« NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました | Main | 公益通報者保護法の一部を改正する法律案 »

2020.03.07

DOJ - Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources

こんにちは、丸山満彦です。

米国連邦政府の法務省がインテリジェンスのために不正な情報源から情報を購入することに関する考察を発表していますね。。。

Department of Justice - COMPUTER CRIME AND INTELLECTUAL PROPERTY SECTION (CCIPS)

・2020.02 [PDF] Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources

-----

I. Introduction

II. Scenario Assumptions

A. Security Practitioners
B. The Forums
C. Accessing the Forums

III. Cyber Threat Intelligence Gathering

A. Scenario 1: “Lurking” in Forums to Gather Cyber Threat Intelligence
B. Scenario 2: Posing Questions on Criminal Forums
C. Scenario 3: Exchanging Information with Others on the Forum

IV. Purchasing Stolen Data and Vulnerabilities for Cybersecurity Purposes

A. Scenario 1: Purchasing Stolen Data
 1. The Ownership of the Data
 2. The Nature of the Data
 3. The Nature of the Seller
B. Scenario 2: Purchasing Vulnerabilities

V. Conclusion

 

 

Two Rules to Always Follow

1. Don’t Become a Perpetrator:

Some of the activities discussed in this document implicate federal criminal law and may violate State law and/or create civil liability. Organizations anticipating they will engage in those activities should consult with their legal counsel to assess the legality of planned activities. It may also be beneficial in some circumstances to cultivate a relationship with local FBI and U.S. Secret Service field offices if contemplating these types of operations. Contact information is provided at the end of this document.

2. Don’t Become a Victim:

The cybersecurity activities discussed in this document may involve interacting with sophisticated criminal actors. They should not be undertaken without a deliberate assessment of risk. An organization planning to engage in these activities should remain vigilant, institute appropriate security safeguards, and adhere to cybersecurity practices that will minimize the risk that it will be victimized. 

=====

常に従うべき2つのルール

1.加害者にならないでください:

本文書で説明されている活動の一部は、連邦刑法のみを考慮したものであるため、州法に違反したり、民事責任を生じさせる場合があります。このような活動に関わる可能性がある組織は、想定されている活動の合法性を評価するために弁護士に相談してください。また、このような活動を検討している場合、地元のFBI、米国のシークレットサービスの現地事務所との関係を深めることも有益です。本文書の末尾に連絡先を記載しています。

2.犠牲者にならないでください:

本文書で説明するサイバーセキュリティ活動には、犯罪者との高度なやり取りが含まれる場合があります。 このような活動は、適切にリスク評価を行って実施してください。 このような活動を行おうと計画している組織は、警戒を怠らず、適切なセキュリティ保護策を講じ、被害を受けるリスクを最小限に抑えるサイバーセキュリティ慣行に従って下さい。

 

|

« NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました | Main | 公益通報者保護法の一部を改正する法律案 »

Comments

Post a comment



(Not displayed with comment.)




« NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました | Main | 公益通報者保護法の一部を改正する法律案 »