以下の文章は、コリイ・ドクトロウの「Holy CRAP the UN Cybercrime Treaty is a nightmare」という記事を翻訳したものである。
国連の専門機関にNGO代表として参加した長年の経験から学んだことが一つあるとすれば、国連の条約は危険で、権威主義国家と貪欲なグローバル資本家の不道徳な同盟に利用される可能性があるということだ。
私の国連での仕事のほとんどは著作権と「補助的著作権」に関するものであり、戦績は2勝0敗だった。ひどい条約(WIPO放送条約)を阻止し、素晴らしい条約(著作物へのアクセスに関する障害者の権利に関するマラケシュ条約)の成立を手伝った。
https://www.wipo.int/treaties/en/ip/marrakesh
ひげを剃ってスーツとネクタイを着てジュネーブに行く必要がなくなってから何年も経つが、それを懐かしく思うことはない。ありがたいことに、私よりもずっと上手にその仕事をこなす同僚たちがいる。昨日、そんなEFFの同僚の一人であるカティッツァ・ロドリゲスから、まもなく成立するサイバー犯罪条約について聞いた。控えめに言ってもじつに恐ろしいものだ:
たしかにサイバー犯罪は実在する。ピッグブッチャリング詐欺からランサムウェアまで、実際に世界中で被害をもたらしている。サイバー犯罪は国境を超えて行われていて、ある法域の警察が単独で対処するのは困難だ。したがって、サイバー犯罪と戦うための正式な国際基準について考える意義はある。
だが、サイバー犯罪条約はそのようなものではない。
サイバー犯罪条約の重大な欠陥を簡単に説明しよう。
この条約は、サイバー犯罪の定義を非常に曖昧にしていて、その曖昧さは意図されたものだ。中国やロシアのような独裁国家(この条約を推進している代表団)では、「サイバー犯罪」は「コンピューターを使って行われる、政府が好ましくないと考えるあらゆること」を意味する。つまり「サイバー犯罪」の対象は、オンラインでの政府批判や、宗教的信念の表明、LGBTQの権利を支持する内容など、何でもありなのだ。
サイバー犯罪条約の批准国は、他の国々が「サイバー犯罪」と戦うのを支援する義務を負う。その国々が「サイバー犯罪」をどのように定義しようとも。例えば、(訳注:他国からの要請に応じて)自国のオンラインサービスにユーザの個人データを提出させたり、システムにバックドアを設置して継続的に監視するよう圧力をかけるなど、監視データの提供が義務づけられることになる。
このような監視支援の義務は強制的だが、サイバー犯罪条約の多くの部分は任意だ。何が任意かというと、人権保護だ。批准国は、合法性、必要性、比例性、非差別、正当な目的のための基準を「すべき」または「してもよい」とされている。しかし、たとえそうしたとしても、この条約によって、基準を作らないことを選択した他国からの監視要請への協力が義務づけられることになる。
そうなっても、影響を受ける国の国民にそのことが知らされることはない。条約には、他の批准国のために行われた監視の「無期限」の秘密保持義務を定めた条項が8つもある。つまり、あなたの政府があなたやあなたの愛する人たちを監視するよう求められ、技術企業の従業員にあなたのアカウントやデバイスにバックドアを設置するよう命令しても、その事実は永遠に知らされない。そのような秘密の監視について、司法に訴えることすらできないのだ。
さらに決定的なのは、この条約は政府が「サイバー犯罪」というレッテルを貼りさえすれば、政府に都合の悪いあらゆるものを封じ込める権限を与える一方で、サイバー犯罪そのものとの戦いを実際には後退させていることだ。ほとんどのサイバー犯罪は、デバイスやサービスのセキュリティ上の欠陥を悪用することで行われる。ランサムウェア攻撃を考えてみればいい。そして、サイバー犯罪条約は、これらの欠陥を指摘するセキュリティ研究者たちを危険にさらす。我々が信頼するテックベンダーが我々を危険にさらしていると警告する人々に、重大な刑事責任を負わせるのだ。
テクノロジー業界には、言論の自由をめぐる長い戦いの歴史がある。紙テープの時代から、重要なシステムの欠陥を発見した研究者たちは、内部告発をしたことで脅迫され、訴えられ、さらには投獄されてきた。テック大手は、自社製品の欠陥に関する真実を誰が公表できるかについて拒否する権利があると考え、セキュリティ上の懸念を口実に葬り去ってきたのだ。「悪い奴らに私たちの間違いを教えたら、彼らはそのバグを悪用して私たちのユーザに被害をもたらすだろう。確かに、そのバグについて私たちに教えるべきだ。しかし、それをユーザや顧客に知らせるタイミングを決めるのは私たちだけだ」と。
自社製品の欠陥に関する警告に関しては、企業には避けがたい利益相反がある。バグ報告の隠蔽・無視を正当化する企業の姿勢を、幾度となく目にしてきた。合併の完了や役員報酬に関する取締役会の決定が確定するまで、公表を先延ばしすることもあった。
時に、バグではなく機能だと言い張ることさえある。例えば、Facebookが、誰でもFacebookグループの全メンバー(例えば、がん患者のサポートグループのメンバーなど)を列挙できることに何の対処しないと決めたときのように。このグループ列挙のバグは、同社の広告ターゲティングシステムの一部だった。監視広告ビジネスを再設計したくないFacebookは、放置にすることにしたのだ。
バグを秘密にしておけばユーザの安全は保たれるという考えは、「隠蔽によるセキュリティ(security through obscurity)」と呼ばれ、企業幹部以外は誰も信じていない。ブルース・シュナイアーが言うように、「誰でも、自分自身でも破ることができないセキュアなシステムを設計することはできる。しかし、それはセキュアだということを意味しない。単に、システムの設計者よりも愚かな人間にはセキュアだという意味に過ぎない」。
大規模で悪質なサイバーセキュリティ侵害の歴史を紐解くと、そこには「隠蔽によるセキュリティ」への根拠なき信頼が一貫して見られる。その哀れで間抜けな信頼が被害をもたらしてきたのだ。
https://pluralistic.net/2023/02/05/battery-vampire/#drained
にもかかわらず、一部のバグは秘密にされ、放置されるべきだという考えには強力な支持者がいる。企業幹部、政府の諜報機関、サイバー兵器ディーラーの官民パートナーシップだ。NSAやCIAのような機関は、広く使用されている製品の欠陥を発見する大規模なチームを抱えている。そうした欠陥が自国民を重大な危険にさらしていようと、諜報機関は公表するどころか隠蔽してきた。
諜報機関は、この危険な行為を「NOBUS」と言って堂々と正当化する。「No One But Us(我々以外の誰も)」の略だ。つまり、「バグを発見できるほど賢いのは我々だけなので、秘密にして敵対国への攻撃に利用しても、我々が守ると誓った人々への攻撃に用いられる心配はない」ということだ。
NOBUSは経験的に間違っている。2010年代には、NSAとCIAのサイバー兵器が流出し、そのうちの一つ、「Eternalblue」は既製のランサムウェアに組み込まれ、今日まで続くランサムウェア・ブームを牽引した。ボルティモアのような都市、全国の病院、石油パイプラインがランサムウェアの被害に遭ったのは、NSAがEternalblueの脆弱性を公表せず、隠蔽し続けたおかげなのだ。
https://en.wikipedia.org/wiki/EternalBlue
一連のサイバー兵器の流出は、世界中の犯罪者たちに武器を提供しただけでなく、研究者たちにもデータを提供した。CIAとNSAのNOBUS欠陥の研究によると、諜報機関が隠蔽していたバグを犯罪者が独自に発見し、武器化し、野放しになる確率は5分の1であることがわかった。
すべての政府が独自の欠陥探索オペレーションに人員を割くだけの能力を持っているわけではなく、そこに民間部門がはいってくる。NSO Groupのようなサイバー兵器ディーラーは、広く使用されている製品やサービスのセキュリティ上の欠陥を発見・購入して、製品を作り上げる。その製品とは、人権団体、野党勢力、ジャーナリストを攻撃する軍用レベルのサイバー兵器だ。
https://pluralistic.net/2021/10/24/breaking-the-news/#kingdom
「良き」サイバー犯罪条約であれば、このような連中を生み出す歪んだインセンティブにこそ対処するはずだ。NSO Groupのような企業を閉鎖に追い込み、諜報機関による欠陥の隠蔽を禁止し、欠陥に関する真実を明らかにするセキュリティ研究者の絶対的な保護を確立するだろう。
だがサイバー犯罪条約はそうではない。他国の警察や裁判所に、真実を公表するセキュリティ研究者を黙らせ、処罰するための手助けする義務を批准国に課すのだ。そうして、スパイや犯罪者はどの製品が安全でないかを知る一方で、我々は(手遅れになるまで)知ることができない。
サイバー犯罪条約自体は良いアイデアであり、「この」サイバー犯罪条約でさえ救うことができる。国連加盟国は、人権とセキュリティ研究者を保護し、「サイバー犯罪」の定義を狭め、透明性を義務づける修正案を受け入れる権限がある。他国からの不当な要求に対し批准国が拒否できる権利を明確に定めることもできるはずだ。
Pluralistic: Holy CRAP the UN Cybercrime Treaty is a nightmare (23 Jul 2024) – Pluralistic: Daily links from Cory Doctorow
Author: Cory Doctorow / Pluralistic (CC BY 4.0)
Publication Date: July 23, 2024
Translation: heatwave_p2p
Material of Header image: EFF([CC BY 3.0](https://creativecommons.org/licenses/by/3.0/us/)) modified