Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

ドイツやフランス政府は聖金曜日の暴徒等の混乱を回避すべくイスラム世界にある外交施設や学校等を閉鎖

2012-09-29 08:51:59 | 人権問題



 9月20日付けのドイツのメディア「シュピーゲル」や19日付けのフランスのメディア「France24」はほぼ同時に両国内の風刺雑誌から発せられた記事がイスラム諸国の暴徒やテロ行為に繋がる懸念等から大使館等の閉鎖を外務省等が指示した旨を報じた。

 他方、9月21日、米国のカリフォルニア州ロスアンゼルス郡高等裁判所(ルイス・ラビン判事)は、女優シンディ・リー・ガルシア(Cindy Lee Garcia)がビデオ製作者やYoutubeの親会社であるGoogleに対し、Youtubeから反イスラム・ビデオを一時排除する命令を求めた訴えを棄却した。
(注1)
 また、「イスラム教徒の無実(The Innocence of Muslims)」問題につき国連特別報告者(U.N.Special Rapporteur)
(注2)であるマイナ・キアイ(Maina Kiai)は同動画がリリースされた後に爆発した一連の最近時の暴力行為を強く非難した。すなわち抗議や集会は国際的な人権法により保護されたもので平和的でなければならず、中東諸国にデモの責任者をこれら暴力行為に対する起訴を行うよう迫った。

 さらに、9月14日、国連人権高等弁務官(UN High Commissioner for Human Rights)ナヴィ・ピレイ(Navi Pillay)は、次のような関係国の宗教や政治リーダーに向けコメントを行った。
「動画フィルムは悪意に満ち、故意に挑発的なものであり、人々が平和的に強く抗議するのは彼らの権利である。しかしながら、私はベンガジの米国大使や外交官の殺害行為やフィルムに対する破壊的な反応を徹底的に非難するとともに政治や宗教のリーダーが平穏を回復すべき努力を強く求める。」

 一方、米国の自由人権NPO団体であるEFF(Electronic Frontier Foundation)は、この問題の人権保護面からいくかの懸念材料を指摘している。

 このようなイスラム圏(エジプト、イエメン、チュニジア、モロッコ、スーダン、イラン、イラク、イスラエル、パレシチナ等)で多くの宗派的暴力的抗議運動を引き起こした“Nakoula Basseley Nakoula”(裁判所では本人は自身“Mark Basseley”と呼んでいる)は9月15日に逮捕され、9月27日に2010年に下された銀行詐欺有罪判決における執行猶予違反等を理由に執行猶予なしの拘留が治安判事(US Central District Chief Magistrate Judge) スザンヌ・シガール(Suzanne Segal)により決定した(被告の1万ドルの保釈金に関して弁護士は被告の生命の安全性確保のため反対した)。
(注3)

 今回のブログはドイツやフランスの大使館閉鎖等問題に発展した「イスラム教徒の無実」に源を発する宗教紛争につき、米国の言論の自由規制裁判の歴史的経緯や人権擁護団体等から指摘される懸念問題を中心に論じる。


1.ドイツやフランスの大使館閉鎖に関するメディア記事
(1)ドイツのシュピーゲル(2012年9月20日付け)
 ドイツ外務省は金曜日(イスラム教の聖なる日)にイスラム世界の国々での外交任務を終えることを発表した。また抗議の更なる増加に備えドイツの外交施設につき一層の安全策を取ることを検討している。
 これらの背景には、論議を呼んだ反イスラム映像「イスラム教徒の無実」に対すル継続的反動に加え、フランスの反イスラム教の週刊風刺雑誌「Charlie Hebdo」が19日にムハマド漫画の公開による混乱で火に油が注がれた。9月14火にはスーダンの首都ハルツームのドイツ大使館は荒れ狂う暴徒により攻撃され放火されたため非常事態措置として閉鎖されている。
 また、9月20日、ドイツの風刺雑誌「Titanic」は9月下旬にムハンマド特集号を発刊すると予告したため、更なる不安定を招くこととなった。

(2)フランスのフランス24(2012年9月20日付け)記事
 「Charlie Hebdo」が裸のムハンマドの漫画を発表した後、フランス外務省はイスラム世界全体に設置する20の大使館を閉鎖すると9月19日に発表した。その漫画は裏ページに印刷されたものであるが、イスラム世界の人々にショックを与えるに十二分であった。フランスのローラン・ファビウス(Laurent Fabius)外相は「このような挑発は意味がない。フランス政府は漫画の出版を決して奨励しないし最終的な勝者たりうる理由を求める」と述べている。

2.米国ロスアンゼルス郡高等裁判所は、女優がビデオ製作者やYoutubeの親会社であるGoogleに対し、Youtubeに関する反イスラム・ビデオを一時排除命令を求めた請求を棄却

 カリフォルニア州ロスアンゼルス郡高等裁判所(ルイス・ラビン判事:Luis Lanvin)は女優シンディ・リー・ガルシア(Cindy Lee Garcia)のビデオ製作者やYoutubeの親会社であるGoogleに対し、Youtubeに関する対し反イスラム・ビデオを一時排除命令を求めた請求を棄却した。
 ガルシアが起こした訴訟は、オンラインにフィルムを保管すると、彼女の肖像権が侵害され、自身のプライバシー権利が侵入されて、フィルム化後の対話内容が偽の光の中に彼女を割り当てたるべく変更された主張した。「我々は、より多くの問題を引き起こし続けるので、そのフィルムを取り去る必要であると思う。」と、彼女は述べた。

3.米国の自由人権NPO団体であるEFF(Electronic Frontier Foundation)の人権保護面からいくつかの懸念材料
(1)事実関係の整理
 ピッツバーグ大学ロースクールが編集する“Paper Chase Newsburst”9月20日号は次のようにまとめている。
「エジプト系米国人が作成し、後にエジプトのテレビで放映され一連の暴動を引き起こしたた『イスラム教徒の無実』に対する先週の反応は極めて広範囲に広がった。いくつかの政府はすべてYoutube(予告編の閲覧は引き続き可能である)を禁止した。Youtubeはエジプトやリビアでのビデオへのアクセスを禁止すべく自らの意思で決定した。その他の国はビデオへのアクセスをブロックするためYoutubeに対し法的要請を行い同社はこれに応じた。

 ビデオはイスラム教徒を怒らせるという唯一の目的で持って製作されたようであるという事実は、米国においてそれが「言論の自由試験(First Amendment Free Speech Test)」(注4)にパスしていたかという疑問を呼び起こす一方で、他の者はビデオは保護された言論であると述べた。

 また、9月18日付けのロスアンゼルス・タイムズは、次のようにこの問題を正面から取り上げている。連邦最高裁所のオリバー・ウェンデル・ホームズ(Oliver Wendell Homes)判事 を裁判長とした裁判史上最も有名な裁判1919年「シェンク対合衆国事件(Schenck v.United States)」で合衆国の言論の自由が無制限でないことを全員一致で明らかにした。すなわち、その言論の性格と状況にかかる場合、当該言論は法的に保護されないとし、以降、1925年の「Gitlow v.New York」裁判で厳しく解せられている。

 しかし、現行のさらに厳しい基準の下でも「イスラム教徒の無実(ビデオの予告編)」と間接的に見た米国大使クリストファー・スチーブンスJr.の死亡とは、間違いなく合衆国憲法やその価値は法制化されていると見れる。
 初期のメディアの調査によると、最もひどいカット場面ははじめにショットされて後にユーザー名“Sam Bacile”により本年7月にYoutubeに投稿された。
 AP通信は、Bacileに関し、携帯番号からエジプト人のコプト教徒を由来とするカリフォルニア州在の“Nakoula Basseley Nakoula”にたどりついた。Nakoulaはフィルムの流通(logistics)の調整時に自身の身分を証明したが、”Bacile”ではないと否定した。

 ウォールストリート・ジャーナルによると、同ビデオが多くの関心を寄せるのに失敗したとき、反イスラム教であるコプト人のキリスト教信者は9月6日に米国、エジプトやその他の国のレポーターにリンクを張ったという。

 そのメッセージは、反イスラム教の牧師テリー・ジョーンズ(Terry Jones)で9.11事件をあおるとともに予告編へのリンクを含んでいた。

 米国における制限が課される言論の自由または暴力を引き起こした場合に関する基準は、1969年の「Brandenburg 対オハイオ州」判決で広げられた。このより狭いガイドラインでは、言論は意図(intent)および差し迫っている暴力や法違反にかかる言論に限定された。(以下、略す)

(2)EFFの懸念指摘事項
 EFFが指摘した内容は次のとおりである。

①ホワイトハウスが報告しているように、Youtubeに対し、同社がサービス利用規約に遵守していることを保証するようビデオ内容を見直すよう依頼したという事実である。EFFのエヴァ・カルペリン(Eva Calperin)はホワイトハウスの要請はそれだけに過ぎないことはないと思われるが、少なくともホワイトハウスが見直すよう呼びかけ、求めたことは萎縮効果はあったといえる、と述べている。

 事実から明らかとなった第2の懸念材料は、Youtubeはエジプトやリビア内での検閲決定に関し地域の市民自由グループと協議しなかった点である。後に行われたインド、インドネシア、マレーシア、サウジアラビアや公開されるまでその他の国では各国の地方の裁判所で動画閉鎖の決定が行われのに対し、エジプトやリビアではおそらく地方の専門家を参加させることなく米国内の会社のみで決定したと思われる。2011年の反乱の間、エジプト人やリビア人が彼らの命を欠けて自由を勝ち取ったことに比べ、西側企業が決定者としてオンラインで見ることが出来ないことは極めて残念な点である。

 Youtubeの取った行動は、我々が新たな公的領域と呼ぶインターネットは公的ではない点に関する留意点である。バークマンセンターのインターネットと市民のためのメディア法プロジェクト (Berkman Center for Internet & Society’s Citizen Media Law Project)のアンドリュー・F.セラーズ(Andrew F.Sellars)は、9月17日のブログで、我々は言論の自由が、次のとおり個人的な当事者が判断するいくつかの重要な結果があることを認めざるを得ない。

①リーダー的な米国のインターネット会社は言論の自由のために合衆国憲法修正第1のバーをより低く設定している事実。
②我々は民間団体を裁定者の地位に正式な救済方法なしに置くことは、その行う決定は不公正であると信じる。
③これらの会社が警告なしに言論の自由を変更すべき何ものもないし、彼らに一貫性を要求する何ものもない。
 言い換えると、今回のケースが特別であったかも知れないが、Youtubeが将来類似した決定を行うことを防ぐ手立てはない。

****************************************************************************:
(注1) ラビン判事が原告の主張を否定理由は、ガルシアが告訴状のコピーに伝えられるフィルムの製作を組織化した男性とされる、Nakoula Basseley Nakoula に対する訴訟のコピーを提出できなかったという一部事実のためである。
また、裁判官は、同法廷のファイリングに基づき成功の見込みがあるとするガルシアの申請を支持することを否定した。それは、ガルシアが再提訴することを排除しないが、彼女の現在の出されている申請を放棄したことを意味する。同判事の行動は、児童虐待に賛成する恋愛遊戯者としてムハンマドについて表現する「イスラム教徒の無実(Innocence of Muslims)」に関する14分間の予告編(trailer)がオンラインのままで残ることを意味する。また、同判事は彼らが内容を制御する責任から第三者を隔離する連邦法を引用した。
なお、Google(ユーチューブを所有)はリビア、エジプト、サウジアラビア、インドおよびインドネシアで予告編のリリースを妨げたが、合衆国ではオンラインのままで残っている。また、ユーチューブはフィルムをオンライン上で排除すべきというガルシアの要求を拒否した。(以下、略す)

 なお、9月21日の朝日新聞の記事によると「イスラム教の預言者ムハマドを侮辱する動画に出演した女優が19日にロスアンゼルスの地裁に対し、製作者とされる男性の行為は詐欺や名誉毀損に当たるとして、動画の削除と懲罰的損害賠償を求めて提訴した。動画を掲載したグーグル傘下のユーチューブにも削除を命じるよう求めた」とある。再度、筆者は本裁判の告訴内容につきメディアの内容を調べたが、この記事の正確性には問題がある。
 CNNの記事で見る限り、本訴訟では原告はプライバシー侵害、詐欺、過失および精神的苦痛を意図的な与えたことによるNakoula に対する補償的損害賠償および懲罰的損害賠償を求めている。

(注2) “Special Rapporteur” とは国連事務総長の代理として独立した権限で人権問題につき専門かつ独立した形で「特別手続(Special Procedures )」メカニズムの範囲の中で国連人権理事会(特定国の命令かテーマが強制された場合のいずれか)から特定の命令を受けて国連を代表して働く個人を言う。通常、世界の各領域からの1人の計5人のメンバーで構成されたワーキンググループを含む。(Wikipedeiaから一部引用)

 なお、国連の人権理事会(HRC: Human Rights Council)は、2006年、それまで存在していた人権委員会(UN Commission on Human Rights、 CHR)に代わって設立された。人権理事会は日本を含む国連加盟国の人権状況を監視し、改善を促す役割を担う常設の国連機関である。人権理事会設立後に導入された手続に普遍的定期的審査(UPR)があり、すべての国連加盟国の人権状況を定期的に審査している。さらに、人権理事会のメカニズムとして、特別手続(Special procedures)が存在する。(日弁連サイト解説に筆者の責任で国連機関にリンクを張った。

(注3) “Nakoula Basseley Nakoula”の逮捕、保釈なしの拘留決定の経緯等に関してはCNNBBC 等多くのメディアが詳しく取り上げ、また多くのコメントが寄せられている。

(注4) 米国の「言論の自由試験(First Amendment Free Speech Test)」に関しては、次のサイトで詳しく歴史的な裁判経緯を含め説明されている。ここではその詳細は略す。
http://www.answers.com/topic/first-amendment-speech-tests-1


******************************************************:
Copyright © 2006-2012 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

EUの個人情報保護監視機関(EDPS)が欧州委員会の諮問に応えプライバシー規則案の改善に向けた意見書を提出

2012-09-24 16:27:39 | プライバシー保護問題



 米国法律事務所Covington & Burling LLの9月21日付けのブログは、EU加盟国の個人情報保護のWatchdogである「欧州個人情報保護監察局(European Data Protection Supervisor:EDPS)(主席監察官ピーター・ハスティンクス:Peter Hustinx)」 (注1)が欧州委員会の諮問に応え、「違法内容通知とその対応行動手続(notice-and-action:“N&A”Procedure)」につきインターネット仲介者(hosting provider))が負う法的責任にかかる手順規則の改正内容は、プライバシー権に基づきより明確にし、使い勝手が良いものとすべきとの意見書を提出した (European Data Protection Supervisor Calls For Clearer and More European Data Protection Supervisor Calls For Clearer and More Privacy-Friendly Rules On Internet Intermediary Liability)」と報じた。

 本ブログは同事務所のレポート内容を中心に、原資料と比較しながら、EUが取り組むべきこれからの課題を整理するものである。


1.Covington & Burling LLPレポートの概要 

 次のような内容である。
○EDPSは、このほどインターネット仲介者(hosting provider) (注2)が主催するコンテンツにつき違法であると通知を受けたとき、当該内容の削除を求めるという法的運営体制に関する「違法内容通知とその対応行動手続(notice-and-action:“N&A”Procedure」の改正にかかる規則改正についての公式の意見諮問につき、正式回答を行ったものである。そこでは以下述べるとおり、EDPSは「違法な内容」、「hosting」の定義ならびに違法な内容につき率先的に行動を起こすべきhosting providerの範囲の明確化の重要性を指摘した。

 EDPSの見解として、「権利者(right-holders)」 (注3)に加え、他の利害関係者(stakeholders)が追加されよう。彼らの多くはアクセスできる申立手続きや通知の濫用に対する制裁措置を含む透明性があり、かつユーザーに優しいことが求める。また権利者は、今日一部オンライン・プラットフォーム(オンラインで機能する特定のソフトウェアやハードウェアを動作させるために必要な、基盤となるハードウェアやOS、ミドルウェアなどのこと)が行っているとおり、権利者につき直接侵害コンテンツを排除可能とする仲介者にAPIs (注4)を提供する点で評価できる。

 EDPSが諮問内容に関し、取り上げ、評価するポイントは次の点である。
①N&A手続きの目的に関し、EU加盟国で横断的な「違法な内容」に関する定義を調和させること。
 EDPSは、機微情報の処理時に追加的安全措置が必要な点を強調する。また、一定の場合、違法な内容はhosting providerに対するより規制監督機関に対し行うことが適切な場合がある点を勧奨する。

②現下のでデジタル化環境を考慮すると“hosting”の定義を明確化すべきである。EDPSは、オンラインソーシャル・ネットワークこれらのサイトに個人情報をアップロードする実態から見て「data controllers」とみなすべき点を強調する。

③調和の取れた手続きの策定および違法な内容のホスト主体に対する通知内容の様式化をすべきである。
 EDPSは、調和の取れた様式と手続きがEUの個人情報保護法を十二分に配慮する必要性を追加する。たとえば、通知の送り主およびおよび関係するその他の個人(被害届出人(complainant)、嫌疑者、証人等)について必要最小限の個人情報のみを要求する「意図的プライバシーの 被害申立様式」を作成すべきと考える。

④hosting providerが率先して取るべき手続き内容を明確化する。
 EDPSはEUの「電子商取引指令(E-Commerce Directive:Directive 2000/31/EC) (注5)の第15条の範囲に関する疑問点つき言及する。すなわち、同条は「加盟国は、12条、13条および14条が適用されるサービスの提供者に対し、転送または保存情報を監視する一般的義務、および違法行為を示す事実または状況を積極的に探す一般的義務を課してはならない(この部分は消費者庁の資料から引用した)」と定める。同条については、スカーレット・エクステンデイド社 v.サバム裁判(Scarlet Extended v. SABAM(C-70/10))において欧州連合司法裁判所(CJEU)は2011年12月23日判決において、より鋭い安堵感が投げつけた。すなわち、裁判所は同裁判において部分的に基本的人権としてプライバシーを保護する一方で、著作権侵害を保護する目的のISPによる広い積極的なフィルタリングを禁止する旨判示した。EDPSはこの問題につき過去数回コメントを述べてきた。

2.EDPSの欧州委員会の諮問に対する意見書 
原文は、全3ページで2012年9月13日付で個別質問に対する回答方式を取っている。詳しい内容紹介は省略する。

3.欧州委員会の関係機や広く一般向けの諮問・アンケート文
 次の8章からなるが、単一ページ(PDF版で20ページ)での閲覧も可である。回答期限2012年9月11日であった。いずれにしても、やや内容の専門性に関しては不満足な諮問方式であると感じた。
①Introduction:経緯と問題点(用語の定義Glossaryを含む)
②I. Background information:回答者の概要情報に関する記入欄
③II Notice and Action procedures in Europe:N&Aに関する個別選択回答欄
④III. Notifying illegal content to hosting service providers
⑤IV. Action against illegal content by hosting service providers
⑥VI. The role of the EU in notice-and-action procedures
⑦VII. Additional comments

  ***********************************************************
(注1) EDPSのEUの機関としての従来の活動内容については、筆者ブログ等を参照されたい。なお、ここで、EDPSの基本的役割について概観しておく。
①監督(supervision):EDPSは、EU加盟国の政権において個人情報の処理内容をモニタリングするとともにデータ保護諸規則の遵守状況を保証する。監視任務は特定の危険を招くであろう運用処理のチェックから苦情申立や調査の実施等に及ぶ。

②欧州委員会、欧州議会等からの諮問に対する回答:個人情報保護に影響を与える新たな法律やさまざまな問題に関し欧州委員会、欧州議会や欧州連合理事会に助言を行う。

③加盟国の保護機関との協調:EDPSはEU内で一貫した個人情報保護を促進するため加盟国
の保護機関と協力する。加盟国の保護当局と中央のプラットフォームの場は「EU指令第29条専門調査委員会:Article 29 Working Party」である。

(注2) 「ホスティング・プロバイダー」とは、インターネットに接続可能なサーバーを有料で貸し出すプロバイダ業者(レンタルサーバー会社)をいう。ユーザーのメールやウェブサービスを預かり運用していくホスティング・サービスで、 ホスティングにはサーバーを複数のユーザーで共有する「共有ホスティング」と1人のユーザーで1つのサーバーを占有して利用する「専用ホスティング」がある。2010年12月25日筆者ブログ「米国ハーバード大学バークマン・センターがDDoS攻撃から独立系メディアや人権擁護団体保護の具体策を提言(その1) 」(筆者注3)参照。

(注3) 「権利者(right-holders)」の意義につき補足する。簡単にいうと、「権利者とは保護された著作権、商標または特許に対する占有権、およびプロデューサー、パフォーマーおよびブロードキャスターに関する排他的権利を有する法人または自然人を言う。権利者は、法的、そして、国際的な法的かつ特許などにかかる規定を通じ、保護された仕事の一部またはすべてにつき免許を持ちうる」となる。

(注4) API:アプリケーション・プログラミング・インターフェース:アプリケーション(ユーザのプログラム)がOSの公開機能を使うためのインターフェース。通常は関数形式。アプリケーションが関数に引数を指定してOSに渡すと、OSが指定された機能を実行する。使いやすさ、ミスオペ防止などが目的。
 また次のような説明もある。
 API(アプリケーション・プログラミング・インタフェース、Application Programming Interface)とは、アプリケーションから利用できる、オペレーティングシステムやプログラミング言語で用意されたライブラリなどの機能の入り口となるものである。主に、ファイル制御、ウインドウ制御、画像処理、文字制御などのための関数として提供されることが多い。
 つまり、簡単にいえば、アプリケーションをプログラムするにあたって、プログラムの手間を省くため、もっと簡潔にプログラムできるように設定されたインターフェースの事である。(Wikipediaから一部引用)

(注5) 「EUの電子商取引指令」第15条に関する論文としては、生貝直人(情報・システム研究機構)「プロバイダ責任制限法制と自主規制の重層性―欧米の制度枠組と現代的課題を中心に―」、井奈波朋子(弁護士)「プロバーダの責任に関するフランスの裁判例」(2008年コピライト567号27頁)等があげられる。

*************************************************************:
Copyright © 2006-2012 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.


コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

米国マイクロソフト社が中国のPC生産ラインに組み込まれたボットネット破壊を裁判所許可命令を踏まえ実現

2012-09-15 19:18:52 | 情報セキュリティの新課題



 去る9月10日、ヴァージニア州東部地区連邦地地方裁判所はマイクロソフト社のデジタル犯罪部(Digital Crimes Unit)に対し、無実の数百万人を標的とする500以上の異種のマルウェアの拡大を破壊すべく許可を与えた。

 そのマルウェア破壊戦略のコードネームは“Operation b70”と呼ばれ、広くユーザーのPCな安全性の損壊を目的とするマルウェアの組込み目的の偽のマルウェアを安全性を欠くサプライチェーン過程において浸入させたとする同社の研究成果に基づく今回の訴訟および技術的被害阻止のためのボットネット破壊許可を行ったものである。

 このニュースは、IT関連メディアだけでなくニューヨークタイムズやBBC
(注1)等多くの海外一般メディアも取り上げた。

 本件について、筆者なりに正確な情報入手に勤めたが、やはり一番正確なものはマイクロソフト社デジタル犯罪部の副法務顧問(Assistant General Counsel)リチャード・ドミンゲス・ボスコヴィッチ(Richard Domingues Boscovich)がまとめた9月13日付け公式ブログであろうことから、その内容の仮訳を中心としつつその要旨をまとめてみた。

Richard Dimingues Bascovich氏


1.マイクロソフト社の公式ブログの要旨
(1)同社が実施してきたマルウェアの異種によるボットネット破壊戦略に関し、今回の拡大阻止のための破壊措置は過去6ヶ月間行ってきた第2弾にあたる(第1弾は2012年7月2日に同社ブログで公表した“Zeus”対策)。

(2)PCの販売業者や再販業者は詳しく知らないまたは無権限の提供者から受け取ったり販売を受けた場合、製造業者と消費者の間のサプライチェーンの安全性は欠如する。“Operation b70” (注2)によりマイクロソフトは小売業者が有害なマルウェアを埋め込んだ偽のウィンドウズ・ソフト・バージョンを搭載したコンピュータを販売している事実を検出した。この犯罪者等は被害者の個人情報を盗み取り、かつe-mail、ソーシャルネットワークのアカウントやオンライン・バンクの口座情報を悪用した。その悪用例としては、マルウェアを利用して偽のe-mailを被害者の家族、友達や仕事仲間に送信し、金銭を騙し取ったり危険な偽の薬を売ったりさらに彼らのPCにマルウェアに感染させたりした。

(3)マイクロソフトは、偽造ソフトの配布阻止に全力を挙げて取り組むとともに政府、法執行機関や他の産業界とともに緊密に連携をとってきた。同社の「Nitol ボットネット」破壊作戦は、さらに顧客を保護し犯罪者が偽のソフトウェアを使い顧客を騙すことを思いとどまるようあらゆる必要な手段をとるという決意を表すものである。
 サプライチェーンにおけるPCやソフトウェアの供給者、再販業者、販売業者や小売業者が購入、転売に当たり信頼できる提供者からの取得するためには引き締め政策を取りかつその実践を行うことが必要である。

(4)マイクロソフトは、サイバー犯罪者が罪なき人々へのPC等の販売に当たり偽造ソフトをプレ・ロードし、感染させた事実を確認した。事実、安全性を欠くサプライチェーンから購入されたPC研究者のPCの20%はマルウェアに汚染されていた。事態をますます悪化させたことは、同マルウェアはUSBフラッシュ・ドライブ等を介して伝染病のように拡大したことである。

(5)Nitolの問題を暴露すべくマイクロソフトの研究は、2008年以来悪意ある犯罪行為にリンクするドメインの主催者を問題視した。この研究では“b70”を主催することに加え、“3322.org”が7万以上のサブドメインが驚異的な500以上の異種マルウェアを含んでいることを明らかにした。この調査にあたり、マイクロソフトは感染したPCのマイクロフォンやビデオカメラを遠隔でスィッチオンし、まるで潜在的に犠牲者の家庭や事務所に目や耳があるがごとく、情報をサイバー犯に与えているという事実を明らかにした。
 「Nitolボットネットマルウェア」は、それ自身インターネット・トラフィックに過剰負荷をかけ大規模ネットワークを無能力化する“DDoS(Distributed Denial of Service)”を実行するとともに、さらに被害者のPCにマルウェアのための隠れたアクセスポイントを作り出す役目を持った。

 マイクロソフトは、わが社の顧客やクラウド・ベース・サービスを標的とするマルウェアの脅威を先見的に排除するMARS(Microsoft Active Response for Security)プロジェクトの一部としてNitol ボットネットに対する裁判行動を起こすべく、訴えを提起した。

 これらの調査結果を元にマイクロソフトはこれらの犯罪行為が“Waledac”“Rustock”“Kelihos”の運営者により行われているとしてヴァージニア州東部地区連邦地裁に訴訟を起こした。

(6)2012年9月10日、同裁判所は被告たる彭勇(Peng Yong)の所有会社および“John Does” (注3)に対する一方的一時差止め命令(ex parte temporary restraining order)を求めるマイクロソフト社の申立を承認した。この訴訟にかかるすべての法律文書は9月13日付けで公開されている。
 同命令においてマイクロソフトはNitolボットネットを主催していた“3322.org domain”を同社の新たなDNS(Domain Name System)の創設を通じて主催することが認められた。この新システムは、正当なサブドメインが分裂せずに作動する他のすべてのトラフィックを許容する一方で、マイクロソフトが“3322.org domain”上で機能する約7万近い他の悪意あるサブドメインを防護することを可能とする。

 これ対抗措置は本件のみでなく現在なお進行中であり、さらに必要に応じてアップデートする。

(7)PCユーザーが、仮に自身のPCがマルウェアに感染していると信じる場合、マイクロソフトは無料でセキュリティの解析とクリーニングするための専用サイトhttp://support.microsoft.com/botnetsを用意した。

2.関連解説記事
 9月14日付けのフォレンジック専門サイト“Digital Forensic Investigator”が裁判所の公開文書をもとに他のメディアより詳しく解説している。

****************************************************************************************************************

(注1) わが国でBBCの記事を仮訳している例がある。しかし、訳語の不正確やさらに言えばマイクロソフト社の公式ブログを読んでいないことなどから読者にとって決して有用とは思えないことから本ブログをまとめた。

(注2) “Operation b70”(全18頁)の内容は公式ブログからリンク可である。

(注3) 米国の裁判では、被告を特定できなくても提訴ができるが、その場合、次のような匿名の表示“John Does”を使用する。

*******************************************************************************************************************:

Copyright © 2006-2012 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.


コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする