脅威インテリジェンスサービスの利用とコンプライアンス(2)

脅威インテリジェンスサービスの利用とコンプライアンス(1)からの続きになります

3 サイバー脅威インテリジェンス収集 は、CsU(司法省サイバーセキュリティユニット)のサイバー脅威インテリジェンスに対する認識から始まります。

CsUは、積極的な防御(アクティブディフェンス)について産業界へのアウトリーチ中に学んだように、多くのサイバーセキュリティ組織は、サイバー脅威の収集をサイバーセキュリティ活動の中で最も実り多いものとなる知性とかんがえています。

サイバー脅威インテリジェンスを収集する組織は、場合によっては複数のソースからそれを収集します。その中には、オンラインフォーラムやその他の通信チャネルが含まれ、そこでは、違法行為が計画され、違法行為のためにマルウェアが販売され、盗難データが販売されています。これらのソースから収集された情報は、過去、現在、または将来のサイバー攻撃または侵入に関するサイバー脅威インテリジェンスおよびネットワーク防御情報の豊富なソースになります。具体的には、マルウェアのサンプル、現在使用中または開発中の犯罪者の戦術、ツール、および手順、および攻撃および侵入に関与する個人のエイリアスとアイデンティティなどがあります。

このような認識を前提に、A シナリオ1 (サイバー脅威インテリジェンスを収集するフォーラムへの「潜入」)、B シナリオ 2(犯罪者フォーラムにおいて質問をなす)、C シナリオ 3 (フォーラムにおいて他人と情報を交換する)について検討しています。

具体的には、A シナリオ1 (サイバー脅威インテリジェンスを収集するフォーラムへの「潜入」)においては、フォーラムの投稿を読むのみである場合、また、仮名を作成して、なりすまして、情報を交換することも、それ自体としては、連邦刑法に違反することはありません。

B シナリオ 2(犯罪者フォーラムにおいて質問をなす)については、

実務家が違法行為に関する情報を求めるフォーラムに問い合わせを投稿することにより、より積極的に情報を収集することを決定した場合、実務家の行動は犯罪捜査の対象になるリスクを高めます。

とされています。

コンピューター犯罪の勧誘または勧誘は、実務家を刑事責任にさらす可能性があります。実務家がフォーラムで得られた情報を使用して連邦刑事違反を犯すつもりがない場合、フォーラムで質問をしたり、アドバイスを求めたりすることは犯罪を構成する可能性は低いです。しかし、法執行機関は、犯罪行為が行われているフォーラムや、犯罪行為に関する質問をしたり、犯罪行為に関する助言を求めることが犯罪が発生している可能性のあるフォーラムを調査しています。その結果、犯罪行為の議論に関係していると思われるフォーラムでの実務者の照会および他者とのやり取りが、実務者をフォーラムまたはそのメンバーの犯​​罪捜査に巻き込む可能性があります。

でもって、このような場合に、リスクが高いですよ、注意しましょうねで終わらないのが、アメリカのガイダンスの好きなところです。ガイダンスによると、

たとえば、サイバー脅威インテリジェンスの収集を実行するための運用計画を文書化し、オンライン活動と情報の収集および使用方法の記録を保持できます。犯罪捜査の場合、そのような記録は、彼らの行為が正当なサイバーセキュリティ活動であったことを立証するのに役立ち、従事する不正な従業員が、違法行為の行動をおこなったように見えるのとは対照的に、法執行機関が、会社の正当なサイバーセキュリティ操作を促進するために実行者の行動が実行されたと判断するのに役立ちます。

また、

また、組織は、フォーラム(およびその他の場所)で従業員および請負業者の活動を指導するために、責任ある弁護士と精査をなしたポリシーとプロトコルを確立する必要があります。

「エンゲージメントルール」または「コンプライアンスプログラム」を吟味することで、従業員が誤ってまたは意図せずに組織とその従業員を法的な危険にさらしたり、セキュリティを危険にさらすことを防ぐことができます。

これらのインテリジェンス収集活動に従事する前に、地元のFBI現地事務所またはサイバータスクフォースおよび現地の米国シークレットサービス現地事務所または電子犯罪タスクフォースとの継続的な関係を構築することにより、法執行機関に通知することも有益です。

法執行機関との早期の関与は、実務家の活動が、進行中または予想されることを意図せずに妨げないことを保証するのにも役立ちます。

法執行機関による調査。連絡先情報は、このドキュメントの最後に記載されています。

と記載されています。

会社での「サイバー犯罪に対する法執行のシステム的対応」というエントリでも触れたのですが、グレイゾーンでの活動を一線を超えないように、その線をはっきりとさせるためにシステムとして対応するというのがここにも出ています。その一方で、情報セキュリティに関する会社は、ちゃんとリーガルカウンセル(責任ある弁護士と訳しておきました)にお金を払って、エンゲージメントルールを完備するということが必要かと思います。

 ということでお仕事お待ちしています。

C シナリオ 3 (フォーラムにおいて他人と情報を交換する)

実務家がフォーラムのアクティブなメンバーになり、情報を交換し、他のフォーラムメンバーと直接通信すると、プラクティショナーは注意しないとすぐに違法行為に巻き込まれる可能性があります。覆面実務家は、実務家の「ペルソナ」を信頼することを学んだフォーラムの情報源から情報を抽出する方が簡単かもしれませんが、信頼を築き、仲間の犯罪者として善意を確立するには、犯罪を犯すのに、有用な情報、サービス、または使用可能なツールを提供する必要があるかもしうれません。このような活動に従事すると、連邦刑法に違反する可能性があります。

とされています。そして、

通常、犯罪が発生したかどうかは、個人の行動と意図にかかっています。実務家は、フォーラムで他人の犯罪目的を助長するような行為を避ける必要があります。実務家は犯罪を犯すつもりはないが、犯罪行為に従事している他の人を支援することは、連邦政府の教唆と幇助の犯罪となる可能性がある。それ自体で合法的な行為でさえ-犯罪を助長するものであり、犯罪の委任を促進する意図で行わる積極的行為をなした場合は、それ自体、連邦犯罪の教唆または幇助の責任を問われうる

とされています。また、共謀罪にも注意しなければならないとされています。

要するに、セキュリティ実務者は、犯罪の委員会で他の人を支援したり、犯罪が発生することに同意するような行動をとらないように注意する必要があります。この種の情報収集活動に従事する実務者は、犯罪行為を促進するために存在するオンラインサイトの文脈で、また犯罪を犯そうとしている個人とのコミュニケーションと行動が発生していることに留意する必要があります。実務家は、そのような犯罪を助長する可能性のある真実、正確、または有用な情報を提供することは避けてください。

実務家が連邦刑事捜査の標的になった場合、捜査官はおそらく、外因的および状況的証拠を使用して意図を決定しようとするでしょう。したがって、上記で提案したように、実務者とその雇用者は、フォーラムでの実務者の行動と実務者の活動に対する合法的なビジネス目的を記録した記録を維持し、合法的な動機を確立し、違法な活動を避けるための措置を講じる必要があります。

とされています。