国連サイバー犯罪条約案で善意のセキュリティリサーチを世界的に保護する
by Karen Gullo2024年2月7日
国連総会決議75/282の軍事作戦第9項に基づいて認定された電子フロンティア財団が、124の署名者を代表して国連特別委員会事務局に提出した声明である。
私たちは、世界のセキュリティ・リサーチ・コミュニティの広範な領域を代表し、第6会期および最新の会期中に発表された国連サイバー犯罪条約草案に対する深刻な懸念を表明する。これらの草案は、世界のサイバーセキュリティに重大なリスクをもたらし、誠実なサイバーセキュリティ研究者の権利と活動に大きな影響を与えるものである。
私たちのコミュニティは、学術界やサイバーセキュリティ企業に所属する誠実なセキュリティリサーチャーや、独立して活動する研究者を含み、情報テクノロジーシステムを守る上で重要な役割を果たしている。私たちは、放っておくとマルウェアを蔓延させ、データ侵害を引き起こし、犯罪者が何百万人もの人々の機密情報にアクセスできるようになる脆弱性を特定する。私たちは、法的脅威にさらされることなく、これらのシステムについてオープンに議論し、分析し、テストする自由を拠り所にしている。
私たちの仕事の性質は、ネットワーク、オペレーティング・システム、デバイス、ファームウェア、ソフトウェアの脆弱性を研究し、発見し、報告することである。しかし、条約案のいくつかの条項は、その多くを犯罪行為に分類することで、私たちの仕事を妨げるリスクをはらんでいる。この条約案がそのまま採択された場合、私たちの目標がテクノロジーの安全性を高め、サイバーセキュリティに関する一般市民を教育することであったとしても、誠実なセキュリティリサーチャーが訴追に直面するリスクが高まることになる。法的枠組みは、私たちに罰則を科すのではなく、私たちの安全を守るために必要なセキュリティリサーチや情報公開そのものを抑制し、すべての人をより安全にするために技術的な弱点を発見し、開示しようとする私たちの努力を支援することが重要である。この支援は、世界中のすべての人のためにテクノロジーのセキュリティと安全性を向上させるために不可欠である。
同様に重要なのは、正当なセキュリティ・リサーチ活動と悪意あるセキュリティ欠陥の悪用とを区別する能力である。不正アクセス」に焦点を当てた現行の法律は、善意のセキュリティ・リサーチャーに誤って適用され、不必要な法的挑戦につながる可能性がある。この問題に対処するにあたっては、私たちの重要な研究活動に対する2つの潜在的な障害を考慮しなければならない。事前承認に関する広範で未定義の規則は、いつ、どのような状況で許可が必要なのか理解できない可能性があるため、誠実なセキュリティ・リサーチャーを遠ざけるリスクがある。このような明確性の欠如は、最終的にはすべての人のオンラインの安全性とセキュリティを弱めることになりかねない。さらに、私たちの仕事には、未知の脆弱性を発見することがしばしば含まれる。これは、私たちが発見するまで、システムの所有者を含め、誰も知らないセキュリティ上の弱点である。私たちがどのような脆弱性を発見するかは確実ではない。したがって、発見する可能性があるたびに私たちに事前の承認を求めることは非現実的であり、私たちの仕事の本質を見落としている。
セキュリティ・リサーチ・コミュニティのユニークな強みは、地政学的な利害を度外視して、世界中のインフラを守り、ユーザーを保護することを優先するというグローバルにフォーカスしているところにある。私たちの仕事、特に研究のオープンな公表は、特定の法域を超え、世界中の人々に影響を与えうる危害を最小化し、防止するものである。提案されている条約の、サイバー犯罪を禁止する広範な範囲から善意のセキュリティ・リサーチを除外し、第6条から第10条までのセーフガードと制限を義務化しないことは、国家がセキュリティ関連情報の流れを抑圧したり管理したりすることに、門戸を大きく開くことになる。これは、サイバーセキュリティに関する知識をオープンに共有するという普遍的な利益、ひいてはデジタル環境の安全性とセキュリティを損なうことになる。
私たちは各国に対し、サイバー犯罪者から私たちのデジタル・エコシステムを守る上で、セキュリティ・リサーチ・コミュニティが果たす重要な役割を認識するよう求めるとともに、この条約がグローバルなサイバーセキュリティを強化し、サイバー犯罪を防止するための私たちの努力を妨げるのではなく、むしろ支援するものとなるよう代表団に要請する。具体的には
第6条(違法アクセス) この条文は、特に研究者が脆弱性を特定するために、事前の承認なしにシステムにアクセスするような、セキュリティリサーチにおける本質的な活動を犯罪化するリスクをはらんでいる。「権利のない」悪意のある不正アクセスと「誠実な」セキュリティリサーチ活動との明確な区別が必要であり、正当な活動に対するセーフガードは義務付けられるべきである。善意のセキュリティ・テストだけでなく、コンピュータ・システムへの偶発的または意図しないアクセスに対する刑事責任を回避するためにも、損害、詐欺、危害を与える意図を含む悪意の要件が必要である。
第6条は、不正アクセスに対する刑事責任を確立する根拠として、「権利なしに」というあいまいな用語を使用すべきではない。潜在的にセキュリティリサーチを犯罪化する以外に、同様の規定は、権限のあるユーザーが故意または偶発的に犯した軽微な違反に刑事責任を負わせるように誤って解釈されてきた。例えば、民間のサービス利用規約(TOS)違反は、通常は民事問題とみなされる軽微な違反行為であるが、この条約によって世界規模で刑事犯罪のカテゴリーに引き上げられる可能性がある。
さらに、この条約は現在、国内法において不正アクセスをセキュリティ措置の迂回と定義する選択肢を各国に与えている。IPアドレスの変更、ウェブサイトのコード検査、未公開URLへのアクセスといった日常的な行為が犯罪となることを避けるため、これはオプションではなく、むしろ義務的な保護措置として行うものとする。さらに、迂回されたセキュリティ対策が実際に "有効 "でなければならないと規定することが極めて重要である。この区別が重要なのは、犯罪化が的確で、危害をもたらす行為に限定されるからである。例えば、ジオブロッキングのような基本的な対策を迂回すること(単にロケーションを変更することで罪の意識なく行うことができる)は、危害を加える意識的に強固なセキュリティ障壁を乗り越えることと同等に扱うべきではない。
このセーフガードを採択し、セキュリティ対策が実際に有効であることを保証することによって、提案されている条約は、善意のセキュリティリサーチに対する恣意的な刑事制裁から研究者を守ることになる。
これらの変更は、不正アクセスを明確にし、悪意のあるハッキングとセキュリティリサーチや脆弱性テストのような合法的なサイバーセキュリティの実践をより明確に区別するものである。これらの改正を採択することによって、サイバーセキュリティの取り組みに対する保護が強化され、有害または詐欺的な不正侵入に対する懸念により効果的に対処することができる。
第7条(違法な傍受) ネットワーク・トラフィックの分析もサイバーセキュリティでは一般的な慣行である。この条文は現在、このような分析を犯罪化するリスクがあり、上記と同様に危害を加えたり詐取したりする犯罪意図(mens rea)を必要とするよう狭められるべきである。
第8条(データへの干渉)と第9条(コンピュータシステムへの干渉)これらの条文は、セキュリティ・リサーチの行為を不注意に犯罪化する可能性がある。セキュリティ・リサーチは、しばしば、干渉を通じて攻撃をシミュレートすることにより、システムの堅牢性をテストすることを含む。先の条文と同様、危害や詐取を引き起こす犯罪の意識は義務付けられておらず、その行為が重大な危害を引き起こすという要件は第9条にはなく、第8条では任意となっている。これらの保護措置は義務化されるべきである。
第10条(機器の不正使用)この条項の広範な範囲は、サイバーセキュリティ研究に使用されるツールの合法的な使用を 犯罪化する可能性があり、それによってこれらのツールの開発と使用に影響を与える。現在の草案では、第 10 条(2)はサイバーセキュリティ・ツールの悪用を特に取り上げている。この条文では、第6条から第9条(不正アクセス、傍受、データ妨害、システム妨害が対象)で定義されているサイバー犯罪の実行を目的としている場合に限り、このツールの入手、製造、配布を犯罪としている。しかし、これには懸念もある。第6条から第9条がセキュリティ・テストのような活動を明確に保護していない場合、第10条2項はセキュリティ・リサーチャーを不注意にも犯罪者にしてしまう可能性がある。これらの研究者は、システム・セキュリティのテストや強化のような合法的な目的のために、しばしば同様のツールを使用している。第6条から第9条までの狭い範囲と明確な保護措置がなければ、第10条2項が対象とする犯罪的悪意(mens rea)とは一致しないにもかかわらず、これらの善意の活動が法的な監視下に置かれる可能性がある。
第22条(管轄権) 善意のセキュリティ・リサーチャーを罰したり抑止したりするために不適切に使用される可能性のある措置に関する他の規定と合わせて、第22条に概説されている広範囲に及ぶ司法権の範囲も重大な懸念を抱かせるものである。この条項の下では、デジタル・エコシステムの安全性を維持するために脆弱性を発見・開示したセキュリティ・リサーチャーは、複数の法域で同時に刑事訴追を受ける可能性がある。これは、本質的なセキュリティ・リサーチを世界的に萎縮させる効果をもたらし、研究者がグローバルなサイバーセキュリティに貢献する能力を妨げることになる。これを緩和するために、私たちは第22条5項を改正し、"行動のコーディネート "よりもむしろ、"訴追のために最も適切な司法管轄を決定すること "を優先することを提案する。この変更により、セキュリティ・リサーチャーの余分な訴追を防ぐことができる。私たちはさらに、第17条を削除し、手続き上および国際協力上の措置の範囲を第6条から第16条で定義された犯罪に限定することで、より明確になり、行き過ぎを防ぐことができる。
第28条第4項この条文はサイバーセキュリティの観点から重大な懸念がある。当局は、コンピュータ・システムの捜索や押収を行うために、コンピュータ・システムの知識を持つ「あらゆる個人」に対して、「必要な情報」を提供するよう強制することができる。この規定が悪用されれば、セキュリティ専門家、ソフトウェア・エンジニア、および/または技術系従業員に対して、機密情報や専有情報の暴露を強要することができる。また、当局は企業内の通常のチャンネルを迂回し、刑事訴追の脅威のもとで、個々の従業員に対し、雇用主の知らないところで、クレデンシャル、暗号化、ジャスト・イン・タイム承認などの技術的アクセス管理を破壊するための支援を提供するよう強要する可能性もある。この危険な段落は削除され、情報の管理者は合法的な命令に可能な範囲で従うという一般的な義務に変更されなければならない。
セキュリティ・リサーチャーは、組織内であろうと独立系であろうと、国家脆弱性データベースの存続期間中に報じられている何万もの重要な共通脆弱性(Common Vulnerabilities and Exposure:CVE)を発見し、報告し、修正を支援している。私たちの活動は、セキュリティ環境の重要な一部でありながら、しばしば行き過ぎたサイバー犯罪法制による深刻な法的リスクに直面している。
国連サイバー犯罪条約(UN CybercrimeTreaty)の中核的なサイバー犯罪条項は、欧州評議会のブダペスト条約を忠実に反映しているが、同条約が2001年に採択されてからの20年間で、サイバー犯罪体制とセキュリティ・リサーチの影響は大きく進化している。その間に、善意のサイバーセキュリティ・リサーチャーは、責任を持ってセキュリティの欠陥を特定することで、大きな反響に直面してきた。同時に、多くの国が、この種の研究が提供する重要な防衛線を保護するために、立法その他の措置を制定した。国連条約は、善意のサイバーセキュリティ研究を条約の対象から明確に除外することで、こうした過去の経験から学ぶものとすべきである。また、既存のセーフガードと制限を義務化することも行うものとする。この変更は、誠実なセキュリティ・リサーチャーの重要な活動を保護し、現在および将来のサイバーセキュリティの課題に対して条約が有効であり続けることを保証するために不可欠である。
この交渉が始まって以来、我々は各国政府がグローバル・コンピュータ・セキュリティを強化し、サイバー犯罪と闘う我々の能力を高める条約を採択するために期待していた。しかし残念なことに、草案はその逆効果となってしまった。現在の条文はサイバーセキュリティを弱め、悪意ある行為者がデジタル・エコシステムの弱点を作り出したり、悪用したりすることを容易にするものである。このような結果は、サイバー犯罪から個人と組織を守るという条約の目的そのものを損なうことになる。
国連総会決議75/282の第9段落に基づき、124の署名者を代表して公認された電子フロンティア財団が提出する。
Individual Signatories
Jobert Abma, Co-Founder, HackerOne (United States)
Martin Albrecht, Chair of Cryptography, King's College London (Global) Nicholas Allegra (United States)
Ross Anderson, Universities of Edinburgh and Cambridge (United Kingdom)
Diego F. Aranha, Associate Professor, Aarhus University (Denmark)
Kevin Beaumont, Security researcher (Global) Steven Becker (Global)
Janik Besendorf, Security Researcher (Global) Wietse Boonstra (Global)
Juan Brodersen, Cybersecurity Reporter, Clarin (Argentina)
Sven Bugiel, Faculty, CISPA Helmholtz Center for Information Security (Germany)
Jon Callas, Founder and Distinguished Engineer, Zatik Security (Global)
Lorenzo Cavallaro, Professor of Computer Science, University College London (Global)
Joel Cardella, Cybersecurity Researcher (Global)
Inti De Ceukelaire (Belgium)
Enrique Chaparro, Information Security Researcher (Global)
David Choffnes, Associate Professor and Executive Director of the Cybersecurity and Privacy Institute at Northeastern University (United States/Global)
Gabriella Coleman, Full Professor Harvard University (United States/Europe)
Cas Cremers, Professor and Faculty, CISPA Helmholtz Center for Information Security (Global)
Daniel Cuthbert (Europe, Middle East, Africa)
Ron Deibert, Professor and Director, the Citizen Lab at the University of Toronto's Munk School (Canada)
Domingo, Security Incident Handler, Access Now (Global)
Stephane Duguin, CEO, CyberPeace Institute (Global)
Zakir Durumeric, Assistant Professor of Computer Science, Stanford University; Chief Scientist, Censys (United States)
James Eaton-Lee, CISO, NetHope (Global)
Serge Egelman, University of California, Berkeley; Co-Founder and Chief Scientist, AppCensus (United States/Global)
Jen Ellis, Founder, NextJenSecurity (United Kingdom/Global)
Chris Evans, Chief Hacking Officer @ HackerOne; Founder @ Google Project Zero (United States)
Dra. Johanna Caterina Faliero, Phd; Professor, Faculty of Law, University of Buenos Aires; Professor, University of National Defence (Argentina/Global))
Dr. Ali Farooq, University of Strathclyde, United Kingdom (Global)
Victor Gevers, co-founder of the Dutch Institute for Vulnerability Disclosure (Netherlands)
Abir Ghattas (Global)
Ian Goldberg, Professor and Canada Research Chair in Privacy Enhancing Technologies, University of Waterloo (Canada)
Matthew D. Green, Associate Professor, Johns Hopkins University (United States)
Harry Grobbelaar, Chief Customer Officer, Intigriti (Global)
Juan Andrés Guerrero-Saade, Associate Vice President of Research, SentinelOne (United States/Global)
Mudit Gupta, Chief Information Security Officer, Polygon (Global)
Hamed Haddadi, Professor of Human-Centred Systems at Imperial College London; Chief Scientist at Brave Software (Global)
J. Alex Halderman, Professor of Computer Science & Engineering and Director of the Center for Computer Security & Society, University of Michigan (United States)
Joseph Lorenzo Hall, PhD, Distinguished Technologist, The Internet Society
Dr. Ryan Henry, Assistant Professor and Director of Masters of Information Security and Privacy Program, University of Calgary (Canada)
Thorsten Holz, Professor and Faculty, CISPA Helmholtz Center for Information Security, Germany (Global)
Joran Honig, Security Researcher (Global)
Wouter Honselaar, MSc student security; hosting engineer & volunteer, Dutch Institute for Vulnerability Disclosure (DIVD)(Netherlands)
Prof. Dr. Jaap-Henk Hoepman (Europe)
Christian “fukami” Horchert (Germany / Global)
Andrew 'bunnie' Huang, Researcher (Global)
Dr. Rodrigo Iglesias, Information Security, Lawyer (Argentina)
Hudson Jameson, Co-Founder - Security Alliance (SEAL)(Global)
Stijn Jans, CEO of Intigriti (Global)
Gerard Janssen, Dutch Institute for Vulnerability Disclosure (DIVD)(Netherlands)
JoyCfTw, Hacktivist (United States/Argentina/Global)
Doña Keating, President and CEO, Professional Options LLC (Global)
Olaf Kolkman, Principal, Internet Society (Global)Federico Kirschbaum, Co-Founder & CEO of Faraday Security, Co-Founder of Ekoparty Security Conference (Argentina/Global)
Xavier Knol, Cybersecurity Analyst and Researcher (Global) , Principal, Internet Society (Global)Micah Lee, Director of Information Security, The Intercept (United States)
Jan Los (Europe/Global)
Matthias Marx, Hacker (Global)
Keane Matthews, CISSP (United States)
René Mayrhofer, Full Professor and Head of Institute of Networks and Security, Johannes Kepler University Linz, Austria (Austria/Global)
Ron Mélotte (Netherlands)
Hans Meuris (Global)
Marten Mickos, CEO, HackerOne (United States)
Adam Molnar, Assistant Professor, Sociology and Legal Studies, University of Waterloo (Canada/Global)
Jeff Moss, Founder of the information security conferences DEF CON and Black Hat (United States)
Katie Moussouris, Founder and CEO of Luta Security; coauthor of ISO standards on vulnerability disclosure and handling processes (Global)
Alec Muffett, Security Researcher (United Kingdom)
Kurt Opsahl, Associate General Counsel for Cybersecurity and Civil Liberties Policy, Filecoin Foundation; President, Security Researcher Legal Defense Fund (Global)
Ivan "HacKan" Barrera Oro (Argentina)
Chris Palmer, Security Engineer (Global)
Yanna Papadodimitraki, University of Cambridge (United Kingdom/European Union/Global)
Sunoo Park, New York University (United States)
Mathias Payer, Associate Professor, École Polytechnique Fédérale de Lausanne (EPFL)(Global)
Giancarlo Pellegrino, Faculty, CISPA Helmholtz Center for Information Security, Germany (Global)
Fabio Pierazzi, King’s College London (Global)
Bart Preneel, full professor, University of Leuven, Belgium (Global)
Michiel Prins, Founder @ HackerOne (United States)
Joel Reardon, Professor of Computer Science, University of Calgary, Canada; Co-Founder of AppCensus (Global)
Alex Rice, Co-Founder & CTO, HackerOne (United States)
René Rehme, rehme.infosec (Germany)
Tyler Robinson, Offensive Security Researcher (United States)
Michael Roland, Security Researcher and Lecturer, Institute of Networks and Security, Johannes Kepler University Linz; Member, SIGFLAG - Verein zur (Austria/Europe/Global)
Christian Rossow, Professor and Faculty, CISPA Helmholtz Center for Information Security, Germany (Global)
Pilar Sáenz, Coordinator Digital Security and Privacy Lab, Fundación Karisma (Colombia)
Runa Sandvik, Founder, Granitt (United States/Global)
Koen Schagen (Netherlands)
Sebastian Schinzel, Professor at University of Applied Sciences Münster and Fraunhofer SIT (Germany)
Bruce Schneier, Fellow and Lecturer, Harvard Kennedy School (United States)
HFJ Schokkenbroek (hp197), IFCAT board member (Netherlands)
Javier Smaldone, Security Researcher (Argentina)
Guillermo Suarez-Tangil, Assistant Professor, IMDEA Networks Institute (Global)
Juan Tapiador, Universidad Carlos III de Madrid, Spain (Global)
Dr Daniel R. Thomas, University of Strathclyde, StrathCyber, Computer & Information Sciences (United Kingdom)
Cris Thomas (Space Rogue), IBM X-Force (United States/Global)
Carmela Troncoso, Assistant Professor, École Polytechnique Fédérale de Lausanne (EPFL) (Global)
Narseo Vallina-Rodriguez, Research Professor at IMDEA Networks/Co-founder AppCensus Inc (Global)
Jeroen van der Broek, IT Security Engineer (Netherlands)
Jeroen van der Ham-de Vos, Associate Professor, University of Twente, The Netherlands (Global)
Charl van der Walt (Head of Security Research, Orange Cyberdefense (a division of Orange Networks)(South Arfica/France/Global)
Chris van 't Hof, Managing Director DIVD, Dutch Institute for Vulnerability Disclosure (Global) Dimitri Verhoeven (Global)
Tarah Wheeler, CEO Red Queen Dynamics & Senior Fellow Global Cyber Policy, Council on Foreign Relations (United States)
Dominic White, Ethical Hacking Director, Orange Cyberdefense (a division of Orange Networks)(South Africa/Europe)
Eddy Willems, Security Evangelist (Global)
Christo Wilson, Associate Professor, Northeastern University (United States) Robin Wilton, IT Consultant (Global)
Tom Wolters (Netherlands)
Mehdi Zerouali, Co-founder & Director, Sigma Prime (Australia/Global)
Organizational Signatories
Dutch Institute for Vulnerability Disclosure (DIVD)(Netherlands)
Fundación Via Libre (Argentina)
Good Faith Cybersecurity Researchers Coalition (European Union)
Access Now (Global)
Chaos Computer Club (CCC)(Europe)
HackerOne (Global)
Hacking Policy Council (United States)
HINAC (Hacking is not a Crime)(United States/Argentina/Global)
Intigriti (Global)
Jolo Secure (Latin America)
K+LAB, Digital security and privacy Lab, Fundación Karisma (Colombia)
Luta Security (Global)
OpenZeppelin (United States)
Professional Options LLC (Global)
Stichting International Festivals for Creative Application of Technology Foundation
https://www.eff.org/deeplinks/2024/02/protect-good-faith-security-resea…