アメリカが外国へのハッキングツール輸出を規制、猛威を振るったスパイソフト「Pegasus」の拡散防止も

2021年10月20日、アメリカ合衆国商務省産業安全保障局(BIS)が、特定の国へのハッキングツールの輸出や再輸出を抑制することを目的とした新しい輸出規制規則を導入すると発表しました。国内でのサイバーセキュリティ向上を阻害するとの懸念で何年も保留されてきたこの規則を導入するに当たり、当局は意見公募を行っています。

Information Security Controls: Cybersecurity Items
(PDFファイル)https://public-inspection.federalregister.gov/2021-22774.pdf

Commerce Tightens Export Controls on Items Used in Surveillance of Private Citizens and other Malicious Cyber Activities | U.S. Department of Commerce
https://www.commerce.gov/news/press-releases/2021/10/commerce-tightens-export-controls-items-used-surveillance-private

Commerce Department announces new rule aimed at stemming sale of hacking tools to Russia and China - The Washington Post
https://www.washingtonpost.com/national-security/commerce-department-announces-new-rule-aimed-at-stemming-sale-of-hacking-tools-to-repressive-governments/2021/10/20/ecb56428-311b-11ec-93e2-dba2c2c11851_story.html

商務省が今回発表した規則は、悪意のあるサイバー活動に使用される可能性のある特定の品目の輸出、再輸出、または国内での移転を規制するもの。これにより、アメリカから武器禁輸措置を受けている国や、国家安全保障上の懸念または大量破壊兵器を保有するとの疑いがある国に対象品目を輸出する際はライセンスが必要になります。

海外紙のワシントン・ポストはライセンス取得に関して例を挙げ、「イスラエル・アラブ首長国連邦・サウジアラビアなどの政府に特定の品目を輸出したい企業はライセンスが必要になるが、ソフトウェアが侵入検知テストなどのサイバーセキュリティの目的で使用され、非政府関係者に販売される場合はこの限りではない。また、中国やロシアへ輸出される場合は、どんな場合であれライセンスが必要となる」と記しています。

この規則の対象には、イスラエルのセキュリティ企業が外国のジャーナリストや政府高官をスパイするために開発したとされるソフトウェア「Pegasus」も含まれています。Pegasusに関しては、世界中のジャーナリストが被害を受けたことにより、ジャーナリスト団体やセキュリティ企業などがPegasusの開発元に抗議し、また政府に取り締まりを呼びかけていました。

ワシントン・ポストが報じたところによると、商務省高官が「この規制はアメリカの研究者が海外の研究者と協力してソフトウェアの欠陥を発見したり、セキュリティ企業がハッキングなどの事案に対応したりすることを防ぐものではない」と語ったとのこと。この規則は国内でのサイバー分野での作業を妨げるのではないかという懸念により何年も保留されてきたとのことですが、当局は今回の導入に際し「合法的なサイバーセキュリティ活動を保証しながら、悪意のあるサイバー攻撃者からアメリカを守る、適切に調整されたアプローチだ」と述べています。なお、当局は10月20日から45日間の期限を設定してこの規則に関する意見を募っていますが、90日後には発効する予定とのことです。