2020.08.12

英国 AIを活用した犯罪予想システムの開発を断念。。。

こんにちは、丸山満彦です。

英国の内務省(Home office [wikipedia] )がAIを活用した犯罪予想システム、Most Serious Violence (MSV) の開発を断念したようですね。。。

● WIRED-UK

・2020.08.06 Police built an AI to predict violent crime. It was seriously flawed by MATT BURGESS

A Home Office-funded project that used artificial intelligence to predict gun and knife crime was found to be wildly inaccurate

そもそも、直感的には実用に耐えれるものが作れるように思わないのだが・・・

2018年当時の記事

● New Scientist

・2018.11.26 Exclusive: UK police wants AI to stop violent crime before it happens by Chris Baraniuk

 


 

| | Comments (0)

2020.08.11

オーストラリア政府 内務省がサイバーセキュリティ戦略2020を公表していましたね。。。

こんにちは、丸山満彦です。

8月6日にオーストラリア政府 内務省が「サイバーセキュリティ戦略2020」を公表していました。

AU - Department of Home Affairs - Cyber security - Strategy

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

2016年の「[PDF] サイバーセキュリティ戦略」に続くものですね。

10年間で16億7千万ドル(約1,250億円 75¥/AU$)を投資するようです。何に投資するのかということですが、次の項目のようですね。。。

  • 政府:サイバー脅威から国民、企業、重要インフラの保護を強化する
  • 企業:製品とサービスの保護を通じて既知の脆弱性から顧客を保護する
  • コミュニティ:オンライン上での安全な行動を実践し、適切な情報に基づいた決定を行う

本文を読むと、サイバー犯罪対策に力をいれる感じですね。Darkwebについても触れられていますね。。。中小企業対策についても触れられています。どこの国も課題はよく似ているのでしょうね。。。

時間があったら、米国、UK、日本、中国、オーストラリア、シンガポール、カナダなどの国のサイバー戦略を並べてみたいですね(存在すら網羅的に確認していないけど・・・)


Table of Contents

Minister’s foreword
Australia’s Cyber Security Strategy 2020: At a glance
Overview
The threat environment
Consultation
Our strategy
Our response
Action plan
Implementation and measuring progress
Appendix A: Cyber Security Strategy 2020 Funding Commitments


Australia’s Cyber Security Strategy 2020: At a glance

Vision
A more secure online world for Australians, their businesses and the essential services upon which we all depend.

Approach
This vision will be delivered through complementary actions by governments, businesses and the community.

Cyber threats continue to evolve rapidly
— Cyber security threats are increasing. Nation states and state-sponsored actors and criminals are exploiting Australians by accessing sensitive information and for financial gain.
— Criminals are using the dark web to buy and sell stolen identities, illicit commodities, and child exploitation material, as well as to commit other crimes.
— Encryption and anonymising technologies allow criminals, terrorists and others to hide their identities and activities from law enforcement agencies.
— Cyber criminals want to take advantage of the fact that Australians are more connected than ever before.

Strong foundations
This Strategy builds on the 2016 Cyber Security Strategy, which invested $230 million to advance and protect Australia’s interests online.

Highlights
This Strategy will invest $1.67 billion over 10 years to achieve our vision. This includes:
— Protecting and actively defending the critical infrastructure that all Australians rely on, including cyber security obligations for owners and operators.
— New ways to investigate and shut down cyber crime, including on the dark web.
— Stronger defences for Government networks and data.
— Greater collaboration to build Australia’s cyber skills pipeline.
— Increased situational awareness and improved sharing of threat information.
— Stronger partnerships with industry through the Joint Cyber Security Centre program.
— Advice for small and medium enterprises to increase their cyber resilience.
— Clear guidance for businesses and consumers about securing Internet of Things devices.
— 24/7 cyber security advice hotline for SMEs and families.
— Improved community awareness of cyber security threats.


 

| | Comments (0)

2020.08.10

DeepfakeについてのNATO, CSET, Partnership on AI, GAOの報告書(少し前ですが・・・)

こんにちは、丸山満彦です。

Deepfakeについての公表物がいくつかあるので、備忘録・・・

Deepfakeを作る技術と見破る技術のイタチごっこ, cat-and-mouse gameが続くのでしょうね。。。

映画とかでは面白い技術とは思いますが、SNSで作為を持って流されるなども考えられるので、何らかの規制が将来は必要となるかもしれませんね。。。

 

いくつか並べてみましたが、NATOとCSETの著者は同じでTim Hwang氏ですね。。。

NATO Strategic Communications Center of Excellence Riga、Latvia

・2020.06.05 New study offers insight into future of deepfake technology

・[PDF] Deepfakes - Primer and Forecast by Tim Hwang

 

CENTER for SECURITY and EMERGING TECHNOLOGY (CSET)

・2020.07 (Analysis) Deepfakes: A Grounded Threat Assessment by Tim Hwang

・[PDF] Deepfakes: A Grounded Threat Assessment

The rise of deepfakes could enhance the effectiveness of disinformation efforts by states, political parties and adversarial actors. How rapidly is this technology advancing, and who in reality might adopt it for malicious ends? This report offers a comprehensive deepfake threat assessment grounded in the latest machine learning research on generative models.

 

Partnership on AI

・2020.03.12 (NEWS) A Report on the Deepfake Detection Challenge by CLAIRE LEIBOWICZ

・[PDF] The Deepfake Detection Challenge: Insights and Recommendations for AI and Media Integrity

GAO

・2020.02.20 SCIENCE & TECH SPOTLIGHT: Deepfakes GAO-20-379SP

・[PDF] Full report

 

その他

Reserchgate.net

・2019.09 Deep Learning for Deepfakes Creation and Detection: A Survey by Thanh Thi Nguyen and Cuong M. Nguyen


Abstract
Deep learning has been successfully applied to solve various complex problems ranging from big data analytics to computer vision and human-level control. Deep learning advances however have also been employed to create software that can cause threats to privacy, democracy and national security. One of those deep learning-powered applications recently emerged is "deepfake". Deepfake algorithms can create fake images and videos that humans cannot distinguish them from authentic ones. The proposal of technologies that can automatically detect and assess the integrity of digital visual media is therefore indispensable. This paper presents a survey of algorithms used to create deepfakes and, more importantly, methods proposed to detect deepfakes in the literature to date. We present extensive discussions on challenges, research trends and directions related to deepfake technologies. By reviewing the background of deepfakes and state-of-the-art deepfake detection methods, this study provides a comprehensive overview of deepfake techniques and facilitates the development of new and more robust methods to deal with the increasingly challenging deepfakes.
Springer Link

・2020.08.06 The Epistemic Threat of Deepfakes by Don Fallis

 ・[PDF]

Abstract

Deepfakes are realistic videos created using new machine learning techniques rather than traditional photographic means. They tend to depict people saying and doing things that they did not actually say or do. In the news media and the blogosphere, the worry has been raised that, as a result of deepfakes, we are heading toward an “infopocalypse” where we cannot tell what is real from what is not. Several philosophers (e.g., Deborah Johnson, Luciano Floridi, Regina Rini) have now issued similar warnings. In this paper, I offer an analysis of why deepfakes are such a serious threat to knowledge. Utilizing the account of information carrying recently developed by Brian Skyrms (2010), I argue that deepfakes reduce the amount of information that videos carry to viewers. I conclude by drawing some implications of this analysis for addressing the epistemic threat of deepfakes.


 

・2020.06.23 DeepFake Video Detection: A Time-Distributed Approach by Amritpal Singh, Amanpreet Singh Saimbhi, Navjot Singh & Mamta Mittal

・[PDF]

Abstract

Recent developments in machine learning algorithms have led to the generation of forged videos having remarkable quality, which are indistinguishable from real videos. This can fatally affect the way in which one perceives the information available digitally. Thus, this paper aims to efficiently and holistically detect manipulated videos generated using DeepFake, which is the most effective deep learning powered technique developed so far by the researchers. Arduous efforts have been put to detect the forgery in still images, but the authors leveraged the spatio-temporal features of the videos by taking sequences of frames as input to the model. Furthermore, the authors have proposed an architecture which took advantage of lower-level features around regions of interest as well as discrepancies across multiple frames. Experiments have been performed on the Deep Fake Detection Challenge dataset of  470 GB in size, and it has been observed that the proposed approach yielded a test accuracy score of 97.6%.

 


 

 

| | Comments (0)

AIと将来の軍事力についての中国の視点

こんにちは、丸山満彦です。

ジョージタウン大学にあるCENTER for SECURITY and EMERGING TECHNOLOGY (CSET)がAIと将来の軍事力についての中国の視点に関する報告書を公表していますね。

CSET

・2020.08 (Analysis) Chinese Perspectives on AI and Future Military Capabilities by Ryan Fedasiuk

The world is watching how the Chinese military develops and deploys artificial intelligence—but how exactly will it apply AI? This policy brief analyzes Chinese experts’ arguments about AI and prospective warfighting capabilities, identifying prevailing concerns about strategic stability and unintended escalation.

・[PDF] Full Report

 

中国の論文等を分析して得られた知見

  1. 中国の専門家は、人工知能が軍事目標の検出、照準、および軍事目標に対する攻撃を改善すると予測している。
  2. 中国の専門家は、AI の進歩は、一般的にも、中国の対米抑止関係の観点からも、戦略的安定性を損なうと考えている。
  3. 中国の専門家は、オープンソースの報告と比較して、米軍のAI能力を過大評価する傾向がある。
  4. 中国の機械学習技術者は、AI アプリケーションの開発と展開において、軍人の技術的リテラシーやデータや計算能力の制約など、大きなハードルに直面している。

政策提言

  1. データ、人、重要な先端半導体への人民解放軍のアクセスを制限することで、米国の AI の優位性を維持する。
  2. 軍拡競争を避ける。
  3. エスカレーションリスクの軽減

Table of Contents

Executive Summary
Introduction
Chinese and American Conceptions of Artificial Intelligence
Chinese and American Conceptions of Strategic Stability
Scope and Methodology
 A Framework for Understanding Arguments About AI
 Extracting Causal Arguments About AI and Warfighting
How Chinese Experts Expect AI Will Affect Future Warfare
 Largest Perceived Threats to China’s Military from U.S. AI
 Implications for Strategic Stability
Chinese Perspectives on U.S. AI Projects
Barriers to AI Development in the People’s Liberation Army
 Data Collection and Processing 
 Workforce Issues
 Access to Hardware
Policy Implications
 Maintaining the U.S. AI Advantage
 Avoiding Arms Racing 
 Mitigating Escalation Risk
Conclusion
Acknowledgments
Appendix: Selecting a Universe of Papers
Endnotes

| | Comments (0)

AIにおける計算能力の重要性の話

こんにちは、丸山満彦です。

Foreign Affairsという雑誌に、AIの競争において計算能力の重要性をもっと意識した方が良いという記事がありますね。。。

AIは[データ] X [アルゴリズム] X [計算能力]で競争力が決まってくるが、データとアルゴリズムに注目が集まりがちだが、計算能力の重要性も忘れてはいけない。中国との競争を考えた場合、計算能力に影響するチップの製造においては中国はまだ米国と差がある。今から技術の移転を阻止しておかなければならない・・・という内容ですかね。。。

ちなみに、この記事の著者の氏はジョージタウン大学にあるCENTER for SECURITY and EMERGING TECHNOLOGY (CSET)のCyberAIのディレクターでジョージタウン大学の准教授のようですね。。。

Foreign Affairs

・2020.08.07 The U.S. Has AI Competition All Wrong by 

Computing Power, Not Data, Is the Secret to Tech Dominance

 

| | Comments (0)

2020.08.09

NIST National Cybersecurity Online Informative References (OLIR) Programについての2つのドラフト

こんにちは、丸山満彦です。

NISTが”National Cybersecurity Online Informative References (OLIR) Program”に関する2つのドラフト

  • NISTIR 8278 : Program Overview and OLIR Uses
  • NISTIR 8278A : Submission Guidance for OLIR Developers

を公表していますね。

● NIST -ITL

・2020.08.04  (PUBLICATIONS)

・・ NISTIR 8278 (Draft)  National Cybersecurity Online Informative References (OLIR) Program: Program Overview and OLIR Uses (2nd Draft)

・・[PDF] NISTIR 8278 (Draft)

・・NISTIR 8278A (Draft)  National Cybersecurity Online Informative References (OLIR) Program: Submission Guidance for OLIR Developers

・・[PDF] NISTIR 8278A (Draft)


Planning Note (8/4/2020): 

 

NIST is seeking public comments on two draft NISTIRs for the National Cybersecurity Online Informative References (OLIR) Program. This Program is a NIST effort to facilitate subject matter experts in defining standardized Online Informative References (OLIRs), which are relationships between elements of their documents and elements of other documents like the NIST Cybersecurity Framework.  The draft reports focus on 1) OLIR program overview and uses (NISTIR 8278), and 2) submission guidance for OLIR developers (NISTIR 8278A).

Draft (2nd) NISTIR 8278 describes the OLIR Program: what OLIRs are, what benefits they provide, how anyone can search and access OLIRs, and how subject matter experts can contribute OLIRs. Based on feedback received from early adopters as well as discussions at the December 2019 OLIR workshop, this second draft includes:

  • The introduction of two new Focal Document Templates:
    • Privacy Framework: A Tool for Improving Privacy through Enterprise Risk Management v1.0, and
    • Special Publication 800-53 Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations
  • New functional enhancements to the OLIR Catalog and Derived Relationships Mapping (DRM) display tool

NOTE: A call for patent claims is included on page iv of this draft. For additional information, see the Information Technology Laboratory (ITL) Patent Policy--Inclusion of Patents in ITL Publications.


色々な標準のような文書が発行されるとそれらの間の関係性を説明できるツールが必要ですよね。そして、システム的に実装していくことが重要となるので、関係性を説明するツールについてもシステム化する前提となりますね。。。

 


NISTIR 8287

Abstract

 

 

  

 

» Continue reading

| | Comments (0)

NIST インターネット経由でファイルを交換する際のセキュリティ考慮事項

こんにちは、丸山満彦です。

NISTがインターネット経由でファイルを交換する際のセキュリティ考慮事項に関する報告書を公開していますね。。。

ちなみに、PPAP方式(PasswordつきZIP暗号化ファイルを送ります、Passwordを送ります、Aん号化(暗号化)Protocol )のリスクについては触れられていません。。。

NIST - ITL

・2020.08.03 (Publication) Security Considerations for Exchanging Files Over the Internet

・[PDF] Security Considerations for Exchanging Files Over the Internet

・[HTML] itlbul202008を作ってみました。。。

 

| | Comments (0)

2020.08.08

Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?

こんにちは、丸山満彦です。

2020.08.04にInterpolがCOVID-19に乗じたサイバー攻撃が個人から医療機関を含む社会インフラに移っていると警告していますね。。。

Interpol

・2020.08.04 INTERPOL report shows alarming rate of cyberattacks during COVID-19

・[PDF] COVID-19 Cybercrime Analysis Report - August 2020

発見事項として

オンライン詐欺とフィッシング
COVID-19をテーマにしたフィッシングメールを展開し、政府や保健当局になりすまして、被害者に個人情報を提供させたり、悪質なコンテンツをダウンロードさせたりしている。

  • 破壊的マルウェア(ランサムウェア、DDoS)
     重要インフラや医療機関に対する破壊的なマルウェアの使用が増加している。

  • データハーベスティングマルウェア
     COVID-19に関連する情報をおびき寄せてシステムに侵入し、ネットワークを侵害し、データを盗んだりボットネットを構築している。

  • 悪質なドメイン
     「コロナウイルス」や「COVID」などのキーワードを含むドメイン名を登録するサイバー犯罪者が大幅に増加している。

  • 誤情報について
     フェイクニュースが急増しており、国民の間で急速に拡散している。

予測として

  • 在宅勤務に関連した脆弱性や金銭的利益の増加しそうであるためサイバー犯罪はさらに増加する可能性が高い(サイバー犯罪者は活動を活発化させ、より高度で洗練された手口を開発し続けている)

  • コロナウイルスをテーマにしたオンライン詐欺や、パンデミックに対する世間の懸念を利用したフィッシング・キャンペーンが今後も増加していく。

  • COVID-19ワクチンの接種が可能になれば、これらの医療品に関連したフィッシングやネットワーク侵入、データを盗むためのサイバー攻撃も急増する可能性が高い。

 

ーーーーー

CONTENTS

Introduction

Evolution of Cybercrime Trends and Threats amid COVID-19
Regional Cybercrime Trends
 AFRICA 
 AMERICAS
 ASIA AND SOUTH PACIFIC (ASP)
 EUROPE
 MIDDLE EAST AND NORTH AFRICA (MENA)

Key COVID-19 Cyberthreats
ONLINE FRAUD AND PHISHING 
DISRUPTIVE MALWARE (RANSOMWARE AND DDOS)
MALICIOUS DOMAINS
DATA HARVESTING MALWARE
MISINFORMATION

INTERPOL Response 

Priorities and Recommendations

Short-Term Projections

Conclusion

 


| | Comments (0)

2020.08.07

米国政府 米国の資産を守るため Clean Network Programを強化

こんにちは、丸山満彦です。

米国、国務省が2020.08.05に発表していますが、一行目から刺激的な始まりです。。。


The Clean Network program is the Trump Administration’s comprehensive approach to guarding our citizens’ privacy and our companies’ most sensitive information from aggressive intrusions by malign actors, such as the Chinese Communist Party (CCP).


U.S. Department of State

・2020.08.05 Announcing the Expansion of the Clean Network to Safeguard America’s Assets

 

Clean Network Programの新たな5つの取り組みは次の5つのようです。。。

  • クリーンキャリア:信頼されていない中華人民共和国(PRC)のキャリアが米国の通信ネットワークに接続されていないことを確認する。
  • クリーンストア:米国のモバイルアプリストアから信頼できないアプリケーションを削除する。
  • アプリのクリーンアップ:信頼できない中華人民共和国製スマートフォンメーカーがアプリストアに信頼できるアプリをプレインストールしたり、ダウンロードできるようにしたりしないようにする。
  • クリーンクラウド:米国市民の機密性の高い個人情報、COVID-19ワクチン研究を含む貴重な知的財産が、Alibaba、Baiduなどの企業を通じて敵国がアクセスできるクラウドベースのシステムに保存および処理されるのを防ぐ。
  • クリーンケーブル:グローバルインターネットに接続する海底ケーブルが、中華人民共和国による情報収集のために侵害されないようにする。

 

■ 参考

・2020.05.15 The United States Protects National Security and the Integrity of 5G Networks

 

 

| | Comments (0)

2020.08.06

US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

こんにちは、丸山満彦です。

米国連邦政府は、日本政府もお手本にするほど(?)、IT管理、サイバーセキュリティ対策は進めているように見えるのですが、それでもGAOの指摘は厳しいように思います。。。

そもそも、GAOは2010年度以降に1,376件のIT管理関連の勧告をし、3,409件のセキュリティ関連の勧告をしています。年間平均130件、340件ということです。すごい活動量ですよね。。。

そして連邦政府もIT関連の勧告の64%、サイバーセキュリティ関連の勧告は79%を完全に実施しているとGAOに言わせるだけでもすごいです。それぞれ880件、2,690件の対応をしているわけですよ。。。

でも、GAOは「まだまだやぞ、、、それぞれ500件、720件ほどできてないやろ。。。継続的に改善しろよ。。。」という感じですね。。。

● GAO

・2020.08.03 INFORMATION TECHNOLOGY : Federal Agencies and OMB Need to Continue to Improve Management and Cybersecurity

 


The federal government has spent billions on information technology projects that have failed or performed poorly. Some agencies have had massive cybersecurity failures. These IT efforts often suffered from ineffective management.

We testified about 2 issues on our High Risk List: 1) IT acquisitions and operations management and 2) cybersecurity.

Since 2010, agencies have implemented

  • 64% of our 1,376 recommendations on IT acquisitions and operations
  • 79% of our 3,409 recommendations on cybersecurity

Much remains to be done. For example, most agencies have not assigned key IT responsibilities to the chief information officer, as required.


残された課題として5つの領域を挙げていますね。。。しかし、上の4つはIT管理に関する話で、サイバーは最後の1つやね。。。3,409件を全部まとめて1つか。。。

- 最高情報責任者(CIO)の責任
- CIOによるIT取得時のレビュー
- データセンターの集約化
- ソフトウェアライセンスの管理
- 国家のサイバーセキュリティの確保

 

 

| | Comments (0)

2020.08.05

NISC 普及啓発・人材育成専門調査会第13回会合を開催

こんにちは、丸山満彦です。

NISCの普及啓発・人材育成専門調査会第13回会合が開催され、資料がウェブに掲載されているわけですが、、、委員の方はほぼ全員知り合いです。変なことは言っていないように思います。資料7のビズリーチさんの説明は加瀬澤さんだ。。。(^^)

でも、これ何年同じ話を続けるのでしょうかね。。。

結局、処方箋が正しくても、処方箋にそった治療がされないから治癒しないのではないですかね、、、とか。。。まずは、「隗より始めよ」で政府機関から始めたらどうですかね。。。少しずつ、継続的に。。。(全くやってないとは思っていませんが、もう少しやったらどうですかね。。。)

そうすれば上場企業もするようになるし、地方自治体もするようになるし。。。

NISC

・2020.07.31 普及啓発・人材育成専門調査会第13回会合

[PDF] 議事次第
[PDF] 資料1-1 本専門調査会の今後の進め方(NISC説明資料)
[PDF] 資料1-2 サイバーセキュリティに係る人材の確保、育成、活躍の促進(NISC説明資料)
[PDF] 資料1-3 サイバーセキュリティ人材の確保、育成、活躍の促進に係る政策課題の検討について(案)(NISC説明資料)
[PDF] 資料1-4 当面のスケジュール案(NISC説明資料)
[PDF] 資料2-1 サイバーセキュリティ人材の確保、育成、活躍の促進に係る主な政策課題
[PDF] 資料2-2 xSIRTの概況(NISC説明資料)
[PDF] 資料2-3 IT・セキュリティ人材の活躍の場について(NISC説明資料)
[PDF] 資料3 DXサービスに必要なセキュリティ対策(NRIセキュアテクノロジーズ株式会社 説明資料)
[PDF] 資料4 セキュリティ人材に関する取組(総務省 説明資料)
[PDF] 資料5 試行カリキュラムについて(情報セキュリティ大学院大学・藤本正代教授 説明資料)
[PDF] 資料6 取組状況の報告(経済産業省 説明資料)
[PDF] 資料7 セキュリティ人材の流動性とマッチングについて(株式会社ビズリーチ 説明資料)
[PDF] 参考資料1 研究開発戦略専門調査会(委員名簿、設置について、運営について)(NISC資料)
[PDF] 参考資料2 関連動向(NISC資料)




| | Comments (0)

2020.08.04

FBI : Infraud Organizationのマルウェア開発者が有罪を認めた

こんにちは、丸山満彦です。

世界中で約600億円(US$ 5.3Million)の損害を与えたInfraud Organization[wikipedia]のマルウェア開発者(Valerian Chiochiu )が有罪を認めたようですね。。。

● FBI

・2020.07.31 Malware Author Pleads Guilty for Role in Transnational Cybercrime Organization Responsible for more than $568 Million in Losses



Cybercrime Organization Victimized Millions in all 50 States and Worldwide in One of the Largest Cyberfraud Enterprises Ever Prosecuted by the Department of Justice

| | Comments (0)

FBIがTwitterのアカウントを乗っ取った被疑者3名を起訴したと発表していましたね。。。

こんにちは、丸山満彦です。

著名人のTwitterアカウントが乗っ取られた件が話題になっていましたが、FBIが被疑者3名を起訴したと2020.07.31に発表していましたね。。。被疑者は22歳、18歳。1名は未成年ですね。。。しかも、おそらく主犯。。。

● FBI

・2020.07.31 Three Individuals Charged for Alleged Roles in Twitter Hack

 ・訴状
  [PDF] Fazeli Complaint
  [PDF] Sheppard Complaint

暗号通貨のアカウント作成時の本人確認資料から本人を特定したようですね。。。

 

PiyokangoさんのPiyologが詳しいですね。。。

Piyolog
・2020.08.03 
Twitterハッキングから2週間で当局が訴追した方法についてまとめてみた

 

● まるちゃんの情報セキュリティ気まぐれ日記
・2020.07.24 Twitterアカウントが乗っ取られた件(2)
2020.07.18 Twitterアカウントが乗っ取られた件

 

| | Comments (0)

2020.08.03

US-CISAが信頼できるインターネット接続(TIC)プログラムのコアガイダンスドキュメントをリリースしましたね。。。

こんにちは、丸山満彦です。

米国のCybersecruity & infrastructure Security Agent.

● CISA

・2020.07.31 CISA RELEASES TIC 3.0 CORE GUIDANCE DOCUMENTATION

TIC 3.0 CORE GUIDANCE DOCUMENTS

まずは、Program Guidebook (Volume 1) 、Reference Architecture (Volume 2) 、Security Capabilities Catalog (Volume 3) が公開されていますね。Zero Trustがベースになっていますね。。。

 


The TIC 3.0 core guidance includes:

  1. Program Guidebook (Volume 1) – Outlines the modernized TIC program and includes its historical context
  2. Reference Architecture (Volume 2) – Defines the concepts of the program to guide and constrain the diverse implementations of the security capabilities
  3. Security Capabilities Catalog (Volume 3) – Indexes security capabilities relevant to TIC
  4. Draft Use Case Handbook (Volume 4) – Introduces use cases, which describe an implementation of TIC for each identified use
  5. Draft Service Provider Overlay Handbook (Volume 5) – Introduces overlays, which map the security functions of a service provider to the TIC capabilities
    • Overlays are under development and will be released at a later date
  6. Pilot Process Handbook - Establishes a framework for agencies to execute pilots
  7. Response to Comments on Draft TIC 3.0 Guidance Documentation – Summarizes the comments, and modifications in response to, the feedback received for the draft core documents

 


 

 

 

» Continue reading

| | Comments (0)

2020.08.02

NISTがクラウドシステムに対する一般的なアクセス制御のガイダンスを公表していますね。。。

こんにちは、丸山満彦です。

NISTがクラウドシステムに対する一般的なアクセス制御のガイダンスを公表していますね

● NIST - ITL

・2020.07.31 SP 800-210 General Access Control Guidance for Cloud Systems

・[PDF]SP 800-210

結論の最後が結構正直ですね。。。

「異なるデバイスやプラットフォーム間でのアクセスコントロール管理、クラウドの普及に伴う新たな課題など、多くの課題が残されている」

 

・[HTML]に変換してみた

 

パブコメ時の投稿はこちら↓

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.02 NIST SP 800-210(Draft) General Access Control Guidance for Cloud Systems

 


Abstract

» Continue reading

| | Comments (0)

2020.08.01

NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations

こんにちは、丸山満彦です。

NISTがSP800-53Bのドラフトのパブコメを募集していますね。SP800-53のドラフトが出ているのでその影響ですね。プライバシー制御ベースラインを提供するものですね。

 

NIST - ITL

・2020.07.31 SP 800-53B (Draft)  Control Baselines for Information Systems and Organizations


・[PDF] SP 800-53B (Draft)

Related NIST Publications:
・[PDF] SP 800-53 Rev. 5 (Draft)

 


Announcement

Draft SP 800-53B provides three security control baselines for low-impact, moderate-impact, and high-impact federal systems, as well as a privacy control baseline for systems irrespective of impact level. The security and privacy control baselines have been updated with the controls described in SP 800-53, Revision 5; the content of control baselines reflects the results of a comprehensive interagency review conducted in 2017 and continuing input and analysis of threat and empirical cyber-attack data collected since the update to SP 800-53.

In addition to the control baselines, this publication provides tailoring guidance and a set of working assumptions to help guide and inform the control selection process for organizations. Finally, this publication provides guidance on the development of overlays to facilitate control baseline customization for specific communities of interest, technologies, and environments of operation. The control baselines were previously published in NIST SP 800-53, but moved so that SP 800-53 could serve as a consolidated catalog of security and privacy controls that can be used by different communities of interest.

In addition to your feedback on the three security control baselines, NIST is also seeking your comments on the privacy control baseline and the privacy control baseline selection criteria.  Since the selection of the privacy control baseline is based on a mapping of controls and control enhancements in SP 800-53 to the privacy program responsibilities under OMB Circular A-130, suggested changes to the privacy control baseline must be supported by a reference to OMB A-130.  Alternatively, you may provide a description and rationale for new or modified privacy control baseline selection criteria. 

...

 

Abstract

This publication provides security and privacy control baselines for the Federal Government. There are three security control baselines for low-impact, moderate-impact, and high-impact information systems as well as a privacy baseline that is applied to systems irrespective of impact level. In addition to the control baselines, this publication provides tailoring guidance and a set of working assumptions that help guide and inform the control selection process for organizations. Finally, this publication provides guidance on the development of overlays to facilitate control baseline customization for specific communities of interest, technologies, and environments of operation.


 

 

» Continue reading

| | Comments (0)

2020.07.31

英国のデータコミッショナーがAIとデータ保護に関するガイダンスを公表していますね。

こんにちは、丸山満彦です。

英国のInformation Commissioner' Office (ICO) がAIとデータ保護に関するガイダンス「ICO launches guidance on AI and data protection」を公表しましたね。。。

データ保護遵守のベストプラクティスに焦点を当てたAIを監査するためのフレームワークという感じみたいです。。。

● UK-ICO

・2020.07.30 Blog: ICO launches guidance on AI and data protection by Simon McDougall

Simon McDougall, Deputy Commissioner - Regulatory Innovation and Technology, discusses the relationship between AI and data protection as the ICO publishes new AI guidance.

Guidance on AI and data protection

・[PDF] Full Document

 


| | Comments (0)

2020.07.30

US-GAO COVID-19 CONTACT TRACING APPSに関するペーパーを出していますね。。。

こんにちは、丸山満彦です。

US-GAOってこんなことまでするんですね。。。

US-GAO

・2020.07.28 SCIENCE & TECH SPOTLIGHT: Contact Tracing Apps

 ・[PDF] Full Report

  • 連絡先追跡アプリは、スマートフォンを利用するCOVID-19のような感染症の感染率を下げるのに役立つ比較的新しい技術である。
  • 感染者の近くにいて、暴露された可能性のある人々を迅速に識別して通知できる。
  • 連絡先追跡アプリは、従来の連絡先追跡の手段よりも多くの人に到達する可能性がある。
  • 政策立案者は、連絡先追跡アプリの使用を採用するかどうかを検討するとき、テクノロジーについての正確な理解、利用率、プライバシーの懸念など、潜在的な課題と利点を比較検討する必要がある。

 

CHALLENGES

  • Technology. Technological limitations may lead to missed contacts or false identification of contacts. For example, GPS-based apps may not identify precise locations, and Bluetooth apps may ignore barriers preventing exposure, such as walls or protective equipment. In addition, apps may overlook exposure if two people were not in close enough proximity long enough for it to count as a contact.

  • Adoption. Lower adoption rates make the apps less effective. In the U.S., some states may choose not to use proximity tracing apps. In addition, the public may hesitate to opt in because of concerns about privacy and uncertainty as to how the data may be used. Recent scams using fake contact tracing to steal information may also erode trust in the apps.

  • Interoperability. Divergent app designs may lead to the inability to exchange data between apps, states, and countries, which could be a problem as travel restrictions are relaxed.

  • Access. Proximity tracing apps require regular access to smartphones and knowledge about how to install and use apps. Some vulnerable populations, including seniors, are less likely to own smartphones and use apps, possibly affecting adoption.

 

| | Comments (0)

経済産業省 パブコメ 「DX企業のプライバシーガバナンスガイドブックver1.0(案)」

こんにちは、丸山満彦です。

経済産業省が、「DX企業のプライバシーガバナンスガイドブックver1.0(案)」のパブコメを求めていますね。。。

経済産業省

・2020.07.29 (press)DX企業のプライバシーガバナンスガイドブックver1.0(案)」の意見公募手続き(パブリックコメント)を開始しました

プライバシーやデータ利活用に深い見識を有する有識者に参画いただき、Society5.0の時代におけるDX企業の役割、プライバシーの考え方、企業のプライバシーガバナンスの重要性を前提に、「経営者が取り組むべき三要件」や「プライバシーガバナンスの重要事項」について議論を行い、「DX企業のプライバシーガバナンスガイドブックver1.0(案)」を取りまとめました。

 

経営者が取り組むべき3要件

要件1 プライバシーガバナンスに係る姿勢の明文化 経営戦略上の重要課題として、プライバシーに係る基本的考え方や姿勢を明文化し、組織内外へ知らしめる
要件2 プライバシー保護責任者の指名 組織全体のプライバシー問題への対応の責任者を指名し、権限と責任の 両方を与える
要件3 プライバシーへの取組に対するリソースの投入 必要十分な経営資源(ヒト・モノ・カネ)を漸次投入し、体制の構築、人材の配置・育成・確保等を行う

 

「DX企業の」って枕詞いりますかね、、、「DX企業」以外関係ないとか、、、まぁ、DXという言葉が日本では流行っているようですので良いですかね。。。(^^)

ガバナンスというからには、Second Lineの執行役員レベルで企業グループ全体のプライバシーに対する方針、実行等についての責任者(CPO等)と明確に書いてしまったら良いのでは(参考にされている情報セキュリティガバナンスの検討メンバーとしては)思ったり。。。

 

 

 

 

 

 

 

» Continue reading

| | Comments (0)

2020.07.29

ACSC オーストラリア政府がクラウドセキュリティのガイダンスを公表していますね。。。

こんにちは、丸山満彦です。

Australia Cyber Security Centreがクラウドセキュリティのガイダンスを公表していますね。。。

次のマニュアル等と合わせて利用する感じなんですね。。。

Australian Cyber Security Centre (ACSC) guidance is also available and supports the new guidance:

ーーーーー

Australia Cyber Security Centre

Cloud Security Guidance

2020.07.27に新たに発行したのは3つのガイダンスとFAQです。

Anatomy of a cloud assessment and authorisation

The Anatomy of a Cloud Assessment and Authorisation document assists and guides Information Security Registered Assessors Program (IRAP) assessors, cloud consumers, cyber security practitioners, cloud architects and business representatives on how to perform an assessment of a cloud service provider (CSP) and its cloud services. This allows a risk-informed decision to be made about its suitability to handle an organisation’s data.

The Cloud Security Assessment Report Template is used to assess a cloud service provider (CSP) and its cloud services, improving the consistency of the Cloud Security Assessment Reports. 

The Cloud Security Assessment Report Template is to be used to document the Phase 1 assessment of the CSP and its cloud services. It details the assessment findings that should be included and how it should be presented in the report. This improves the consistency of the Cloud Security Assessment Reports, allowing cloud consumers to more easily compare CSP's against one another, and determine which CSP is best suited to their security and business needs.

The Cloud Security Assessment Report Template can be customised as needed to best document the findings from the assessment of a CSP and its cloud services. Information Security Registered Assessors Program (IRAP) assessors should, however, limit the changes to the report to only what is necessary, maintaining its structure and headings to ensure reports are consistent.


 ・[PDF][DOCX]



The Cloud Security Controls Matrix (CSCM) provides additional context to the Australian Government Information Security Manual (ISM) security controls for cloud computing to assist assessments.

The Cloud Security Controls Matrix (CSCM) template is a tool intended to be used by Information Security Registered Assessors Program (IRAP) assessors to capture the implementation of security controls from the Australian Government's Information Security Manual (ISM) by cloud service providers (CSP's) for their systems and services.

The CSCM provides indicative guidance on the scoping of cloud assessments, and inheritance for systems under a shared responsibility model, though it should be noted that guidance is not definitive, and should be interpreted by the security assessor in the context of the assessed system. Further, these comments have generally been developed with reference to OFFICIAL: Sensitive and PROTECTED public clouds. This does not preclude their use for other types of cloud systems, though additional scrutiny should be applied to their reference in this case.

Importantly, the CSCM also captures the ability for cloud consumers to implement security controls for systems built on the CSP's services, identifying where they are responsible for configuring the service in accordance with the ISM.

 ・[XLSX]

 

Cloud assessment and authorisation - frequently asked questions

  • What happens to the Cloud Services Certification Program (CSCP) and the Certified Cloud Services List (CCSL)?
  • Who was involved in designing the new cloud security guidance?
  • What support will there be for the new cloud security guidance?
  • Will Government entities have the ability to undertake Cloud Security Assessments themselves?
  • When should I expect the new cloud security guidance to be used?
  • How should previous Cloud Security Assessment Reports be handled?
  • How frequently will a cloud service provider and its services be assessed under the new guidance?
  • What are addendums to the Cloud Security Assessment Report?
  • What are Supplementary, New and Updated Cloud Services Assessment Reports?
  • How will CSP Security Assessment Reports be shared?
  • What is the difference between a full cloud security assessment and supplementary, new and updated cloud serviceassessment?
  • How will controls inherited from other CSPs be validated in the assessment?
  • What is the applicability of international standards?
  • How can CSPs state nothing has changed since the previous assessment?
  • Will Cloud Security Assessment Reports be invalidated after 24 months?
  • Will the ACSC maintain a register of CSPs currently undergoing a Security Assessment?
  • Will there now be one ISM for CSPs and one ISM for Government?
  • Will the information and training sessions for CSPs, Government entities, and IRAP Assessors be conducted in each Stateand Territory?
  • Given the frequent ISM updates, who will be responsible for updating and maintaining the Cloud Security Control Matrix?
  • Where can I find the new cloud security guidance?
  • What is the ACSC’s role and responsibility in relation to the new process?
  • Can I provide feedback on the new cloud security guidance?

 

 

| | Comments (0)

台湾のQNAP社のNASに感染したQSnatchに関する警告 by CISA & NCSC

こんにちは、丸山満彦です。

昨年11月に報告された台湾のQNAP社のNASに感染するQSnatchに関するアラートがUS-CISAとUK-NCSCから出されていますね。

CISA
・2020.07.27 Alert (AA20-209A) Potential Legacy Risk from Malware Targeting QNAP NAS Devices

NCSC
・2020.07.27 Alert: Potential legacy risk from malware targeting QNAP NAS devices

悪意のあるサイバーアクターが使用するインフラは現在活動休止中だが、パッチが適用されていないデバイスに対する脅威は残っているので注意すること。

QSnatchを使用する悪意のあるサイバーアクターの身元と目的は現在不明だが、マルウェアは洗練されている。

と、いう感じですかね。。。

 




■ 報道等

● Security Affairs
・2020.07.28 QSnatch malware infected over 62,000 QNAP NAS Devices by Pierluigi Paganini

US and UK cybersecurity agencies issued a joint advisory about the spread of QSnatch Data-Stealing Malware that already infected over 62,000 QNAP NAS devices.

● ZDnet
・2020.07.28 Thousands of QNAP NAS devices have been infected with the QSnatch malware by

Over 7,000 infections reported in Germany alone. The malware is still spreading.

xakep 
・2020.07.28 Вредонос QSnatch заразил более 62 000 устройств QNAP by

 

IThome
・2020.07.27 美、英政府:感染6.2萬臺QNAP的惡意程式QSnatch會阻撓更新 by 林妍溱

雖然QNAP已經針對惡意程式QSnatch釋出更新版韌體,但是研究人員認為QSnatch有能力修改系統主機的檔案,將NAS更新使用的核心網域名改成過期版本的位置,讓用戶機器無法獲得更新

● heise online
・2020.07.28 QSnatch-Malware immer noch aktiv – 65.000 Qnap NAS infiziert

Seit sechs Jahren attackieren unbekannte Angreifer ungepatchte NAS-Geräte von Qnap.

 dobreprogramy
・2020.07.28 Qsnatch atakuje NAS-y QNAP. Ponad połowę infekcji wykryto w Europie by 

 

● Security info
・2020.07.28 Allarme QSnatch: il malware ha colpito più di 60.000 NAS by 

 


■ 参考 (2019.10-11の状況)

Finnish Transport and Communications Agency - National Cyber Security Centre
・2019.010.25 QSnatch - Malware designed for QNAP NAS devices

 

reddit
・2020.07.28 QSnatch Malware general post. Information and current status.

| | Comments (0)

2020.07.28

NSAとCISAが共同でOTと制御システムのリスクを低減するよう警告を出していましたね。。。

こんにちは、丸山満彦です。

USのNSAとCISAが共同で、OTと制御システムのリスクを低減するためにすぐに対策をとるように警告を出していますね。。。国際的な緊張がより高まった時にOTや制御システムへのサイバー攻撃が起こり、米国の生活や産業等にダメージが出ると大きな損失になるということで、早めに対応を促しているのですかね。。。

CISA
・2020.07.23 Alert (AA20-205A) NSA and CISA Recommend Immediate Actions to Reduce Exposure Across Operational Technologies and Control Systems

 

Recently Observed Tactics, Techniques, and Procedures

  • Spearphishing [T1192] to obtain initial access to the organization’s information technology (IT) network before pivoting to the OT network.
  • Deployment of commodity ransomware to Encrypt Data for Impact [T1486] on both networks.
  • Connecting to Internet Accessible PLCs [T883] requiring no authentication for initial access.
  • Utilizing Commonly Used Ports [T885] and Standard Application Layer Protocols [T869], to communicate with controllers and download modified control logic.
  • Use of vendor engineering software and Program Downloads [T843].
  • Modifying Control Logic [T833] and Parameters [T836] on PLCs.

Impacts

  • Impacting a Loss of Availability [T826] on the OT network.
  • Partial Loss of View [T829] for human operators.
  • Resulting in Loss of Productivity and Revenue [T828].
  • Adversary Manipulation of Control [T831] and disruption to physical processes.
     

Mitigations

  • Have a Resilience Plan for OT
  • Exercise your Incident Response Plan
  • Harden Your Network
  • Create an Accurate “As-operated” OT Network Map Immediately
  • Understand and Evaluate Cyber-risk on “As-operated” OT Assets
  • Implement a Continuous and Vigilant System Monitoring Program

 

| | Comments (0)

2020.07.27

FBIは中国で付加価値税の支払いのためにインストールが義務付けられているソフトウェアにバックドアがあるとアラートを出したみたいですね

こんにちは、丸山満彦です。

FBIは中国で付加価値税の支払いのためにインストールが義務付けられているソフトウェアにバックドアがあるとアラートを出したみたいですね。

アラート自体は企業に送付されているようです。[PDF]  AC-000129-TT

国が義務付けたファイルにマルウェアが仕掛けられるとかなり辛いですね。。。

 

■ 報道等

Bank Info Security
・2020.07.25 FBI Warns US Firms Over Malware in Chinese Tax Software  by 

Alert Follows Trustwave Reports on Backdoors Hidden in Tax Software

FBI warns US companies about backdoors in Chinese tax software by 

Following the GoldenHelper and GoldenSpy malware reports, the FBI is now warning US companies operating in China.

● REVYUH
 ・2020.07.25 GoldenHelper and GoldenSpy: taxes and backdoors Made in China by Kamal Saini

According to the US agency, the software made mandatory by China for the payment of taxes by US companies contains backdoors.

● Heis online
・2020.07.25 IT-Sicherheit: FBI warnt vor Hintertür in chinesischer Steuersoftware

Ausländische Unternehmen brauchen in China spezielle Programme für die Umsatzsteuererklärung. Diese installieren laut dem FBI Backdoors zu Firmennetzwerken.

Neuvo Periodico
・2020.07.25 El FBI advierte: el software obligatorio de IVA chino incluye una puerta trasera
・2020.07.25 impuestos y puertas traseras Made in China

Punto Information
・2020.07.25 Cina: una backdoor nel software per le tasse?


 

| | Comments (0)

2020.07.26

欧州データ保護委員会がプライバシーシール無効判決についてのFAQを公開していますね

こんにちは、丸山満彦です。

欧州データ保護委員会がプライバシーシール無効判決についてのFAQを公開していますね。

Europa Data Protection Board (EDPB)
・2020.07.24 (news) European Data Protection Board publishes FAQ document on CJEU judgment C-311/18 (Schrems II)

・2020.07.24 Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 - Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems

・[PDF] [HTML]に変換

 

質問は、

1) What did the Court rule in its judgment?

2) Does the Court’s judgment have implications on transfer tools other than the Privacy Shield?

3) Is there any grace period during which I can keep on transferring data to the U.S. without assessing my legal basis for the transfer?

4) I was transferring data to a U.S. data importer adherent to the Privacy Shield, what should I do now?

5) I am using SCCs with a data importer in the U.S., what should I do?

6) I am using Binding Corporate Rules (“BCRs”) with an entity in the U.S., what should I do?

7) What about other transfer tools under Article 46 GDPR?

8) Can I rely on one of the derogations of Article 49 GDPR to transfer data to the U.S.?

9) Can I continue to use SCCs or BCRs to transfer data to another third country than the U.S.?

10) What kind of supplementary measures can I introduce if I am using SCCs or BCRs to transfer data to third countries?

11) I am using a processor that processes data for which I am responsible as controller, how can I know if this processor transfers data to the U.S. or to another third country?

12) What can I do to keep using the services of my processor if the contract signed in accordance with Article 28.3 GDPR indicates that data may be transferred to the U.S. or to another third country?

 


■ 参考

まるちゃんの情報セキュリティ気まぐれ日記

・2020.07.21 プライバシーシール無効判決後のアメリカとイギリス

・2020.07.16 EU-USのプライバシーシールドを無効にしま〜すby EU裁判所

 

 

| | Comments (0)

HIDDEN COBRAがMATAフレームワークを利用して日本企業等を攻撃した? (Kaspersky)

こんにちは、丸山満彦です。

KasperskyがMATAフレームワークの背後にいる攻撃者は、顧客のデータベースを盗んでランサムウェアを配布するサイバー攻撃にこれを利用したと結論づけていますね。。。

Kaspersky - Secure List

・2020.07.22 MATA: Multi-platform targeted malware framework by 

 


 

報道等

xakep
・2020.07.24 Группа Lazarus использует для атак фреймворк MATA by  

 
Bank info Security
・2020.07.22 
Lazarus Group Deploying Fresh Malware Framework by
Kaspersky: MATA Framework Used to Spread Ransomware, Steal Databases

Dark Reading
・2020.07.22 North Korea's Lazarus Group Developing Cross-Platform Malware Framework by Robert Lemos
The APT group, known for its attack on Sony Pictures in 2014, has created an "advanced malware framework" that can launch and manage attacks against systems running Windows, MacOS, and Linux.
CTECH
Researchers at the cybersecurity company uncovered a new attack targeting Poland, Germany, Turkey, South Korea, Japan, and India
 Una al Dia

 

| | Comments (0)

«英国議会 諜報及び安全保証委員会報告書 ロシア