サイバー攻撃の被害者が、ハッカーを追跡できる法案の準備が米議会下院で進んでいる。共和党、民主党の両サイドからの支持が集まっているが、追跡者がハッカーに返り討ちにあうだけではなく、被害が拡大するかもしれないという懸念はぬぐえない。
サイバーセキュリティに年間何十億ドルもかける企業努力もむなしく、ハッカーによる被害が止まらない。11月末、世界最大の船舶ブローカー(船主と雇用船者との間に立って船舶利用を仲介する企業)、クラークソン(Clarkson)はサイバー攻撃の標的となっていたことを明らかにした。その一方で、ウーバーは大々的なハッキングを1年以上も隠していたことで、規制当局などからやり玉に挙げられている(「ウーバー大量情報漏洩の衝撃、ずさんなセキュリティ対策が原因か」参照)。サイバー犯罪の捜査を担当する司法当局は途方に暮れている。なぜなら「逆ハッキング(サイバー攻撃の被害者がサイバー空間で攻撃者に反撃することを容認すること)」に新たな関心が寄せられているからだ。
現在のところ、そんな自警団のようなことをすれば、事前の許可なく第三者のコンピューターにアクセスすることを取り締まるコンピューター詐欺・不正使用取締法(CFAA)に違反することになる。しかし、この法律の改正案が現在、米議会下院で可決されようとしている。「積極的サイバー防衛の必然性(Active Cyber Defense Certainty:ACDC)」と呼ばれる法案が可決されると、サイバー攻撃の被害者はサイバー攻撃者や盗まれたデータを追跡するために第三者のコンピューターにアクセスできるようになる。修正を重ねたこの法案は共和党のトム・グレイブス議員が発案し、民主党のカイルステン・シネマ議員が共同提案している。最近、共和党と民主党の両サイドから同法案の支持者が増加している。
逆ハッキングを奨励する取り組みはこれまで失敗に終わってきた。その理由の1つには、巻き添え被害への懸念がある。通常、ハッカーは所有者に気づかれることなく他人の機械(何千もの機械を経由するケースもある)を経由して攻撃して、その足跡を隠している。企業がサイバー攻撃者を追跡する場合、赤ちゃん監視カメラだろうが、家庭用ルーターや精密医療機器だろうが、ハッカーが使った同じ端末に素早くアクセスする必要がある。だがハッカーと同じ土俵に上がろうと躍起になっている逆ハッキングに対して、ハッカーはいとも簡単に利用した端末をオフラインにしたり、それ以上に悪質な仕掛けをしたりできるのだ。
グレイブス議員のギャレット・ホーキンス広報担当によると、ACDC法案にはそういった問題を防ぐ「ガードレール」がいくつかあるという。CFAAの適用が免責されるのは逆ハッキングを実行する攻撃者の素性がはっきりしている、いわゆる「選ばれし防御者」のみだ。また被害者がハッカーを追跡する際は「なりふり構わず物理的損害や金銭的損失を与える」ような手法を使えない。また、第三者のコンピューターにアクセスして、侵入者の調査のために許される範囲を「故意に超える」ような戦術も使えない。
このほか、ACDC法案では防御者が逆ハッキングの計画を米国連邦捜査局(FBI)に知らせるように規定される。しかし、盗まれたファイルを削除したり、ハッカーのサーバーを標的にして進行中の攻撃を邪魔することについて、FBIから許可を得る必要はない。
ホーキンス広報担当によると、ACDC法案を作成する際、グレイブス議員のチームは多くの財界人や政策専門家にかけあい、ACDC法案を支持する旨を公に発表してほしいと依頼したという。現在、逆ハッキングは法的にはグレー・ゾーンにあることから、「ACDC法案支持を公にしたいという企業はあまりいなかった」という。
だんまりの理由として、この法案が成立すれば状況が良くなるどころか、むしろ悪くなるような法案に関わりたくない、ということがある。条文はかなり曖昧な表現で書かれている。たとえば、「選ばれし防御者」の具体的な要素が書かれていないというようなことだ。そのため、ハッキングを疑った人は誰でも他人の端末にアクセスできるという口実を与えてしまっている。その際、万が一損害が発生してもわざとやったことではない、事故だったと主張できるのだ。
逆ハッキングの合法化によって、思わぬ面倒が起こる理由が他にもある。テキサス・スクール・オブ・ロー大学のロバート・チェズニー教授は、熟練のハッカーは必ずや経験の浅い追跡者にさまざまな罠をしかけてくるだろうと指摘している。たとえば、まったく関係のない人のデータを削除させるというようなことだ。また、ハッカーはしばしば複数の国を経由して攻撃をしかけてくるため、ハッカー追跡中の米国人がそうした行為を禁止している他国の法律に抵触してしまう可能性も出てくる。
仮に被害者が攻撃者を特定できたとしても(それでさえかなり難しいことだが)、反撃することで敵愾心が激化され被害が拡大するかもしれない。また、元々自己防衛できないような企業が、サイバー戦争で勝てるとも考えづらい。「空き巣に入られて金品を盗まれた後に、犯人をアジトまで追いかけていくようなものです。何者かも持っている武器もまったく分からない犯人に直面することになります」と元国土安全保障省高官で現クラウド・セキュリティ企業、ヴイアーマー(vArmour)のマーク・ウェザーフォード上席役員はいう。
多くのサイバーセキュリティの専門家と同様、ウェザーフォード上席役員もハッカーの追跡は技術的専門知識や外交手段を使える政府機関に任せるべきだと考えている。国際協定でそうした取り組みを調整すべきだとの声もある(「マイクロソフト社長、サイバー攻撃版のジュネーブ諸条約を提唱」参照)。
課題はFBIやその他の機関がハッキング行為の嵐に対処できる方策を十分に準備できるようにすることだ。ACDC法案の規定には、年次報告書の作成を司法省に義務付ける条項がある。年次報告書には、ハッカー取り締まり機関によるコンピューター不正犯罪の捜査合計数、サイバー犯罪を捜査・起訴した法執行機関の職員の数を明確に記載するように求めている。この透明性を高めようとする動きだけは、非常に不備の多いACDC法案の中でも唯一支持できる点だ。
