中国のサイバーセキュリティ最新情報
DNSの乗っ取りとIoT関連犯罪

中国のサイバーセキュリティ最新情報<br>DNSの乗っ取りとIoT関連犯罪
by MarkMonitor
blog

中国のサイバーセキュリティ最新情報:DNSの乗っ取りとIoT関連犯罪

Brian King
Director of Internet Policy and Industry Affairs, MarkMonitor

 

2019年1月25日

 

サイバーセキュリティを担当する皆様に朗報です。2018年12月25日、中国の最高人民法院は、中国政府が公布する判例集「指導性案例」最新版(第20号)の中で、DNSの乗っ取りに関する重要な判決を含む、サイバーセキュリティ関連の案例5件を取り上げました。

 

2010年11月以降、中国政府は、厳選した最近の重要判例に対する法的見解に注目させることを目的として、約100件の指導性案例を公布してきました。中国の指導性案例には、下級裁判所による将来的な判決のための有効な先例を確立するだけでなく、政府の法的処置および政策上の優先事項を一般向けに通告する目的があります。

 

これは、アメリカの連邦最高裁判所が、その管轄内で審理する訴訟を、連邦最高裁判所自身の裁量で最重要とみなす案件に絞り込み、裁量上訴を認める方法に似ています。ところが、中国の政府機構には西洋式の権力の「抑制と均衡」がないため、中国の体制では行政府と立法府の優先事項も反映させ、政府全体としての優先事項について明確な見解を提供することができます。

 

中国政府の優先事項

歴史的に、指導性案例には、民事、刑事、行政などさまざまな判例が含められてきましたが、今回出版された指導性案例第20号には、サイバーセキュリティ関連の案例しか含まれていません。おそらく、習近平国家主席がサイバーセキュリティを重視していることを認知させ、それを実行することを狙った動きだと思われます。周氏は、中国政府がサイバーセキュリティを重視していると明言しています。たとえば、2018年4月20日に開催された中国国家のサイバーセキュリティと情報化の取り組みのためのカンファレンス(Chinese National Cybersecurity and Informatization Work Conference)の演説の中で、周氏は「サイバーセキュリティなくして、国家のセキュリティはなく、経済と社会は安定せず、幅広い人民大衆の利益を保証することはできない」と宣言しました。

 

最高人民法院の指導性案例第20号は、この周氏の方向性を発展させ、DNSの乗っ取りに関する重要な判例を含め、5件の異なるサイバーセキュリティ事例に注目しています。巻頭を飾る案例は、被告人が、中国系検索エンジン「5w.com」の親会社から750,000人民元(100,000米ドル)以上の報酬を受け取ることを目的とした事例です。不正なコード使ってインターネットユーザーをその意図する移動先から転送し、ユーザーの知らないところで5w.comのウェブサイトに移動させたウェブトラフィックの窃盗事件でした。

 

ベストプラクティスの適用

MarkMonitorでは、SSL認証を適切に管理し、HSTSリスティングを調査して、サイバー攻撃の影響を緩和するようクライントに推奨しています。先ほどの判決が下される前、中国で発生したDNSの乗っ取りに関する同様の訴訟は、民事事件として扱われていました。今回、上海裁判所はこの行為を「コンピューター情報システムを破壊する犯罪」に昇格させ、被告人に3年の実刑判決を言い渡しました。こうした犯罪の例として、イギリスの雇われハッカーが2年8カ月の実刑判決を受けた事件では、あるリベリア系ISPにインターネットに接続されたIoTデバイスのボットネットを展開して、競合するISPのネットワークに対するDDoS攻撃を発動し、その結果皮肉にも、リベリア国内のすべてのインターネット接続が障害を受けたとされています。

 

最高人民法院が公布した他の4件の指導性案例のうち2件は、WeChatのような一般的に普及しているプラットフォームでの賭博営業のホスティングをサイバー犯罪として明示するものです。残りの2件は、電子的手段またはマニュアル手段を問わず、インターネットに接続されるIoTデバイスを妨害することも、中国における「コンピューター情報システムを破壊する犯罪」と見なすことを強調するものです。サイバーセキュリティ担当にとっては、IoTの指導性案例で取り上げられている判例の幅広さは喜ばしいことかもしれません。1件目のIoT案例では、被告人は、「GPSジャマー」を使い、コンクリートポンプ車5台をハッキングした罪で2年半の実刑判決を受けました。2件目のIoT案例では、大気質測定局の政府関係者が、「綿糸を使って採集分析器を塞ぐ」という稚拙な方法で、公的に報告される大気質の数値を歪めたなどの罪で、合計約1年の実刑判決を受けました。

 

今後の予想

この指導性案例が中国のサイバー犯罪に与え得る抑止力についてはまだ不明です。特にBloombergが2018年10月のレポートで伝えたように、中国のサーバー犯罪者が米国系大手企業が使用するハードウェアにスパイチップを組み込むことに成功していた等のニュースを見ると、サイバーセキュリティ担当者の中には、この指導制案件をまだ懐疑的に捉えている方も多いのではないでしょうか。

 

MarkMonitorのソリューションについてはこちら

英語原文はこちら

お問い合わせ  |  サポート

MarkMonitorの詳細なサービス説明や資料をご希望の方はこちらからどうぞ

お問い合わせ

Clarivate

Accelerating innovation