米でサイバー攻撃への反撃を認める法案が提出

サイバー攻撃の被害者に、攻撃側への攻撃を止めるためのハッキングを認める法案が提案される」

www.bleepingcomputer.com

米国のコンピューター詐欺ならびに悪用対策法(CFAA)に対する改正案が提出されました。修正案はACDCといいます。ACDCはActive Cyber Defense Certainty Actの略で、積極的サイバー防衛保証法といったところでしょうか(Certaintyが扱いづらいのですが)。

この法案は、サイバー攻撃の被害者に対して反撃を認めるものですが、制限もあります。

  • 攻撃側に蓄積されたデータの破壊は認められない
  • 他人への物理的なダメージは禁止
  • 公共の健康や安全への脅威の発生は禁止
  • ハッキングは、「偵察」または「非侵襲的な手段による現在の攻撃の停止」の目的のみに限定

法案では、「ボットネットからの攻撃に対して侵入して、攻撃行為をやめさせる」といったケースが想定されています。ボットネットを構成する端末の管理者は、多くの場合は悪意がないため、それ以上の攻撃は禁止というわけです。

ちなみに2016年5月には、この法案の元ともいえる「ボットネット防止法」という法案が提出されました。この時は、法執行機関がハッキングするという内容になっており、反対が多く廃案となっています。

もっともこの法案でも、「被害」の実際的な認め方や攻撃者の確定を含めて色々と問題点があるような気がします。