能動的サイバー防御(アクティブサイバーディフェンス)と米国連邦規則41(b)(6)(B)

能動的サイバー防御(アクティブサイバーディフェンス)のための法案検討にあたって、2024年6月7日、第1回有識者会合が開催されました。

サイバー安全保障分野での対応能力の向上に向けた有識者会議｜内閣官房ホームページ

サイバー安全保障分野での対応能力の向上に向けた有識者会議（第１回）

2022年12月に公表された国家安全保障戦略の一部

武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する。そのために、サイバー安全保障分野における情報収集・分析能力を強化するとともに、能動的サイバー防御の実施のための体制を整備することとし、以下の(ア)から(ウ)までを含む必要な措置の実現に向け検討を進める。
(ア) 重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、支援等の取組を強化するなどの取組を進める。
(イ) 国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃者による悪用が疑われるサーバ等を検知するために、所要の取組を進める。
(ウ) 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。
能動的サイバー防御を含むこれらの取組を実現・促進するために、内閣官房サイバーセキュリティセンター（ＮＩＳＣ）を発展的に改組し、サイバー安全保障分野の一元的に総合調整する新たな組織を設置する。そして、これらのサイバー安全保障分野における新たな取組の実現のために法制度の整備、運用の強化を図る。

主要国における官民連携等の主な取組（資料3）

主要国における通信情報の活用の制度概要（資料3）

Volt Typhoonへの対抗措置が記載

・2023年５月、米国、カナダ、豪州、ニュージーランド及び英国は、中国の支援を受けたハッカーグループであるVolt Typhoonによるルータへの侵入や更なるハッキング、情報窃取への利用を合同で注意喚起。
・米当局は、Volt Typhoonによる感染ルータがKV Botnet（ボットネット：マルウェアによるネットワーク）を構成していると特定。感染ルータに対し、マルウェアの通信プロトコルを用いて、マルウェアを当該ルータから削除するコマンドを送信するなど、必要な措置を実施。

外国におけるアクセス・無害化に関する取組例（資料3）

現行制度上の課題

• 官民連携の強化(ｱ)関係

  • 高度な侵入・潜伏能力に対抗するため、政府の司令塔機能、情報収集・提供機能の強化が不可欠

    • 整理が必要な法令の例：サイバーセキュリティ基本法、各種業法

• 通信情報の活用(ｲ)関係

  • 悪用が疑われるサーバー等の検知には、「通信の秘密」を最大限に尊重しつつも、通信情報の活用が不可欠

    • 整理が必要な法令の例：憲法２１条（通信の秘密）

• アクセス・無害化措置(ｳ)関係

  • 重大なサイバー攻撃の未然防止・拡大防止を図るためには、政府に侵入・無害化の権限を付与することが不可欠

    • 整理が必要な法令の例：不正アクセス禁止法

考察(Volt Typhoonほか)

記載のあったVolt Typhoonへの対抗措置については、2016年に改正された米国連邦規則41(b)(6)(B)が根拠だと思います。この方式は、まさにアクティブサイバーディフェンスに沿った、実効的支配をされている機器であり、かつ、今後新たな攻撃被害が予想され、これへの対抗措置だと考えられます。
当該改正された規則によって、裁判官は、自身の管轄区域外に対しても効力が及ぶ捜査に対して、承認権限を有することになりました。

41条(b) Venue for a Warrant Application. At the request of a federal law enforcement officer or an attorney for the government:
(6) a magistrate judge with authority in any district where activities related to a crime may have occurred has authority to issue a warrant to use remote access to search electronic storage media and to seize or copy electronically stored information located within or outside that district if:
(A) the district where the media or information is located has been concealed through technological means; or
(B) in an investigation of a violation of 18 U.S.C. § 1030(a)(5), the media are protected computers that have been damaged without authorization and are located in five or more districts.
41条(b) 令状申請の管轄。連邦法執行官又は政府弁護士の要請により、
(6) 犯罪の関連活動が発生した可能性のある地区の権限を持つ治安判事は、次の場合には、リモートアクセスを使用して電子記憶媒体を捜索し、その地区の内外にある電子的に保存された情報を押収又はコピーするための令状を発行する権限を有する:
(A) 媒体又は情報が保存されている地区が技術的な手段によって隠蔽されている場合、又は
(B) 18 U.S.C. § 1030(a)(5) の違反の捜査において、媒体が許可なく破損された保護されたコンピュータであり、5つ以上の地区に所在している場合

Rule 41. Search and Seizure | Federal Rules of Criminal Procedure | US Law | LII / Legal Information Institute (cornell.edu)

この規則によって、これまで
・2021年 MicrosoftのExchangeサーバに対するリモートアクセス
・2022年 Cyclops Blinkのボットネット機器に対するリモートアクセス
・2024年 Moobotのボットネット機器に対するリモートアクセス
・2024年 Volt Typhoonの感染端末に対するリモートアクセス
が実施されています。

2024年Volt Typhoonへの対抗措置

広報室 |米国政府、重要インフラのハッキングを隠蔽するボットネット「中華人民共和国」を阻止 |米国司法省 (justice.gov)

U.S. Government Disrupts Botnet People’s Republic of China Used to Conceal Hacking of Critical Infrastructure

2024年1月31日、米司法省公表
中国の「Volt Typhoon」として知られるハッカーたちは、「KV Botnet」マルウェアに感染した民間企業のルータを踏み台にして、米国やその他の被害者に対してさらなるハッキング活動を展開した。
KV Botnetを構成していたルータの大半は、製造元のセキュリティプログラムやサポート終了状態であったため脆弱となっていたCisco及びNetGear製のルータであった
裁判所が認可したこの作戦では、
・KV Botnetマルウェアの削除
・制御用通信のブロック等
ボットネットとの接続を切断するための追加措置を講じた。

2024年GRU(APT28、Fancy Bear等の名称)への対抗措置

広報室 |司法省は、ロシア連邦の参謀本部情報総局（GRU）が管理するボットネットを裁判所の許可を得て破壊 |米国司法省 (justice.gov)

Justice Department Conducts Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate of the General Staff (GRU)

2024年2月15日、米司法省公表
この作戦は、GRU(APT28、Fancy Bear等の名称)がデフォルトの管理者パスワードに設定されているルータをMoobotマルウェアに感染させ、ボットネットを構成し、スパイプラットフォームを構築していたが、当該ルータからデータとファイルをコピーした上で、削除した。
裁判所の許可を得て、FBIは、米国及び世界中の1,000台以上のルータにリモートでアクセスし、以下を実行した。
・マルウェアの削除
・FWのルールを変更
・リモート管理用のポートを閉じた