証券取引委員会(SEC)が連邦地方裁判所に対し大手国際法律事務所Covington & Burling LLPへの調査召喚状申請を行った真の目的とその背後にあるサイバー集団犯罪対策の重大問題性

 

 1月12日、米国の証券取引委員会(以下、SECという)は、大手国際法律事務所Covington & Burling LLP(以下、Covingtonという)(注1)に文書の調査召喚状の狭い部分に従うよう指示するコロンビア特別区連邦地方裁判所に求める申請書を提出したと発表した。

 SECが連邦地方裁判所に提出した召喚申請書類によると、SECは、Microsoft Exchange Server に対する防衛請負業者、法律事務所、および感染症研究者等に対するHafnium集団(以下、「ハフニウム」という)のサイバー攻撃に起因する連邦証券法の潜在的な違反を調査している。申請に伴う提出書類によると、2020年11月頃、Microsoft Hafniumサイバー攻撃に関連するハッカー集団は、SECによって規制されている298のCovingtonクライアントの非公開ファイルへのアクセスを含む、Covingtonのコンピューター・ネットワークおよび特定の個々のデバイスへのアクセスを悪意を持って違法に取得した。SECは2022年初頭にCovingtonへのサイバー攻撃を知り、その後すぐに召喚状を発行した。

 この問題につき、主要メディアは国際的ローファームの顧客情報管理権とSECのサイバー集団被害の実態調査権の行使問題として取り上げられている。

 しかし、筆者から見るとその論点はより国際ハッカー集団によるサイバー犯罪、被害の予防・防止等大きな社会、経済問題であり、さらにわが国の関係機関や事業者等として無視できない重要なリスク対策問題を抱えていると思える。

 このため、本ブログでは、(1) ハフニウムハッカー集団の犯罪手口の実態、(2) Microsoft がとったセキュリテイ対策の具体的対応、(3)SECが行った対応措置、(4) Covingtonの対応、反論主張につき、各論点をつぶさに解説のうえ論ずることとした。

1.中国国家が支援するサイバー・ハッカー集団「ハフニウム」の実態

Microsoft Blog およびThe Registerの解説記事を補足しつつ仮訳する。

(1)マイクロソフト社の脅威インテリジェンス センター (MSTIC) によって特定されたハッカー集団「ハフニウム」 と呼ばれる中国国家が支援するサイバー犯罪集団に関する情報を共有している。ハフニウムは中国国家が支援しており、その活動について議論するのはこれが初めてである。それは非常に熟練した洗練された技術を有するサイバー集団である。

 顧客のセキュリティと信頼を守る Microsoft のCorporate Vice President, Customer Security & Trustである Tom Burt氏はこの悪党集団を「ハフニウム」と名付け、彼らは中国で活動しているが米国ベースのサーバーを使用していると述べ、サイバー スパイ チームを国家が後援する「非常に熟練した洗練された犯罪者」であると分類した。

Tom Burt氏

 これまで、歴史的に、ハフニウムは、感染症研究者、法律事務所、高等教育機関、防衛請負業者、政策シンクタンクNGOなど、多くの業界セクターからの情報を盗み出す目的で、主に米国の事業体、組織、団体等をターゲットとしている。ハフニウムは中国に拠点を置いているが、主に米国のリースでの仮想プライベートサーバー(VPS)(注2)から業務を行っている。

 最近、ハフニウムは、オンプレミスのExchange Serverソフトウェアを標的とした、これまで知られていなかった不正行為を使用して多数の攻撃を行っています。現在まで、ハフニウムはこれらの不正に利用しているのを見る主要な犯罪者であり、MSTICによって詳細に説明されている。これを詳細を見る攻撃には3つのステップが含まれている。まず、1)盗まれたパスワードを使用するか、以前に発見されていない脆弱性を使用して、アクセスする必要がある人物になりすますことにより、Exchange Serverにアクセスする。次に、2)侵害されたサーバーをリモートで制御するためのWebシェル(注3)と呼ばれるものを作成する。3)第三に、米国を拠点とするプライベートサーバーから実行されるリモートアクセスを使用して、事業体、組織のネットワークからデータを盗む。

2.ハッカー集団に対抗するマイクロソフトの具体的措置

 マイクロソフトは、これらの攻撃を実行するために使用される悪用からお客様を保護することに重点を置いている。2021年3月2日、マイクロソフトExchange Server を実行している顧客を保護するセキュリティ更新プログラムをリリースした。マイクロソフトは、Exchange Server (注4)を利用する顧客に、これらの更新プログラムを直ちに適用することを強く勧めた。Exchange Server は主に法人のお客様によって使用されており、ハフニウム の活動が個人の消費者を標的にしたという証拠や、これらの不正利用が他のマイクロソフト製品に影響を与えるという証拠はない。

 マイクロソフトハフニウムの悪行に対抗すべくアップデートを迅速に展開したが、多くの国民国家の攻撃者や犯罪グループがパッチが適用されていない脆弱性のあるシステムを利用するために迅速に行動することを知っている。本日のパッチを迅速に適用することは、この攻撃に対する最善の保護である。

3連邦議会の要請を受けたSECの調査の取組み

 「Covington は、外国の犯罪者が、委員会によって規制されている企業を含む、Covington のクライアントのファイルに意図的かつ悪意を持ってアクセスしたことを認めた」と召喚状申請状で記されている 。「この報告された違反に照らして、 SECは、悪意のある活動が連邦証券法に違反して投資家に不利益をもたらしたかどうかを判断しようとしている」

 2022 年3月、SEC は Covington に対し、影響を受けた298のクライアントすべての流出についてのクライアントの名前、アクセスまたは盗まれた情報の量、法律事務所間の通信など、セキュリティ侵害に関する情報を引き渡すよう求める召喚状を発行した。

 裁判所の文書によると、Covington は召喚状のほとんどに応じたが、期限までに影響を受ける組織の完全なリストを作成することはできないだろうとSEC に語った。

 SEC はその後、申請対象をCovingtonへの攻撃中にデータが閲覧、コピー、変更または盗み出されたSEC の規制下にあるクライアントの名前と、それらの上場企業とその弁護士との間の通信に要求を絞り込んだ。

 訴訟文書によると、ハフニウムはSEC によって規制されている298を含む、Covington の一部のクライアントに属する個人情報にアクセスしたため、SECは連邦議会から被害、侵害を調査し、「悪意のある活動が連邦証券法に違反して投資家に損害を与えたかどうかを判断する」という命令を受けている。

 一方、当然のことながら、Covingtonは物事の見方が異なる。

 Covington の広報担当者は、SEC の訴訟を「クライアントの信頼と弁護士の守秘義務とクライアントの特権を侵害する不当な試み」と呼んだ。

 2021 年、セキュリティ侵害に気付いた後、Covington は影響を受ける可能性のあるクライアントに通知し、FBI と協力して調査を支援したと広報担当者はThe Register に語った.

 「さらに最近、SEC は本事件に関連してCovingtonに召喚状を発行し、それに応じて、攻撃と FBI との協力に関する詳細な情報を委員会に速やかに提供した。

 しかし、「同時に、影響を受けるクライアントの身元や弁護士とクライアントのコミュニケーションなど、クライアントの機密情報を取得しようとする当局の試みに自発的に応じることはできないこともSECに明らかにした。このような背景に対して、SECの召喚令状執行措置に対し、Covingtonは異議を唱えるつもりである。」とスポークスパーソンは述べた。

4.1月12日、米国の証券取引委員会(以下、SECという)は、Covingtonに文書の調査召喚状の狭い部分に従うよう指示する命令を求める申請書を提出

  1月12日、SECのリリース文を抜粋、仮訳する。

 SECがコロンビア特別区連邦地方裁判所に提出した召喚申請書類によると、SECは、Microsoft Exchange Server に対するハフニウム集団のサイバー攻撃に起因する連邦証券法の潜在的な違反を調査している。起訴状に伴う提出書類によると、2020年11月頃、Microsoft Hafniumサイバー攻撃に関連する脅威アクターは、SECによって規制されている298のコビントンクライアントの非公開ファイルへのアクセスを含む、Covingtonのコンピューター・ネットワークおよび特定の個々のデバイスへのアクセスを悪意を持って違法に取得した。SECは2022年初頭にCovingtonへのサイバー攻撃を知り、その後すぐに召喚状を発行した。

 SECは、召喚状の執行措置を通じて、脅威アクターによってファイルが表示、コピー、変更または盗み出されたクライアントの名前のみを求めている。提出書類によると、SECは、脅威アクターまたはそれらの顧客の証券における他の人による疑わしい取引を特定し、脅威アクターがサイバー攻撃の一部として表示または盗み出した重要な非公開情報(material non-public information:MNPI)(注5)に基づいてそのような取引が違法であったかどうかを特定するのに役立つこの情報を求めている。

 さらに、この情報は、影響を受けたクライアントがサイバー攻撃に関連する重要なサイバーセキュリティイベントについて投資家に必要なすべての開示を行ったかどうかをSECが判断するのに役立つ。現在までに、Covingtonは2人を除くすべてのクライアントの名前を提供することを拒否しており、これら2人のクライアントはSECに名前を提供することに同意した。

 SECの申請は、裁判所が召喚状で要求されているように文書を提出することを強制すべきではない理由を示すようにCovingtonに指示する裁判所からの命令を求めている。申請はさらに、原因を示す命令に関する判決に続いて、裁判所からの命令を求め、Covingtonに召喚状に従うように指示している。申請は裁判所の判決の対象となる。SECは事実調査を継続しており、これまでのところ、個人または団体が連邦証券法に違反していると結論付けていない。

5.Covingtonの立場の難しさ

 2023 年 1 月 13 日Bloomberg Law「SEC、法律事務所 Covington がサイバー攻撃調査を妨害したと非難 (1)」から一部抜粋、仮訳する。

 Covington は、SECの裁判所への提出書類によると、問題となっている 298 のクライアントのうち、「脅威アクター」がアクセス、変更、または取得した「重大な非公開情報(MNPI)(注5) を持っていたのは7人だけであるとSECに語った。SECはその情報を確認できず、MNPI とは何かという会社の決定に同意しなかった。

「大手ローファームが抱える重大なクライアント情報管理リスク」

 「何百もの上場企業のクライアントを持つ大規模な法律事務所として、Covingtonは定期的に MNPI を所有しており、その盗難は投資家を重大なリスクにさらす。サイバー攻撃の犠牲者としてのCovingtonの立場も、法律事務所であるという事実も、CovingtonをSECの正当な調査責任から切り離すものではない」とSECは裁判所への提出書類で主張した.

 一方、Covington は声明の中で、法廷で召喚状を執行しようとする SEC の努力に対抗すると述べた。同社は、情報をSECに「速やかに」提出し、連邦捜査局に協力したと述べたが、「我々は、SEC が影響を受けたクライアントの身元と弁護士とクライアントのコミュニケーションにつき、顧客の機密情報を取得しようとするいかなる試みにも自発的に応じることはできないことを SEC に明らかにしている。すなわち、Covingtonは声明で、「SECの措置は、弁護士の基本的な倫理的義務であるクライアントの秘密と弁護士とクライアントの特権を侵害する不当な試み」と見なしている。

ローファームの中国政府への関心

 これらの攻撃は後に、中国政府に関係するハフニウムと呼ばれるアクターによるものであることが判明した。しかし、Microsoftの欠陥のニュースが公になると、他のハッキング グループが Microsoft の電子メール ソフトウェアの欠陥を攻撃することに加わった。

 SECの法廷文書に含まれるギブソン・ダン法律事務所の弁護士による 2022 年のメモによるとCovington は以前、SEC に対し、独自の調査により、ネットワークへの侵害は、「次期バイデン政権に照らして中国が特に関心を持っている政策問題について学ぶ」ために、同社の特定のメンバーを標的にしたことが判明したと語った。

 SEC は、提出書類の中で、侵害の影響を受ける可能性のある特定の企業を特定しなかった。その弁護士は、どの上場企業が「重要な」情報を公開したかを知ることで、他のツールを使用して「疑わしい取引」を探し、それらの企業が投資家や一般に必要な開示を確実に行うことができるようになると主張し、SECは企業と協力して情報提供の要求の範囲を狭めようとしたが、合意に達することができなかったと述べた。

 Covington の2022年6 月のメモは、SECの「投機的な必要性」は、当事務所の保護された弁護士と依頼者の関係に対する結果を上回らなかったと主張した。

ブルームバーグ・ニュースへの声明・SEC法執行責任者グルビル・S・グレワル(Gurbir S. Grewal:Director, Division of Enforcement)氏は、

Gurbir S. Grewal 氏

「この召喚請求が唯一の情報源であり、ハッカーや証券法違反の可能性を特定するために必要であると述べた。彼は、規制当局が、「厳密に調整された単一の文書要求に応じるように」Covingtonに指示する裁判所命令を求めている。また、裁判所への要求は、弁護士とクライアントの特権またはその他の機密情報によって保護されている情報までを求めていない。むしろ、Covington に対するサイバー攻撃の一環として悪意を持って違法にデータが侵害された、SECによって規制されている事業体の名前のみを要求するものである」と付け加えた。

********************************************************************************:

(注1) Covington は、ワシントンに本拠を置く最大かつ最も権威のある多国籍法律事務所の1つであり、元司法長官エリック・ホルダーそのパートナーや、ジョー・バイデン大統領の 2020 年の大統領選挙戦などの政治的クライアントも擁している。同社は証券および規制業務を行っており、いくつかの大規模取引の法律顧問・代理人も務めている。例えば2021年9月 Merck & Co .Inc.の115 億ドルのAcceleron Pharma Inc.の買収1/18(16)、2021年2月のルネサス エレクトロクスのDialog Semiconductorを約49億ユーロ(約6157億円)で買収する等の代理人となっている。

(注2) VPSの特徴としては、「ユーザごとに(仮想ではあるものの)丸ごと1台のサーバが貸し出される」という形になります。すなわち、管理者権限もユーザに託されます。Webやメールのみ使える「レンタルサーバー」と、物理サーバーを丸ごと利用できる「専用サーバー」の中間的なものとして提供されています。

 管理者権限が渡されるということは、利便性は大変高いといえます。他のユーザのシステムと分離されているため、ユーザの必要なソフトウェアをインストールすることができます(制限がある場合もあります)。一方、管理者権限が渡されるということは、当然責任が大きくなります。IPアドレスグローバルIPアドレスが渡されますので、インターネットから直接攻撃されることも普通に起こります。ここでサーバを乗っ取られて、データ流出などが起こった場合には当然ユーザの責任となります。(LinuC解説から抜粋))

(注3) ウェブシェル(webshell)とは、任意のコマンドをWebサーバーに対して実行しWebサーバー上でファイルをアップロード、削除、ダウンロード、システムコマンドなどを実行させるプログラム。Web バックドアとも呼ばれる。

(注4) Microsoft Exchange Server は、マイクロソフトの開発したグループウェア / 電子メール製品。Microsoft Serversの一部であり、マイクロソフト製品を採用している企業で広く使われている。対応しているオペレーティングシステムWindows Serverのみである。Exchangeの主な機能は、電子メール / 予定表 / 連絡先などの共有と携帯機器やウェブからの情報アクセスサポート、さらにデータ格納サポートである。(Wikipedia から抜粋)

(注5) 重要な非公開情報(Material Nonpublic Information)とは、企業のニュースや、まだ公開されておらず、株価に影響を与える可能性のある情報を指す。この種の情報を株式やその他の証券の取引で有利に使用することは違法です。法的には、重要な非公開情報がどのように取得されるか、またはそれに基づいて行動する人が会社に雇用されているかどうかは関係ない。インサイダー取引は、非公開の重要情報の使用を伴う場合、違法である。(investopediaから抜粋、仮訳)

**********************************************************************************

Copyright © 2006-2023 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.