1. White Paper

　2020年2月、米国司法省サイバーセキュリティユニット(Cyber-Security Unit：CsU)は、ダークマーケットからの情報収集に関するWhite Paper(以下｢本文書｣という。)を公開しました 。本稿では本文書の概要を紹介します。
https://www.justice.gov/criminal-ccips/page/file/1252341/download

2. 本文書の前提と法的問題

　本文書で述べている各シナリオは、民間企業のリサーチャー(調査担当者)によるサイバーセキュリティ活動の一環として、ダークマーケットのフォーラムからの情報収集活動を前提としています。

・セキュリティ・リサーチャー(Security Practitioners)
　本文書は、セキュリティ・リサーチャーが、米国の管轄区域内で活動し、この活動が米連邦刑法の対象となることを前提としています。また、リサーチャーが合法的にサイバーセキュリティの目的で情報を使用又は共有できるようにすることも想定しています。
　リサーチャーは、安全面の理由からダークマーケットのフォーラム上で活動する場合は、ハンドルネームや架空IDを使用します。この場合、完全な架空の人物にすべきであり、本人の承諾なく実在の人物になりすますことや、政府関係者など特別な地位にある人物と偽らないようにすべきです。

・フォーラム
　ダークマーケットのフォーラムは、ほとんどの場合、身元を匿名化することが可能なTor(The Onion Router)と呼ばれるソフトウェアを使用してアクセスします。ダークマーケットのフォーラムの一部では、窃取されたクレジットカード番号、パスワード等の機密情報が販売されています。

・フォーラムへのアクセス
　フォーラムへは、運営者によって提供された正当なアカウント情報を使用してアクセスすべきです。アクセスするために、窃取されたアカウント情報を使用することやフォーラムの脆弱性を攻撃してフォーラム内の情報を取得することは、CFAA(Computer Fraud and Abuse Act：コンピュータ詐欺・不正利用防止法)に違反する可能性があります。
　また、犯罪者が管理・運営するフォーラムでは、アクセスしようとする者に犯罪目的があるかを確認する場合があります。例えば、管理者からマルウェアの提供を求められたり、窃取された個人情報の購入、あるいは配布を要求される場合もありますので、この要求に従わないようにしましょう。

3. 脅威インテリジェンス情報の収集

　脅威インテリジェンス情報を利用することは、サイバー犯罪によるインシデントの影響を減らすことができ、場合によっては完全に防御することも可能です。タイムリーで正確な情報は、企業やその顧客を保護することに役立ちます。CsUは、脅威インテリジェンス情報を収集することは、セキュリティ対策の中で最も有益な活動の一つと考えています。
　しかし、外部(法執行機関)から見れば、リサーチャーがこのような情報を収集することと、犯罪行為のために情報を収集することとの区別が困難になります。そこで、以下のシナリオでは、企業やリサーチャーが連邦刑法違反になるリスクを減らす方法によって、情報収集することを目的として解説します。

(1) シナリオ1　脅威インテリジェンス情報を収集するためのフォーラムへの潜入

　リサーチャーが犯罪者フォーラムに投稿された情報を収集するだけで、他の参加者とやり取りしたり、フォーラムを介して直接連絡を取り合わない限り、連邦刑法に違反するリスクはほとんどありません。架空の人物やハンドルネームを使用してフォーラムに参加したとしても、詐欺や他の犯罪を犯す目的ではない限り、連邦刑法には違反しません。ただし、許可なく実在の人物になりすますと、場合によっては、刑事及び民事責任を追及されるおそれがあります。

(2) シナリオ2　犯罪者フォーラムにおいてやり取りすること

　リサーチャーが犯罪者フォーラムにおいて、参加者に対して積極的にやり取りすることは、犯罪捜査の対象となるリスクが高まります。法執行機関はこのような犯罪者フォーラムを捜査しているため、リサーチャーがサイバー犯罪を勧誘又は誘発しているものとして、連邦刑法違反の対象者とされるからです。
　そのため、次のようなリスク軽減策を講じることが望ましいでしょう。
　例えば、脅威インテリジェンス情報の収集する活動計画を文書化し、オンライン活動の記録や情報の収集、収集した情報の使用方法について記録しておきます。捜査対象となったときに、このような記録が合法的な活動であることを立証するのに役立ちます。
　また、企業は、犯罪者フォーラムにおける従業員であるリサーチャーや委託先業者の調査活動について、法律顧問(Legal Council)とともに精査したポリシーと手続も確立しておく必要があります。
　エンゲージメントルール(任務)又はコンプライアンスプログラムを精査することで、リサーチャーが誤って法的な又はセキュリティ上のリスクに直面することを回避できます。これらの情報収集活動に従事する前に、地元のFBI現地事務所、サイバータスクフォース(Cyber Task Force)、現地の米シークレットサービス事務所、電子犯罪タスクフォース(Electronic Crimes Task Force)と継続的な関係を構築することも有益です。

(3) シナリオ3　犯罪者フォーラムにおいて他の参加者と情報交換をする

　リサーチャーがフォーラムのメンバーになり、他の参加者と積極的に情報交換したり、直接連絡を取り合うなどすれば、違法行為に巻き込まれるおそれがあります。リサーチャーが作成した人格(ペルソナ)を犯罪者らに信用させるために、犯罪実行に有益な情報、サービスやツールの提供を行うこともあり得ます。このような活動を実施すれば、連邦刑法違反になるおそれがあります。
　リサーチャーが犯罪をする意図がなく、その行為が合法であったとしても、犯罪者を支援する場合は、犯罪を促進する目的を持っていたとされ、連邦刑法の教唆または幇助になるおそれがあります。犯罪者の状況を十分に理解していなくても、積極的に犯罪者らと情報交換し合うことは、犯罪者の行為に同意していることになり得るからです。
　例えば、犯罪者フォーラムの参加者に対して、マルウェアに関する技術的支援を提供しているリサーチャーは、サイバー犯罪を支援していることになりますし、この参加者が計画した犯罪を実行した場合、仮にリサーチャーが犯罪支援を意図していなかったとしても、その犯罪を支援したものとして、連邦刑法に違反する可能性があるのです。
　他にもリサーチャーは、連邦共謀罪に違反しないようにしなければなりません。共謀罪は、他の者と連邦刑法違反をすることに同意した場合に適用されます。リサーチャーが、犯罪者フォーラムの参加者に情報を提供することが連邦刑法の犯罪に該当しない場合や、情報提供を受けた者が実際に犯罪を実行したかどうかにかかわらず、他の者と連邦犯罪をすることに同意して情報を提供するだけで、犯罪の共謀に関与しているとされてしまいます。また、CFAA(Computer Fraud and Abuse Act：コンピュータ詐欺・不正利用防止法)には、共謀を助長する明白な行為がなかったとしても、CFAA違反をするという同意のみで犯罪が成立する独自の共謀罪条項もあります。

　このように、リサーチャーは、犯罪者を支援するような情報提供を行ったり、連邦刑法違反をすることに同意したりしないように注意しなければなりません。脅威インテリジェンス情報の収集活動を行うリサーチャーは、犯罪を促進させるコミュニティに入り込み、犯罪を計画している者と連絡を取り合ったりしていることに注意を払わなければなりません。法執行機関は、リサーチャーを捜査対象とした場合、様々な行動や状況的証拠から犯罪の意図を特定しようと試みます。そのため、前述のように、リサーチャーが属する企業や委託元企業において、フォーラムでのリサーチャーらの任務と、正当な目的で活動していることを文書化した記録を保持し、合法的な目的を有し、違法行為を回避する措置を取るべきです。

4. サイバーセキュリティを目的とした窃取データ及び脆弱性の購入

　一部のセキュリティ企業は、顧客へのサービスとして特定の情報についてダークマーケットを調査しています。これは、顧客の情報資産が悪用される状態かどうかを確認するために、顧客の保有する営業秘密や個人情報等の情報資産が、ダークマーケットで販売や提供されていないか調査します。そしてセキュリティ企業は、ダークマーケットでこのような情報が販売されていることを確認した場合、この情報を購入するか、ダークマーケット上から削除、あるいは購入するから他者に売却しないように、販売者に対して取引を持ちかけることもあり得ます。
　このような場合、リサーチャーが販売者に対して仮想通貨(暗号資産)を支払ったにもかかわらず情報を渡さなかったり、削除する契約に反してこの情報をさらに別の者に販売したりすることもあり得ます。契約が守られなかったとしても、販売者の身元は匿名化されているため、裁判所に訴えることもできません。

　連邦検事は、通常、自組織から窃取されたデータを購入したり、脆弱性情報を購入したりしただけの者を起訴しません。ただし、脅威インテリジェンス情報の収集活動をしているリサーチャーは、以下に説明する法的リスクを考慮する必要があります。

(1) シナリオ1：窃取されたデータの購入

　シナリオ1では、窃取されたデータの購入について、以下の3点について解説します。
ア データの所有者
　本来の所有者が、窃取された自社のデータを購入しても、通常、連邦検事から起訴されるリスクはほとんどありません。ただし、窃取されたデータの中に他の企業に属するデータ、すなわち、他の企業がサイバー攻撃によって窃取されたデータが含まれていた場合に問題となり得ます。もっとも、購入したデータに他のデータが含まれていることを知らなかったり、知り得なかった場合には、起訴されるリスクはほとんどありません。なぜなら、窃取されたデータを所持又は使用することに対する刑事責任は、一般に、データを違法に使用する意図が必要になります。例えば、アクセスデバイス詐欺法(the access device fraud statute)は詐欺の意図が必要であり、営業秘密の不正取得法(the theft of trade secrets statute)は営業秘密を他の企業の経済的利益にもたらす意図を必要とします。
　ただし、リサーチャーが、窃取された他者のものが含まれたデータを購入することは、上記の意図の有無について捜査されるリスクを伴うため、このリスクを軽減する必要があります。具体的には、購入したデータの中に、他の企業のデータが含まれていることを確認した場合には、さらなるアクセスや閲覧、使用をしないよう直ちにデータを隔離します。その後、リサーチャーは、法執行機関に連絡してこのデータを提供するか、本来の所有者に通知してください。なお、このとき、本来の所有者に対して恐喝行為と誤解されないように気を付けてください。これらの行動は、上記の犯罪の意図を欠いていることを立証することに有益です。

イ データの性質
　窃取されたデータの性質として、連邦刑法上、購入が禁じられていないかを確認します。
　ダークマーケットで販売されている窃取されたデータ(パスワード、銀行口座番号、個人情報等)に関し、連邦刑法の多くは、さらに別の犯罪を行う意図がある場合にのみ適用されます。このため、別の犯罪を行う意図を欠く購入者は、起訴される可能性は低くなります。
　営業秘密を誤って購入するだけでは営業秘密の不正取得法に違反することはありませんが、営業秘密であること認識した後に、窃取された営業秘密を受領したり、購入したり、所持したりすると、他の構成要件を満たしていれば同法に違反する可能性があります。また、同法に基づいて民事訴訟も提起できるため、刑事責任が問われないとしても本来の所有者から民事責任を問われる可能性があります。
　このリスクを軽減するためには、(1)で解説したように、窃取された他者のデータを間違って購入した場合には、迅速に法執行機関や本来の所有者に連絡することです。

ウ 販売者の性質
　米国では、国際緊急経済力法(IEEPA)に基づいて、米国政府に指定された特定の個人又は組織と取引することを禁止しています。例えば、18 U.S.C.(米合衆国法典第18編)2339B条は、外国のテロ組織と指定された組織への物的支援やその試み、あるいはこれらの共謀を禁止しています。同条は、相手方がテロ組織につながりがあるかどうかを確認すべきことを要求していますが、相手方のテロ活動を促進する意図までは不要としています。
　米国政府は、過去数年間で、サイバー関連の不正行為を含む国家安全保障上の理由から、イラン、北朝鮮、およびロシアの個人と団体を制裁する執行命令を発行しています。
　司法省国家安全保障局(The Department of Justice’s National Security Division)は、IEEPA違反者を起訴します。ただし、ダークマーケットにおいて、販売者の身元は匿名化されているため、購入者は、販売者の真の身元を知り得ることはほとんどありません。そのため、購入者が、IEEPAに基づき指定された対象者が販売者であることを知らない場合、起訴されない可能性があります。
　ただし、IEEPAの下では民事責任を問われる可能性があります。米国財務省外国資産管理局(OFAC)が、米国の経済及び貿易制裁体制を担当しており、米国の外交政策および国家安全保障の目標に基づいて、経済および貿易制裁を管理・実施しています。そして、IEEPAは「厳格な責任」に基づいて判断される可能性があり、当事者が貿易又は経済制裁の対象となった個人又は組織との取引に関与していることを知らなかったとしても、民事責任を問われる可能性があるということです。
　そのため、企業は、経済又は貿易制裁の対象となる個人又は組織と取引していないことを確認するためにあらゆる努力を払う必要があります。OFACは、このリスクを軽減するために、リスクベースのコンプライアンスプログラムを実施するよう企業に要請し、「OFACコンプライアンスコミットメントのフレームワーク」をWebサイトに公開しています。
https://www.treasury.gov/resource-center/sanctions/Documents/framework_ofac_cc.pdf
　取引相手がIEEPAに基づく経済および貿易制裁の対象であるかどうかを確認するために、コンプライアンスプログラムを整備することは、IEEPAに基づく刑事責任や民事責任を問われるリスクを回避する有益な方法です。OFACが公開しているWebサイトも確認すべきです 。
https://www.treasury.gov/resource-center/sanctions/Pages/default.aspx

(2) シナリオ2：脆弱性の購入

　リサーチャーがダークマーケットで脅威インテリジェンス情報を収集している際に、セキュリティに関する脆弱性情報を発見すれば、これを購入して関連ベンダーに提供するか、脆弱性の悪用を防止するための修正プログラムを開発することが可能になります。
　セキュリティに関する脆弱性やマルウェアはサイバー犯罪のためによく使用され、犯罪行為を支援するために販売されれば連邦刑法違反ですが、セキュリティに関する脆弱性やマルウェアの単なる購入は通常、犯罪の意図がなく、連邦刑法違反に問われません。

　ただし、2つの例外があります。
　1つ目は、ネットワーク通信を不正に傍受するようなソフトウェアの所持または販売は、盗聴法(Wiretap Act)に違反する可能性があります。犯罪リスクを最小限におさえるためには、このようなソフトウェアやマルウェアを購入する前に法執行機関と調整することです。
　2つ目は、(1)ウで述べたとおり、販売者が、指定された外国のテロ組織、又はIEEPAに基づく経済または貿易の制裁の対象となる個人若しくはグループである場合です。

5 最後に

　本文書は、犯罪者フォーラムを含むサイバーセキュリティ活動を実施しながら、連邦刑法に違反しないようにする手順と考慮すべき問題を検討することにより、民間のサイバーセキュリティリサーチャーを支援することを目的としています。このような活動は、適切に実施されると、組織のサイバーセキュリティの準備を改善し、サイバーセキュリティの脅威に効果的かつ合法的に対応する準備を整えるのに役立ちます。