自己の権利を行使できる。

第40 条 行動規範

(g) 子どもに対して提供される情報及び子どもの保護、並びに、子どもに対して親権者としての責任を負う者から同意を得るための方法;

(注5) 今回の暫定規則とデジタル・サービス法案の関係はわかりつらい。

(注6)ハッカソン( hackathon )とは、ソフトウェア開発分野のプログラマやグラフィックデザイナー、ユーザインタフェース設計者、プロジェクトマネージャらが集中的に作業をするソフトウェア関連プロジェクトのイベントである。(Wikipediaから一部抜粋)

(注7)Thornが言うdigital toolboxとは、”Project Artemis”を指す。詳しくはMicrosoftのblog解説を参照されたい。

(注8)2020.11.10 EDPS 「Opinion 7/2020  on the Proposal for temporary derogations from Directive 2002/58/EC  for the purpose of combatting child sexual abuse online」(全19頁)参照。

(注9) 欧州電子通信コード(EECC)指令(2020/12/21)の電子通信サービス (ECS) の新定義が以下のとおり変わった。

通常は対価を伴い、電子通信網上で提供されるサービスで、以下を包摂(encompass):

  1. インターネット接続サービス
  2. 個人間通信サービス(番号サービス、非番号サービス)
  3. 主として信号伝送を提供するサービス(例:M2M向け、放送向け)

  除外:伝送されるコンテンツを提供・編集するサービス

 すなわち、EECCでECS定義に追加されたのは、信号伝送を主たる機能とせず、インターネットなどの通信網上で提供される個人間通信サービス。例えば、Webメール、メッセンジャーサービスなど。個人間通信サービスには、サービスに付随する補助的なもの(ゲームにおけるチャット)、機械間の情報交換は含まれない(EECC2(5), 前文17項)(2021年4月6日株式会社インターネットイニシアティブ 鎌田博貴「ePrivacy規則 閣僚理事会案について」から一部抜粋。

*******************************************************************************************************:

Copyright © 2006-2021 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

欧州議会が可決した新EU規則は児童虐待を検出するためオンライン・グルーミング・メッセージのスクリーニングを可能にする一方でプライバシー保護面から多くの異論(その2完)

2021-07-25 10:59:22 | サイバー犯罪と立法

G.それについて何が悪いのか?

 この暫定規則は、特定のサービスプロバイダーによるすべての通信の自主的なスキャンを継続することを許可する。 代わりに、一定期間の本物の容疑者に焦点を当てたターゲットを絞ったアプローチを促進させる。

(ⅰ)グルーミングと呼ばれる特定の習慣 (子供の性的な勧誘) スコープの一部となるだけでなく、知られている違法な画像だけでなく、あなたのメッセージの内容がスキャンされることを意味する。 これはより侵入的です.これは加盟国のデータ保護当局(DPA)によって承認される必要があり、企業は技術を展開する前にデータ保護影響評価(DPIA)を実施する必要がある。

(ⅱ)前述したように、範囲内のサービスとプラットフォームの範囲は、非常に広く、非特異的なままである。また、ソーシャルメディアのプライベートチャット(InstagramやFacebookなど)、出会い系アプリ、ビデオ会議ツールも同様にカバーできる。

H.何が私たちに少し希望を与えるか?

– 暫定規制は(法案説明書で)エンドツーエンドの暗号化を保護する。これは、今後のCSAM長期規制法ではそうではないかもしれないので、

クリプトウォーズ3.0(Cript wars 3.0)の準備ができている.

  規制の目標を達成するために使用される技術は、最もプライバシーに侵襲的で最先端の技術である必要があり、CSAMを検出して報告する厳格な目的にのみ使用でき、他の目的には使用できない。

 現在および将来のテクノロジーに対してDPIA(個人データ保護影響評価)が義務付けられており、DPA はデータ保護要件に沿ったスキャンの実施を保証する監督当局である。

  欧州データ保護委員会(EDPB)は、使用するスキャンの慣行と技術の監督を確実にし、どの技術を使用できるかに関するガイドラインを作成する必要がある。このセーフガードは、理論的には、必要ではなく、比例する慣行を停止する可能性がある。

– これらの技術の使用に続く有罪判決の数、誤検出の数、複数回報告された症例と症例の絶対数の区別、オンライン児童の性的虐待が検出されたオンライン通信サービスのプロバイダの種類を含む報告義務(「統計」に関する第3条)がある。これは、これらのプラクティスの効率を明確にする(これは、必要性と比例性テストにおける「必要性」の部分を明確にするのに役立つ)。

I.2021年の秋がそこに来ている:長期的な法律の準備をすべきである。

 欧州議会がテキストに挿入することができた肯定的な改善にだまされてはいけない。。この規制は民間通信の悪い前例を設定し、この暫定法案を置き換えることを意味し、2021年秋に提案される長期法でさらに悪化する可能性が高い。噂によると、暗号化された通信は範囲に該当し、今回は民間企業に対して、すでに起こっていることの合法化だけでなく、通信をストーカーする義務があらたに設けられる可能性がある(違法である可能性は非常に高い)。

 人権団体は、児童保護団体と関わり、それが子どもの権利にどのような影響を与えるか、それが彼らを助けることはほとんどない点を説明する必要がある。これはおそらく今最も重要なデジタルテーマの一つであり、私たちは子供や他のすべての人の表現、プライバシーと機密性の自由を保護したい場合は、できるだけ多くの人が必要になる(この記事は2021年7月7日に掲載された)。

(3)人権擁護団体であるEDRi政策代表Diego Naranjo氏の暫定規則の反対意見仮訳

Diego Naranjo氏

 我々の以前のブログ記事を読むここと、本質的に、欧州議会で採択された暫定規制(2022年12月に有効でなくなる一時的な規制である)は、特定のサービスプロバイダーが常にすべての通信の自主的なスキャンを継続し、オンライン児童性的虐待資料(CSAM)を検出して当局に報告することを可能にする。最後の規則案のテキストは、 ここ にある。

 A.なぜ私は懸念する必要があるのか?

 全体として、この法律は、民間企業によるすべての通信の継続的な自主的なスキャンを合法化するという意味で否定的な意味で進化である。暫定規制の範囲内のサービスは、Facebookメッセンジャーのメッセージ、出会い系Tinderチャット、電子メール、および将来的に発生するその他のオンラインコミュニケーションを含むePrivacy指令と同様に広く定義されている。

B.こんまま続けていいか? ビッグテックはすでに私のプライベートコミュニカティションを引き起こしているのか?

 これは驚くべきことであるが、最初の提案では、未定義の数のプラットフォーム/サービスがすでに暗号化されていないプライベート通信をスキャンしていたことが明らかになった。欧州委員会がそのような実務慣行の法的根拠は何かと尋ねられたとき、彼ら自身が手がかりを持っていなかったことを認めた。つまり、エンドツーエンドの暗号化通信を使用していない場合は、サービスを実行している会社が通信をスキャンする可能性があると仮定する必要がある。

C.メッセージの自主スキャンの可能性? 誰がそんなことをするのか?

 いい質問である!自主スキャンしているサービスやアプリケーションの公式リストはないが、Facebookは少なくともすでにこれを行っているように見えるし、他の人がフォローする可能性がある。すなわち、あなたのティンダースパイシー(わいせつな)会話もスキャンされるかもしれない。

D.なぜ今、規則を制定するのか?

 第一に法的な理由がある。欧州電子通信コード(EECC) (注9)が施行されたため、ほとんどのオンライン通信サービスや事業者はプライバシーと機密性を尊重する義務がある。我々はすでに別のところで説明したように、これは良いニュースだったはずだが、弱いプライバシーと通信の機密性の支持者は、これらの新しいルールを施行することは、EUが「小児性愛者のための安全な避難所(“safe haven for peadophiles”)」になることにつながると主張した。

第二の理由は、Facebookがエンドツーエンドの暗号化でFacebookメッセンジャーの会話を暗号化することに決めたということである(それは他の製品WhatsAppの場合と同様である)。これらの会話を暗号化すると、Facebook(および他の誰も)があなたの会話の内容を読むことを妨げ、これらのプラットフォームで検出されるCSAM(Child Sexual Abuse Material :オンラインの性的な児童虐待画像)の数が減少すると言われている。その結果、彼らはこれが裁判所に連れて行かれる容疑者の数を減らすことになるだろうと主張している(そして、より違法な資料が広く集められている)。

E.この狂気の施策はいつまで続くのか? 私は何かを行うことができるか?

  暫定規制は2022年12月まで施行され、その間に長期的な立法による解決が開発され、採択される予定である。CSAMに関する長期適用法は、2021年10月に欧州委員会によって提案される予定でである。暫定規制に関しては、我々ができることは何もありません。しかし、私たちの地元のデジタル著作権団体に連絡し、採用されたばかりの法律に代わる今後の長期的な法律の前にどのように役立つかを尋ねることを勧奨する。

F.暫定規はプライバシー保護からどのように見えるか?

 一言で言えば、この暫定規制の最悪の側面は、例えばテロや「国家安全保障」の実現を防ぐために、企業や政府があなたの私的なコミュニケーションやオンライン・インタラクションを読むことを可能にする危険な前例を作り出すということである。

 また、暗号化が犯罪者を保護するという一般的で繰り返しの物語を提供する(欧州委員会からのこのツイートでは、暗号化に関するポイントはバラクラバを身に着けている人によって示されている)。欧州議会の議長によると、議論は急いで、巨大な圧力を受けました。彼らは、欧州連合司法裁判所(CJEU)の前に異議を申し立てられた場合、今回の暫定規則は深刻な分析に抵抗しないだろうと言ってさらに進めた。

G.それについて何が悪いのか?

 この暫定規則は、特定のサービスプロバイダーによるすべての通信の自主的なスキャンを継続することを許可する。 代わりに、一定期間の本物の容疑者に焦点を当てたターゲットを絞ったアプローチを促進させる。

(ⅰ)グルーミングと呼ばれる特定の習慣 (子供の性的な勧誘) スコープの一部となるだけでなく、知られている違法な画像だけでなく、あなたのメッセージの内容がスキャンされることを意味する。 これはより侵入的です.これは加盟国のデータ保護当局(DPA)によって承認される必要があり、企業は技術を展開する前にデータ保護影響評価(DPIA)を実施する必要がある。

(ⅱ)前述したように、範囲内のサービスとプラットフォームの範囲は、非常に広く、非特異的なままである。また、ソーシャルメディアのプライベートチャット(InstagramやFacebookなど)、出会い系アプリ、ビデオ会議ツールも同様にカバーできる。

H.何が私たちに少し希望を与えるか?

– 暫定規制は(法案説明書で)エンドツーエンドの暗号化を保護する。これは、今後のCSAM長期規制法ではそうではないかもしれないので、クリプトウォーズ3.0(Cripto wars 3.0)の準備ができている.

  規制の目標を達成するために使用される技術は、最もプライバシーに侵襲的で最先端の技術である必要があり、CSAMを検出して報告する厳格な目的にのみ使用でき、他の目的には使用できない。

 現在および将来のテクノロジーに対してDPIA(個人データ保護影響評価)が義務付けられており、DPA はデータ保護要件に沿ったスキャンの実施を保証する監督当局である。

  欧州データ保護会議(EDPB)は、使用するスキャンの慣行と技術の監督を確実にし、どの技術を使用できるかに関するガイドラインを作成する必要がある。このセーフガードは、理論的には、必要ではなく、比例する慣行を停止する可能性がある。

– これらの技術の使用に続く有罪判決の数、誤検出の数、複数回報告された症例と症例の絶対数の区別、オンライン児童の性的虐待が検出されたオンライン通信サービスのプロバイダの種類を含む報告義務(「統計」に関する第3条)がある。これは、これらのプラクティスの効率を明確にする(これは、必要性と比例性テストにおける「必要性」の部分を明確にするのに役立つ)。

I.2021年の秋がそこに来ている:長期的な法律の準備をすべきである。

 欧州議会がテキストに挿入することができた肯定的な改善にだまされてはいけない。。この規制は民間通信の悪い前例を設定し、この暫定法案を置き換えることを意味し、2021年秋に提案される長期法でさらに悪化する可能性が高い。噂によると、暗号化された通信は範囲に該当し、今回は民間企業に対して、すでに起こっていることの合法化だけでなく、通信をストーカーする義務があらたに設けられる可能性がある(違法である可能性は非常に高い)。

 人権団体は、児童保護団体と関わり、それが子どもの権利にどのような影響を与えるか、それが彼らを助けることはほとんどない点を説明する必要がある。これはおそらく今最も重要なデジタルテーマの一つであり、私たちは子供や他のすべての人の表現、プライバシーと機密性の自由を保護したい場合は、できるだけ多くの人が必要になる(この記事は2021年7月7日に掲載された)。

3.ePrivacy RegulationとGDPRの関係

(1)EUにおけるクッキー規制の経緯(注10)

1995年「旧EUデータ保護指令(Directive 95/46 EC) 」を制定

2002年「ePrivacy Directive」を制定 クッキー設定について(1)情報提供、(2)拒否権提供を義務づけ

2009年「ePrivacy Directive」の改正(クッキーなど設定に同意取得を義務づけ、同意有効条件は旧EUデータ保護指令を引用:(1)任意、(2)対象特定、(3)情報提供。

2018年:GDPRにより同意有効要件が厳格に:(1任意、(2)対象特定、(3)情報提供、(4)曖昧でない明確で肯定的な意思表示)(オプトアウト。暗示の同意、みなし同意は不可)

2021年:欧州連合理事会でePrivacy規則案が合意。欧州連合理事会および欧州議会による立法手続き開始。

*ePrivacy 規則制定の動きに至る問題意識

・ePrivacy指令は。各加盟国における国内法化が必要で。規制内容がばらつく可能性。

・電子プライバシーについてEU市民を等しく保護し、単一市場におけル平等な競争環境.を確保することが必要

・直接。EU全加盟国に適用される「規則」(regulation)による規制が必要。

・プライバシー侵害度が低い一定のクッキーについて、同意取得を免除について範囲を明らかにする必要。

(2)ePrivacy Regulation(規則)の検討経緯(その1)

 2021.4.21 英国・ドイツ独立法律事務所activeMind.legalの解説「The ePrivacy Regulation: latest developments and the impact on UK businesses」を抜粋のうえ、仮訳する。なお、(その2)の説明と一部重複があるが、了解されたい。

 ePrivacy 規則に関する意見の不一致や懸念により、その採択は数次にわたり延期されている。2021年2月10日、EU加盟国はePrivacy規則草案に対する欧州連合理事会の交渉合意した。これにより、欧州連合理事会は、ePrivacy指令(2002/58/ EC)に代わるプライバシー規則の最終版について欧州議会と交渉を開始できるようになった。

A.ePrivacy Regulation(規則)とは何か?

「EUCookie法」と呼ばれることもあるePrivacy 規則により、EUはEU全体のアプリケーションの拘束力のあるデータ・プライバシー規則を策定したいと考えている。これは、ウェブサイト運営者がCookieの使用をどのように処理し、これらの側面でGDPRを補完するかを明確にする

 この規則案(正式には、電子通信における私生活の尊重と個人データの保護に関する欧州議会と欧州連合理事会規則)は、「デジタル単一市場における信頼とセキュリティ」を強化するために、2017年に欧州委員会によって最初に導入された。これは、2003年に英国の「プライバシーおよび電子通信規則(PECR)」(注11)によって実装された「ePrivacy指令(プライバシーおよび電子通信指令(指令2002/58 / EC))」に代わるものとして設計されている。

 ePrivacy規則は、「一般データ保護規則(GDPR)」とともに、EU全体のプライバシー規則のEUの近代化の重要な部分と見なされている。

一般的に言えば、ePrivacy規則は、電子的手段を介して転送されるすべてのデータのプライバシーとセキュリティを確保することに焦点を当てている。したがって、ePrivacy規則の主題はGDPRの主題よりも広く、以下を含むすべての「電子通信データ」を管理することを目的としている。

*送信されたコンテンツに関する情報、および地理的位置データや電子通信メタデータなど、電子通信コンテンツを送信、配布、または交換できるようにするために交換される情報。

B.ePrivacy Regulationの策定とDGPRとの関連性

 ePrivacy規則策定の道のりは数年前にさかのぼり、現在も議論中である。欧州委員会はすでに2017年1月に最初の提案を発表し、その後活発な議論が行われた。当初、EUはeプライバシー規制を2018年にGDPRと一緒に施行することを意図していたが、失敗した。 2019年11月、欧州連合理事会議長国であるフィンランドが提起した提案は、ユーザーのプライバシー権と経済的利益の適切なバランスに関する強い意見の不一致により、欧州連合理事会常任代表委員会(COREPER)によって却下された。また、ドイツが理事会議長国であった下で、2020年11月4日に提案された草案はその後、却下された。

 その後、EU加盟国の合意された交渉義務により、2021年1月から6月のポルトガルが議長国の時に最終テキストについて欧州議会との協議を開始できるようになり、マイルストーンに到達した。したがって、電子通信サービスの使用におけるプライバシーと機密性の保護に関する改訂された規則は、最終的に合意される可能性があり、2002年の古いePrivacy Directiveを置き換えることができることとなった。

 これらプライバシールールの更新は、Voice over IP、Webベースの電子メールおよびメッセージングサービス、特にユーザーのオンライン行動を追跡するための新しい技術の出現など、新しい技術および市場の発展に効果的なルールを提供するために必要である。

C.提案された主要な変更点

2021年2月10日欧州連合理事会のプレスリリースは、ePrivacy 規則草案の主要なハイライトを示している。

エンドユーザー:提案された規則では、エンドユーザーがEUにいるときに適用される。これは、処理がEU域外で行われる場合、またはサービスプロバイダーがEU域外に設立される場合も対象となることを意味する。

メタデータ:提案された草案は、公開されているサービスとネットワークを使用して送信される電子通信コンテンツ、および位置情報、時間、受信者データなどの通信に関連するメタデータを対象とする。後者としては、例えば、請求目的、詐欺の検出と戦い、および現在のコロナパンデミックなどの流行やパンデミックの蔓延の監視や人為的災害を含む、ユーザーの重要な利益を保護するために処理される場合がある。

 または。限られた状況下では、メタデータは、収集された目的以外の目的で処理される場合もある(データ主体の同意または法的根拠がない場合でも)。ただし、その目的は当初の目的と互換性があり、強力な特定の保護手段を講じる必要がある。

電子通信データの機密性:したがって、通信に関与する当事者以外の者によるデータの聞き取り、監視、またはその他の処理を含む干渉は禁止される。(eプライバシー規則で明示的に許可されている場合を除く)。

許可された処理:ユーザーの同意なしに電子通信データを処理することには、例えば、以下が含まれる。

(ⅰ)通信サービスの完全性の確保

(ⅱ)マルにウェアまたはウイルスの存在を確認する場合 

(ⅲ)サービスプロバイダーが、刑事犯罪の訴追または公安への脅威の防止に関するEUまたは加盟国の法律に拘束されている場合。

⑤ 端末機器:ハードウェアとソフトウェアの両方を含むユーザーの端末機器には、非常に個人的な情報(連絡先リスト、写真など)が保存されている場合がある。したがって、処理機能とストレージ機能の使用、およびデバイスからの情報の収集は、ユーザーの同意がある場合、または規則に規定されているその他の特定の透過的な目的でのみ許可される。

クッキー:クッキーの有効な同意を得る方法については多くの議論があった。EUデータ保護会議(EDPB)は、同意に関するガイドラインの更新を公開した。これは、Cookieの同意が有効に取得されることを保証するための有用なガイダンスである。提案されたePrivacy規則は、ユーザーがCookieまたは同様の識別子を受け入れるかどうかを決定するための真の選択をする必要性を強化した。たとえば、ペイウォール(有料購読者しかアクセスできないコンテンツを持つウェブサイトの機能(firewall))の代わりに追加の目的でCookieを使用することに同意することに依存してウェブサイトにアクセスすることは、ユーザーがそのオファーと、同意を伴わない同じプロバイダーによる同等のオファーのどちらかを選択できる場合にクッキーは許可される。

d.英国との関連性

 ePrivacy Directiveの実施から派生した英国のPECR規則は、マーケティング、Cookie、および電子通信に関連する事項を対象とする適用可能な英国の法律であり、英国がEUを離れた後も、英国の企業に引き続き完全に適用される。

 英国の企業は、ePrivacy RegulationはEU法であり、したがって英国に直接的な影響を与えることはないが、開発は依然として関連していることに注意すべきである。ePrivacy Regulationが制定されると、すべてのEU加盟国に直接適用される。したがって、英国企業の大多数がEUとの取引を継続しているため、英国がEUに加盟しなくなった場合でも、かなりの数の英国企業がプライバシー規則を遵守する必要がある。

  さらに、ePrivacy規則は域外効果をもたらす。つまり、EU内に所在する事業体だけでなく、電子通信データの処理にも適用される。

 EU内のエンドユーザーに提供される電子通信サービスに関連して、およびEUに所在するエンドユーザーの端末機器に関連する。たとえば、エンドユーザーのデバイスでのCookieまたは同様の監視または追跡アプリケーションの使用に適用される。

 E.最新の情報を保つこと

 草案テキストは、ePrivacy 規則が公開されてから20日後から始まる2年間の移行期間を提案している。したがって、データコントローラの場合、差し迫った更新の必要はない。他方、データ管理者は、プロセスがePrivacy規則の上記の重要なハイライトに準拠していることをすでに確認し、欧州議会での交渉の進展に厳密に従う必要がある。 

(3)ePrivacy Regulation(規則)の検討経緯(その2)

 米国人権擁護団体である”EPIC”の解説”EU Privacy and Electronic Communications (e-Privacy Directive)”仮訳

【概要】「プライバシーおよび電子通信に関する指令(2002/58) は、eプライバシー指令とも呼ばれ、EUにおける電子通信の機密性を保護します。 eプライバシー指令はプライバシーを保護するための重要な手段であり、公共の電子ネットワークにおける電気通信の分野におけるデータ保護に関する特定の規則が含まれている。この指令は、新しいデジタル技術の要件に対応することを目的として2002年に採択された。

【立法の背景】

 この指令の目的は、EUの一般データ保護法(以前は一般データ保護規則の前身である1995年データ保護指令)の対象となる事項を「補完および特定」することである。

 2015年5月6日、欧州委員会はデジタル単一市場(DSM)戦略を採用した。これには、eプライバシールールのレビューは一般データ保護規則の採用に従う必要があることが含まれていた。 ePrivacy Directiveは、情報の機密性、トラフィックデータの処理、スパム、Cookieなどの多くの重要な問題を扱う。この指令は、インターネットでの閲覧、携帯電話、ウェアラブル、またはその他のインターネット接続デバイスの使用など、オンラインプライバシーを保護することを目的としている。同指令の包括的な見直しは長い間延期されてきた。

 ePrivacy 指令は2009年に最後に更新され、プライバシーに対する顧客の権利に関するより明確なルールを提供した。ただし、この指令は最適に機能することはなく、Cookieを規制するルールは効率的な保護手段を提供できなかった。

 この指令の目的を達成できないのは、一方ではEU加盟国全体で実施が細分化されているためである。一方で、規則の施行が不十分であり、欧州議会の議員は技術の発展のペースに追いつくことができなかった。指令により、ユーザーはスマートフォン(アプリ)の広範な使用、オンラインプロファイリング、ソーシャルメディア、および一般的なインターネットの爆発的増加の結果に対して脆弱になっていた。

 EDRiやAccessNowなどのデジタル著作権組織はすべて、プライバシーとデータ保護の基本的権利を保護するためにeプライバシー指令が不可欠であることに同意しているが、現在の法的文書はさらに更新およびアップグレードする必要がある。

 現行のe-プライバシー指令は、データ保護に関する指令95/46 / ECを補完および特定することを目的としている。同様に、将来のフレームワークは、最近採択された一般データ保護規則を完成させ、EU基本権憲章の第7条(注12)に規定されているように、私生活の権利を保護する。これは、GDPRの範囲では特にカバーされていない問題である。e-プライバシー指令の改訂では、特定の保護を明確にする必要がある。

eプライバシー指令の改定の経緯

 改訂プロセスの最初のステップとして、欧州委員会は2016年4月から7月にかけて行われたパブリックコンサルテーションを開始した。市民社会組織や人権擁護団体等等がコンサルテーションに参加し、欧州委員会が取り組む際に考慮すべきいくつかの勧告と要求を行った。

*欧州委員会の新しい提案:

① ePrivacy指令に代わる新しい手段は、EU全体で均一に施行されることを保証するために、新しい指令ではなく「規制」である必要がある、

② コンテンツとメタデータの両方で、通信のプライバシー保護を強化する。

③ データ保護当局は、電気通信規制当局ではなく、eプライバシー指令の後継者の施行を担当する必要がある。

④ 透明性報告の必須要件を含める。

⑤ 新しい規則は、GDPRの定義を参照する必要がある。

⑥「オンライン追跡」や「行動広告」などの技術的メカニズムの使用を明確にし、更新する必要がある。

⑦「付加価値サービス」および「公的に利用可能な通信サービス」への言及は、最近の技術開発に照らして見直す必要がある。

⑧ 処理される地理情報、交通データ、位置データ、およびその他の個人データは、それらが収集および使用される関連する(初期または後続の)目的に必要な最も精度の低い(最小粒度、最小侵襲性)タイプに削減する必要がある。 「データの最小化」と「目的の制限」の原則に従って、最初の目的またはその後の目的で不要になるとすぐに削除しなければならない。 

5.EUの「児童の性的虐待及び性的搾取並びに児童ポルノの対策に関する指令2011/92/EU 432の概要

 内閣府「青少年のインターネット利用環境に関する制度、法及び政策とその背景」「EUの条約、決定及び指令」から一部抜粋する。(注13)

 2001年には、欧州評議会で「サイバー犯罪に関する条約 429」が11月23日に採択された。

 EUにおける児童の性的搾取及び児童ポルノ対策は、2004年に公布された「児童の性的搾取及び児童ポルノ対策に関する2003年12月22日理事会枠組決定2004/68/JAI 431」にもとづいて実施されていた。

 2007年10月25日に、欧州評議会で「性的搾取及び性的虐待から子供を保護する条約 430」が採択された。

 しかし、児童の性的虐待やインターネットを介した児童ポルノの増加を受けて、2010年3月に欧州委員会が対策を強化する指令案を提出した。欧州議会及び理事会は同指令案を採択し、2011年12月17日に「児童の性的虐待及び性的搾取並びに児童ポルノの対策に関する指令2011/92/EU (以下、「2011/92/EU指令」という。)」として施行された。  

 各加盟国は2013年12月18日までに国内法化することが義務付けられている。主な内容は、以下のとおりである。

【児童の性的虐待及び性的搾取並びに児童ポルノの対策に関する指令】

第3条(性的虐待に関する犯罪):

性的同意年齢に達していない児童を性行為に立ち会わせたものには1年、性的虐待に立ち会わせた者には2年、性行為に関与させた者には5年、児童の信頼や権威を利用して性行為に関与させ、又は心身障害等を有する児童を対象にした者には8年、これを強制した場合は10年、児童を強制して第三者と関与させた者には10年の拘禁刑(imprisonment)を科す。

第4条(性的搾取に関する犯罪):

性的同意年齢に達していない児童をポルノ実演に参加させた者には5年、これを強制した場合は8年、児童の関与を知りながらポルノ実演に参加した者は2年、児童を売春に関与させた者には8年、これを強制した者には10年、自ら買春行為を行った者には5年の拘禁刑を科す。

第5条(児童ポルノに関する犯罪):

児童ポルノを取得、所持し、又は情報通信技術を用いて閲覧した者には1年、児童ポルノの配布や送信等を行った者には2年、これを製造した者には3年の拘禁刑を科す。

第6条(性的誘引行為):

性的同意年齢に達していない児童と性行為を行い、又は児童ポルノを製造する目的で情報通信技術を用いて児童を誘引した者には1年の拘禁刑を科す。

第7条(教唆・参加・共謀・未遂):

教唆や未遂なども処罰の対象とする。

第9条(処罰の加重):

心身障害等を有する弱者に対する犯罪、同居者又は複数の者による犯罪及び組織的に行う犯罪については国内法によりさらに厳しい措置を講じる。

第25条(買春ツアー):

犯罪を誘発する広告及び児童買春ツアーの企画を禁止する。

6.児童虐待規制立法の先進国である(?)米国やドイツ等の立法状況

 わが国の解説としては内閣府「第1章 各国政府の有害情報に対する規制の現状(方針、規則、適用例等)8.通信・インターネット」がある。

(1)米国

「8.1 アメリカ」で連邦法や州法の立法内容が概観されているが、それらはほんの一部である。

 筆者は独自に米国の公的関連サイトにあたった。

【連邦法】

(1)連邦保健福祉省サイト(https://www.acf.hhs.gov/cb/laws-policies/federal-laws/legislation)

ただし、法律番号や法律名のみである。.そこで筆者は連邦議会の法令検索サイトの活用を試みた。以下の手順を参照されたい。

①Congress Gov(https://www.congress.gov/)

②Advanced  Searches(https://www.congress.gov/advanced-search/legislation)

③Words and Phrases画面で”child abuse”を入力する。Searchをクリック

以下の画面が表示される。

【州法】

Find Lawが州法を全29州を一覧化しており(Child Abuse Laws State-by-State 全29州)、かつ各法にリンクされている。他方、特に筆者が気になったのは前記内閣府の解説でカリフォルニア州、ペンシルバニア州、ニュヨーク州、テキサス州という4州のみが取り上げられているが、現状は29州である。データが古すぎる。

 (4)ドイツ

 2010 年 3 月には、連邦法務省の下に円卓会議「私的及び公的施設並びに家庭における依存・権力関係を利用した児童に対する性的虐待」が設置され、専門家によって対策が協議された。連邦政府は、円卓会議の提言を受け、性的虐待の被害者の権利を強化するための法律案(注 1)を 2011年に議会に提出した。法律案は、2013 年 3 月 14 日に連邦議会、5 月 3 日に連邦参議院を通過し、法律(注 2)の主要な規定は 9 月 1 日から施行されている。

 性的虐待の被害者の権利を強化するための法律は、刑事訴訟法、裁判所構成法、少年裁判所法、民法典等を改正する法律であった(国立国会図書館調査及び立法考査局「外国の立法 (2013.11) )」から一部抜粋

 (3)英国

国立国会図書館 調査と情報-ISSUE BRIEF- No.681「日米英における児童ポルノの定義規定」

(4)韓国

国立国会図書館 調査及び立法考査局  藤原 夏人「韓国の児童虐待処罰法」

 (5)スウェーデン

国立国会図書館 調査及び立法考査局 海外立法情報課  井樋 三枝子「スウェーデンにおける児童ポルノ処罰規定―児童ポルノ対象範囲の拡大と新たに処罰される行為―」( 外国の立法 248(2011.6) 国立国会図書館調査及び立法考査局)

 (6)日本

「改正児童虐待防止法」と児童相談所(児相)の体制整備を定めた「改正児童福祉法」が、2020年4月から一部を除き施行された。

*****************************************

(注9) 欧州電子通信コード(EECC)指令(2020/12/21)の電子通信サービス (ECS) の新定義が以下のとおり変わった。

通常は対価を伴い、電子通信網上で提供されるサービスで、以下を包摂(encompass):

  1. インターネット接続サービス
  2. 個人間通信サービス(番号サービス、非番号サービス)
  3. 主として信号伝送を提供するサービス(例:M2M向け、放送向け)

    除外:伝送されるコンテンツを提供・編集するサービス

 すなわち、EECCでECS定義に追加されたのは、信号伝送を主たる機能とせず、インターネットなどの通信網上で提供される個人間通信サービス。例えば、Webメール、メッセンジャーサービスなど。個人間通信サービスには、サービスに付随する補助的なもの(ゲームにおけるチャット)、機械間の情報交換は含まれない(EECC2(5), 前文17項)(2021年4月6日株式会社インターネットイニシアティブ 鎌田博貴「ePrivacy規則 閣僚理事会案について」から一部抜粋。

(注10) 2021年4月6日株式会社インターネットイニシアティブ 鎌田博貴「ePrivacy規則 閣僚理事会案について」p.4~引用した。

(注11) PECRにつき、英国DPAであるICOサイトから引用、仮訳する。

電子通信に関して、特定のプライバシー権を与えるもので、以下の特定のルールがある。

・マーケティングの呼び出し、 電子メール、テキスト、ファックス;

・クッキー(および同様の技術);

・通信サービスを安全に保つ。

・顧客のプライバシーは、トラフィックと場所のデータ、明細化された課金、回線識別、およびディレクトリ一覧に関してである。

 PECR はプライバシーおよび電子通信規則である。正式なタイトルは、「2003年プライバシーと電子通信(EC指令)規則2003(The Privacy and Electronic Communications (EC Directive) Regulations 2003)」である。彼らはヨーロッパの法律(EU指令)に由来している。つまりPECRは「e-Privacy Directive(プライバシー指令)」とも呼ばれる欧州指令2002/58/ECを実装したものである。

(注12) 欧州基本権憲章CHARTER OF FUNDAMENTAL RIGHTS OF THE EUROPEAN UNION (2000/C 364/01Article)

Article 7:Respect for private and family life:Everyone has the right to respect for his or her private and family life, home and communications

(注13) 内閣府の資料の訳語は問題がある。すなわち”imprisonment”を「禁固刑」と訳している点である、わが国の法務省の公式訳語は「拘禁刑」である。したがって本ブログでもあえて「拘禁刑」に変更した。

 ******************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ニューヨーク州金融サービス局(NYDFS)がランサムウェアに対抗するためのサイバーセキュリティ管理に関する新ガイダンス発布と報告義務を明確化

2021-07-05 16:08:20 | サイバー犯罪と立法

 筆者の手元にローファームであるALSTON BIRD LLP のblog「ニューヨーク州金融サービス局(NYDFS)は、ランサムウェアに対抗するためのサイバーセキュリティ管理に関する新たなガイダンスを発布と報告義務を明確化」が届いた。(注0)

 その内容は、6月30日、NYDFSは企業組織がランサムウェア攻撃を阻止するのを支援することを目的とした新しいガイダンスを発布したというものである。

 このガイダンスは、NYDFSの規制対象企業が「可能な限りこれらの制御を実施する」必要があるというNYDFSの期待を明確にし、確立されたサイバーセキュリティ・事故報告規則の下で、ランサムウェアの展開の成功や特権アカウントへの不正アクセスをNYDFSに報告すべきというものである。

 なお、NYDFSは”FAQs: 23 NYCRR Part 500 - Cybersecurity”を用意している。

併読されたい。

 実は、2017年9月4日、筆者はブログ「ニューヨーク州金融サービス局(NYDFS)のサイバーセキュリティ・コンプライアンス規則制定の意義と企業における今後の取組課題」で、NYDFSのサイバーセキュリティ・コンプライアンス規則を取り上げた。

 今回は、ランサムウェアに対抗するためのサイバーセキュリティ管理に関する新たなガイダンスの概要をALSTON BIRD LLP のblog(注1)の内容を仮訳、解説するとともに、筆者独自に専門用語の補完的解説や関連法律サイト等へのリンクを張る。なお、時間のある読者は前述したNYDFSのリリース文の原本にあたられたい。

 最後にMicrosoftの”23 NYCRR 500”に関する解説項目を引用する。

1.ニューヨーク州金融サービス局(NYDFS)の企業組織がランサムウェア攻撃を阻止するのを支援することを目的とした新しいガイダンスを発布 

 このガイダンスは、国土安全保障省(DHS)長官アレハンドロ・マヨルカス(Alejandro Mayorkas)が最近指摘したように、「ランサムウェア攻撃の割合は2020年に300%増加した」として、サイバーセキュリティとランサムウェアの変曲点にあり、NYDFSは金融サービス部門にランサムウェアがもたらす沈黙と全身的なリスクに焦点を当て続けている。

Alejandro Mayorkas 氏

 新ガイダンスの発布に関連して、NYDFSはランサムウェア攻撃が「次の大きな金融危機を引き起こす可能性があり、金融システムに対する信頼の喪失につながる」と警告した。以下で、最新の NYDFS ガイダンスの主な留意点を取り上げ、概説する。

〇 9つのランサムウェア阻止にためのサイバーセキュリティの管理強化策

 これらのリスクを考えると、NYDFSはサイバーセキュリティ規制に基づく規範的なガイダンスを発布し、規模や複雑さに関係なく、NYDFS規制を受けたすべての企業等に対し、可能な限り以下の9つのサイバーセキュリティ管理を実施するよう促した。そのガイダンスでは、NYDFSは”23 NYCRR 500”  に定める既存の規制要件に今回の各管理強化策を結び付けている。 

(1)電子メールのフィルタリングおよびフィッシング対策のトレーニング.(Email Filtering and Anti-Phishing Training)

 このガイダンスでは、規制対象の「システムとネットワーク監視」に対処する必要があるサイバーセキュリティ・ポリシーを実装および維持するための要件を解説する。

  23 NYCRR § 500.3(h) は、サイバーセキュリティ・ポリシー内に「スパムや悪意のある添付ファイル・リンクがユーザーに到達するのをブロックするとともに、電子メールフィルのモニタリングを含む。さらに、企業は、23 NYCRR § 500.14(b)により、定期的なサイバーセキュリティ意識トレーニングの一環として、定期的なフィッシング・トレーニングと定期的なフィッシング演習やテストを含める必要がある。(注2)

(2) 脆弱性/パッチ管理.(Vulnerability/Patch Management)

 このガイダンスは、書面によるサイバーセキュリティポリシーを維持する義務に関し、「インフラストラクチャ内の企業資産の脆弱性を特定、評価、追跡、修復するための文書化されたプログラム」を含める必要があることを明らかにしている(23 NYCRR § 500.3(g))。またNYDFSは、規制対象企業が脆弱性を最小限に抑え、手動でのパッチ管理を行うために自動更新を有効にすることを推奨している。脆弱性と修正プログラム管理ポリシーでは、23 NYCRR 500.5(a) の下で定期的に侵入テストを行う必要があると述べる。

 従来の規制では定期的な侵入テストではなく毎年必要であると記していたため、これはNYDFSがPCI-DSS (注3)の基準と同様に、2年に一回の侵入テストを必要とするために近い将来に規制を改訂することを検討している分野の1つかもしれない。

(3) 多要素認証 (MFA)(Multi-Factor Authentication ) (注4)

 新ガイダンスでは、ハッカーが規制対象のネットワークにアクセスするのを防ぐ MFA の有効性を強調し、リモート アクセスに対する MFA の要件を繰り返している。(23 NYCRR § 500.12(b))

 規制自体にはMFAの実施に対する例外が含まれているが、MFA要件に対する許容可能な例外が実際にはかなり制限されることを示唆した。この点は、NYDFSサイバーセキュリティの上級担当者の最近の発言と一致しているが、本ガイダンスは500.12(b)のMFAの例外を認めたり参照したりはしていない。

(4) 自動バックアップ(RDP )アクセスを無効を義務化(Disable RDP Access)

 推奨される方法として、規制対象の企業・組織は、絶対に必要でない限り 自動バックアップ(RDP )アクセス(注5)を無効化する必要がある。

(5 ) パスワード管理(Password Management)

 規制対象の企業等のアクセス制御と ID 管理ポリシー (23 NYCRR 500.3(d)) の一部として、このガイダンスでは、強力かつユニークなパスワードの使用を推奨している("強(strong)" でも "ユニーク(unique)" もどちらも定義していない)。しかし、この新ガイダンスでは、「特権ユーザーアカウント」(注6)に関する「パスワードの強度」の詳細な内容が明記され、「少なくとも16文字のパスワードとかつ一般的に使用されているパスワードの禁止」が必要とされている。また、パスワードのキャッシュ(無効化)を推奨し、特に大規模な組織では、特権ユーザー アカウントのパスワード・ボルト(注7)の実装を推奨している。

(6) 特権ユーザーのアクセス管理.(Privileged Access Management)

 このガイダンスでは、規制対象の企業等が特権ユーザー アカウントを最小限のユーザー (23 NYCRR §500.3(d) (注8)および §500.7 ) に提供し、そのようなアカウントに強力なパスワード (前記(5)参照) と MFA (前記(3)参照) を実装することを勧奨している。

(7) 監視と応答(Montoring and Response)

 規制対象企業の書面によるサイバーセキュリティポリシー(前記(1)参照)の一部として電子メール・フィルタリングを実装することに加えて、NYDFSガイダンスでは、規制対象企業は23 NYCRR § 500.3(h)の適用に関し、「侵入者のシステムを監視し、疑わしい活動のアラートに対応する方法を持っている必要がある」と述べている。

 【ランサムウェア攻撃事故に向けた準備】

(8) テストおよびテスト時のオンライン・ネットワークから分離したバックアップ.(Tested snd Segregated Backup)

  ランサムウェア攻撃に備えて、規制対象企業はシステムをバックアップし、そのようなバックアップがネットワークから分離され、オフライン (23 NYCRR §§§500.3(e)、(f)、(n)) になっていることを確認する必要がある。ハッカーは身代金の支払いを奨励する手段として、ほとんどの場合、バックアップを無効にしようとするため、これらのバックアップをネットワークとオフライン (およびバックアップがテスト) から分離することが重要である。

(9) インシデント対応計画(Incident Response Plan)

 新ガイダンスでは、”23 NYCRR § 500.16” の要求に応じて、書面によるインシデント対応計画は、ランサムウェア攻撃に明示的に対処する必要があり、そのような計画はインシデント(机上演習)の前にテストする必要があると規定されている。

【NYDFSへの報告義務】

 NYDFSサイバーセキュリティ規制の既存の言語の下で、規制対象企業等は72時間以内にNYDFSに「対象となるエンティティの通常の操作の重要な部分に重大な害を与える合理的な可能性」を有するサイバーセキュリティ・インシデントを報告する必要がある(23 NYCRR § 500.17(b))。NYDFSによると、規制対象企業は、(1)内部ネットワーク上でのランサムウェアの正常な展開、および/または(2)「ハッカーが特権アカウントにアクセスする侵入」事件をNYDFSに「できるだけ速やかに、遅くとも72時間以内に」報告する必要がある。したがって、NYDFSは、正式な通知とコメント期間の対象となる可能性のある新しい明示的な報告要件を導入していないが、NYDFSは、規制の報告やその他の技術的コンプライアンスの側面の両方に関して、このような正式な改訂が行われる可能性があることを示唆している。

 暫定的に、既存の報告期限内にこのようなサイバーセキュリティ・インシデントを報告するためのこのガイダンスは、マサチューセッツ州の銀行監督部門等のランサムウェアを報告するライセンシーに対する他の規制当局の最近の要求と一致している。

 さらに、新ガイダンスは、NYDFSのサイバーセキュリティ要件の解釈とランサムウェアの防止に適用される合理的なセキュリティを表しているため、このガイダンスは、審査、調査、および施行のコンテキストにおける潜在的なロードマップとして役立つ可能性がある。

 したがって、規制対象企業は、情報セキュリティプログラム、特にガイダンスとその報告機能に定められた9つのサイバーセキュリティコントロールの有効性を評価したいと考えるかもしれない。規制対象の企業、団体がこれらのコントロールのいずれかを実装および維持することが不可能であると判断した場合、そのような企業等は、その実現可能性を文書化することを選択できる。

 最後に、NYDFSはサイバーセキュリティ管理を強化するために、グローバル・サイバー・アライアンス(GCA)と提携してGCAの中小企業向けサイバーセキュリティ・ツールキットを推進し、中小企業にとって特に有用なリソースである可能性のある連邦サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA、Cybersecurity and Infrastructure Security Agency)のリソースへのリンクを提供している。

 【補足】Microsoftの「Title 23 NYCRR Part 500」の各金融機関の要求事項に関する解説

 以下で主要部「ニューヨーク州NYDFSの規制では、各金融機関に対して以下の活動が要求されます」から項目のみを抜粋、引用する。

 なお、この資料はTitle 23 NYCRR Part 500とMicrosoftのクラウド・サービスとを関連付けている点を差し引いて読んでほしい。

(1)強力なサイバーセキュリティ プログラムの整備と維持:

(2)包括的なサイバーセキュリティ ポリシーの実施: 

(3)最高情報セキュリティ責任者 (CISO) の任命: 

(4)サイバーセキュリティ プログラムの有効性の監視とテスト

(5)監査証跡の管理

(6)非公開情報が含まれる情報システムへのアクセスの制限

(7)外部で開発されたアプリケーションのセキュリティの評価とテスト

(8) 定期的なリスク評価を使用した、サイバーセキュリティプログラムの設計と強化: 。

(9) 有資格担当者によるサイバーセキュリティのリスク管理とサイバーセキュリティ機能の監視:

(10) サードパーティ サービス プロバイダーが保持する情報のセキュリティを確保するためのポリシーと手順の適用

(11) データの保持と削除のポリシーと手順の実装

(12) 承認されたユーザーのアクティビティの監視、許可されていないアクセスの検出、従業員へのサイバーセキュリティに関する定期的な意識向上研修の提供

(13) サイバーセキュリティ インシデントでの対応と復旧に関する計画の整備:

**********************************************************************************

(注0) 同ガイダンスにつき2021.7.9  Steptoe & Johnson LLP「New York DFS Issues Guidance on Ransomware Prevention and Response」が要点をまとめている。ただし、筆者が後記(注8)で指摘したガイダンス中の”23 NYCRR 500”の条文の引用ミスについての言及はない。

(注1) 筆者3名をあげる。

Lance Taubin 男性

Kate Hanniford氏

Kim Peretti 氏

(注2)

https://www.curricula.com/nydfs-23-nycrr-500-14-security-awareness-training-program

”NYDFS 23 NYCRR 500.14 Security Awareness Training Program”

(注3) PCI DSS(Payment Card Industry Data Security Standard)とは、カード会員情報の保護を目的として、国際ペイメントブランド5社(アメリカンエキスプレス、Discover、JCB、マスターカード、VISA)が共同で策定したカード情報セキュリティの国際統一基準です。

 2004年12月に制定され、2013年11月に現行のv3.0にバージョンアップされています。また、PCI SSC(Payment Card Industry Security Standards Council)がPCI DSSの維持、管理、普及活動を目的に設立されています。

 カード会社、加盟店、プロセサー(決済処理代行事業者)など、カード情報を管理、処理、伝送するすべての組織が対象になります。 カード情報の盗難多発、スキミングからネットの不正アクセスによる大量のカード情報盗難、2005年米国大手プロセサーから4,000万件の情報盗難がきっかけで米国で普及しました。(富士通:PCI DSS(ピーシーアイ ディーエスエス)とは:から一部抜粋)。

(注4) MFA(多要素認証)から一部抜粋する。

二要素による二段階認証の例:

 SMS通知やワンタイムパスワードを発行するアプリによるMFAの場合、確かに「知っている情報」とは別に「持っている物」を確認してログインをしているため、さきほどの「知っている情報」だけによる二段階認証と比較すると多少セキュリティは高くなります。しかしながらSMS通知は、事前登録済みの電話番号が特定のスマートフォン(持っている物)に結び付けられていることを前提としているため、本当にこの状態を将来にわたって「持っている物」として取り扱うべきなのかは議論の余地がございます。

 また、スマートフォンに表示された数字をログイン画面に打つ時点で「持っている物」から「知っている情報」へと変換されており、この認証もまた、悪意のある第三者にとって不正ログインが可能です。・・・・・(以下、略す)

(注5) RDS は、指定したバックアップ保持期間に従って DB インスタンスの自動バックアップを保存する。これにより、必要に応じて、バックアップ保持期間内の任意の時点でデータベースを復旧できる。 

(注6) 特権アクセス管理権限を持つアカウント管理:

 特権アクセス管理 (PAM) は、権限が重要な企業リソースに格上げされたユーザーのアカウントを、高いセキュリティで管理するシステムを指す。特権のあるユーザーアカウントは、サイバー犯罪者にとって高価値なターゲットです。それは、彼らはシステム上で格上げされた権限を持ち、高度な秘密情報にアクセスを許可されるから、および/またはミッション・クリティカルなアプリケーションやシステムに、管理者レベルの変更を行うからである。2020年は、44% のデータ違反事件で特権 ID が関与した。「特権アクセス管理 (PAM) は、なんでしょう?」から抜粋。

(注7) パスワード・ボールト(Password Vault)は、多くのパスワードを安全なデジタルの場所に保持するソフトウェア・プログラムです。パスワード保管庫を暗号化することにより、パスワード・ボールトはユーザーに単一のマスターパスワードを使用して、さまざまなWebサイトまたはサービスに使用されるさまざまなパスワードにアクセスする機能を提供します。(パスワードボールトの解説から一部抜粋)。

(注8) NYDFSのリリース原本やALSTON BIRD LLP blogもデータ条文の引用をかなり間違えている。以下のとおり正誤表を作成した。

筆者は、NYDFSおよび同法律事務所に連絡しておいた。いずれ訂正されるであろう。

******************************************************************************

【DONATE(ご寄付)のお願い】

本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。 

◆みずほ銀行 船橋支店(店番号 282)

◆普通預金 1631308

◆アシダ マサル 

◆メールアドレス:mashida9.jp@gmail.com

【本ブログのブログとしての特性】

1.100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり

2.本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。

このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。

3.上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。

 このような経験を踏まえデータの入手日から最短で1~2日以内にアップすることが可能となった。

 なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。

 本ブログは、上記のように公的機関等から直接受信による取材解析・補足作業リンク・翻訳作業ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。

4.他にない本ブログの特性:すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。

その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。

他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。

5.内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。

【有料会員制の検討】

関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。

                                               Civilian Watchdog in Japan & Financial and Social System of Information Security 代表                                                                                                                  

************************************************************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ジョージア州のナイジェリア人が約270万ドルのビジネスメール詐欺を監督主導した罪で40ヶ月の拘禁刑、365,205ドルの没収、2,691,908ドルの被害者に対する賠償金が命じられた

2021-04-19 13:40:04 | サイバー犯罪と立法

  本名インフェアニ・エケ(Ifeanyi Eke)は、この詐欺犯罪計画において監督的役割を果たし、ニューヨークの国連本部を含む35人の犠牲者に対して約270万ドル(約2億9,160万円)の損失をもたらした。

 2021年4月13日(火)、ニューヨーク南部地区のオードリー・シュトラウス(Audrey Strauss)連邦検事は、ナイジェリア人であるインフェアニ・エケ(Infeanyi Eke: 別名:ルーサー・マルバ・ドーリー:Luther Mulbah Doley)が4月13日に有罪となり、広範囲にわたる国際的な電子メール詐欺(BEC) (筆者注1)シンジケートの一環として刑罰が宣告(筆者注2)された旨発表した。

Audrey Strauss 氏

 今回のブログは、(1)2016年ころから話題となり、また急速に増加している「ビジネス電子メール詐欺(Business Email Compromise )計画」の実態をFBIのリリース内容にもとづき解説するとともに、(2)英国IT専門メディア”The Register”等の記事等に基づき起訴や裁判内容を明らかにし、さらに(3)その被害を阻止するための具体的施策について緊急提言を行うものである。

1.FBIのリリース概要

 シュトラウス連邦検事は、「被告が本日認めたように、イフェアニ・エケは300万ドル近くを数十人の犠牲者からだまし取った国際的な詐欺陰謀において重要な役割を果たした。当然のことながら、エケは、有罪(40カ月の拘禁刑、365,205ドル(約3944万円)を没収、さらに2,691,908.30ドル(約2億9073万円)の被害者に対する払い戻し)等を宣告された」と述べた。

Ifeanyi Eke 被告

 起訴状および検事局の申し立てによると、他の裁判所の提出、および裁判所の手続き中に行われた声明に基づく申し立て内容は概要、以下のとおりである。

(1) 2016年頃から2018年7月にかけて、エケと共同被告たるシリル・アシュ(Cyril Ashu)、ジョシュア・イケジンバ(Joshua Ikejimba,)、チネドゥ・アイユア(Chinedu Ironuah)を含む彼の共謀者は、米国内外の数十人の犠牲者をハッキングしてシンジケートが管理する銀行口座に数百万ドルを送金する詐欺的なBEC計画を実行した。

 この詐欺計画は、被害者がすでに知っておりかつ信頼していた相手からのものであるといつわり、被害者が実際に被告やこの計画に関与した他の人によって管理されている口座に資金を送るように被害者に不正に指示する送金指示を含む「なりすまし」Eメールを被害者に送ることによって行われた。

 エケは、この詐欺計画において幅広い役割を果たした。すなわち、このスキームの一環として、エケは個人的に彼が開設し、制御しうる銀行口座のいくつかの異なる被害者から詐欺収益を得るため電信送金を受け取った。

(2) 犠牲者の一人である、ニューヨークに本部を置く政府間組織(国連:United Nations) (筆者注3)は、エケの銀行口座に188,815ドル(約2,039万円)を送金するよう騙された。詐欺の収益を受け取った後、エケは彼自身の使用と彼の共謀者へのs資金の配布の両方のためにそれらを引出し、転送した。エケは被害者から得た資金を直接受け取り、共謀者にばらまくことに加えて、共謀者の口座に詐欺収益を受け取るように手配し、被害者の電子メールに含まれる電信送金情報を受け取って伝達し、詐欺収益を表す小切手(キャッシャーズ・チェック:casher’s check)の取得と預け入れの調整を含む陰謀の他のメンバーを管理、監督した。合計で、エケは約270万ドル(約2億9,160万円 )、35人の犠牲者に対する実際の損失の責めを問われたのである。

(3) ジョージア州サンディスプリングスの住民であるエケ(34歳)は有罪答弁を行い、米国合衆国法典第18編第1349条に違反して、電信詐欺を犯した陰謀の1訴因で有罪を宣告され、判決を受けた。その結果40カ月の拘禁刑期に加えてエケは3年間の監視付釈放(supervised release) (筆者注4)を宣告された。さらにエケは365,205ドル(約3,944万円)を没収され、2,691,908.30ドル(約2億9,073万円)の被害者に対する賠償金の支払い(pay restitution)を命じられた。

2.エケを中心とする詐欺シンジケートの計画・手口.

 人々が財産の相続人のふりをして、被害者に資金にアクセスするためにお金を送ってもらうためのさまざまな方法を考案した悪名高いナイジェリアの電子メール詐欺とは対照的に、エケと他の3人のナイジェリア(シリル・アシュ、ジョシュア・イケジンバ、チネドゥ・アイユア)の共謀者によって実行された詐欺は、はるかに洗練されていると検事局の起訴状は述べている。

 まず、(1)彼らは大規模な企業組織をターゲットにして被害者を調査・探しだし、ターゲットがすでにビジネス関係にあるビジネスに特定の会社を設立した。次に、(2)偽の電子メールアドレスを介して偽の請求書を送信し、同じ名前で設定された本物のアカウントにリンクする送金の詳細を送った。

 その後、当該資金はキャッシャーズ・チェック(casher’s check)(筆者注5)  の形で引き出され、詐欺師はさらに先に進んだ。信じられないことに、最大の1回あたりの送金額は、彼らがニューヨーク国連本部から得た188,815ドル(約2,039万円)であった。2年間、4人の男性は検出を回避するために17以上の別名を使用し、35の異なるグループから270万ドルを得ることができた。これは、毎回平均77,000ドル強であった。 

 エケの弁護士は、他の共犯者に無意識のうちに詐欺に巻き込まれたのであり、エケがアシュとアイロヌアに精通するにつれて、彼は2人が金儲けの計画に関与していることを知り、参加する機会が与えられた。少しで米国にきて間もないエケは、アシュの地下室に住んでいて、陰謀に加わることを決心した」と裁判において主張した。 

 エケの弁護士は、エケが1つの別名(aliases)しか使用しておらず、彼が「特に洗練されていない犯罪の参加者」であるという証拠として、彼が自分の名前で開いたいくつかのアカウントを使用したという事実は、寛大に扱われるべきであるとさえ主張した。

 さらに、弁護士は「エケ氏は詐欺計画への参加の責任を受け入れる用意があるが、彼は内部紛争を経験せずに参加しなかった」と主張した。

 どうやらエケは国連から盗まれた188,000ドルに腹を立てていたので、3日間小切手を現金化できなかった。 「エケの倫理的懸念は、物質的な成功への欲求によって和らげられ、克服された」と彼の弁護士は説明した。

 FBIは特にエケ被告に同情的ではなく、エケは故意に数え切れないほどの詐欺に関与しただけでなく、いくつかの詐欺を監督したと主張した。連邦検事オードリー・シュトラウスは 「被害者の資金を直接受け取って消散させることに加えて、エケ被告は、共謀者のアカウントが詐欺の収益を受け取るように手配したり、被害者の電子メールに含まれる電信送金情報を受け取って伝達したり、買収を調整したり、詐欺の収益を表す小切手の預け入れるなど、陰謀の他のメンバーを管理および監督した」と述べた。「合計で、Ekeは合計約270万ドルの35人の犠牲者の実際の損失に責任がある」と主張したのである。

3.BEC詐欺手口の特徴とその被害阻止策

 FBIがBusiness Email Compromise(BEC)について専門サイトで詳しく解説している。以下で、その主要部を抜粋、仮訳する。

(1)犯罪者がBEC詐欺を実行する方法

 詐欺師は次のことを行う可能性がある。

①電子メールアカウントまたはWebサイトでのなりすまし行為

 正当なアドレスとの微妙なスペルの違い(例:john.kelly@examplecompany.comとjohn.kelley@examplecompany.com)は、被害者を騙して偽のアカウントが本物であると思い込ませる。

②スピア・フィッシング・メール(特定の組織や人物を狙って偽のEメールを送信し、個人情報を収集する標的型フィッシング攻撃のためのメール)を送信する。 これらのメッセージは、被害者をだまして機密情報を漏らしてしまうように、一見信頼できる送信者からのメッセージのように見える。その情報により、犯罪者は会社のアカウント、カレンダー、およびBEC計画を実行するために必要な詳細を提供するデータにアクセスできるようになる。

③マルウェアを使用する。

 悪意のあるソフトウェアが企業ネットワークに侵入し、請求書(billing)や明細付請求書(invoices)に関する正当な電子メール・スレッド(e-mail threds) (筆者注6)にアクセスする可能性がある。その情報は、会計士や財務担当者が支払い要求に質問されなおように、要求の時間を計ったりメッセージを送信したりするために使用される。またマルウェアは、犯罪者がパスワードや金融口座情報などの被害者のデータに検出されずにアクセスできるように仕向ける。 

(2)BEC被害にあわないための施策

① オンラインまたはソーシャルメディアでお互いが共有する情報に注意すること。ペットの名前、通った学校、家族へのリンク、誕生日などをオープンに共有することは、詐欺師がパスワードを推測したり、セキュリティ保護用の質問に答えたりするために必要なすべての情報を提供することにつながる。

 ② アカウント情報の更新または確認を求める迷惑メールやテキストメッセージの内容を安易にクリックしないこと。

 つまり、相手の会社の電話番号を自分で調べ(潜在的な詐欺師が提供している電話番号は使用しないこと)、また会社に電話して要求が正当かどうかを必ず尋ねること。 通信で使用されている電子メールアドレス、URL、およびスペルを注意深く調べること。詐欺師はわずかスペルの違いを利用して被害者の目を騙し、信頼を得る。

③ ダウンロードする際に十分注意すること。知らない人からの電子メールの添付ファイルを絶対に開かないこと。また、電子メールの添付ファイルが転送されることに注意すること。

④ それを許可するアカウントに二要素(または多要素)認証を設定し、その設定を無効にしないこと。

⑤ 可能であれば、支払いと購入のリクエストを直接確認するか、その人に電話して正当なものであることを確認する。アカウント番号や支払い手続きの変更は、リクエストを行った人に直接確認する必要がある。

⑥ 要求者が迅速に行動するようにあなたに堰かせるなど圧力をかけている場合は、特に注意すべきである。

***************************************************************************

(筆者注1) BECについては、2013年ころからセキュリティ関連機関から警告がてている。

2016年6月16日のTrend Microはそのブログ「多額の損失をもたらすビジネスメール詐欺「BEC」」で以下のとおり述べている。

「米連邦捜査局(FBI)による最新の統計では、2013年10月から2016年6月における「Business Email Compromise(BEC、ビジネスメール詐欺)」の活動による被害総額は約31億米ドル(約3245億円。2016年6月17日現在)に達し、世界中で約2万2千の企業へ被害が及んでいます。

2015年8月に公表された米連邦捜査局(FBI)と米国インターネット犯罪苦情センター(IC3)の情報では、ビジネスメール詐欺は 2013 年 10月頃から確認されており、2015 年 8 月までの被害総額はおよそ 8 億米ドル(約 875 億円。2016年5月25日の時点)で1300パーセントの増加を示し、一被害者あたりの被害額はおよそ14万米ドル(約 1465 万円、2016年6月17日の時点)に及ぶとしています。・・・・・・」

(筆者注2) U.S. District Court for the Southern District of New Yorkの判決原文は連邦政府の事前登録サイト(Public Access to Court Electronic Records (PACER))でも調べられるが、一部有料情報やアカウント作成に多少手間がかかるため、無料のサイト”Judicial Caselaw”でも閲覧は可である。エケ被告に対する判決文全文のURLは「https://judicialcaselaw.com/courts/nysd/cases/1_19-cr-00318-JMF/127128909987?page=1」である。8回クリックする必要があるが、全文が読める。

 なお、PACERへのアカウント登録手続きは米国国籍住民である必要はなく、筆者もすでにアカウントをもっている。登録手続上の留意点を補足する。

必須項目の*につき州の選択の前にcountry「japan」を選ぶこと、現住所、電話番号、メールアドレス等で登録できる。申込者の連邦の裁判区の質問が*であるがUser TypeをAttorneyを選べば問題ない。

 登録の途中でクレジットカード情報の登録画面があるが、一部有料情報を利用しない限り登録は不要である。そのまま次に進んでよい。登録が終わるとメールアドレス宛に「Account Number」、「Usrname」、「Account Balance」等の通知が届くが、7~10営業日以内にPACERからU.S.PSTAGEでactive化通知が届いたら、その中の”authentication token”を入力したら判決文等のログインが初めて可能となる。

(筆者注3) 起訴状には被害者の1人として”intergovernmental organisation headquarted in new York”と書いてあるのみである。しかし、英国のmedia "The Register"が記事で書いているとおり、国連を意味するようである。

(筆者注4) キャシャーズ・チェック(cashier's check)は”personal check”とは別物で、実際に銀行に出向いて、その支払い額がきちんと口座に入っていることを前提(銀行の係員が確認して発行)とする小切手の作成方法です。

下記見本はKeisuke Takemoto氏のブログ(https://intercom.help/mkt-homes/en/articles/2637961-cashier-s-check%E3%81%A8%E3%81%AF%E4%BD%95%E3%81%A7%E3%81%99%E3%81%8B)から引用

 例えば車とかで100万を超える買い物をする時に、personal checkをもらったけど口座にその金額が入っていなかった、というリスクを回避できるので、大金(1,000ドル)の支払いの場合はcashier's checkを求められる場合が多いです。

cashier's checkを作るためには直接銀行にいく必要があります。

銀行員にcashier's checkを作りたいというと紙をもらえるので、そこに自分の名前、支払う相手の名前、日付、金額(小数点以下ももしあれば記入)、

金額を横文字で記入したもの($100だったら、 one thousand dollarsと記入)、自分のサインを記入します。

それと合わせて自分のIDと銀行のacount numberを提示すると、銀行員がそれを確認して正式なcashier's checkを発行してくれます。一つは自分の控え、もう一つは支払い先に渡すチェックです。(ブログから一部抜粋)。

(筆者注5) 監督付釈放Supervised Release)につき米国の連邦では1984年の量刑改革法によってパロールが廃止され,量刑ガイドラインによる定期刑制度が実施されており,連邦の監督付釈放は,拘禁期間とは別に量刑の際に定められる裁判所の決定に基づく釈放後の社会内処遇である。

・監督付釈放の一条件として,一部対象者に,中間処遇施設における処遇を実

施する代わりの措置として,外出禁止等の管理目的で電子監視機器による位置

情報等確認が行われることがある。法務省・寺村堅志「6. 米国」(法務総合研究所研究部報告44号163頁以下)(http://www.moj.go.jp/content/000098494.pdf)から一部抜粋。

量刑ガイドラインUSSC  5F1.1.は、「社会内拘禁(Community Confinement)は、保護観察又は仮釈放(supervised release)の条件として課すことができる。」と規定する。

連邦法典 18 編 3624 条(c)(18 U.S. Code § 3624 - Release of a prisoner

 「矯正局は、その実行が可能である限り、6 月を超えない範囲で、拘禁刑の刑期の最後の 10%にあたる期間の相当な部分を、受刑者が地域社会への復帰に適応し、それに備える相当な機会を与える環境の下で、処遇しなければならない。」(1990 年改正により追加。全受刑者に適用される)

 さらに、連邦規則(CFR) 28 編 570.20 条及び 570.21 条を参照。 (「社会奉仕を義務付ける制度等に関する報告(アメリカ合衆国)」~一部抜粋)

 なお、各リンクは筆者の責任で行った。

(筆者注6) スレッドとは、メールが件名ごとにグループ分けされている表示方法をいう。

1つのメールに対する返信や転送など、関連するメールのやりとりが1つのスレッドとしてまとめられる。スレッド機能が有効になっていると、同じ話題に関するメールのやり取りを1つのスレッドにまとめて表示することになる。

**********************************************************************************:

【DONATE(ご寄付)のお願い】

本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。 

◆みずほ銀行 船橋支店(店番号 282)

◆普通預金 1631308

◆アシダ マサル 

◆メールアドレス:mashida9.jp@gmail.com

【本ブログのブログとしての特性】

1.100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり

2.本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。

このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。

3.上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。

 このような経験を踏まえデータの入手日から最短で1~2日以内にアップすることが可能となった。

 なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。

 本ブログは、上記のように公的機関等から直接受信による取材解析・補足作業リンク・翻訳作業ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。

4.他にない本ブログの特性:すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。

その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。

他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。

5.内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。

【有料会員制の検討】

関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。

              Civilian Watchdog in Japan & Financial and Social System of Information Security 代表                                                                                                        

**********************************************************************************************************************

Copyright©2006-2021芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

FBIが2020年インターネット犯罪報告書を発表

2021-04-14 14:45:03 | サイバー犯罪と立法

 2021年4月9日に公表されたFBIアラスカ州アンカレッジ地方事務所内の「インターネット犯罪苦情センター(Internet Crime Complaint Center:IC3)」レポートは、被害者から苦情報告された詐欺の増加を示すとともに、FBIは、関係者に対しオンライン安全慣行を強く要請した。

 今回のブログは、その概要を報告するとともに、先最近時に急増してい.る「ビジネスメール詐欺(Busiess E-mail Compromise scams:BEC)」、「Emailアカウントなり代り詐欺(Email Account Compromise:EAC)」および「技術サポート詐欺(tech support scams)」などの最新動向を概観する。

1.報告書の概要

 2021年4月9日、FBIアンカレッジ事務所内(AK-FBI)の「インターネット犯罪苦情センター(Internet Crime Complaint Center:IC3)(https://www.ic3.gov/)は、インターネット犯罪の疑いのある791,790件の苦情(2019年比で30万件以上の件数増加)からの情報を含む「2020年次犯罪報告書」を発表し、42億ドル(約3270億円)を超える損失を報告した。特に、 2020 COVID-19 パンデミックを悪用する詐欺の出現を見た”IC3”はCOVID-19に関連する28,500件以上の苦情を受けとったが、詐欺師は企業と個人の両方を標的にした。

 アラスカ州における州ベースの報告書では、アラスカ州の2,300人近くの犠牲者がIC3にインターネット犯罪の疑いをもって苦情を申し立て、600万ドル(約65,400万円)を超える損が報告され、アラスカ州の高齢者を極めて重大な影響を与えた。アラスカ州では、被害者によって報告された犯罪の上位3種は、知的財産権や著作権(IPR/copyright )等偽造詐欺・ゆすり(extortion,)詐欺、未配達詐欺/代金不払詐欺(non-payment/non-delivery scams)であった。しかし、被害者はビジネスメール詐欺(Busiess E-mail Compromise scams:BEC) (筆者注1) (筆者ブログ参照)、国際ロマンス詐欺、技術サポート詐欺(tech support scams)(筆者注2)に最も多くの資金を失った。報告書でこれらの詐欺は次の通り記述している。

(1) IPR/著作権および偽造詐欺

公衆の健康や安全を脅かす企業秘密や偽造品の盗難に関する詐欺である。

(2) 強要:詐欺

脅迫または不当な権限行使によるお金や財産の違法な要求する行為。身体的危害、刑事訴追、公衆の暴露などの脅威が含まれる場合がある。

(3) 未配達詐欺/代金不払詐欺

 代金不払詐欺の状況では、商品やサービスは出荷されますが、支払いは行われない。未配送詐欺の状況では、支払金いが送信されるが、商品やサービスは提供されない。

(4)ビジネスメールの違法侵害/電子メールアカウントの違法な侵害

 BECは、定期的に電信送金の支払いを行う外国のサプライヤーや企業と協力して(個人ではない)企業をターゲットに詐欺である。”Email Account Compromise:EAC(筆者注3)は、個人をターゲットにした同様の詐欺である。これらの手の込んだ詐欺は、不正な資金の移転を行うためにソーシャル・エンジニアリングやコンピュータ侵入技術を通じて電子メールアカウントを侵害詐欺師によって行われている。

(5) 国際ロマンス詐欺

 ほとんどの場合、ソーシャルメディアや出会い系サイトを通じて、被害者は彼らが関係(家族、フレンドリー、またはロマンチック)であると信じており、加害者に送金、個人的、金融取引情報、または価値のあるアイテムを送ったり、加害者を助けるために資金やアイテムをロンダリングするためにだまされる。

(6)技術サポート詐欺

  犯罪者は、技術サポートの代表者としてポーズをとり、存在しないコンピュータの問題を修正することを申し出て、.詐欺師は、被害者のデバイスや機密情報へのリモート・アクセスを取得する。

 一般的にみて詐欺計画の被害者から身を守るためには、認識できない架電番号からの電話に応答することに注意されたい。個人的に知らない人に金銭やギフトカードを送らないでほしい。また、電話や知らない個人に個人を特定できる個人情報を提供しないでください。

 政府機関を名乗るなりすまし詐欺のような一部のスキームでは、犯罪者はなりすまし番号から呼び出す政府職員としてのポーズをとり、資金、ギフトカードまたは個人識別情報を取得することに同意しない限り、被害者を逮捕または起訴すると脅す。これらの呼び出しは不正・違法行為である。非合法的な法執行官は、一般の人々からの支払い、ギフトカード、または個人を特定できる個人情報を要求する一方的な電話をかけるのである。

2.まとめ

 FBIは、犯罪インターネット活動の疑いがある場合、”ic3.gov”の”IC3”に直ちに報告するよう国民に覚えてほしいと考えている。インターネット犯罪被害を報告することで、被害者は法執行機関に活動を警告するだけでなく、サイバー犯罪との全体的な戦いを支援していることになる。

3.その他の追加関連リンク情報:

「2020インターネット犯罪報告書(pdf 全 30頁)」

「2020年の州別インターネット犯罪カテゴリー別レポート」

③FBIの解説サイト「一般的な詐欺と犯罪」

④ FBIの解説サイト「詐欺と安全、一般的な高齢者詐欺スキーム」

**********************************************************************

(筆者注1) 通称BEC(Business E-mail Compromise)は、現在世界で最も警戒されているサイバー攻撃の一つとして対策が必要なものである。BECはそうしたビジネスメールの「隙間」に入り込んで、取引先の経営者や営業担当者等を装って金銭をだまし取るというタイプのサイバー攻撃です。

 それでは、ビジネスメール詐欺(BEC)と標的型攻撃とは何が違うのでしょうか?

ここであらためて標的型攻撃に関しておさらいしておきましょう。標的型攻撃は不特定多数の人に向けて、マルウェアに感染した電子メールを送信するような無差別攻撃ではなく、特定のターゲットを決めた上でマルウェアに感染した電子メールを送信し、添付されたファイルを巧みに実行させるというサイバー攻撃です。高度な標的型攻撃ではターゲットの身辺調査や業界特有の商習慣等を十分に理解した上で電子メールを送信するため、人々は信用しきってしまい騙されるため、防御が非常に難しいサイバー攻撃としても知られています。標的型攻撃の目的は「情報の搾取」です。

 BECが標的型攻撃と違う点はまず、ターゲットと実際の取引先がやり取りしている電子メールに介入するということです。攻撃者はあらゆる手を尽くしてターゲットと取引先の電子メールを傍受し、ここだというタイミングを伺います。そのタイミングが訪れたら取引先に成りすまして電子メールを送信し、攻撃者が持つ口座に送金させようとします。そのため一見して第三者からの不正な電子メールだと気づくことは困難です。

もう1つの違いは直接的な金銭搾取を目的にしていることです。多くの場合、標的型攻撃の目標は情報搾取ですが、BECは不正送金を促します。個人情報流出による被害はありませんが、莫大な不正送金額になることもあるため甚大な被害をもたらします。以下略す。

㈱ネットワークバリューコンポネンツ「ビジネスメール詐欺(BEC)って何?」

から一部抜粋。なお、このブログはわが国のBEC被害の現状や具体的対応策についても言及している。

また、proofpointの「ビジネスメール詐欺(BEC)」も防御策につき詳しく解説している。

 また、FBIの”Business Email Compromise ”は、タイムラインに即して図解入りでより詳細に手口や防御方法等について解説している。

 この問題は、金融機関であるStandard Chartered Bankも”The high cpst of business email compromise (BEC) fraud”サイトで強い関心とその対策などにつき詳しく警告している。

(筆者注2)「テクニカル サポート詐欺との戦い」(Microsoftの翻訳解説)や米国連邦取引委員会(FTC)消費者情報局”How to Spot, Avoid and Report Tech Support Scams”が図解入りで手口や被害阻止策等を詳しく解説している。

(筆者注3) 誰かになりすましてメールを送信するビジネスメール詐欺 (BEC / Business Email Compromise) であれ、実際の誰かのアカウントを使ってなり代わってメールを送信するメールアカウント侵害 (EAC / Email Account Compromise) であれ、攻撃者はアイデンティティの詐称を利用しています。ビジネスメール詐欺 (BEC) は、被害者に金銭や個人情報を組織の外に送るように要求します。攻撃者は、CEOや財務担当副社長などの権限を持つ人物になりすますことでこれを行います。(proofpointの解説から一部抜粋)。

***********************************************************************************

【DONATE(ご寄付)のお願い】

本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。 

◆みずほ銀行 船橋支店(店番号 282)

◆普通預金 1631308

◆アシダ マサル 

◆メールアドレス:mashida9.jp@gmail.com

【本ブログのブログとしての特性】

1.100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり

2.本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。

このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。

3.上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。

 このような経験を踏まえデータの入手日から最短で1~2日以内にアップすることが可能となった。

 なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。

 本ブログは、上記のように公的機関等から直接受信による取材解析・補足作業リンク・翻訳作業ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。

4.他にない本ブログの特性:すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。

 その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。

他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。

5.内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。

【有料会員制の検討】

関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。

                                                        Civilian Watchdog in Japan & Financial and Social System of Information Security 代表

*******************************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする