中国のサイバーセキュリティ最新情報DNSの乗っ取りとIoT関連犯罪

中国政府の優先事項

歴史的に、指導性案例には、民事、刑事、行政などさまざまな判例が含められてきましたが、今回出版された指導性案例第20号には、サイバーセキュリティ関連の案例しか含まれていません。おそらく、習近平国家主席がサイバーセキュリティを重視していることを認知させ、それを実行することを狙った動きだと思われます。周氏は、中国政府がサイバーセキュリティを重視していると明言しています。たとえば、2018年4月20日に開催された中国国家のサイバーセキュリティと情報化の取り組みのためのカンファレンス（Chinese National Cybersecurity and Informatization Work Conference）の演説の中で、周氏は「サイバーセキュリティなくして、国家のセキュリティはなく、経済と社会は安定せず、幅広い人民大衆の利益を保証することはできない」と宣言しました。

最高人民法院の指導性案例第20号は、この周氏の方向性を発展させ、DNSの乗っ取りに関する重要な判例を含め、5件の異なるサイバーセキュリティ事例に注目しています。巻頭を飾る案例は、被告人が、中国系検索エンジン「5w.com」の親会社から750,000人民元（100,000米ドル）以上の報酬を受け取ることを目的とした事例です。不正なコード使ってインターネットユーザーをその意図する移動先から転送し、ユーザーの知らないところで5w.comのウェブサイトに移動させたウェブトラフィックの窃盗事件でした。

ベストプラクティスの適用

MarkMonitorでは、SSL認証を適切に管理し、HSTSリスティングを調査して、サイバー攻撃の影響を緩和するようクライントに推奨しています。先ほどの判決が下される前、中国で発生したDNSの乗っ取りに関する同様の訴訟は、民事事件として扱われていました。今回、上海裁判所はこの行為を「コンピューター情報システムを破壊する犯罪」に昇格させ、被告人に3年の実刑判決を言い渡しました。こうした犯罪の例として、イギリスの雇われハッカーが2年8カ月の実刑判決を受けた事件では、あるリベリア系ISPにインターネットに接続されたIoTデバイスのボットネットを展開して、競合するISPのネットワークに対するDDoS攻撃を発動し、その結果皮肉にも、リベリア国内のすべてのインターネット接続が障害を受けたとされています。

最高人民法院が公布した他の4件の指導性案例のうち2件は、WeChatのような一般的に普及しているプラットフォームでの賭博営業のホスティングをサイバー犯罪として明示するものです。残りの2件は、電子的手段またはマニュアル手段を問わず、インターネットに接続されるIoTデバイスを妨害することも、中国における「コンピューター情報システムを破壊する犯罪」と見なすことを強調するものです。サイバーセキュリティ担当にとっては、IoTの指導性案例で取り上げられている判例の幅広さは喜ばしいことかもしれません。1件目のIoT案例では、被告人は、「GPSジャマー」を使い、コンクリートポンプ車5台をハッキングした罪で2年半の実刑判決を受けました。2件目のIoT案例では、大気質測定局の政府関係者が、「綿糸を使って採集分析器を塞ぐ」という稚拙な方法で、公的に報告される大気質の数値を歪めたなどの罪で、合計約1年の実刑判決を受けました。

今後の予想

この指導性案例が中国のサイバー犯罪に与え得る抑止力についてはまだ不明です。特にBloombergが2018年10月のレポートで伝えたように、中国のサーバー犯罪者が米国系大手企業が使用するハードウェアにスパイチップを組み込むことに成功していた等のニュースを見ると、サイバーセキュリティ担当者の中には、この指導制案件をまだ懐疑的に捉えている方も多いのではないでしょうか。