2020.04.05

AppleはiPhoneのカメラを乗っ取るバグを報告した人に800万円ほど支払ったようですね。。。

こんにちは、丸山満彦です。

AppleはiPhoneのカメラを乗っ取るバグを報告した人に800万円ほど支払ったようですね。。。

Bleeping Computer

・2020.04.03 Apple Paid $75K For Bugs Letting Sites Hijack iPhone Cameras

WIRED

・2020.04.03 A Hacker Found a Way to Take Over Any Apple Webcam

Forbes

・2020.04.03 iPhone Camera Hacked: Three Zero-Days Used In $75,000 Attack Chain

説明を読んでいるとこの方法は巧妙ですね。。。こういうバグの発見はBug Bountyの活用が有効なのかもしれません。

| | Comments (0)

2020.04.04

Zoomの暗号の問題

こんにちは、丸山満彦です。

Zoomのセキュリティと プライバシーの課題については、多くの人の注目を集めることになっていますが、暗号に関する話を紹介しておきます。。。

Citizen Lab (University of Toronto)

・2020.04.03 Move Fast & Roll Your Own CryptoA Quick Look at the Confidentiality of Zoom Meetings

-----

Key Findings

  • Zoom documentation claims that the app uses “AES-256” encryption for meetings where possible. However, we find that in each Zoom meeting, a single AES-128 key is used in ECB mode by all participants to encrypt and decrypt audio and video. The use of ECB mode is not recommended because patterns present in the plaintext are preserved during encryption.
  • The AES-128 keys, which we verified are sufficient to decrypt Zoom packets intercepted in Internet traffic, appear to be generated by Zoom servers, and in some cases, are delivered to participants in a Zoom meeting through servers in China, even when all meeting participants, and the Zoom subscriber’s company, are outside of China.
  • Zoom, a Silicon Valley-based company, appears to own three companies in China through which at least 700 employees are paid to develop Zoom’s software. This arrangement is ostensibly an effort at labor arbitrage: Zoom can avoid paying US wages while selling to US customers, thus increasing their profit margin. However, this arrangement may make Zoom responsive to pressure from Chinese authorities.

-----

ZoomはAES-128の鍵をメッセージの秘匿化に向かないECBモードで利用しているようですね。

開発自体は中国の会社で行われているようですね。

解決にはいろいろと時間がかかりそうな感じですね。。。

【参考】

 まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.03 Zoom IDを見つけるためのツールは1時間あたり平均110の会議を見つけることができ、入り込む成功率は約14%

・2020.04.02 Zoom関連の脆弱性など。。。

・2020.03.31 FBIが、COVID-19で在宅勤務や在宅学習が増えることによるZoomを使ったサイバー犯罪についての注意喚起をしていますね。。。

 

 

| | Comments (0)

日本IBM労組はAIを利用した人事評価・賃金決定について団体交渉に応じないのは不当な団交拒否に当たるとして、東京都労働委員会に救済を申し立てた。

こんにちは、丸山満彦です。

表題の通りなんですが、、、問題は、AIの利用そのものというよりも、人事評価の要素をAIがどのように判断するのかの説明を求めたが、開示する前提にないとして団体交渉を拒否したことから、申し立てに至ったということのようですね。。。

 

弁護士ドットコム

・2020.04.03「まさにブラックボックス」AIによる人事評価 情報開示求め、日本IBM労組が申し立て

-----

組合は繰り返し、団体交渉を通じて、AIの学習データや、AIが評価者である上司に向けて表示するアウトプットの開示を求めたほか、日本IBMが人事評価の要素として就業規則に定める「職務内容」「執務態度」などをAIがどのように判断するか説明を求めてきた。

その求めに対して、同社はAIが上司に示す情報は社員に開示することを前提としていないなどと主張し、団体交渉を拒否した。

-----

人間の評価もブラックボックスであるような。。。ただ、ブラックボックスではないかのようにそれなりの説明はするので、AIのワトソンさんだけで決めたのではなく、ワトソンさんのコメントも含めて上司が評価をしているのであれば、その上司が説明をすれば良いようにも思ったりします。。。

人事評価というのは、評価者と被評価者が事前に評価の仕方について了解をとっていないと揉めることが多いようにも思いますので、それらを含めて全体的に考えることが重要なような気もしますが、特徴的な話ということで取り上げました。。。

 

【参考】

HAIシンポジウム2020

・2020.03.07 G-13: 人はロボットの選好を読めるか

・[PDF][Download - g13.pdf]

-----

...人はロボットの選好を推定することが可能であることが分かった.

-----

 

| | Comments (0)

Europol COVID-19パンデミックに乗じて行われるサイバー犯罪と偽情報等に関する報告書

こんにちは、丸山満彦です。

EuropolがCOVID-19パンデミックに乗じて行われるサイバー犯罪と偽情報等に関する"Catching the virus cybercrime, disinformationand the COVID-19 pandemic"を公表していますね。。。

Europol

・2020.04.03 CATCHING THE VIRUS

・2020.04.03 CATCHING THE VIRUS CYBERCRIME, DISINFORMATION AND THE COVID-19 PANDEMIC

・[PDF] Catching the virus cybercrime, disinformation and the COVID-19 pandemic

報告書で言及されているものは、

  • ransomware;
  • DDoS;
  • child sexual exploitation;
  • the dark web;
  • hybrid threats: disinformation and interference campaigns. 

です。

主な発見事項は、

  • The impact of the COVID-19 pandemic on cybercrime has been the most visible and striking compared to other criminal activities.
  • Criminals active in the domain of cybercrime have been able to adapt quickly and capitalise on the anxieties and fears of their victims.
  • Phishing and ransomware campaigns are being launched to exploit the current crisis and are expected to continue to increase in scope and scale.
  • Activity around the distribution of child sexual exploitation material online appears to be on the increase, based on a number of indicators.
  • Both criminal organisations, states and state-backed actors seek to exploit the public health crisis to advance geopolitical interests.

 

 

| | Comments (0)

山賀さんの記事だ! 犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に

こんにちは、丸山満彦です。

このブログでも過去に紹介だけしていますが、WhiteSourceの報告書「The State of Open Source Security VULNERABILITIES」とRecoreded Futureの報告書「2019 Vulnerability Report: Cybercriminals Continue to Target Microsoft Products」についての分析記事が公開されていますね。。。書いているのは山賀さんです(^^)

Internet Watch

・2020.04.03 犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に 2019年に最も狙われたのは、2018年以前の脆弱性 ほか

分析がされていて面白いです!!!

【参考】

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.03.13 WhiteSource オープンソースの脆弱性に関する報告書(2020)

・2020.02.05 2019年に狙われた脆弱性

 

| | Comments (0)

2020.04.03

佐藤慶浩さんによる「15分でわかる「ISO/IEC 27701国際規格(プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張-要求事項及び指針)の概要紹介」を講演録」

こんにちは、丸山満彦です。

佐藤慶浩さんが、「15分でわかる「ISO/IEC 27701国際規格(プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張-要求事項及び指針)の概要紹介」を講演録」をYouTubeで公開していますね。

yohihiro.com - Speech

・2020.04.03 ISO/IEC 27701概要

YouTube

Slide

佐藤さんは、2004年に内閣官房に一緒に出向した同士で、ともにNISCの立ち上げに関与し、当時のメンバーで一緒に統一基準をゼロから作李ました。その後8年間くらいNISCで一緒にしました。。。

後、JIPDECでISMSの制度立ち上げとその後の基準の改訂等も一緒にやっていました。

そういえば、経済産業省の個人情報保護法のガイドラインも一緒に作りました。。。

論理的で一緒に仕事をしていて気持ちが良い方です(^^)

| | Comments (0)

Zoom IDを見つけるためのツールは1時間あたり平均110の会議を見つけることができ、入り込む成功率は約14%

こんにちは、丸山満彦です。

Zoomのセキュリティ、プライバシーの問題が話題となっていますが、ツールを使って1日かければ、2,400のZom IDを見つけられるという報告がありますね。。。

Krebs on Security

・ 2020.04.02 ‘War Dialing’ Tool Exposes Zoom’s Password Problems

丁寧にいろいろと情報を書いていますね。。。

-----

zWarDial, an automated tool for finding non-password protected Zoom meetings. According to its makers, zWarDial can find on average 110 meetings per hour, and has a success rate of around 14 percent.

-----

The VERGE

2020.04.02 Automated tool can find 100 Zoom meeting IDs per hour

 

なお、ZoomのFounder and CEOの"Eric S. Yuan"がブログで、今後90日間は機能開発は止めてセキュリティ、プライバシーの問題の解決を優先するとのことです。。。対応が早いですね!!!

Zoom Blog

・2020.04.01 A Message to Our Users

-----

What we’re going to do 

Over the next 90 days, we are committed to dedicating the resources needed to better identify, address, and fix issues proactively. We are also committed to being transparent throughout this process. We want to do what it takes to maintain your trust. This includes: 

  • Enacting a feature freeze, effectively immediately, and shifting all our engineering resources to focus on our biggest trust, safety, and privacy issues.
  • Conducting a comprehensive review with third-party experts and representative users to understand and ensure the security of all of our new consumer use cases.
  • Preparing a transparency report that details information related to requests for data, records, or content.
  • Enhancing our current bug bounty program.
  • Launching a CISO council in partnership with leading CISOs from across the industry to facilitate an ongoing dialogue regarding security and privacy best practices.
  • Engaging a series of simultaneous white box penetration tests to further identify and address issues.
  • Starting next week, I will host a weekly webinar on Wednesdays at 10am PT to provide privacy and security updates to our community.

-----

【参考】

まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.02 Zoom関連の脆弱性など。。。

・2020.03.31 FBIが、COVID-19で在宅勤務や在宅学習が増えることによるZoomを使ったサイバー犯罪についての注意喚起をしていますね。。。

 

| | Comments (0)

ENISA 「CSIRTと法執行機関の協力」を強化するための報告書

こんにちは、丸山満彦です。

ENISAが「ROADMAP ON THE COOPERATION BETWEEN CSIRTS AND LE」を公開していますね。

ENISA

・2020.04.02 Supporting the fight against cybercrime - The map to the road less traveled: CSIRTs & Law Enforcement cooperation

サイバー犯罪への対応は、被害にあった組織で技術的に対応をしたものと法執行機関の連携(役割分担とコミュニケーション等)も重要ですよね。。。もちろん、技術面だけではないですし、法執行機関の国際連携も重要なわけで、いろいろと示唆に富んでいますね。

-----

Reccomandations:

Core areas of further analysis and ENISA recommendations in an effort to improve cooperation between CSIRTs, LEAs and their interaction with the judiciary include:

  • Promoting the use of ‘Segregation of duties’ matrix for avoiding conflicting roles and responsibilities of CSIRTs, LE and the judiciary throughout the cybercrime investigation lifecycle.
  • Developing a competency framework for cybersecurity workforce and education and training policies.
  • Promoting knowledge of digital forensics rules.
  • Promoting interoperability of cooperation tools deployed and conceived considering future technologies.
  • Assessing the suitability of cybersecurity certification for common tools and procedures.
  • Simplifying arrangements by creating internal cooperation procedures to streamline exchanges.

-----

Roadmap on the cooperation between CSIRTS and LE

ロードマップの目的は国や政府機関の法執行機関や司法機関とのコンピュータセキュリティインシデント対応チーム(CSIRT)間の協力関係をさらに深めることのようですね。そのために、協力のために必要な情報を提供し、今、何が足りていないかを明らかにすることが重要ということで、そういうところにも言及されていますね。。。

-----

The purpose of this roadmap is to further explore the cooperation across computer security incident response teams (CSIRTs) in particular with national and governmental - law enforcement (LE) and the Judiciary (prosecutors and judges). This roadmap aims to support the cooperation between CSIRTs and LE, as well as their interaction with the Judiciary in their fight against cybercrime, by providing information on the aforementioned cooperation aspects and by identifying current shortcomings and making recommendations to further enhance cooperation. The geographical coverage of this roadmap is mainly the EU and European Free Trade Association (EFTA).

----

・[PDF] Roadmap on the cooperation between CSIRTS and LE

 

» Continue reading

| | Comments (0)

個人情報保護委員会 新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて

こんにちは、丸山満彦です。

COVID-19の感染爆発を防ぐためにも適切な情報開示や関係機関等との連携が重要となってきますが、個人データが含まれるようなケースも当然考えられますので、そのあたりの対応をどのようにしたら良いかは悩ましいと思います。プライバシーと社会のセキュリティのバランスをどう取るのか?ということになりますので。。。

多く寄せられている質問って、二つだけ???

 

個人情報保護委員会

・2020.04.02 新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて

ーーーーー

別紙の多く寄せられている質問

問1.社員に新型コロナウイルス感染者と濃厚接触者が出た。社内公表する場合の注意点は何か。

(答)
ご指摘のケースについて、同一事業者内での個人データの提供は「第三者提供」に該当しないため、社内で個人データを共有する場合には、本人の同意は必要ありません。
また、仮にそれが当初特定した利用目的の範囲を超えていたとしても、当該事業者内での2次感染防止や事業活動の継続のために必要がある場合には、本人の同意を得る必要はありません。

問2.社員が新型コロナウイルスに感染し、当該社員が接触したと考えられる取引先にその旨情報提供することを考えている。社員本人の同意を取ることが困難なのだが、提供することはできるか。

(答)
当該社員の個人データを取引先に提供する場合、仮にそれが当初特定した利用目的の範囲を超えていたとしても、取引先での2次感染防止や事業活動の継続のため、また公衆衛生の向上のため必要がある場合には、本人の同意は必要ありません。

ーーーーー

 

 

| | Comments (0)

2020.04.02

Zoom関連の脆弱性など。。。

こんにちは、丸山満彦です。

在宅勤務が普通になりつつある中で、Zoomの人気が高まっていますが(私も使っていますが。。。)、いろいろと注意が必要なようですね。

 

Windowsの認証情報が盗まれる

Bleeping Computer - News - Security
・2020.03.031 Zoom Lets Attackers Steal Windows Credentials, Run Programs via UNC Link

PC Watch
・2020.04.02 ZoomからWindowsの認証情報が盗まれる脆弱性

The Hacker News
・2020.04.02 New Zoom Hack Lets Hackers Compromise Windows and Its Login Password

 

■ エンドツーエンド暗号化が行われていない

The Intercept
・2020.03.31 ZOOM MEETINGS AREN’T END-TO-END ENCRYPTED, DESPITE MISLEADING MARKETING

The VERGE
・2020.03.31 Zoom isn’t actually end-to-end encrypted

 

ユーザのメールアドレス等を許可を得ずにFacebookに送っていた

VICE
・2020.04.01 
Zoom is Leaking Peoples' Email Addresses and Photos to Strangers

 

Mac版ではユーザーの許可なくインストールが始まるようになっている

VMRAY - Security Blog
・2020.04.01 Good Apps Behaving Badly: Dissecting Zoom’s macOS Installer Workaround

ITMedia - News - Security
・2020.04.02 ZoomのMac版、インストール時にマルウェア的な挙動 セキュリティ専門家が指摘

 

| | Comments (1)

NIST White Paper (Draft) Methodology for Characterizing Network Behavior of Internet of Things Devices

こんにちは、丸山満彦です。

NISTがWhite Paper (Draft) Methodology for Characterizing Network Behavior of Internet of Things Deviceを公開し、意見募集をしていますね。

ネットワークに接続されたIoTデバイスのタイプと通信動作を判断し文書化するためのアプローチについて説明していますね。この識別と文書化から製造者使用説明書(MUD)仕様に基づいたファイルを作成し、製造者やネットワーク管理者が、デバイスへのアクセスやデバイスからのアクセスを管理するために使用することができるようになりますね。Next Stepではこのアプローチの実装の現状と今後の開発のための提案にも触れられていますね。

NIST ITL

・2020.04.01 White Paper (Draft) Methodology for Characterizing Network Behavior of Internet of Things Devices

・[PDF] White Paper (Draft)

-----

Announcement

This draft white paper from the National Cybersecurity Center of Excellence (NCCoE) demonstrates how to use device characterization techniques to describe the communication requirements of Internet of Things (IoT) devices in support of the manufacturer usage description (MUD) project. 

Securing a network is a complex task made all the more challenging when IoT devices are connected to it. This white paper delves into capturing network communications from IoT devices for analysis and generation of MUD files. Manufacturers and network administrators can use the proposed characterization techniques to describe the communication requirements of an IoT device, which can allow for the accurate management of network access to and from those devices. This can help to ensure that IoT devices perform as intended by the device manufacturers or owners.   

Companion Tool: NCCoE created a tool called MUD-PD for characterizing IoT devices, which is helpful in generating MUD files.

Abstract

This white paper describes an approach to determining and documenting the device types and communication behaviors of Internet of Things (IoT) devices connected to a network. From this identification and documentation, files based on the Manufacturer Usage Description (MUD) specification can be created and used by manufacturers and network administrators to manage access to and from those devices. The paper also describes the current state of implementation of the approach and proposals for future development.

----

» Continue reading

| | Comments (0)

NIST SP 800-210(Draft) General Access Control Guidance for Cloud Systems

こんにちは、丸山満彦です。

NISTが SP 800-210(Draft) General Access Control Guidance for Cloud Systemsの意見募集をしていますね。。。

IaaS、PaaS、SaaSの3つのクラウド・サービス提供モデルにおけるアクセス制御(AC)の考慮事項を分析し、クラウド・システムにおけるセキュリティ上の課題を理解するための第一歩を提示しているとのことです。

IaaSのACガイダンスはPaaSとSaaSに適用され、IaaSとPaaSのACガイダンスはSaaSにも適用されるものの、各サービスモデルにはそのサービスのアクセス制御要件に関して独自の焦点が必要となる場合もありますね。

 

NIST ITL

・2020.04.01 SP 800-210(Draft) General Access Control Guidance for Cloud Systems

-----

Announcement

This draft guidance presents an initial step toward understanding security challenges in cloud systems by analyzing the access control (AC) considerations in all three cloud service delivery models—Infrastructure as a Service (IaaS), Platform as a Service (PaaS), and Software as a Service (SaaS). Essential characteristics that would affect the Cloud's AC design are also summarized, such as broad network access, resource pooling, rapid elasticity, measured service, and data sharing. Various guidance for AC design of IaaS, PaaS, and SaaS are proposed according to their different characteristics. Recommendations for AC design in different cloud systems are also included to facilitate future implementations. Additionally, potential policy rules are summarized for each cloud system.

Abstract

This document presents cloud access control characteristics and a set of general access control guidance for cloud service models: IaaS (Infrastructure as a Service), PaaS (Platform as a Service), and SaaS (Software as a Service). Different service delivery models require managing different types of access on offered service components. Such service models can be considered hierarchical, thus the access control guidance of functional components in a lower-level service model are also applicable to the same functional components in a higher-level service model. In general, access control guidance for IaaS is also applicable to PaaS and SaaS, and access control guidance for IaaS and PaaS is also applicable to SaaS. However, each service model has its own focus with regard to access control requirements for its service.

-----

» Continue reading

| | Comments (0)

Fintech Accenture: fintech, cybersecurity and how to manage risk

こんにちは、丸山満彦です。

FinTech Magazineにアクセンチュアの報告書(THE COST OFCYBERCRIME)に基づく記事が掲載されていますね。。。

FinTech Magazine

・2020.03.30 Accenture: fintech, cybersecurity and how to manage risk

・[PDF] 2019 Ninth Annual Cost of Cybercrime 

» Continue reading

| | Comments (0)

2020.04.01

NIST White Paper [Project Description] Critical Cybersecurity Hygiene: Patching the Enterprise

こんにちは、丸山満彦です。

NISTのNCCoE (National Cybersecurity Center of Excellence)から[Project Description] Critical Cybersecurity Hygiene: Patching the Enterpriseという白書が公開されていますね。。。
組織全体でできる限り多くの脆弱性をパッチにより減らすことにより、組織全体の脆弱性を減少させることができますよね。まさに、サイバーセキュリティ衛生の向上ですよね。。。

● NIST ITL

・2020.03.30 [Project Description] Critical Cybersecurity Hygiene: Patching the Enterprise

・[PDF] Project Description

 

Abstract

Cyber hygiene describes recommended mitigations for the small number of root causes responsible for many cybersecurity incidents. Implementing a few simple practices can address these common root causes. Patching is a particularly important component of cyber hygiene, but existing tools and processes are frequently insufficient to rapidly mitigate this risk in many environments and situations. The objective of this project is to demonstrate a proposed approach for improving enterprise patching practices for general IT systems. Commercial and open source tools will be used to aid with the most challenging aspects of patching, including system characterization and prioritization, patch testing, and patch implementation tracking and verification. These tools will be accompanied by actionable, prescriptive guidance on establishing policies and processes for the entire patching life cycle, in the form of a freely available NIST Cybersecurity Practice Guide.

 

TABLE OF CONTENTS

1 Executive Summary

Purpose 
Scope
Assumptions/Challenges
Background 

2 Scenarios

Scenario 0: Asset identification and assessment
Scenario 1: Routine patching
Scenario 2: Routine patching with cloud delivery model .
Scenario 3: Emergency patching
Scenario 4: Emergency workaround (and backout if needed)
Scenario 5: Isolation of unpatchable assets
Scenario 6: Patch management system security (or other system with administrative privileges)

3 High-Level Architecture

Component List
Desired Requirements

4 Relevant Standards and Guidance

Secure Update Guidelines
Microsoft Software Update Guides

5 Security Control Map

Appendix A References

Appendix B Acronyms and Abbreviations

 

 

 

Project Description (Critical Cybersecurity Hygiene: Patching the Enterprise NCCoE)

» Continue reading

| | Comments (0)

英国政府(コミッショナー) コロナウイルス危機対応のための携帯電話追跡データの使用に関する声明

こんにちは、丸山満彦です。

英国政府のコミッショナーは、COVID-19の危機対応のために、個人が特定できない状態になった携帯電話の位置情報データ等を利用することは、プライバシー法に違反しないと声明を出していますね。。。

UK Information Commissioner's Office (UK ICO)

・2020.03.28 Statement in response to the use of mobile phone tracking data to help during the coronavirus crisis

-----

The ICO’s Deputy Commissioner Steve Wood said:

“Generalised location data trend analysis is helping to tackle the coronavirus crisis. Where this data is properly anonymised and aggregated, it does not fall under data protection law because no individual is identified.

“In these circumstances, privacy laws are not breached as long as the appropriate safeguards are in place.

“The ICO has provided advice about how data protection law can continue to apply flexibly to protect lives and data. The safety and security of the public remains our primary concern. We will continue to work alongside Government to provide advice about the application of data protection law during these unprecedented times.”

-----

英国も個人を特定できない状態での利用についてのようです。台湾、香港、シンガポール、シンガポールなど感染者の位置情報を使っているケースがあるようですが、そこまででなないようですね。

 

PrivSec Report

・2020.03.31 #Privacy: ICO announces that mobile tracking is legal during pandemic

The Register

・2020.03.29 UK Information Commissioner OKs use of phone data to track coronavirus spread

 

日本と同時期にコメントを発表していますので、連携しながら検討をしていたのかもしれませんね。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.01 政府から移動通信事業者等に対する「新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請」

● 総務省

・2020.03.31 新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請

・[PDF] 要請文

 

 

| | Comments (0)

政府から移動通信事業者等に対する「新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請」

こんにちは、丸山満彦です。

内閣官房、総務省、厚生労働省、経済産業省が、プラットフォーム事業者や移動通信事業者にCOVID-19の感染拡大防止に資する「統計データ」の提供を要請したようですね。。。

総務省

・2020.03.31 新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請

・[PDF] 要請文

狙いは、

-----

プラットフォーム事業者・移動通信事業者等が保有する、地域での人流把握やクラスター早期発見等の感染拡大防止に資する統計データ(例:ユーザーの移動やサービス利用履歴を統計的に集計・解析したデータ)等を活用することにより、
 ・ 外出自粛要請等の社会的距離確保施策の実効性の検証
 ・ クラスター対策として実施した施策の実効性の検証
 ・ 今後実施するクラスター対策の制度の向上
等を通じ、感染拡大防止策のより効果的な実施が可能となると期待されます。

-----

ということのようですね。。。

【参考】

厚生労働省

・2020.03.27 新型コロナウイルス感染症のクラスター対策に資する情報提供に関する協定締結の呼びかけについて

 

» Continue reading

| | Comments (0)

NIST SP 800-175B Rev. 1 Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanism

こんにちは、丸山満彦です。

NISTがSP 800-175B Rev. 1 Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanismを公表しましたね。。。

送信中、保管中の sensitive but unclassified digitized information を保護するための連邦政府へのガイダンスで、暗号方式とサービスについて説明しています。。。

NIST ITL

・2020.03.31 SP 800-175B Rev. 1 Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanism

・[PDF] SP 800-175B Rev. 1 (DOI)

・Other Parts of this Publication: SP 800-175A

-----

Abstract

This document provides guidance to the Federal Government for using cryptography and NIST’s cryptographic standards to protect sensitive but unclassified digitized information during transmission and while in storage. The cryptographic methods and services to be used are discussed.

-----

» Continue reading

| | Comments (0)

Marriott Hotelで最大520万人の顧客データが漏洩したかも・・・またですかって感じですが。。。

こんにちは、丸山満彦です。

Marriott Hotelグループが最大520万人の顧客データが漏洩したかもと発表しています。

パスワード、クレジットカード番号関係、パスポート番号関係は漏洩していないようで、名前、住所、電子メール、電話番号、アカウント番号、ポイント残高、勤務先、誕生日等が漏洩している可能性があるそうです。。。

Marriott International

・2020.03.31 Marriott International: Incident Notification

-----

What Happened?

Hotels operated and franchised under Marriott’s brands use an application to help provide services to guests at hotels. At the end of February 2020, we identified that an unexpected amount of guest information may have been accessed using the login credentials of two employees at a franchise property. We believe this activity started in mid-January 2020. Upon discovery, we confirmed that the login credentials were disabled, immediately began an investigation, implemented heightened monitoring, and arranged resources to inform and assist guests.

Although our investigation is ongoing, we currently have no reason to believe that the information involved included Marriott Bonvoy account passwords or PINs, payment card information, passport information, national IDs, or driver’s license numbers.

At this point, we believe that the following information may have been involved, although not all of this information was present for every guest involved:

  • Contact Details (e.g., name, mailing address, email address, and phone number)
  • Loyalty Account Information (e.g., account number and points balance, but not passwords)
  • Additional Personal Details (e.g., company, gender, and birthday day and month)
  • Partnerships and Affiliations (e.g., linked airline loyalty programs and numbers)
  • Preferences (e.g., stay/room preferences and language preference)

-----

The Register

・2020.03.31 Marriott Hotels hacked AGAIN: Two compromised employee logins abused to siphon off guests' personal info - How many customers' deets? It's not saying just yet

・2019.01.04 Marriott: Good news. Hackers only took 383 million booking records ... and 5.3m unencrypted passport numbers - Plus an extra 20m passport digits and 8.6m payment card details, though encrypted

CNET

・2020.03.31 Marriott data breach exposes over 5 million people: Latest major security hack - The hotel chain's latest security breach is just one of dozens that have revealed guests' personal details.

| | Comments (0)

ENISA Tips for cybersecurity when buying and selling online

こんにちは、丸山満彦です。

ENISAがオンラインでの売買についてのセキュリティのティップスを公開していますね。。。個人向けと中小企業向けとなっています。ヨーロッパは中小企業が重要ということだからでしょうね。。。日本も似た構造だと思いますので、参考になるでしょうね。

ただ、セキュリティに関しては、中小企業が単独で対応するのは人的にも金銭的にも難しいと思うので、プラットフォーム事業者の上にシステムを作っていくことになるのだろうと思います。そうすると、プラットフォーム事業者は社会インフラとなっていきますので、電力事業者、水道事業者、鉄道事業者、通信事業者といったインフラ事業者となるわけですから、寡占問題等も鑑みて適切な規制が必要となってくるというセットと考えています。

ENISA

・2020.03.31 Tips for cybersecurity when buying and selling online

For citizens: Cyber secure buying online

  1. Secure connection
  2. Look out for Covid-19 phishing emails and fake websites
  3. Payment fraud
  4. Updated systems
  5. Protect your privacy

For SMEs: Cyber secure online selling

  1. Secure your website for customers
  2. Protect your assets
  3. Store passwords securely
  4. Ensure compliance with data protection requirements
  5. Monitor and prevent incidents

» Continue reading

| | Comments (0)

2020.03.31

日本公認会計士協会 監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」の改正について

こんにちは、丸山満彦です。

日本公認会計士協会から、「監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」の改正について」が、公表されていますね。

日本公認会計士協会

・2020.03.31 監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」の改正について

-----

今回の改正は、企業会計審議会から2019年12月6日付けで公表された「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂に関する意見書」を受けた財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂を踏まえ、関連する実務指針の検討を行ったものです。

-----

 

| | Comments (0)

プライバシーに関する契約についての考察(問答編) by 板倉陽一郎先生

こんにちは、丸山満彦です。

「学術雑誌『情報通信政策研究』第3巻第2号」に板倉陽一郎先生の論文「プライバシーに関する契約についての考察(問答編)」が掲載されています。興味深いです。。。



 総務省 - 情報通信政策研究所

・2020.03.30 情報通信政策研究 - 第3巻第2号

・[PDF] プライバシーに関する契約についての考察(問答編) 著者:板倉 陽一郎(ひかり総合法律事務所パートナー弁護士)

-----

2.「プライバシーに関する契約についての考察」の基本的な枠組み
...インターネット上に数多ある、プライバシーポリシーや利用規約に着目すると、①プライバシーポリシーにおいて個人情報の保護に関する法律...における法定公表事項等が記載され、②更にこれが発展してプライバシーポリシーに第三者提供等に関する同意が記載され、③同意を円滑に取得するために、利用規約によりプライバシーポリシーにおける同意を取得しようとする、という流れが確認できる。そして、利用規約による第三者提供等に関する同意の取得は公法上の契約である(個人情報保護委員会がいうところの「承諾」に限らない)といえる。一方、公法上の契約を発生させようとした条項について私法上の解釈が問題となるところ、(個人データの)第三者提供等に関する同意は、私法的には、当該個人情報の取扱いの範囲においてはプライバシーに関する請求権(人格権に基づく差止請求権及び不法行為に基づく損害賠償請求権)を行使しないという意思表示を含むと考えられ、これを、連載では「プライバシーに関する契約」と称している4。そして、公法上の契約及び個人情報保護法上は有効であることを前提とし、それでもプライバシーに関する契約について何らかの問題が生じるか、というのが基本的な問題設定である5。そして、プライバシーに関する契約について第一類型(個人情報保護法上の同意に関する契約)、第二類型(個人情報保護法上の法定公表事項に関する契約)、第三類型(個人情報保護法上の請求権の制限に関する契約)に分類した上で、契約締結の場面における限界(有効な被害者の同意がない、人格権の放棄、消費者契約法 10 条違反)、利用規約変更の場面における限界(定型約款条項違反)を論じ、その効果を分析した6。さらに、訴訟法上の問題について、民事訴訟、行政訴訟の場面をそれぞれ考察してきた7。

-----

 

» Continue reading

| | Comments (0)

AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生

こんにちは、丸山満彦です。

「学術雑誌『情報通信政策研究』第3巻第2号」に中川裕志先生の寄稿論文「AI 倫理指針の動向とパーソナル AI エージェント」が掲載されています。全体感を理解する上で参考になると思います。

また、新保史生先生の「AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋」 も掲載されています。

総務省 - 情報通信政策研究所

・2020.03.30 情報通信政策研究 - 第3巻第2号

・[PDF] AI倫理指針の動向とパーソナルAIエージェント 著者:中川裕志(理化学研究所・革新知能統合研究センターPI)

・[PDF] AI原則は機能するか? ―非拘束的原則から普遍的原則への道筋 著者:新保史生(慶應義塾大学総合政策学部教授)

 

同じ号に板倉先生の論文も掲載されていますね。

・[PDF] プライバシーに関する契約についての考察(問答編) 著者:板倉 陽一郎(ひかり総合法律事務所パートナー弁護士)

これはこれで興味深いので別途記載するつもりです。。。

» Continue reading

| | Comments (0)

FBIが、COVID-19で在宅勤務や在宅学習が増えることによるZoomを使ったサイバー犯罪についての注意喚起をしていますね。。。

こんにちは、丸山満彦です。

FBIが、COVID-19で在宅勤務や在宅学習が増えることによるZoomを使ったサイバー犯罪(例えば乗っ取り)についての注意喚起をしていますね。。。

FBI - News

・2020.03.30 FBI Warns of Teleconferencing and Online Classroom Hijacking During COVID-19 Pandemic

事例については次のような感じですね。

-----

  • In late March 2020, a Massachusetts-based high school reported that while a teacher was conducting an online class using the teleconferencing software Zoom, an unidentified individual(s) dialed into the classroom. This individual yelled a profanity and then shouted the teacher’s home address in the middle of instruction.
  • A second Massachusetts-based school reported a Zoom meeting being accessed by an unidentified individual. In this incident, the individual was visible on the video camera and displayed swastika tattoos

-----

対策については次のような感じですね。。。

-----

  • Do not make meetings or classrooms public. In Zoom, there are two options to make a meeting private: require a meeting password or use the waiting room feature and control the admittance of guests.
  • Do not share a link to a teleconference or classroom on an unrestricted publicly available social media post. Provide the link directly to specific people.
  • Manage screensharing options. In Zoom, change screensharing to “Host Only.”
  • Ensure users are using the updated version of remote access/meeting applications. In January 2020, Zoom updated their software. In their security update, the teleconference software provider added passwords by default for meetings and disabled the ability to randomly scan for meetings to join.
  • Lastly, ensure that your organization’s telework policy or guide addresses requirements for physical and information security.

-----

【参考】

Hackers News

・2020.03.30 COVID-19: Hackers Begin Exploiting Zoom's Overnight Success to Spread Malware

 

| | Comments (0)

英国政府はCOVID-19に関する偽情報(misinformation)を取り締まるチームを設置したようですね。。。

こんにちは、丸山満彦です。

英国政府はCOVID-19に関する偽情報(misinformation)を取り締まるチームを設置したようですね。偽情報、フェイクニュース(fake news)については、選挙活動での悪用に注目がいっていましたが、関東大震災、オイルショック等の時にも明らかですが危機管理においても非常に重要ですね。。。

UK Government - Cyber security 

・2020.03.30 Government cracks down on spread of false coronavirus information online

  • Source - make sure information comes from a trusted source
  • Headline - always read beyond the headline
  • Analyse - check the facts
  • Retouched - does the image or video look as though it has been doctored?
  • Error - look out for bad grammar and spelling

 

BBC - news

・2020.03.30 Coronavirus: Fake news crackdown by UK governmen

Sky News

・2020.03.30 Coronavirus: Government cracks down on fake advice on social media and WhatsApp

 

The Daily Telegraph

・2020.03.30 Coronavirus fake news 'could cost lives', Culture Secretary warns

Glasgow Times - News

・ 2020.03.30 Government sets up coronavirus rapid rebuttal unit to dispel rumours

Government Computing

・2020.03.30 DCMS leads fight to counter fake coronavirus information on internet

CITYA.M.

・2020.03.30 Coronavirus: Government slams ‘breath holding’ advice amid fake news crackdown

The New Europian

・2020.03.30 Sharing fake news during coronavirus outbreak should become an offence, says Tory MP

MyLondon

・2020.03.30 08:16 Government cracks down on spread of false coronavirus information online

Specialist units across government are working at pace to combat false and misleading narratives about coronavirus, ensuring the public has the right information to protect themselves and save lives.

The Rapid Response Unit, operating from within the Cabinet Office and No10, is tackling a range of harmful narratives online - from purported ‘experts’ issuing dangerous misinformation to criminal fraudsters running phishing scams.

Up to 70 incidents a week, often false narratives containing multiple misleading claims, are being identified and resolved. The successful ‘Don’t Feed the Beast’ public information campaign will also relaunch next week, to empower people to question what they read online.

Eagle Radio

・2020.03.30 Coronavirus: Government cracks down on fake advice on social media and WhatsApp

ーーーー

Forbes - Cybersecurity

・2020.03.30 UK Government Launches Unit To Deal With Fake Coronavirus News

 

 

» Continue reading

| | Comments (0)

トヨタ自動車製 DCU (ディスプレイコントロールユニット) に脆弱性

こんにちは、丸山満彦です。

トヨタ自動車製 (日本以外)DCU (ディスプレイコントロールユニット) の脆弱性が公表されていますね。「BlueBorne の脆弱性に起因する脆弱性 」があり、第三者によって、DCU に対してサービス運⽤妨害 (DoS) 攻撃が行われたり任意のコマンドを実⾏されたりする可能性があり、DCU を経由して⾞両に対する操作が⾏われる可能性があるようです。ただ、走る、曲る、止まるといった車両運動制御には影響しない事を確認済みとのことのようですね。

この脆弱性に対応した DCU のアップデートが提供されているようです。

JVN

・2020.03.30 JVNVU#99396686 トヨタ自動車製 DCU (ディスプレイコントロールユニット) に脆弱性
・2020.03.30 JVNVU#99396686 A vulnerability in TOYOTA MOTOR's DCU (Display Control Unit)

CVE

・2020.03.30 CVE-2020-5551

 

トヨタ自動車

・2020.03.30 Tencent Keen Security Labの自動車サイバーセキュリティ向上への貢献とトヨタ自動車の取り組みについて
・2020.03.30 Toyota Acknowledges Tencent Keen Security Lab's Initiatives for Improving Automotive Cybersecurity

 

● 

2020.03.30 Tencent Keen Security Lab: Experimental Security Assessment on Lexus Cars

これは、かなり詳細に記載されていますね。。。

 

 

| | Comments (0)

«CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)