Presentation in SECCON on 12th of February,2023. I would like to explain in the followings; a)It is not possible to derive anything useful from the concept of active cyber defence per se 2)The issue can be derived solely from whether the attacker is affected or not. 3)Even where there is an impact, the legal position is very different depending on the intensity of the attack and counter-attack 3)The legal position requires a 3D analysis of national and international law 4)Traditional frameworks of analysis of national and international law are very effective when analysing by subject and action (geographical generalisations are harmful and futile). 5)The legal implications of a 'national security strategy' can only be analysed by cybersecurity legal experts. 6)As for the specific issues, there is a vast legal grey zone, with various issues depending on International/national law and specific acts.

1. 「国家安全保障戦略」の能動的サイ
バー防御の法的含意
(Legal Implications of “Active Cyber
Defense of National Security Strategy”)
弁護士 高橋郁夫

2. サイバーセキュリティを守るための作戦
具体的な場面
防衛 防衛省 我が国の平和と独立を守り、国の安全を保つことを目的とし、これがため、陸
上自衛隊、海上自衛隊及び航空自衛隊を管理し、及び運営し、並びにこれに関
する事務を行うこと
防衛大臣 防衛省の長として国の防衛に関する事務を分担管理し、自衛隊法の定めるとこ
ろに従い、自衛隊の隊務を統括する
広義の安全保
障
->我が国の
平和と独立を
守り、主権を
守る
総務大臣 電気通信秩序の維持ってあるのではないの？
経済産業大臣 通商産業政策ってあるでしょう。
外務大臣 サイバー的な攻撃によって産業に影響を受けたら、外為法とかで対抗措置はと
れるね。
武力紛争時
平時

3. 防衛大臣のミッションと能動的防御
• 武力攻撃事態及び武力攻撃予測事態って何？
• 武力攻撃事態
• 武力攻撃が発生した事態又は武力攻撃が発生する明白な危険が切迫していると認めら
れるに至った事態
• 武力攻撃予測事態
• 武力攻撃事態には至っていないが、事態が緊迫し、武力攻撃が予測されるに至った事
態
• 武力の行使とは、物的・人的組織体による国際的な武力紛争の一環としての
戦闘行為
• 武器は、火器、火薬類、刀剣類その他直接人を殺傷し、又は武力闘争の手段
として物を破壊することを目的とする機械、器具、装置
• 防衛出動(自衛隊法76条1項)
• 外部からの武力攻撃が発生した事態又は我が国に対する外部からの武力攻撃
が発生する明白な危険が切迫していると認められるに至つた事態
• 武力を行使しうる（同法88条1項）
• そのための準備的な行為やサイバー的な影響を与えることはできる
のだろう？

4. サイバーセキュリティを守るための受動的な防御
• 友軍や資産に対するサイバー脅威の効果を最小限に抑えるために
とられる、能動的サイバー防衛以外のすべての措置
• 暗号化
• ステガノグラフィ
• セキュリティエンジニアリング
• 設定の監視・管理
• 管理者のアクセス制限
• アプリケーションのホワイトリスト化（不正プログラムの実行防止）
• ログ取得・バックアップ・消失データの復元
• ユーザーの教育・訓練
• Dorothy E. Denning and Bradley J. Strawser “Active Cyber Defense: Applying Air
Defense to the Cyber Domain”(2017)の定義および具体例

5. サイバーセキュリティを守るための能動的な防御
• 友軍や資産に対するサイバー脅威を破壊、無効化、またはその効果
を低減するためにとられる直接的な防衛行動
• アンチマルウェア（またはアンチウィルス）ツール
• 侵入防止システム
• ハニーポット
• ボットネットのテイクダウン
• RATの埋め込み(ジョージアによるロシアハッカーの暴露(2012))
• Dorothy E. Denning and Bradley J. Strawser “Active Cyber Defense: Applying Air
Defense to the Cyber Domain”(2017)の定義および具体例
• 情報共有
• 外向的な「晒(さらし)」(Naming and Shaming)
• 攻撃者のアクセス活動の観測
• ハックバックによるアクセス・秘密情報取得・取得されたファイルの破壊
• ホワイトワーム
• 修正のためのアクセス(HAFNIUM(ハフニウム)に対するFBIのweb shellの除
去)

6. 興味深い事例研究(1)
ボットネットタイクダウン
• ボットネットを使えなくしてしまう手法
• アメリカベース
• McColo事件(2008)
• Rustockボットネット遮断事件(2011)
• 米国合衆国法典の18巻1345条が根拠
• Kelihos botnet事件（2017） 他多数
• 司法省(Avalanche Botnet Takedownでの整理)
• 「暫定的差止命令の申立の根拠を示すための合衆国の法律メモ」
• 法的には、ペンレジスタおよび逆探知命令が活用されている
• ドイツの議論
• 警察は、警察法に従って、公共の安全、もしくは、生命、物的インテグリ
ティが脅かされる場合
• 捜索命令（地域警察法41条、42条）
• サーバの没収命令（同43条、44条）を取得

7. 興味深い事例研究(2)
RATの埋め込み
• ドキュメントにRAT(リモートアクセスツール)を埋め込んでおいて、そのドキュメントを開い
たとたんに写真をとって送ってくる等
• ジョージアによるロシアハッカーの暴露(2012)
• 2011年3月
• ジョージア政府のCERTであるCERT-Georgiaは、サイバーエスピオナージに思われるサイバー攻撃事案を
発見
• 先進的なマルウエアが、重要な、機密な情報を収集し、Ｃ＆Ｃサーバにアップロード
• CERT-Georgiaが分析した結果、サイバー攻撃は、ロシアの政府保安機構（Russian Official Security
Agencies）のせいであると結論
• CERT-Georgiaは、Ｃ＆Ｃサーバにたいして、フルアクセスを行い、通信メカニズムと悪意あるファイルの
解読
• ロシアの政府保安機構（Russian Official Security Agencies）がおこなったと判明
• 研究室のPCを感染-攻撃者にジョージア－NATO合意という名の偽の圧縮ファイルを与えた。
• ファイルを取得し、悪意あるファイルを実行
• ＢＯＴパネルにアクセスし、攻撃者のＰＣのコントロールを奪った。
• 攻撃者のビデオを取得し、新しいマルウエアのモジュールを作成している過程をキャプチャ
• マルウエアの利用／標的を感染させる手法についての教示をしているロシア語の文書を取得
• 攻撃者とドイツ・ロシアのハッカーとの関係があることを突き止めた。
• バリエーションとして、位置情報を送信してくる

8. 興味深い事例研究(3)
ホワイトワーム
• ボットネットの「乗っ取り」
• 手法
• 暗号を破り、マルウエアやC&Cサーバのソフトウエアのリバースエンジニア
リング
• ホストの感染を解毒
• 効果
• 効果的、かつ早急にボットネットを破壊
• 感染したワークステーションにパッチを配布することでセキュリティ脆弱性
を除去
• 感染から予防/停止することができます。
• 弊害
• 遠隔で、除去をはかることは、処理の誤動作やシステムクラッシュを招きか
ねない

9. 興味深い事例研究(4)
HAFNIUM(ハフニウム)に対するFBIのweb shellの除去
• 何者かがMicrosoft Exchange Serverで「ProxyLogon」という4つの脆弱性を悪用し、シ
ステムを完全にリモート制御できるWebシェルを植え付けていた(2021年3月)
• 中国の政府系ハッカーである「Hafnium」だとみられる
• 国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)
• 「緊急指令21-02」を発令
• Microsoft Exchangeのオンプレミス製品を使っているすべての機関と連邦政府の民間部門に対し、
Microsoftのパッチが適用されるまでシステムをネットワークから切り離すよう要請
• 2021年4月13日付け裁判所によって承認
• 侵入を受けたコンピューターからWebシェルを削除するために、FBIが脆弱性のあるMicrosoft
Exchange Serverを実行しているアメリカ中の数百台のコンピューターにアクセスすること
• Webシェルを削除することで、FBIは悪意ある攻撃者がWebシェルを使ってサーバーにアクセスする
ことや、別のマルウェアをコンピューターにインストールすることを防ぎます
• FBIはWebシェルにアクセスし、パスワードを入力、そして証拠としてWebシェルをコピーしたのち
に、削除のためのコマンドを発行します
• FBIに許可されている内容はWebシェルの削除のみであり、パッチの配布や、マルウェアの削除は含
まれていません。

10. 防衛大臣にどのような作戦をアドバイスしますか。-ロ
シアのウクライナ侵略に関してのサイバー的な作戦をみ
てみよう
• ケネス・ギアス「ロシア・ウクライナ戦争におけるコンピュータ・ハック」

11. 防衛大臣にどのような作戦をアドバイス
しますか。
• 一般的な観点
• 米国の議会調査「ロシアのウクライナにおける戦争 軍事および諜報の
面」
• サイバーアクターがキネティックな軍事行動と連携した作戦を展開
• 作戦の一部には、政府機関や重要インフラ事業体のネットワークを破壊し混乱させ
るために、ワイパー攻撃 を広く使用
• ワイパー型マルウェアを使用する脅威者の意図
• 標的となる団体の機能を低下
• 指導者に対する国民の信頼を損ない、FUD（恐怖、不安、疑念）を広め、偽情報工作を
促進

12. 気がついたことと学問的な概念
• 興味深い能動的な防御は、防衛大臣が、自衛隊に出動を命じるとい
う場合ではないことか一般である。
• では、それは、何なのか？-概念をみる
• アメリカ
• アクティブ防衛(2011)
• 脅威および脆弱性についての発見、探知、分析、対応のための同調された、リアルタイムの
作戦
• 持続的な関与(2018)
• 弾力性、前方防御、競合、反撃をサポートするオペレーションを通じて米国の脆弱性を悪用
する能力を否定し、戦略的な優位性を達成一方で、脆弱性を継続的に予測して悪用すること
により、敵のサイバースペースキャンペーンを阻止するものです。
• 英国の国家サイバーセキュリティセンター（NCSC）
• 国家サイバーセキュリティ戦略（National Cyber Security Strategy）(2016年11月1日)
• Dorothy E. Denning and Bradley J. Strawser(2017-前出)

13. 傘としての能動的サイバー防御の概念
• 唯一の「能動的サイバー防御」の概念規定は困難である
• ある程度の要素
1. 特定の進行中の悪意あるサイバー作戦やキャンペーンに関して
2. 技術的に無力化し、その影響を緩和し、かつ/または技術的に帰属さ
せることを目的
3. 個々の国家によって、または集団で
4. 政府機関によって実施または義務付けられた
5. 一つまたは複数の技術的措置
6. 攻撃者に直接的に影響を与えうる行為(？)
• 許容性は、上の要素がそれぞれもつ「法的な」意味を考える

14. 要素がそれぞれもつ「法的な」意味
要素 法的な論点(概略)
進行中の悪意あるサイバー作戦やキャンペーンに対して いつから、進行することに
なるのか？
防衛行為についての法
的な枠組
個々の国家によって、または集団により 自衛権の行使・集団的対抗措置の論点
政府機関によって 法執行なのか/インテリジェンス活動か/自衛権の行
使なのか
実施または義務付けられた一つまたは複数の技術的措置
技術的に無力化し、その影響を緩和し、かつ/または
技術的に帰属させるために
攻撃者に直接に影響を与えうる行為 プライバシーへの影響は
考えないのか
第三者への影響は？
論点

15. 直接・影響を生じない
トラフィックのシンクホール化
脅威情報を閉じた信頼グループで共有（複数のセキュリティ関係者）
侵害の指標の公開
敵のツールセットの公開
悪意のあるサイバー活動と緩和策に関する総合報告書の公開
プロバイダーにおける攻撃通信のモニタリングと政府との共有
攻撃者に直接、影響を生じる行為か否か
日本における問題
影響を生じうる
マルウェアの強制アンインストール／削除／乗っ取り
流通や収益化のための犯罪経路の破壊
敵のC2ノードやネットワークの制御権奪取
敵が使用するドメインの奪取
中間インフラを直接標的とする反攻作戦
攻撃者のホームネットワークを破壊する反攻作戦
サーバやインフラの奪取や物理的な破壊
日本での問題

16. 具体的な行為 影響としての
強制
コメント
アクセスによる調査行為 ID:admin PW:adminなど、推測しやすいID・PWを入力し
て、所有者や機種、感染有無について調査したいという
動機のもとに、そのサーバに対してアクセスをなすこと
ができるかどうか調査する行為
▲ 公表されて
いるわけで
はないので
微妙
デバイススキャン・クロー
ラー
調査活動を自動的に入力 ▲ 同上
ビーコン 攻撃者が窃取したファイル内に「ビーコン」プログラム
を仕込み、ファイルの移動先から外部に対して何らかの
通信を発生させる
原則なし RATの動作
は微妙
ボットネットテイクダウン インターネット媒介者が､契約条件違反であるとして、接
続を切断する
原則なし 契約の遵守
シンクホール 攻撃者が手放したドメインについて正規の手続きを経て
買い取り、ドメインシンクホールとして運用し、感染被
害組織の洗い出しと通知に活用
原則なし 基本は正当
ボットネット乗っ取り ボットネットのサーバとして利用されていた端末に脆
弱性がある場合に、その端末の脆弱性を利用し、もはや
サーバとして利用できなくする行為
強制あり ホワイト
ワーム
ハックバック 被害組織が、自ら不正通信元に対してなんらかの通信を
行い、その所在や動作を調査する行為
原則強制
あり
Hot Pursuitといわ
れます(米)

17. 国際法次元
国内法次元
自衛権の行使(国連憲章51条)
対抗措置
インテリジェンス
3D的な分析が必要-国際法を分析する
他国からの攻撃 「防衛」行為
情報活動
法執行
軍事的防衛
主権平等・内政干渉禁止
原則への配慮

18. 国内法次元
憲法・自衛隊法・警察官職務執行法・電気
通信事業法など..
サイバー作戦
国際法
電気通信事業者の取扱中にかかる通信の保護
国際的な通信(通信主権の考え方のはず)
3D的な分析が必要-国内法を分析する
「防衛」行為 情報活動
法執行
軍事的防衛
比例性
プライバシー/適正手続
秘密活動の民主的統制
文民統制
国際法的な配慮

19. 国際法の問題
時的問題 烈度と法的概念 論点のポイント 行為の主体
武力紛
争時
武力攻撃(国連憲章51
条)
反撃行為は、要件
を満たす限り当然
に適法
軍 自衛権の行使
「武力攻撃に対し
て」の概念
攻撃の着手は必要/ 軍 先制的自衛
平時 内政干渉禁止原則
主権侵害
エスピオナージ
国際的違法行為/実
力行使と対抗措置
軍/情報機関 サイバー力の行使による攻撃者への損
害等
主権は原則にすぎ
ない(英国)/ルール
である
軍/情報機関 情報インフラへの業務阻害
軍/情報機関/法
執行
中立化(攻撃能力の阻害)
放任されている/捜
査についての主権
情報機関/法執
行
情報の取得
広範囲な
グレーゾー
ンの存在

20. 国際法の側面-自衛隊のサイバー作戦-への国内法の影響
• 主権侵害と内政干渉禁止原則の議論の実益
• 主権侵害も重要インフラへの介入をもとめているはず
• 「隠れたサイバー侵入」
• 実際の活動としてなされているのではないか
• 国際法的な位置づけは何か
• 内国刑法における違法性阻却事由と国際法における遭難・緊急避難と
の関係
• 国内法的に明確に定めることによって、主権侵害であることを明確に
できる場合があるのではないか
• (外国による)国内の選挙への介入は、どのような場合に違法とされるのか？
• そのような言論への介入に対する自衛隊の役割はありうるのか？

21. 国内法の問題
時的問題 烈度と法的概
念
行為の主体 法的根拠
武力紛争時 武力攻撃事態/
武力攻撃予測
事態
自衛隊 防衛出動(自衛隊法76条1項)-武力を行使しうる（同法88条1項） 自衛権の行使
交戦規定の整備
武力攻撃予測
事態
自衛隊 攻撃の着手は必要/ 先制的自衛と「敵基地
攻撃離能力」の論点
平時 緊急事態 自衛隊 緊急事態(事態対処法21条)治安出動（隊法78条、同81条）
国民保護等派遣（隊法92条の2）
施設警護・警護出動
サイバー力の行使によ
る攻撃者への損害等/
情報インフラへの業務
阻害/中立化(攻撃能力
の阻害)/情報の取得
情報機関 ？-民主的統制の必要性
法執行機関 警察官職務執行法とサイバー領域における対処の活動 中立化(攻撃能力の阻
害)/情報の取得
令状による活動
広範囲
な
グレー
ゾーン
の存在
平時

22. 国内法の側面-自衛隊のサイバー作戦-への国際法の影響
• 自衛隊のサイバー作戦による敵基地攻撃能力は、むしろ、従来の
政府見解を素直に見れば、肯定されるのではないでしょうか。
• 昭和31年2月29日衆議院内閣答弁・鳩山内閣総理大臣答弁(わが国領土に
対して弾道ミサイル等による攻撃が行われた場合、法の手段がないと認
められる限り、敵のミサイル基地をたたくことは法理的には自衛の範囲
に含まれ可能であるという政府答弁)
• 表現としては、先制的防衛－anticipatory defenseの権利の問題である
のか？
• グレイゾーンといわれる領域への柔軟な対応を法的に裏付けるこ
とが必要という考え方
• 現在の治安出動-警察官職務執行法、または、武器の使用という枠組は到
底十分ではないという意見
• 「国家公安委員会と協議の上、内閣総理大臣の承認を得て、武器を携行
する自衛隊の部隊に当該者が所在すると見込まれる場所及びその近傍に
おいて当該情報の収集」(隊法79条の2)というのは、国内の諜報を前提と
しているのではないか

23. 警察官職務執行法の限界
• 職務執行法の警察官の権限
• 質問（2条）
• 保護（3条）
• 避難等の措置（4条）
• 犯罪の予防および制止（5条）
• ボットネットの解毒は、制止として論じることができないのか。透明性はどうか。
• 第三者がしらないで、犯罪を助力しているのを強制解毒という場合もある
• 立入（6条）
• 武器の使用（7条）
• サイバー的手法は、「武器」ではないし、予防および制止措置でもない。当然使えるという解釈はあ
りうるのか？
• なしたい行為は、証拠の取得・分析・弱点(脆弱性を含む)情報の取得では
ないか？
• 適する規定がない？
• 「予防および制止」のほうに近いのではないか
• 警察官の行う実力行使の問題になるだろう。

24. サイバー領域における令状による捜査
• 刑事訴訟法218条
• 検察官、検察事務官又は司法警察職員は、犯罪の捜査をするについて
必要があるときは、裁判官の発する令状により、差押え、記録命令付
差押え、捜索又は検証をすることができる。
• 捜査と進行中の犯罪の防止の機能の流用？
• 防衛行為によって生じる被害をどのように考えるのか・その程
度のメルクマールは、何か？
• 強制？ 生命身体？ 日本におけるGPS判決最高裁平成29年3月15日大法
廷判決の示唆
• 米国におけるプロバイダー特権と法執行機関の積極的な情報取
得の可能性
• 国際的な法執行作用と国際法の衝突

25. 論点の全体像
烈
度
国際法 国内法
武力紛争
時
自衛権の行使 自衛隊による防衛出動
平時 サイバー力の行使
による攻撃者への
損害等
自衛隊/軍 ？ 米国の継続的関与
法執行機関 警察官職務執行法/令状に
よる
裁判所の関与による措置
情報インフラへの
業務阻害
自衛隊/情報機
関/法執行機関
？ ソニーピクチャアエンター
テイメント事件後のDos(？)
中立化(攻撃能力
の阻害)
自衛隊/情報機
関/法執行機関
法執行機関による場合->裁
判所の令状？
情報機関の活動 ->民主的
統制
ボットのテイクダウン
ホワイトワーム
継続的な関与
情報の取得 法執行機関/情
報機関
刑事訴訟法/警察官職務執
行法
米国における共同作戦/プロ
バイダー例外
広範囲な
グレーゾーンの存在

26. 「国家安全保障戦略」
• 令和４年１２月１６日
• 国家安全保障会議及び閣議
• 安全保障関連3文書の決定
• 国家安全保障戦略
• 国家防衛戦略
• 防衛力整備計画
• 「能動的サイバー防御を導入」
• 武力攻撃に至らないものの（even if they do not amount to an armed
attack）、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大な
サイバー攻撃のおそれがある場合
• 目的
• これを未然に排除し（eliminating in advance the possibility of serious
cyberattacks）/または
• このようなサイバー攻撃が発生した場合の被害の拡大を防止するために（preventing
the spread of damage in case of such attack）
• 能動的サイバー防御（active cyber defense）を導入

27. 能動的サイバー防御(active cyber defense)の概念
• 以下の概念(とくに(ウ))と自衛隊のサイバーオペレーションと
の関係？
• （ｱ）（日本は、）重要インフラ分野を含め、民間事業者等がサイバー
攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等へ
の対処調整、支援等の取組を強化するなどの取組を進める。
• (ｲ) （日本は、）国内の通信事業者が役務提供する通信に係る情報
（information on communications services provided by domestic
telecommunications providers.）を活用し、攻撃者による悪用が疑わ
れるサーバ等を検知（detect servers and others suspected of being
abused by attackers）するために、所要の取組を進める。
• (ｳ) 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大な
サイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵
入・無害化（penetrate and neutralize attacker's servers and
others ）ができるよう、政府に対し必要な権限が付与されるようにす
る。
デニング論文の系列 ？
攻撃者への影響を必要としない/
日本的な「通信の秘密」問題が記載されている

28. (イ)悪用が疑われるサーバ等を検知
• （日本は）国内の通信事業者が役務提供する通信に係る情報
（information on communications services provided by
domestic telecommunications providers.）を活用
• (高橋コメント)
1. これは、(武力攻撃に至る場合、いたらない場合とも（even if
they do not amount to an armed attack）)どのような仕組みを
準備しようというのか
2. ISPがトラフィックの状況を分析するのは、当然だろう。そして、
それが、通信秩序を侵害する場合に対応するのは当然/国家と共
有できるのは当然だろう-憲法違反という学者/メディアはでる
だろう。
3. 海外の事業者の取扱中にかかる通信についても検知できるはず-
それが除かれているのはなぜか？
目立つだろうからね

29. (ウ)未然に攻撃者のサーバ等への侵入・無害化
• 概念要素
• 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイ
バー攻撃
• 攻撃者のサーバ等
• 政府に対し必要な権限が付与される
• コメント
• 政府は誰だ/手続は？
• 令状によるボットネットテイクダウン
• 自衛隊のオペレーションとしてありうるのか？
• サーバ等-感染しているクライアント？
• HAFNIUM(ハフニウム)に対するFBIのweb shell

30. まとめ
• 能動的サイバー防御という概念自体から何か有益なものを導くことはで
きない
• 攻撃側に影響があるか、どうかだけでも論点を導きうる
• 影響のある場合でも、攻撃と反撃の烈度によって、法的な位置づけは非
常に異なる
• 法的な位置づけは、国内法と国際法との3D分析をなすことが必要
• 主体と行為で分析する場合に、従来の国内法と国際法の分析枠組はきわ
めて有効である(地勢的な一般論は、有害無益である)
• 「国家安全保障戦略」が、法的にどのような意味を含んでいるのかとい
うのは、サイバーセキュリティの法専門家でないと分析できないだろう
• 具体的な論点については、国際法／国内法、具体的な行為に応じて種々
の論点が存在しており、広大な法的なグレイゾーンが存在している。