サイバー法の専門家、NotPetya 保険の批判に目を細める: ネットワーク ハッキングに「戦争除外」条項を適用すべきか?

Table of Contents

サイバー法の専門家、NotPetya 保険の批判に目を細める: ネットワーク ハッキングに「戦争除外」条項を適用すべきか?

分析:サイバー戦争の特徴は、武器と標的の両方がネットワークそのものであるという点です。2017年6月、悪名高いファイル暗号化ソフトウェア「NotPetya」が世界的な大混乱を引き起こし、政府機関、電力会社、医療機関、大企業に甚大な被害をもたらしました。

このランサムウェアは脆弱性を探し出し、NSA から漏洩した EternalBlue SMB エクスプロイトの修正版を使用して、これまでで最も金銭的被害が大きいサイバー攻撃の 1 つを生み出しました。

被害者の中には、オレオクッキーやキャドバリーチョコレートの親会社である米国の食品大手モンデリーズも含まれており、同社は現在、ノットペトヤ攻撃の1年後である2018年10月に提出された7,600万ポンドの損害賠償請求(PDF)を却下されたとして、保険会社チューリッヒ・アメリカンを提訴している。同社によると、このマルウェアによって1,700台のサーバーと24,000台のノートパソコンが恒久的に機能しなくなったという。

チューリッヒは1月、単に「政府または主権国、軍隊、海軍、空軍、または代理人または当局」による「平時または戦時における敵対的または好戦的な行為」は補償対象外とする単一の保険契約除外条項を引用し、この請求を却下した。

オフィス戦争の写真(Shutterstockより)

サイバー保険ショック:チューリッヒはNotPetyaランサムウェアのクリーンアップ費用の負担を拒否、これは「戦争行為」だと主張する

続きを読む

一方、モンデリーズは、攻撃が社内に侵入し、ノートパソコン、社内ネットワーク、物流ソフトウェアに影響を及ぼしたことで、甚大な損失を被りました。チューリッヒ・アメリカンは、この損害は「戦争行為」によるものであるため、モンデリーズの保険契約では補償対象外であると主張しています。モンデリーズの保険契約では、補償は「機械語または命令の悪意のある導入によって引き起こされた損失または損害を含む、電子データ、プログラム、またはソフトウェアの物理的損失または損害に関するあらゆるリスク」に適用されると規定されています。

保険契約では戦争を除外する条項は一般的だが、裁判所の文書自体では「サイバー事件」に関してその根拠は「前例のない」ものだとしている。

これまでの主張は、従来の武力紛争のみに基づくものであった。

チューリッヒがサイバーセキュリティ ポリシーでこの種の除外を採用したことは、状況を一変させる可能性がある。当然の疑問は、NotPetya は戦争行為だったのか、それとも単なるランサムウェアの事件だったのか、ということだ。

一方、英国、米国、ウクライナの各政府は、今回の攻撃はロシアとウクライナの間で続く争いの最新の行為だと主張し、ロシアの政府支援を受けたハッカーによるものだと主張した。

いずれにせよ、この訴訟の結果はサイバー保険契約に甚大な影響を与え、サイバー犯罪の収益化に重大な影響を及ぼすことは明らかです。チューリッヒのアプローチが成功すれば、サイバー保険への投資に対する信頼が失われ、皮肉にもチューリッヒの商品価値が下落する可能性もあります。

国際人道法の下では、サイバー攻撃に対する戦争排除条項は目的に適合しているでしょうか?

サイバー攻撃と戦争は、破壊と人命の損失を連想させるため、NotPetya攻撃が国際人道法(IHL)の基準を満たすかどうかという疑問が生じます。IHLが適用されるには「武力紛争」が発生する必要がありますが、この用語自体は条約の中で定義されていません。

特に、IHL によって規制される紛争には、国際武力紛争 (IAC) と非国際武力紛争 (NIAC) の 2 つの種類があります。

ロシアとウクライナの間で紛争が続いていることから、NotPetya攻撃が国際武力紛争に該当するかどうかを検討します。該当する場合、排除条項に該当する可能性があります。検討すべき点は3つあります。

1: この攻撃は本質的に「国際的」なものだったか?

米国と英国がロシアを非難したため、問題となることが多い帰属概念が生じ、チューリッヒが戦争除外条項を正当化することになった可能性がある。

犯人特定については、ロシア軍情報局(GRU)とロシアが支援するハッカーの両方が関与しているとの見解が対立している。法的には、二国間の敵対行為が発生した場合にIAC(国際諜報機関)が発足する。したがって、もしIACがロシア軍(国家機関)であれば、国際的な要素で十分である。

しかし、もしそれが非国家主体(NSA)である場合、紛争が国際紛争と分類されるためには、国家がNSAを「全面的に統制」していなければならない。判例に関心のある方のために、この原則は旧ユーゴスラビア国際刑事裁判所(ICTY)の検察官対ドゥスコ・タディッチ事件*において概説されている。

これらのグループに対する十分な統制が行われ、国家が重大な損害を引き起こす特定のサイバー行為について指示を出している場合、国際的な側面は満たされる可能性がある。しかし、判例上、資金、訓練、装備といった形での単なる支援だけでは、この基準を満たさないことは明らかである。したがって、責任帰属という困難な負担は、チューリッヒの弁護側が負うことになる。

2:「武力紛争」の要件は満たされていたか?

条約上の定義がないため、「武装」の程度については様々な見解が対立しています。サイバー攻撃は運動行動ではないため、従来のアプローチでは対処できないという主張もありました。しかしながら、国際人道法(IHL)が適用されるというコンセンサスが高まっています。

タリン・マニュアル(国際的なサイバー戦争交戦規則)の策定に携わる人々の間では、発生した損害が武装基準を満たすかどうかについて意見が分かれていた。しかし、彼らはまれな状況においてはそれが満たされる可能性もあると指摘した。

タリン・マニュアル・プロジェクトのディレクターであるミヒャエル・シュミット教授は、武力攻撃をサイバー攻撃にまで拡大解釈することは妥当であると示唆した(PDF)。赤十字国際委員会(ICRC)はさらに、物理的な損害がなくても、特定の対象を無力化するだけのサイバー作戦は攻撃とみなされると明言した。今回の攻撃を武力紛争とみなすには、チューリヒが広範な影響とロシアとウクライナ間の緊張の高まりを考慮する必要があることは間違いないだろう。しかし、過去にサイバー作戦がなかったことを踏まえると、武力紛争とみなされる可能性は低いだろう。

3:「武力攻撃」の基準は満たされたか?

攻撃は、ジュネーブ条約追加議定書第49条(1)において、敵対者に対する暴力行為と定義されています。サイバー攻撃の適用については、通常、物理的な力を伴う暴力行為と関連付けられる物理的損害の要件をめぐって議論があり、その線引きも明確ではありませんが、心理的サイバー攻撃やスパイ活動といった非暴力的な活動につながる攻撃は、攻撃とはみなされないというコンセンサスがあります。

サイバー空間における物理的な力の行使に必要な範囲については、様々なアプローチが取られてきました。タリン・マニュアルのシュミット氏は、攻撃は負傷または物体への物理的損害をもたらす必要があると主張しています(PDF)。一方、ICRC法務部門長のクヌート・ドルマン博士は、この概念を拡張し、必ずしも負傷や損害をもたらすとは限らないものの、部分的な破壊は可能であると述べています(こちらを参照)。

対立する見解は、期間と強度の規模がより広範囲に及ぶことを反映しており、限定的な損害、破壊、負傷、あるいは死亡さえも引き起こす単一のサイバーインシデントでは、IACとして分類するには不十分であることを示しています。こうした不確実性のため、現在の審理手続きでは、損害レベルの定義について慎重に検討する必要があります。閾値を拡大すると、保険金請求が殺到する可能性があり、また、紛争の閾値も低下する可能性があります。

将来の結果...それとも始まりに過ぎないのか?

この事件の今後の展開は大いに注目されるだろう。しかしながら、NotPetyaサイバー攻撃は、国際人道法の枠組みが現在国際犯罪行為として定めている高い基準には達しない可能性が高い。

この訴訟は、現行の国際規制の不備を浮き彫りにしています。この訴訟が保険適用範囲の限界について指針となることを期待します。しかしながら、この訴訟は未解決の疑問を生み、新たな疑問を生み出す可能性があります。例えば、サイバー被害に対処する上で国際人道法は最善の策なのか?サイバー紛争はどのように定義されるべきなのか?

そして最後に、サイバー紛争によるこの種の損害が保険でカバーできないと判断された場合、ハッキングを受けた企業にはどのような影響があるのでしょうか?®

*ドゥスコ・タディッチは、1992年5月25日から同年8月初旬までの間にボスニア・ヘルツェゴビナのプリイェドル地方で犯されたとされる一連の犯罪行為により、国際刑事裁判所(ICTY)から起訴された[PDF]。控訴裁判部は、「スルプスカ共和国の軍隊は[ユーゴスラビア連邦共和国]の全面的統制下にあり、かつ[ユーゴスラビア連邦共和国]に代わって行動していたとみなされるべきである」と判断した。(強調は筆者による。)

Discover More