時としてIT政策担当者が問題を解決しようとすると、その提案がかえって事態を悪化させることがある。まさに米国で起草されている法案がそれだ。サイバー攻撃の被害者が、攻撃した容疑者を追い詰める機会を与える法案だ。
通称「アクティ ブ・サイバー・ディフェンス確実化法案(ACDC:Active Cyber Defense Certainty Act)」法案は、サイバー攻撃の被害者が、ハッカーが攻撃のために利用していると推測できる組織のシステムに侵入して、ハッカーを突き止めるられるようにすることを目的としている。多くの場合、ハッカーが利用した組織は自身のコンピューター・セキュリティが破壊されていることに気付いていない可能性がある。 現在の米国の法律では、「逆ハッキング(ハック・バック)」と呼ばれるこの種の追跡を禁じており、米国連邦捜査局(FBI)のようなごく少数の政府機関に限り、こうした手法でハッキングの容疑者を追跡して捕らえる権限が認められている。
最近、米国議会に提出されたこの法案の支持者は、アトランタやボルチモアなどの都市でコンピューター・システムを麻痺させた「ランサムウェア」や、マリオット・ホテル・チェーンのような大企業からの大量のデータ流出といったサイバー攻撃の猛攻に、FBIなどの政府機関はすでに手一杯の状態となっていると話す。理屈としては、企業や個人に対して独自にハッカーを突き止める権利を与えることで、そうした機関の取り組みを支援することになるだろう。
反撃
米国政府は、サイバー攻撃の脅威を阻止するために、より積極的なアプローチを取る姿勢を示している。しかし、ACDC法案を共同提出したトム・グレイブス下院議員(共和党)とジョシュ・ゴットハイマー下院議員(民主党)は、企業やその他の民間組織は、自衛のための自由をよりいっそう必要としていると主張している。また両議員は、いくつかの企業はすでに何らかの形でデジタル自警団の組成に取り組んでおり、この法案がそうした行為を取り巻く法律のグレーゾーンを一掃するだろうとも話している。
提出されたACDC法案(全文はこちら)は、既存のコンピューター犯罪取締法(CFAA)を改正するものだ。企業や個人が逆ハッキングによって持続的なサイ …