進行中のサイバー戦争に関与するハクティビストに関する交戦規則を規定する新しいガイドラインが制定されました。
国際法の推進を担う人道保護団体である赤十字国際委員会(ICRC)は、他国に対するサイバー攻撃への民間人の関与を阻止するために、ハクティビスト向けの8つの規則と、国家向けの4つの規則を定めた。
民間人が国際紛争に巻き込まれる割合は、ICRCによって「憂慮すべき傾向」と表現されている。この現象は、物理的空間とデジタル空間の両方で同時に紛争が起こる初めての状況となったウクライナでの進行中の戦争によってさらに悪化している。
ICRCは、戦争初期にテレグラム・メッセージング・プラットフォームを使って結成されたハクティビストの自警団であるウクライナIT軍を、民間人が戦争活動に参加した例として具体的に挙げた。
その後、同グループは拡大し、誰でも計算能力を寄付してロシアの標的に対して自律的な破壊的な攻撃を仕掛けられるサービスを開発している。
ハクティビズム活動を取り巻く 8 つの新しい規則の 1 つは、このような活動を明確に禁止し、自律的な攻撃方法の使用、さらには Stuxnet のような歴史的な例の使用を禁止しています。
同じ規則では、意図した標的から離れた場所に「波及」してシステムを混乱させる可能性のある攻撃の使用も禁止されています。
ウクライナ戦争が正式に始まるわずか1時間前に起きたViasatへの攻撃は例として挙げられていないが、この種のスピルオーバー攻撃の最も最近の事例の1つとなっている。
その後数週間で、欧州全域の衛星インターネット利用者から問題が報告され、その影響で近隣諸国の風力発電所にも混乱が生じた。
2017 年の NotPetya ワームも、Møller-Maersk、Merck、Mondelez など、意図した範囲を超えたターゲットに影響を及ぼすサイバー攻撃の悪名高い歴史的例です。
民間のオンライン攻撃者に適用される規則の完全なリストは次のとおりです。
- 民間施設へのサイバー攻撃を禁止する
- 自動的に拡散し、軍事目標や民間施設を無差別に破壊するマルウェアやその他のツールや技術を使用しない
- 軍事目標に対するサイバー攻撃を計画する際には、作戦が民間人に及ぼす影響を回避または最小限に抑えるために、あらゆる可能な手段を講じる必要がある。
- 医療施設や人道支援施設に対するサイバー攻撃を行わない
- 住民の生存に不可欠なものや危険な力を放出する可能性のあるものに対してサイバー攻撃を行わない
- 民間人に恐怖を広めるために暴力の脅迫をしないでください
- 国際人道法違反を扇動しない
- 敵が従わなくても、これらのルールに従ってください
ルールの多くは、サイバーセキュリティの世界で一般的に理解されている暗黙の行動規範を反映しており、攻撃は民間人に危害を加えたり、病院、慈善団体、その他類似の組織を標的にしたりしてはならないとしている。
これらのルールはほとんどの場合に理解されており、最も活発なランサムウェアグループでさえ、道徳規範を遵守している様子が垣間見られます。しかしながら、一部のサイバー犯罪者は依然としてこのような制限なしに活動しています。
ICRCは、デジタル戦争への民間人の関与の増加によって生じた3つの主な懸念として、民間施設を狙った攻撃の増加による民間人被害のリスク増加、民間人が軍事作戦に晒されるリスク、そして誰が民間人で誰が戦闘員であるかの境界線がますます曖昧になっていることを挙げた。
昔ながらのハクティビズムが復活したのは、決して消え去らなかったからだ
続きを読む
「国際人道法(IHL)では、民間人は敵対行為に直接参加している場合を除き、攻撃されてはならない。軍事または民間人を標的としたサイバー攻撃は、こうした『敵対行為への参加』に相当し、民間のハッカーが攻撃を受けるリスクがある」と、ICRCの2人の顧問は、この規則を発表する記事の中で述べた。
さらに、国家の軍隊の構成員(サイバーオペレーターを含む)は、合法的な戦争行為(軍事施設への攻撃など)に対しては処罰されず、捕らえられた場合には「捕虜」となるが、民間のハッカーはそうではない。捕らえられた場合、犯罪者または「テロリスト」とみなされ、訴追されるリスクがある。
州のルール
ICRCはまた、ハクティビストの活動を容認しないよう各国に勧告する規則も策定した。
これらはすべて、民間人としてデジタル軍事紛争に参加することの合法性と、必要に応じて違反を訴追し国際人道法を遵守する国家の責任を中心に展開しています。
世界の主要3大国である米国、ロシア、中国のいずれも、国際法の執行を担当する機関である国際刑事裁判所に加盟していないことは注目に値する。
4 つのルールは次のとおりです。
- 民間ハッカーが国家の指示、指揮、または管理の下で行動する場合、その国家は、国際人道法を含む国家の国際法上の義務に反する個人の行為に対して国際法的責任を負う。
- 国家は民間人や集団に国際人道法に違反する行為を奨励してはならない
- 各国は、自国領土内で民間ハッカーによる国際人道法違反を防止するためのデューデリジェンス義務を負っている。
- 国家は戦争犯罪を訴追し、その他の国際人道法違反を抑制するために必要な措置を講じる義務がある。
「国際人道法は、武力紛争が民間人に与える影響を制限するための重要な規則を定めています。戦争に参加する者は誰も、この規則の対象外となることはありません」とICRCは述べた。
「特に、武力紛争の状況下で活動を行うすべてのハッカーは、これらを尊重しなければならない。そして、国家は民間人を危害から守るために、これを確実にしなければならない。」
何か変更されますか?
ウクライナで進行中の紛争では、サイバー攻撃を伴う物理的な戦争の慣行が深く根付いているため、レジスター紙に語った専門家らは、この規則が戦争に大きな影響を与えるとは確信していないと述べた。
- LockBit: SickKidsランサムウェアについては申し訳ないが、その他のランサムウェアについては申し訳ない
- バーツNHSハッキング事件、恐喝の疑いで人々を不安にさせる
- 米国と英国、トリックボットに関係するロシア人をさらに制裁
- 福島の汚染水放出をめぐり、ハクティビストが日本政府を攻撃
「ロシアの行動…(捕虜を)捕らえ、劇場や病院を爆撃する…ハクティビストに何らかの効果があるとは到底思えない」とサリー大学のコンピューターサイエンスとセキュリティの専門家、アラン・ウッドワード教授は語った。
「もし(ハクティビストたちが)そのように戦争に介入する意思があるなら、ICRCが定めた規則で何か変わるでしょうか?私はそうは思わない」
IEEE上級会員でアルスター大学のサイバーセキュリティ教授のケビン・カラン氏は、この規則の精神を賞賛したが、ICRCが期待するような効果は期待できないかもしれないという、広く信じられている意見に同調した。
「ICRCの交戦規則は、民間施設へのサイバー攻撃を禁じることから、敵が従わなくてもこれらの規則に従うことまで、理にかなっています。しかしながら、『これらの崇高な目標』を堅持しようとするサイバー攻撃部隊は、大きな不利を被ることになります。」カラン氏はさらに、これらのキーボード戦士の考え方では「敵国内におけるあらゆる破壊行為は正当化され、いかなる行為も容認される」と付け加えた。
テレグラムが結成したロシアと連携したDDoS攻撃集団「キルネット」のリーダーは、ウクライナ全土のさまざまな標的に毎日破壊的な攻撃を仕掛けることで知られているが、同集団はICRCの新しい規則に従わないとすでに述べている。
ウクライナIT軍の広報担当者はザ・レジスターに対し、同グループは「国際基準と倫理慣行を順守することに尽力しており、新たに提案された規則を確実に順守する」と述べた。
彼らは、ガイドラインが必要である理由の例として、今日行われたと主張するオフマトディト小児がん病院へのサイバー攻撃を挙げた。
「特に民間と軍の両方の目的が狙われる状況においては、軍用アカウントと民間アカウントを明確に分離するために最大限の努力を尽くします」と付け加えた。「これは、民間人への潜在的な被害を最小限に抑えるという我々の継続的なコミットメントに沿ったものです。」
より広い視点から見ると、ルール策定機関は、これらのガイドラインを遵守する当事者の損失を補償するメカニズムを検討することが有益かもしれない。現在の仕組みは、法律を無視する当事者に不利益をもたらし、結果として不遵守を助長する可能性がある。
「我々は、我々の立場を明確にするためにさらなる議論を続ける用意があり、有益かつ合法的な運用環境を育むために国際機関と協力する用意がある。」®
