ENISA CSIRTと法執行機関の連携を強化するためのトレーニング資料を追加公開

こんにちは、丸山満彦です。

ENISAがCSIRTと法執行機関の連携を強化するためのトレーニング資料を追加公開していますね。。。

いろいろな場面で参考になると思います！！！

● ENISA

・2020.04.28 Training material to enhance cooperation across CSIRTs and Law Enforcement

内容は、次の4つに焦点を当てているとのことです。

-----

1. Behavioural aspects, in particular the different approaches to problems, modi operandi,  mentalities and ‘languages’ of the different communities;
2. Legal and organisational aspects, among other the challenges related to the diversity of legal systems and legal provisions of the Member States;
3. Technical aspects, including ongoing efforts towards a broader adoption and use of a common taxonomy and common tools;
4. Cooperation across CSIRTs, LE and the judiciary, covering areas such as data retention, sharing of personal data (including IP addresses) and confidentiality of criminal investigations as well as admissibility of digital evidence.

-----

1. 行動的側面、特に問題へのアプローチ、手口、メンタリティ、異なるコミュニティの「言語」の違い
2. 法的・組織的側面、特に加盟国の法制度や法規定の多様性に関連した課題
3. 技術的側面、共通の分類法と共通のツールの広範な採用と使用に向けた継続的な努力を含む
4. CSIRT、法執行機関及び司法の間の協力、それはデータ保持、個人データ（IP アドレスを含む）の共有、刑事捜査の機密性、デジタル証拠の認容性などの分野をカバーする

-----

各々について、ハンドブック（トレーナー向けドキュメント）とツールセット（トレーニー向けドキュメント）が作成されていますね。。。

・Training Material on Cooperation across CSIRTs and Law Enforcement 

• Establishing external contacts
• Cooperation with Law Enforcement Agencies - Advising in Cyber Crime Cases
• Assessing and Testing Communication Channels with CERTs and all their stakeholders
• Identifying and handling cyber-crime traces
• Incident handling and cooperation during phishing campaign
• Cooperation in the Area of Cybercrime
• Cooperation across CSIRTs, Law Enforcement Agencies and the judiciary New
• Cooperation between CSIRTs and Law Enforcement: Behavioural Aspects New
• Cooperation between CSIRTs and Law Enforcement: Legal and Organisational Aspects New
• Cooperation between CSIRTs and Law Enforcement: Technical Aspects New
• CERT participation in incident handling related to the Article 13a obligations
• CERT participation in incident handling related to the Article 4 obligations

NISTIR 8294 Symposium on Federally Funded Research on Cybersecurity of Electric Vehicle Supply Equipment (EVSE)

こんにちは、丸山満彦です。

NISTが2019.09.12に開催した電気自動車の電力供給装置(EVSE:Electric Vehicle Supply Equipment)のセキュリティに関するシンポジウムの概要と発表者のスライドを公表していますね。。。

●NIST- ITL

・2020.04.29 NISTIR 8294 Symposium on Federally Funded Research on Cybersecurity of Electric Vehicle Supply Equipment (EVSE)

・[PDF]

発表者のスライドは、

1. Threat Model of Vehicle Charging Infrastructure (Sandia National Labs)
2. Enabling Secure and Resilient XFC: A Software/Hardware-Security Co-Design Approach (Virginia Tech)
3. Consequence-Driven Cybersecurity for High-Power Charging Infrastructure (Idaho National Labs)
4. Cybersecurity for Grid Connected eXtreme Fast Charging (XFC) Station (CyberX) (ABB)
5. EVSE Cybersecurity Projects (National Motor Freight Traffic Association/DOT Volpe Center)
6. Developing a Reference Architecture XFC-Integrated Charging Security Infrastructure Ecosystem (The Electric Power Research Institute EPRI)

となっています。。。

表題の仮訳

↓

Continue reading "NISTIR 8294 Symposium on Federally Funded Research on Cybersecurity of Electric Vehicle Supply Equipment (EVSE)"

中国による2020年台湾大統領選挙への干渉についての分析 by Recorded Future

こんにちは、丸山満彦です。

Recorded Futureが中国による台湾の選挙への影響力行使についての分析を行っていますね。。。

● Recorded Future

・2020.04.29 Chinese Influence Operations Evolve in Campaigns Targeting Taiwanese Elections, Hong Kong Protests

・全文[PDF]

-----

Key Judgments

• We assess that content farms will continue to play a leading role in enabling mainland Chinese disinformation efforts targeting Taiwan.
• Taiwan’s unique efforts to discover, identify, and counter Chinese state-sponsored influence operations will likely force Chinese influencers to innovate and use more covert operational TTPs. We believe that these new tactics will likely include recruitment of overseas Chinese nationals, co-option of Taiwanese content farms and social media influencers, use of cover organizations, procurement of aged social media accounts, and more.
• We assess that Chinese influence operators will likely employ artificial intelligence (AI) and bulk social media management software to ease the propagation of weaponized content at scale, especially on closed messaging platforms such as LINE or WhatsApp. Western social media platforms will also be likely targets for such automated campaigns during sensitive periods such as elections and global events, on issues that are relevant to China’s national image and state interests.
• We judge that China will seek to identify local collaborators in Taiwan and Hong Kong, or those with policy or political views sympathetic to China, such as public figures, politicians, and marketing firms, to obfuscate China as the information source and increase its perceived authenticity.
• We assess that new TTPs used to target Hong Kong protesters — crowd-sourced doxxing of anti-government protesters and social media “rallies” to support Chinese state interests — are likely to become regularly deployed tools in Chinese domestic and overseas influence operations.
• We assess that the Chinese government is likely to start leveraging the existing patriotism and capabilities of online grassroot groups to promote and defend state interests abroad through explicit direction and implicit nudging.

-----

上記部分の仮訳

↓

Continue reading "中国による2020年台湾大統領選挙への干渉についての分析 by Recorded Future"

ランサムウェア攻撃者からの防御方法 by Microsoft Threat Protection Intelligence Team

こんにちは、丸山満彦です。

Microsoft Threat Protection Intelligence Teamが人間によるランサムウェア攻撃者からの防御方法についての解説をしていますね。

● Microsoft - Security blog

・2020.04.28 Ransomware groups continue to target healthcare, critical services; here’s how to reduce risk

攻撃パターンに沿って具体的でわかりやすい解説をしていますね。。。

攻撃者が、資格情報を盗もうとしている活動、横展開をしている活動の兆候を見つけてランサムウェアの組織への展開を防ぐことが重要という感じですかね。。。

-----
Because the ransomware infections are at the tail end of protracted attacks, defenders should focus on hunting for signs of adversaries performing credential theft and lateral movement activities to prevent the deployment of ransomware.
-----

内容は、

-----

• Vulnerable and unmonitored internet-facing systems provide easy access to human-operated attacks
• A motley crew of ransomware payloads
• Immediate response actions for active attacks
• Building security hygiene to defend networks against human-operated ransomware
• Microsoft Threat Protection: Coordinated defense against complex and wide-reaching human-operated ransomware

-----

この図は分かりやすいですね。。。

[表示]

 

機関投資家の思い 配当よりも雇用維持を

こんにちは、丸山満彦です。

COIVT-19の感染拡大の防止を踏まえて緊急事態宣言が全国に発令され、外出の自粛要請がある中で、決算、株主総会を迎える企業が多く、株主総会の取り扱いについて、色々と議論があるところです。

そんな中、「世界の機関投資家が企業に従業員を守るように求め始めた」というニュースを目にし、非常に嬉しい思いをいたしました。

もちろん、記事にもあるように「新型コロナによる雇用危機では能力のある従業員を失う方が、長期的に競争力が落ちる」ということで、単純なヒューマニズムではなく、経済合理性に基づいただけの行動なのかもしれません。しかし、長期的な企業の成長という中には当然にSDGs的な要素が含まれるはずで、私としては、長期的な成長を重視するという方針が結果的に、社会全体をよくしていくことに繋がると思っています。

私は学生時代に農学部で、生態系や環境問題について色々と考えたことがあります。その中で、「個と環境はお互いに影響しあうシステムである」という考え方を重視するようになりました。

個が環境に影響する、環境は個に影響する。言ってみれば当たり前のことです。企業が社会をよくすれば、企業もより成長しやすく、好循環が生まれます。そういう思いもあって、主要な機関投資家が「短期的な利益追求より、社会課題に向き合う方が長期的な成長につながる」と強く言ってくれたことは嬉しいことです。

あとは、株主から信任された取締役がどのように行動するかです。その思いをむねに当てた時に、3月期の会社を中心に、どのように株主総会を開催するのが良いのか？代表取締役、取締役会議長をはじめ取締役一人一人の真摯な判断が期待されますね。

● International Coporate Governance Network

・2020.04.23 [PDF] ICGN Statement of Shared Governance Responsibilities During Covid-19 Pandemic 

-----
The Covid-19 pandemic presents the most significant public health and economic crisis of our time and calls for new forms of cooperation between companies and investors on a global scale. Our letter identifies governance priorities and an agenda of common interest with an elevated focus on the importance of social factors as a key determinant to a company’s long-term financial health and sustainability.
-----

 

● 日経新聞

・2020.04.26 23:01 配当より雇用維持を　機関投資家、コロナ対応で転換 - 製薬には開発協調を要請-

-----
世界45カ国以上の年金基金や運用会社からなる国際コーポレート・ガバナンス・ネットワーク（ICGN）は23日、従業員の解雇を避けるべきだとの企業向け書簡を公開した。運用額は54兆ドル規模で影響力は大きい。配当や役員報酬は、従業員や取引先に配慮すべきだと、配当減を容認する姿勢を初めて示した。」

-----

● 金融庁

・新型コロナウイルス感染症の影響を踏まえた企業決算・監査等への対応に係る連絡協議会

・2020.04.24 [PDF] 新型コロナウイルス感染症の影響を踏まえた決算業務・監査業務等への対応について（事務連絡）

● ビジネス法務の部屋（山口利昭弁護士）

・2020.04.27 機関投資家の要望が「配当より雇用維持」へ－６月定時総会完全延期の舞台整う

・2020.04.24 コロナ禍で６月株主総会を断行することの違法性（取締役の善管注意義務違反）について

・2020.04.23 ６月総会延期問題－「継続会方式」「バーチャル株主総会」はリスクが高い

・2020.04.16 ６月総会延期問題に金融庁協議会声明リリース－それでもやはり6月株主総会は延期すべきである

・2020.04.15 もはや上場会社の６月定時総会の延期は「待ったなし」だと考える

・2020.04.10 コロナ禍のもとで6月の定時株主総会を開催するリスクは極めて大きい

 

 

 

経団連謹製 COVID-19拡大を踏まえた定時株主総会の臨時的な招集通知モデル

こんにちは、丸山満彦です。

経団連が「新型コロナウイルス感染症の拡大を踏まえた定時株主総会の臨時的な招集通知モデルのお知らせ 」の中で、2つの召集通知のパターンを示しています。

 

モデルA：来場いただく株主の数を一定程度限定することを想定

モデルB：株主の来場を原則ご遠慮いただくことを想定

なわけですが、モデルBは「えげつないなぁ。。。」と感じる株主の方も多いかなぁと思いました。

-----

● 経団連

・2020.04.28 新型コロナウイルス感染症の拡大を踏まえた 定時株主総会の臨時的な招集通知モデルのお知らせ

1. 新型コロナウイルス感染症の拡大を踏まえた定時株主総会の臨時的な招集通知モデルA
   （来場いただく株主の数を一定程度限定することを想定）

2. 新型コロナウイルス感染症の拡大を踏まえた定時株主総会の臨時的な招集通知モデルB
   （株主の来場を原則ご遠慮いただくことを想定）

-----
本株主総会は、新型コロナウイルス感染拡大防止のため、株主様のご来場をいただくことなく当社役員のみで開催させていただきたく、株主様のご理解とご協力のほどお願い申しあげます。
-----

 

イスラエル政府が水道施設へのサイバー攻撃を受けて、水道施設、エネルギー業界に警告を 発出していますね。

こんにちは、丸山満彦です。

イスラエル政府が水道施設へのサイバー攻撃を受けて、水道施設、エネルギー業界に警告を発出しているようです。

● Israel National Cyber Directorate - National Cyber Array

・23.04.2020 נסיונות תקיפה על מערכות שליטה ובקרה במגזר המים  

翻訳ソフトを利用しての翻訳です。。。

-----

今朝の時点で、下水処理プラント、ポンプ場、下水道の制御および制御システムに対する攻撃の試みについて、National Cyber​​ Arrangementで報告を受けています。このシステムは、エネルギーおよび水セクターの企業およびエンティティに、インターネットから制御システムにパスワードを即座に交換し、インターネット接続を削減し、最新バージョンのコントローラーをインストールするよう要求します。

-----

-----

● Securityaffairs

・2020.04.27 Hackers targeted ICS/SCADA systems at water facilities, Israeli government warns by Pierluigi Paganini

 

● SC Magazine

・2020.04.27 Israeli cyber defenders warn of attacks on water supply by Doug Olenick

オーストラリアではCOVIDsafeというコンタクト・トレーシング・アプリがダウンロードできるようになっているようです！！（が登録はまだできない?）

こんにちは、丸山満彦です。

オーストラリアのCOVIDsafeというアプリがダウンロード可能となったようですが、登録ができないと記事に書かれていますね。アプリ自体はシンガポールのTraceTogetherをベースにしているようですね。。。

● Australia Govenment Department of Health

・COVIDSafe app
The COVIDSafe app speeds up contacting people exposed to coronavirus (COVID-19). This helps us support and protect you, your friends and family.

・2020.04.25 COVIDSafe app FAQs - [PDF] [Word]

・2020.04.26 COVIDSafe Privacy Policy

・2020.04.25 Privacy Impact Assessment Report - [PDF] 

評価項目

01. APP 01 - 個人情報のオープンで透明性のある管理
02. APP 02 - 匿名性と仮名性
03. APP 03 - 勧誘された個人情報の収集
04. APP 04 - 迷惑な個人情報の取り扱い
05. APP 05 - 個人情報の収集の通知
06. APP 06 - 個人情報の使用または開示
07. APP 07 - ダイレクトマーケティング
08. APP 08 - 個人情報の国境を越えた開示
09. APP 09 - 政府関連の識別子の採用、使用または開示
10. APP 10 - 個人情報の質
11. APP 11 - 個人情報のセキュリティ
12. APP 12 - 個人情報へのアクセス
13. APP 13 - 個人情報の訂正

推奨事項

01 PIA レポートとアプリのソースコードを公開する
02 今後のアプリ変更点
03 適切な法的枠組み
04 ユーザに表示されるアプリ画面
05 年齢の収集を明確にする
06 利用者の同意
07 アプリのプライバシーポリシー
08 情報へのアクセスと訂正を依頼するためのアプリ上のフォーム
09 一般の方や潜在的な利用者に向けたコミュニケーション資料
10 全国COVIDSafeデータストアにおける登録情報へのアクセス及びその利用に関する保健機関による更なる保証 
11 トレーニングやスクリプトの開発
12 州および準州の保健当局との契約またはその他の取り決め
13 ユーザーが偽名で登録できることを通知する
14 セキュリティ対策
15 1983年公文書館法の適用
16 AWSとの段取りの確認
17 ICT 契約および取り決めが適切に文書化され、適切な契約またはその他の保護が含まれていることの確認
18 デジタルハンドシェイクの数
19 児童利用者の同意手続き 

 

---

 

 

● ZDnet
・2020.04.26 06:55 GMT COVIDSafe: Australia's new trace tracking app is now live, but registration isn't by Asha Barbaschow

The app, which has been described as a 'digital handshake' by the Australian government, is not letting users register.

 

● The Guardian
・2020.04.27 05:00 BMT Covidsafe app: how to download Australia's coronavirus contact tracing app and how it works by Josh Taylor

 

<2020.04.28 11:35追記>

● Forbes
・2020.04.27 This Is The Contact Tracing Worry Even Apple And Google Can’t Resolve by Zak Doffman

2500万人の国の60%利用が必要とすると1500万人が少なくともダウンロードする必要がありますよね。ダウンロードした人のうち、75%の人が使うとすると2000万人がダウンロードする必要があるということに。。。つまり、国民の80%。日本の人口が1億2000万人とすると、約1億人がダウンロードする必要があるわけですが。。。6割がダウンロードするとしても7200万ダウンロードです。。。

-----

“Well done, Australia,” the country’s prime minister tweeted early on April 27. “We’ve just passed 2 million downloads for COVIDSafe.” The Bluetooth contract-tracing app had gone live the evening before—the first million installs had been recorded within just five hours, the second million a few hours later. The issue, though, is that Australia—a country of some 25 million people—needs between 10 and 15 million of them to to install COVIDSafe, to use it, and to keep using it.

-----

Continue reading "オーストラリアではCOVIDsafeというコンタクト・トレーシング・アプリがダウンロードできるようになっているようです！！（が登録はまだできない?）"

NIST White Paper - Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)

こんにちは、丸山満彦です。

NISTがセキュアソフトウェア開発フレームワーク（SSDF）に関する白書を公表していますね。ビジネスオーナー、ソフトウェア開発者、プロジェクトマネジャー、組織内のサイ バーセキュリティの専門家等の間で、安全なソフトウェア開発の実践に関するコミュニケーションが重要となってきますが、この白書を理解することにより、それが進むとしていますね。。。

ソフトウェア開発者は、リリースしたソフトウェアの脆弱性を減らし、未知の脆弱性や対処されていない脆弱性を悪用された場合の潜在的な影響を緩和し、脆弱性の根本原因を解決し、再発を防ぐことができるようになるとのことです。。。。

● NIST - ITL

・2020.04.23 White Paper - Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)

・2020.04.23 [PDF] Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)

-----

Abstract

Few software development life cycle (SDLC) models explicitly address software security in detail, so secure software development practices usually need to be added to each SDLC model to ensure the software being developed is well secured. This white paper recommends a core set of high-level secure software development practices called a secure software development framework (SSDF) to be integrated within each SDLC implementation. The paper facilitates communications about secure software development practices among business owners, software developers, project managers and leads, and cybersecurity professionals within an organization. Following these practices should help software producers reduce the number of vulnerabilities in released software, mitigate the potential impact of the exploitation of undetected or unaddressed vulnerabilities, and address the root causes of vulnerabilities to prevent future recurrences. Also, because the framework provides a common vocabulary for secure software development, software consumers can use it to foster communications with suppliers in acquisition processes and other management activities.

Continue reading "NIST White Paper - Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)"

少なくとも7カ国の政府を含むPEPP-PTの支援者は、プライバシー保護の「中央管理手法」をあきらめていない

こんにちは、丸山満彦です。

陽性者と濃厚接触した人を確認するための記録の保存のしかたには、中央にそのデータを送る方法（中央集権型）と、各々のデバイスに接触履歴を残す方法（分散型）の2つがあるわけですが、プライバシー保護の観点から望ましいのは後者のほうで、濃厚接触をしたことを知るためであれば、どちらの方法でも良いことから、その目的だけであれば、分散型が望ましいということになります。

Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT)によると、少なくとも7カ国の政府を含むPEPP-PTの支援者は、プライバシー保護の「中央管理手法」をあきらめていないということのようです。

● TechCrnch / TechCrnch Japan

・2020.04.18 Europe’s PEPP-PT COVID-19 contacts tracing standard push could be squaring up for a fight with Apple and Google by Natasha Lomas

・2020.04.25 欧州がアップルとグーグルにAPI変更要求、新型コロナ対策の接触追跡技術のプライバシー保護で

 

この記事のなかで

-----

先日欧州議会で可決された決議案も、分散型の接触者トレーシングを後押しするものだ。

-----

という記述があるが、決議案の51-53段落が該当するようですね。

↓

Continue reading "少なくとも7カ国の政府を含むPEPP-PTの支援者は、プライバシー保護の「中央管理手法」をあきらめていない"

英国 NHSX（国民保健サービス・デジタル）が間も無くコンタクト・トレーシング・アプリをリリースするようですね。。。

こんにちは、丸山満彦です。

英国政府機関の一部である National Health Service X (NHSX)が数週間程度でコンタクト・トレーシング・アプリをリリースするようですよ。。。

● NHSX

・2020.04.24 Digital contact tracing: protecting the NHS and saving lives

-----

Technology has the potential to save lives and help us deal with the COVID-19 pandemic. In the coming weeks, the NHS will be launching a contact-tracing app. 

-----

追跡ソフトというよりも、濃厚感染者である可能性が極めて高いということを伝えて、早期に対応を促すソフトです。。。

【参考】

● Computerweekly.com

・2020.04.24 Coronavirus: RAF flies in for UK contact tracing app test

https://www.computerweekly.com/news/252482087/Coronavirus-RAF-flies-in-for-UK-contact-tracing-app-test

オランダでは、COVID-19 コンタクト・トレーシング・アプリが国民的議論を巻き起こしているようですね。。。

こんにちは、丸山満彦です。

オランダでは、Covid-19追跡アプリが国民的議論を巻き起っているようですね。。。

 

● Computer Weekly
・2020.04.24 Coronavirus: Dutch Covid-19 tracking app stirs national debate by Kim Loohuos

● The Irish Times
・2020.04.23 Netherlands abandons initial plan to develop Covid-19 tracing app

-----

政府は接触調査、プライバシー、情報セキュリティを含む要件を策定しているが、選ばれた7つのアプリがこれらの要件を満たすとは考えていない。"プライバシーの分野で不十分なとして却下した取り組みがある。"  in Algemeen Dagblad紙 by Brenno de Winter氏（オランダのプライバシー/セキュリティの専門家）

DP-3Tはかなり完成度の高いアプリを発表し、来週スイスでのパイロットテストに向けて動いているのにそれを何故検討しないのか？ by Peter Boncz氏（数学・コンピュータ科学センターの研究者、アムステルダム自由大学教授）

すべてのアプリにデザイン上の欠陥があるので選ばれた7つのアプリのうち、どれも選考基準を通過しなかった。in ニュースサイトNOS.nl by Benjamin Broersma氏（Open State Foundation）

選ばれた7つのアプリのうち6つのアプリで多くのセキュリティ問題を発見した - 開発者は安全にプログラムを作成しておらず、ほとんどセキュリティ対策を講じていなかった by KPMGの研究者

高い野心、政治的な期限、ICTを即効性のあるものにしようという考え方、断片的な仕様が混在していることが問題を生み出している in Linkedin by Thomas Wijsman氏（ IT監査の専門家）

目前の危機に対応するためにアプリの使用は広範囲に及んでいるが、当局がアプリの使用を決定する前に、アプリの有用性、必要性、有効性に加えて、社会的、法的影響を批判的に検証することが重要である。テクノロジーが特定の問題の解決策になることはほとんどない。 in 大臣への書簡 by 60名のオランダの研究者

将来的にアプリの使用が義務付けられるか、保存されたデータは誰が閲覧できるか 雇用主は従業員にアプリのインストールをどこまで義務づけられるか by オランダ市民

問題の本質は政府の専門知識の欠如。ソフトウェアの問題ではなく、堤防の問題であればもっとうまくいっていただろう in NOS by Bert Hubert氏（PowerDNS社：ITインフラストラクチャ企業 ）

Covid-19アプリが多くの誤報を与えたり、アラームがあるはずなのにアラームがないことを懸念している。アプリで感染をコントロールできると考えてロックダウンを解除すると、誤った安心感が生まれてしまう in フォルクスクラント紙 by Likke Moerel氏（プライバシーの専門家であるティルブルク大学教授）

 

● Government of Netherland

・Coronavirus COVID-19

・Dutch measures against coronavirus

政府の関連文書が全てウェブに公開されているのはすごいですよね。。。

・公式文書（COVID-19に関連する議会文書）

US NSAとAU ASDが共同で、攻撃者によって脆弱なWebサーバにWebシェルを展開されているという報告書を出していますね。。。

こんにちは、丸山満彦です。

米国国家安全保障局（NSA）とオーストラリア信号局（ASD）が、Webシェルを展開するために脆弱なWebサーバを悪用する攻撃者に対する警告についての共同報告書を出していますね

● US National Security Agency

・2020.04.22 Detect & Prevent Cyber Attackers from Exploiting Web Servers via Web Shell Malware

● AU Australian Signal Directorate / Autralian Cyber Security Centre

・2020.04.23 Detect and prevent web shell malware

・[PDF] [Donsloaded]Detect and Prevent Web Shell Malware

-----

Detect and Prevent Web Shell Malware

Summary

Mitigating Actions (DETECTION)

• “Known-Good” Comparison
  
• Web Traffic Anomaly Detection
  
• Signature-Based Detection
• Unexpected Network Flows
• Endpoint Detection and Response (EDR) Capabilities
• Other Anomalous Network Traffic Indicators

Mitigating Actions (PREVENTION)

• Web Application Update Prioritization
• Web Application Permissions
• File Integrity Monitoring
• Intrusion Prevention
• Network Segregation
• Harden Web Servers

Mitigating Actions (RESPONSE and RECOVERY)

Appendix

• A: Scripts to Compare a Production Website to a Known-Good Image
• B: Splunk® Queries for Detecting Anomalous URIs in Web Traffic
• C: Internet Information ServicesTM (IIS) Log Analysis Too
• D: Network Signatures of Traffic for Common Web Shells
• E: Identifying Unexpected Network Flows
• F: Identifying Abnormal Process Invocations in Sysmon Data
• G: Identifying Abnormal Process Invocations with Auditd
• H: Commonly Exploited Web Application Vulnerabilities
• I: HIPS Rules for Blocking Changes to Web Accessible Directories

Continue reading "US NSAとAU ASDが共同で、攻撃者によって脆弱なWebサーバにWebシェルを展開されているという報告書を出していますね。。。"

ENISA 暗号化されたトラフィック分析に関する報告書（ユースケース分析）

こんにちは 、丸山満彦です。

ENISAが興味深い報告書を出していますね。。。

● ENISA

・2020.04.23 Encrypted Traffic Analysis: Use Cases & Security Challenges

・2020.04.23 Encrypted Traffic Analysis

・2019.11.[PDF] [Downloaded]ENCRYPTED TRAFFIC ANALYSIS - Use Cases & Security Challenges

暗号化されたトラフィック解析のユースケースを調査し、セキュリティ上の課題についてまとめたものですね。。。

通信回線上でデータが暗号化されていると情報が盗み見られることは無くなりますが、一方で悪意のあるデータの送付や不法なデータダウンロード等が暗号化されて行われるとそれを検出することが難しくなります。

一方、機械学習等の人工知能技術の進歩により、暗号化されたままでも不正なデータの検出ができるのはないかということも考えられます。。。ということで、6つのユースケースを使って検討しています。。。

で、そのユースケースは、

1. アプリケーションの識別
2. ネットワーク分析
3. ユーザー情報の識別
4. 暗号化されたマルウェアの検出
5. ファイル/デバイス/ウェブサイト/ロケーションのフィンガープリンティング
6. DNS トンネリング検出

となります。。。

 

Continue reading "ENISA 暗号化されたトラフィック分析に関する報告書（ユースケース分析）"

COVID-19 トラック・トレーシング・アプリについて米国・カナダ関連

こんにちは、丸山満彦です。

COVID-19 トラック・トレーシング・アプリについての米国・カナダ関連の記事等を紹介しておきますね。。。

＜米国＞

● TechCrunch

・2020.04.17 COVID-19 could have its own PATRIOT Act, but we need privacy guarantees by Heather Federman

の翻訳版

・2020.04.24 米国当局が進める新型コロナの接触者追跡の必要性とプライバシー保護の重要性

では、次のポイントが示されているが、なるほどである。

• 一時性
• 市民的自由権
• 透明性
• 限定的使用と目的の明確化
• データセキュリティ
• 自由の鐘を鳴らす

 

＜カナダ＞

● CBC-News

・2020.04.23 Concerns about low uptake, flawed pandemic data linger as provinces pursue digital contact tracing

では、カナダなりの懸念が書かれています。

 

カナダ政府関係は以下に情報がありますね。。。

 

● Office of the Privacy Commissioner of Canada

・2020.04.17 Commissioner publishes framework to assess privacy-impactful initiatives in response to COVID‑19

カナダのプライバシーコミッショナーオフィスは、COVID-19対応をしている政府機関を支援するための評価フレームワークを公​​開していますね。

・2020.04.17 A Framework for the Government of Canada to Assess Privacy-Impactful Initiatives in Response to COVID-19

1	法的権限	個人情報を収集、使用、開示する法的権限を特定する。
2	必要性と比例性	政府機関がとろうとしている対策が必要かつ適切であることを確認する。 プライバシーの権利は絶対的なものではないが、困難な状況でも、政府機関は対策が必要かつ適切であることを確認する必要がある。
3	目的の限定	COVID-19の公衆衛生への影響を緩和するために収集、使用、または開示される個人情報は、他の目的で使用してはならない。
4	非識別化およびその他の保護措置	可能な限り、非識別化または集計したデータを使用する。
5	社会的な弱者	社会的な弱者への独自の影響を考慮する。
6	開放性と透明性	新たな施策について、明確で詳細な情報を国民に継続的に提供する。
7	オープンデータ	健康データや位置情報、社会的な弱者への影響などに特に注意を払いながら、公開されるデータセットのメリットとリスクを慎重に検討する。
8	監督と説明責任	危機に特化した新しい法律や対策には、監督と説明責任のための具体的な規定も設けるべきである。
9	時間制限	プライバシー侵害的な措置には時間制限を設けるべきであり、必要とされなくなった時点で終了するべきである。

 

以下に豊富なソースがあります。。。

・2020.03.20 Privacy and the COVID-19 outbreak

 

EUのCOVID-19感染拡大防止アプリケーションガイダンス（Common EU Toolbox）におけるトレーシング・アプリケーションへの要求事項の概要（トレーシング・アプリのガバナンスと承認）

こんにちは、丸山満彦です。

EUがデータ保護に関連したCOVID-19パンデミック対策を支援するアプリケーションのガイダンス（Common EU Toolbox）を公表していますが、まず、

• III A COMMON APPROACH TO MOBILE CONTACT TRACING AND WARNING APPLICATIONS
• ANNEX I: RECOMMENDATIONS FOR A COMMON APPROACH TO MOBILE TRACING APPS Security testing and independent review

をざっと見ておこうと思います。

● EU

・2020.04.16 Coronavirus: An EU approach for efficient contact tracing apps to support gradual lifting of confinement measures

・2020.04.15 [PDF] eHealth Network - Mobile applications to support contact tracing in the EU’s fight against COVID-19 - Common EU Toolbox for Member States 

 

III A COMMON APPROACH TO MOBILE CONTACT TRACING AND WARNING APPLICATIONS
III 携帯電話コンタクト・トレーシング・アプリと警告アプリへの共通のアプローチ 

アプリケーションが満たすべき要件の4つのカテゴリーは次の通りです。

1) (a) 疫学的枠組み、(b) 技術的機能性、(c) 国境を越えた相互運用性の要求事項、(d) サイバーセキュリティ対策、(e) セーフガードに関する必須要件
2) アクセシビリティと包括性の確保を目的とした施策
3) トレーシング・アプリの承認とトレーシング・アプリで生成されたデータへのアクセスをカバーする公衆衛生当局のガバナンス/役割
4）(a) 疫学情報の共有やECDCとの連携、(b) 有害アプリの拡散防止対策、(c) アプリの有効性のモニタリング、などの支援活動

目次項目でいうと次のようになっています。

-----

1. Essential requirements for national apps and cross-border interoperability
 a. Epidemiologic framework
 b. Technical functionalities
 c. Cross-border interoperability requirements
 d. Cybersecurity
 e. Safeguards

2. Accessibility and inclusiveness.

3. Governance and approval of tracing apps

4. Supporting Actions
 a. Sharing of epidemiological information between national public health authorities and cooperation with ECDC
 b. Prevent proliferation of harmful apps
 c. Monitoring the effectiveness of the apps
-----

 

全体の枠組みを理解するために、

3. Governance and approval of tracing apps
3. トレーシング・アプリのガバナンスと承認

を見てみたいと思います。

推奨事項となっていますが、実質は要求事項的なものなのでしょうね。

• トレーシング・アプリケーションの承認は、国のパンデミック管轄当局がアプリの最終的な説明責任を負う
• 国の保健当局が個人データの処理の管理者となるべきである
• さまざまなタイプのアプリ（およびその基礎となる感染伝播連鎖情報システム）を受け入れ、それらが疫学的調査目的を達成するためには、国の保健当局によって基礎となる方針、要件、および管理が調整され、実施されなければならない

となっているようですね。

 

Continue reading "EUのCOVID-19感染拡大防止アプリケーションガイダンス（Common EU Toolbox）におけるトレーシング・アプリケーションへの要求事項の概要（トレーシング・アプリのガバナンスと承認）"

イタリア政府 COVID-19緊急時のコンタクト・トレース・アプリに関する情報

こんにちは、丸山満彦です。

イタリア政府が、COVID-19緊急時のコンタクト・トレース・アプリに関する情報を公表していますね。

イタリアはヨーロッパでもCOVID-19の影響が大きい国の一つですが、74名の専門家が感染拡大防止とともに、収束に向けての対応もするべく8つのチームに分かれて活動するようですね。政府機関は、このチームからは独立した形となるようです。

技術革新とデジタル担当大臣が担当のようですね。。。

● Italy Ministro per l’Innovazione tecnologica e la digitalizzazione

・2020.04.21 Un aggiornamento sull’applicazione di contact tracing digitale per l’emergenza coronavirus

基本は共通ボックスにしたがって開発することになりそうですね。。。

 

Continue reading "イタリア政府 COVID-19緊急時のコンタクト・トレース・アプリに関する情報"

Cloud Security Alliance がクラウド上でのインシデント対応のフレームワーク（クイックガイド）を公表していますね。。。

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) がCloud Incident Response Framework – A Quick Guideを公表していますね。

● Cloud Security Alliance (CSA)

・2020.04.21 Cloud Incident Response Framework – A Quick Guide - [Downloaded PDF]

Continue reading "Cloud Security Alliance がクラウド上でのインシデント対応のフレームワーク（クイックガイド）を公表していますね。。。"

欧州データ保護委員会 COVID-19に関する研究目的の健康データ処理についてのガイドライン

こんにちは、丸山満彦です。

欧州データ保護委員会がCOVID-19に関する研究目的の健康データ処理についてのガイドラインを公表していますね。。。

● Europian Data Protection Board (EDPB)

・2020.04.21 Guidelines 03/2020 on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak

・[PDF]

 

Continue reading "欧州データ保護委員会 COVID-19に関する研究目的の健康データ処理についてのガイドライン"

UK-NCSC COVID-19関連の電子メール詐欺を報告するよう市民に要請

こんにちは、丸山満彦です。

UKのNational Cyber Security Centreがオンラインセキュリティキャンペーンの一環として、COVID-19関連の電子メール詐欺を報告するよう市民に要請していますね。。。

● National Cyber Security Centre

・2020.04.21 Public urged to flag coronavirus related email scams as online security campaign launches

・2020.04.21 Phishing: how to report to the NCSC

このメール詐欺報告システムは、ロンドン市警察と共同で開発されたようですね。送付されると、サイトの有効性をテストし。フィッシング詐欺であることが判明したサイトはすぐに削除されることになるようです。。。

-----

● SC-UK

・2020.04.21 NCSC launches coronavirus scam reporting service, plus advice on secure video-conferencing by Tony Morbin

● Computer Weekly

・2020.04.21 NCSC launches coronavirus cyber security campaign by Alex Scroxton

 

CNIL HRデータ処理に関する標準を公開

こんにちは、丸山満彦です。

CNILが、2020.04.15にHRデータ処理に関する標準を公開していましたね。。。

● CNIL

・2020.04.15 Publication du référentiel relatif à la gestion des ressources humaines

・2020.04.15 Le référentiel relatif à la gestion des ressources humaines en questions

・2019.11.21 [PDF] Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre aux fins de gestion du personnel

-----

● The National Law Review

・2020.04.20 CNIL Publishes Standard on HR Data Processing

ENISA Underpinning software security: the role of the EU cybersecurity certification framework

こんにちは、丸山満彦です。

ENISAのセキュアなソフトウェアの開発と保守の参考書です。

● ENISA

・2020.04.15 Underpinning software security: the role of the EU cybersecurity certification framework

・2019.11.15 Advancing Software Security in the EU [PDF]

 

EUのサイバーセキュリティ認証フレームワーク内のソフトウェア開発のさまざまな側面に関連する多くの実用的な考慮事項

• 公開された脆弱性だけでなく、認定された製品、サービスおよびプロセスの共有セキュリティの側面に関するリポジトリの展開および保守に関連する問題
• 欧州標準化機構（ESO）と標準化開発機構（SDO）間の活動の調整
• EUのサイバーセキュリティ認証スキームをソフトウェアの開発、保守、運用のガイドラインで補完する可能性。
• ソフトウェアの開発と保守の既存の断片化された状況への対応として、基本保証レベルの軽量適合性評価方法の検討。
• 既存の経験と専門知識を活用し、EUのサイバーセキュリティ認証スキームの採用を促進する可能性

Continue reading "ENISA Underpinning software security: the role of the EU cybersecurity certification framework"

会社認印電子版？＝＞総務省 組織が発行するデータの信頼性を確保する制度に関する検討会

こんにちは、丸山満彦です。

総務省の「組織が発行するデータの信頼性を確保する制度に関する検討会」の第１回の資料が公表されていますね。。。

「eシール」という会社認印電子版制度を検討することになっているようですね。。。

昔からいろいろと言われてきた話です。今度こそ(^^)

 

● 総務省 - 研究会等 - 組織が発行するデータの信頼性を確保する制度に関する検討会 -（第1回） - 配布資料

・[PDF] 資料1－1  「組織が発行するデータの信頼性を確保する制度に関する検討会」開催要綱

-----

１ 目的
サイバー空間と実空間の一体化が進む Society5.0 ではデータの重要性が高まり、データ流通を支える基盤として、データの信頼性を確保する仕組みであるトラストサービスが必要となる。トラストサービスの中でも、組織が発行するデータの信頼性を確保する仕組みは、請求書や領収書をはじめとする組織内外における様々な書類のやり取りの電子化を一層促進し、業務改革や生産性の向上等に資することが期待される。
かかる観点から、国際的な動向を踏まえつつ、組織が発行するデータの信頼性を確保する制度について検討するため、本検討会を開催する。

...

３ 検討事項
（１）組織が発行するデータの信頼性を確保する仕組みが有効なユースケース
（２）組織が発行するデータの信頼性を確保する制度の枠組みに関する事項
（３）当該枠組みにおけるトラストサービスの認定基準等に関する事項
（４）その他

-----

・[PDF] 資料1－2 組織が発行するデータの信頼性を確保する制度（eシール）について

-----

○ eシールとは、電子文書の発信元の組織を示す目的で行われる暗号化等の措置で、企業の角印の電子版に相当。
○ 個人名の電子署名とは異なり、使用する個人の本人確認が不要であり、領収書や請求書等の経理関係書類等のような迅速かつ大量に処理するような場面において、簡便にデータの発行元を保証することが可能。
○ eシールの活用により、データ発行元の組織を簡便に確認できるようになり、これまで紙で行われていた書類等の企業間のやり取りを電子的に安全に行えるようになり、従来の郵送の手間やコストの削減による業務効率化や生産性向上が期待される。

-----

・[PDF] 資料1－3 富士通株式会社提出資料 - 企業間の取引における紙によるやり取り等の現状とデータの信頼性について

「各国政府のコンタクト・トレーシング・アプリについて知っておくべきこと」という記事

こんにちは、丸山満彦です。

各国政府がCOVID-19の感染拡大防止のために、コンタクト・トレーシング・アプリをリリースしたりリリースの計画を発表していますが、それについての考慮事項のまとめって感じですかね。。。

● Avast - blog

・2020.04.20 What you need to know about government contact tracing apps by David Strom

（１）「この追跡データはどのように収集され、誰がアクセスできるか？」例えば、政府機関がそのデータをどの程度の期間保持するのか？

（２）一定数以上の実際の患者とその追跡データがいないと役に立たないと言われている

（３）GPSは正確とは限らないこと

（４）スマートフォンを持っていてもこのアプリを使うとは限らない

というのがポイントですかね。。。

 

各国の状況については、

● REUTER
・2020.04.15 Explainer: How smartphone apps can help 'contact trace' the new coronavirus by Paresh Dave

● National Law Review

・2020.04.21 Let's Track this Through: Tracking Data at the Epicentre of Efforts to Stop COVID Outbreak as Federal Government Considers Implementing Mobile Approach

● PEPP-PT

 

なお、利用者が増えないと効果が上がらないというのは他でも言われていますね。信頼されないと利用されない。

● PrivSec Report

・ 2020.04.20 Citizens must trust contact tracing apps or they will fail, suggests letter by MICHAEL BAXTER

 

 

-----

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.20 コンタクト トレース アプリ＞＞「感染者との接触通知も…打倒コロナへデータ活用は救世主か」

・2020.04.17 COVID-19感染対策用のアプリケーションは位置情報を追跡する必要はない。。。

・2020.04.17 EU - データ保護に関連したCOVID-19パンデミック対策を支援するアプリケーションのガイダンス

・2020.04.17 ドイツ連邦政府　「COVID19の流行を抑制するための公衆衛生上の制限」についての決定 at 2020.04.15

・2020.04.16 EU COVID-19の封じ込め対策を解除するためのロードマップ

・2020.04.15 UK Information commissioner's officeがパンデミック時の規制に関する文書を公表しましたね。。。

・2020.04.15 UKがCOVID-19の追跡アプリを独自に開発？

・2020.04.14 European Union Agency for fundmental Human Lights - Coronavirus pandemic in the EU - Fundamental Rights Implications - Bulletin 1 

・2020.04.12 AppleとGoogleが協力して携帯電話を使ってCOVID-19感染者と接触したかを通知する仕組みを導入？ 

・2020.04.10 米国自由人権協会　COVID-19の封じ込めのための位置情報は限界を理解して活用を検討するようにコメント？ 

・2020.04.09 スイス連邦データ保護・透明性委員会　COVID-19感染拡大防止を目的とした外出自粛の履行状況を確認するために、スイスコムが連邦健康局にユーザの位置情報を提供したことはその内容を踏まえてデータ保護法上問題ないと発表

・2020.04.08 欧州データ保護委員会が、COVID-19に関連してデータ保護、追跡・測位ツールの使用に関するガイダンスを作成することに 2020.04.08

・2020.04.08 欧州委員会はモバイルデータとモバイルアプリを活用した出口戦略を支援する勧告を採択

・2020.04.03 個人情報保護委員会 新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて

・2020.04.01 英国政府（コミッショナー） コロナウイルス危機対応のための携帯電話追跡データの使用に関する声明 

・2020.04.01 政府から移動通信事業者等に対する「新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請」

 

IPA テレワークを行う際のセキュリティ上の注意事項

こんにちは、丸山満彦です。

IPAが「テレワークを行う際のセキュリティ上の注意事項」を公開していますね。。。

● IPA

・ 2020.04.21 テレワークを行う際のセキュリティ上の注意事項

まずは、基本的なセキュリティ対策をした上で、、、という話ですよね。

-----

3．関連する他機関の注意喚起等

 ■内閣サイバーセキュリティセンター（NISC）

テレワークを実施する際にセキュリティ上留意すべき点について（2020年4月）

インターネットの安全・安心ハンドブックVer 4.10（2020年4月）

 ■総務省

テレワークセキュリティガイドライン第4版（2018年4月）

 ■警視庁

テレワーク勤務のサイバーセキュリティ対策！（2020年4月）

 ■一般社団法人JPCERTコーディネーションセンター

長期休暇に備えて 2020/04（2020年4月）

 I. テレワーク環境の脆弱性等を起因とした攻撃への注意

仮想通貨が2,500万ドル（約27億円）盗まれたようですね。。。

こんにちは、丸山満彦です。

2,500万ドル（約27億円）の仮想通貨が盗まれたというニュースが出ていますね。。。

● Medium - imToken

・2020.04.19 About Recent Uniswap and Lendf.Me Reentrancy Attacks

----

● ZDnet

・2020.04.19 14:50 GMT Hackers steal $25 million worth of cryptocurrency from Uniswap and Lendf.me  by Catalin Cimpanu 
Hacker is believed to have used an exploit shared on GitHub last year to steal funds from both platforms.

● Security Affairs

・2020.04.20 Uniswap and Lendf.me hacked, attacker stole $25 million worth of cryptocurrency by Pierluigi Paganini
Hackers have stolen more than $25 million worth of cryptocurrency from the Uniswap exchange and the Lendf.me lending platform.

攻撃者は、Uniswap取引所とLendf.me貸付プラットフォームから合わせて2,500万ドルを超える暗号通貨を盗んだようですね。

攻撃は金曜日、土曜日、日曜日に行われていて、この2つの攻撃はおそらく同じグループまたは個人によって実行されていると推定されています。

攻撃者はバグとさまざまなブロックチェーン技術の正当な機能をつなぎ合わせて、洗練された「再入攻撃」を行ったしたようですね、、、

 

Continue reading "仮想通貨が2,500万ドル（約27億円）盗まれたようですね。。。"

NSCS - Secure communications principles: alpha release (安全な通信についての原則)

こんにちは、丸山満彦です。

UKのNational Cyber Security Centre (NCSC)が Secure communications principles: alpha releaseを公表しているようです。

● National Cyber Security Centre (NCSC)

・ Secure communications principles: alpha release [2020.04.19 PDF]

-----

The NCSC's secure communication principles

1. Protect data in transit
2. Protect network nodes with access to sensitive data
3. Protect user access to the service
4. Ensure secure audit of communications is provided
5. Allow administrators to securely manage users and systems
6. Use metadata only for its necessary purpose
7. Assess supply chain for trust and resilience

-----

 

コンタクト トレース アプリ＞＞「感染者との接触通知も…打倒コロナへデータ活用は救世主か」

こんにちは、丸山満彦です。

日本でもコンタクト トレーシング アプリの話が出てきていますが、感染している可能性が高い人を中心に検査を受けることにより、効率的な検査の実施と、感染者による感染拡大の低減の両立ができるようになると良いですよね。。。

● NewSwhich

・2020.04.20 感染者との接触通知も…打倒コロナへデータ活用は救世主か - 連載・個人データは誰のモノ ＃00 

-----

... 政府は民間団体と共同で感染者と接触した可能性が分かるスマートフォンアプリ（コンタクト・トレーシング・アプリ）について５月初めにも無料で配信する。アプリを導入した近くのスマホ同士が無線通信を通して自動で認識し合い、それぞれの端末が互いを識別する暗号情報を記録する。感染者が発覚すると、感染者のスマホのデータを基に通知する。

...

「（新型コロナ感染拡大の抑制に）非常に有力な方法だ。ただ、個人情報の漏洩があってはならない」。内閣府の竹本直一科学技術担当相は、コンタクト・トレーシング・アプリの導入についてそう説明する。

同アプリは実証実験を経た上で、日本政府の承認アプリとして配信される見込みだ。アプリを導入した人同士が一定の距離で一定時間過ごすと、近距離無線通信「Bluetooth（ブルートゥース）」を通して相手を識別する暗号化された情報が互いのスマホに記録される。感染者が陽性判定を受けた場合にアプリを通して感染情報を流すと、過去に近くにいた記録が端末にある人に通知される。

プライバシー保護のため、感染者は匿名化し、具体的な日時や場所も伏せて通知する。「あなたは最近１週間の間に感染者と濃厚接触した可能性があります」といったメッセージを送る仕組みを検討している。

...

-----

● 朝日新聞

・2020.04.20 感染追跡アプリ、個人情報は？　先行国では利用者伸びず

-----

...

　政府によると、アプリのダウンロード数は現在、人口（約570万人）の約5分の1に当たる100万超。利用者はその一部にとどまっており、ローレンス・ウォン国家開発相は地元メディアに「効果を発揮するには人口の約4分の3のダウンロードが必要だ」と説明。見込んだ効果が出ていない現状をにおわせた。

　シンガポールは当初、感染者への聞き取り調査で濃厚接触者を探ってきた。街頭の防犯カメラの映像解析なども利用してきたが、感染者が急増した3月中旬以降、従来の手法では追いつかなくなっていた。

　シンガポール国立大で感染症対策を指導するスー・リーヤン准教授は「接触者の追跡は手間がかかる。携帯の位置情報を使えば効果的だが、プライバシー侵害の危険がある。代わりとなるこのアプリだが、効果は利用者数しだい」と言う。

....

-----

新型コロナ危機下のビジネス法務 by 中央経済社

こんにちは、丸山満彦です。

中央経済社が「新型コロナ危機下のビジネス法務 」という特設ウェブページを開設していますが、気になる情報が一箇所に集まっていて使いやすいですね。

● 中央経済社

・ 新型コロナ危機下のビジネス法務

カテゴリーも次のように分かれていて活用しやすいですね。。。

• News&Topics
• 会計・監査
• 税務
• 会社法務
• 人事・労務
• 経営
• 助成金

別人になりきってオンラインビデオ会議に参加できるオープンソースのディープフェイクツール「Avatarify」...

こんにちは、丸山満彦です。

別人、例えば、オバマさんとか、アインシュタインとかになりきってSkypeやZoomといったオンラインビデオ会議に参加できるオープンソースのディープフェイクツール「Avatarify」があるようですね。。。気軽に使える（みたいや）。。。

● Gigazine

・2020.04.17 ZoomやSkypeでリアルタイムに他人になりすませるオープンソースのディープフェイクツール「Avatarify」

・GitHub - alievk/avatarify: Avatars for Zoom and Skype
https://github.com/alievk/avatarify

・This Open-Source Program Deepfakes You During Zoom Meetings, in Real Time - VICE
https://www.vice.com/en_us/article/g5xagy/this-open-source-program-deepfakes-you-during-zoom-meetings-in-real-time

・Avatarify demo - YouTube

子供向けオンラインゲームサイトから2,300万のユーザ名とパスワードのハッシュ値が漏洩？

こんにちは、丸山満彦です。

カナダのぬいぐるみ会社のGanz社が提供している、約2,300万名分のWebkinzのユーザ名とパスワードのハッシュ値（MD5）がハッキングフォーラムにがっているようですね。パスワードを使いまわしたり、一定のルールで作成している人が多いので、他のサイトのパスワードを推測するためにも良いのかもしれませんね。。。

● ZDnet

・2020.04.18 Hacker leaks 23 million usernames and passwords from Webkinz children's game by Catalin Cimpanu

攻撃者は、Ganz社のWebサイトのWebフォームに存在するSQLインジェクションの脆弱性を使用して、ゲームのデータベースにアクセスしたようです。。。

-----

The hacker allegedly gained access to the game's database using an SQL injection vulnerability present in one of the website's web forms.

-----

米IT企業のCognizantがMaze Ransomwareによるサイバー攻撃被害にあったようですね

こんにちは、丸山満彦です。

米IT企業のCognizantがMaze ransomwareによるサイバー攻撃被害にあったようですね。

Ransomwareによる攻撃では、データの暗号化をする前に、機密情報等のデータを脅迫用に盗むのが常套となっていますので、漏洩に関しても注意を払う必要がありますよね。。。

Cognizantは収入が2019年度で約167億US$（約1.8兆円）のNasdaq上場企業（[PDF] 2019-10k）です。

● Cognizant

・2020.04.18 Cognizant Security Incident Update

-----

Cognizant can confirm that a security incident involving our internal systems, and causing service disruptions for some of our clients, is the result of a Maze ransomware attack.

Our internal security teams, supplemented by leading cyber defense firms, are actively taking steps to contain this incident.  Cognizant has also engaged with the appropriate law enforcement authorities.

We are in ongoing communication with our clients and have provided them with Indicators of Compromise (IOCs) and other technical information of a defensive nature. 

-----

● bleeping computer - news - security

・2020.04.18 IT services giant Cognizant suffers Maze Ransomware cyber attack by Lawrence Abrams

● TechCrunch

・2020.04.19 Cognizant confirms Maze ransomware attack, says customers face disruption by Zack Whittaker, Manish Singh

COVID-19によりDODのサイバーセキュリティ認証(CMMC)の開始が遅れる？

こんにちは、丸山満彦です。

COVID-19の影響でDODのサイバーセキュリティ認証の開始が遅れそうですね。。。

● Defense Systems

・2020.04.17 COVID-19 outbreak may delay audits for DOD's cyber certification by LAUREN C. WILLIAMS

DOD は1月に統合サイバーセキュリティ標準の最初のバージョンをリリースし、6月までに最初の事前請求を行い、10月までに提案の要求を出すことを目指していましたが、１ヶ月ほど遅れるような感じだそうです。。。

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

ベルギーもCookie等の追跡技術に関するガイダンスを公表していますね。

こんにちは、丸山満彦です。

アイルランドに続いてベルギーもCookie等の追跡技術に関するガイダンスが出ているようなので、備忘録です。。。

 

● Gegevensbeschermingsautoriteit

・Cookie[NE][FR]

 

透明性：利用者にCookieの利用について通知する必要がある。
Cookieポリシーは関連するサイトまたはモバイルアプリで開示する必要がある。
データコントローラー（とデータ保護担当者）のIDと連絡先の詳細に関する情報を含める必要がある。
さらに、Cookieポリシーは以下の情報を提供する必要がある。

• 使用されるCookieのタイプ
• Cookieの利用目的と利用期間
• 第三者がそのCookieにアクセスできるかどうか
• Cookieの削除方法
• Cookieの使用の法的根拠
• 個人のデータ保護権に関する情報と、管轄のデータ保護機関に苦情を申し立てる能力
• プロファイリングを含む自動意思決定に関する情報

同意：

• 必須でないすべてのCookieを使用する場合は、同意を得る必要がある
• 有効であるためには、同意が通知されなければならない
• 利用者は詳細な同意ができるようになっている必要がある
• 「Cookieウォール」の使用は、Cookieウォールを通じて取得した同意が自由に与えられるものではないため違法であり、ゆえに無効である
• 企業は、ログ等を利用して同意がなされたことを証明すること
• 同意は明確でなければならず、明確な肯定的なアクションによらなければならない
• 同意はいつでも簡単に取り消すことができる

Cookieの有効期間：

• Cookieの有効期間は、Cookieの目的を達成するために必要な期間に制限する必要がある。
• Cookieの有効期間は無制限であってはならない。
• 妥当な時間内にCookieと関連データを削除できない場合、利用者にそれらのCookieを自分で削除する方法をユーザーに明確に説明する必要がある。
• ベルギーのDPAによると、同意を免除されている必要かつ機能的なCookieは、それらが使用される目的が達成されたら削除する必要がある。
  通常、利用者のセッションの終了時にこのようなCookieが削除されることを意味する。
  そうでない場合、データコントローラーは、利用者の合理的な期待を考慮に入れて、Cookieの有効期間を決定する必要がある。
• 利用者は、特定の情報をあるセッションから別のセッションに記憶するように特別に要求することができる。

● Hunton Andrews Kurth

・2020.04.15 Belgian DPA Releases Guidance Materials and FAQs on Cookies and Other Tracking Technologies

ーーーー

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.08 Cookie等の追跡技術の使用に関する報告書 by アイルランド・データ保護委員会

EU 消費者保護の新側面 デジタルサービスとAI

こんにちは、丸山満彦です。

EUが、人工知能によって提供されるデジタルサービスに関連して、特に消費者保護、データ保護、プロバイダの責任に関する新たな課題と機会に関する報告書を公表していますね。

この報告書では、デジタルサービスが消費者のデータを処理したり、広告やその他のメッセージで消費者をターゲティングしたりするためにAIに依存する場合について、消費者のプライバシーや自律性に対するリスクや、消費者に優しいAIアプリケーションの開発の可能性について言及していますね。

また、違法・有害なコンテンツを検出して対応するためのAIシステムの使用に関連して、サービス提供者の責任に対するAIの関連性についても言及していますね。

● European Parliament - Think Tank

・2020.04.15 (Study) New aspects and challenges in consumer protection - Digital services and artificial intelligence

・[PDF]

ーーーーー

	EXECUTIVE SUMMARY	エグゼクティブサマリー
1	INTRODUCTION	序論
2	DIGITAL SERVICES ANDCONSUMERS: THE RISE OF INFLUENCE MACHINES	デジタルサービスと消費者：影響力を持つ機械の台頭
3	AI AND TARGETED ADVERTISING	AIとターゲティング広告
4	FROM ADVERTISING TO FILTER BUBBLES	広告からフィルターバブルまで
5	A NEW LANDSCAPE	新たな景色
6	MONETISING VS NON-MONETISING CONSUMER DATA	収益化する消費者データと収益化しない消費者データの比較
7	CONSUMERS’ PROFILING AND CONSENT	消費者のプロファイリングと同意
8	FROM DATA PROTECTION TO CONSUMER PROTECTION	データ保護から消費者保護へ
9	FROM CONSUMER PROTECTION TO CONSUMER EMPOWERMENT	消費者保護から消費者エンパワーメントへ
10	PROVIDERS LIABILITY AND THE DIGITAL SERVICE ACT	プロバイダ責任とデジタルサービス法
11	ISSUES ON INTERMEDIARY LIABILITY	代理人に関する課題
12	AI IN CONTENT FILTERING/MODERATION AND CONSUMER PROTECTION	AIによるコンテンツフィルタリング/モデレーションと消費者保護
13	RECOMMENDATIONS	推奨
	REFERENCES	参考文献

 

 

Continue reading "EU 消費者保護の新側面 デジタルサービスとAI"

COVID-19感染対策用のアプリケーションは位置情報を追跡する必要はない。。。

こんにちは、丸山満彦です。

EUのPublic HealthのページにCOVID-19感染対策用のアプリケーションのデータ保護に関するガイダンスも掲載されていますね。

アプリケーションは、Bluetoothの近接技術を利用することが想定されるが、利用者の位置情報を追跡するようにしないようにすべきである。位置情報を追跡しなくても感染した人物に一定時間近づいたことを警告することができるからというのが理由のようですね。また、データは安全に保管し、かつ必要以上に長期間保持しないことが肝要ということのようです。

 

● EU - Public Health

・Processing of personal data to protect public health

-----

On 16 April, the European Commission put forward guidelines for the development of contact tracing and warning apps. Such apps should only be implemented in close coordination with public health authorities, only installed voluntarily, users should remain in control of their personal data and the apps must fully comply with EU data protection rules, notably the General Data Protection Regulation (GDPR) and the ePrivacy Directive.

While such apps are likely to be based on Bluetooth proximity technology, do not enable the tracking of people’s locations but they can alert people to get tested or to self-isolate after having been in proximity with an infected person for a certain duration, thereby interrupting virus transmission chains. Data must be securely stored and should not be kept for longer than necessary.

-----

・2020.04.16 [PDF] Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection

ワードに変換してみました。

[docx]

 

EU - データ保護に関連したCOVID-19パンデミック対策を支援するアプリケーションのガイダンス

こんにちは、丸山満彦です。

EUがデータ保護に関連したCOVID-19パンデミック対策を支援するアプリケーションのガイダンスを公表していますね。

● EU

・2020.04.16 Coronavirus: An EU approach for efficient contact tracing apps to support gradual lifting of confinement measures

・2020.04.15 [PDF] eHealth Network - Mobile applications to support contact tracing in the EU’s fight against COVID-19 - Common EU Toolbox for Member States 

-----

A common approach for voluntary and privacy-compliant tracing apps

Today's announcement is the first iteration of a common EU toolbox, developed urgently and collaboratively by the e-Health Network with the support of the European Commission. It provides a practical guide for Member States in the implementation of contact tracing and warning apps. The toolbox sets out the essential requirements for these apps:

• They should be fully compliant with the EU data protection and privacy rules, as put forward by the guidance presented today following consultation with the European Data Protection Board.
• They should be implemented in close coordination with, and approved by, public health authorities.
• They should be installed voluntarily, and dismantled as soon as no longer needed.
• They should aim to exploit the latest privacy-enhancing technological solutions. Likely to be based on Bluetooth proximity technology, they do not enable tracking of people's locations.
• They should be based on anonymised data: They can alert people who have been in proximity for a certain duration to an infected person to get tested or self-isolate, without revealing the identity of the people infected.
• They should be interoperable across the EU so that citizens are protected even when they cross borders.
• They should be anchored in accepted epidemiological guidance, and reflect best practice on cybersecurity, and accessibility.
• They should be secure and effective. 

While allowing for easier, quicker and more efficient tracing than traditional systems based on interviews with infected patients, manual tracing will continue to cover citizens who could be more vulnerable to infection but are less likely to have a smartphone, such as elderly or disabled persons.

A common approach to other functionalities, in particular on information and symptom tracking, may be developed in future iterations of the toolbox.

Continue reading "EU - データ保護に関連したCOVID-19パンデミック対策を支援するアプリケーションのガイダンス"

ドイツ連邦政府 「COVID19の流行を抑制するための公衆衛生上の制限」についての決定 at 2020.04.15

こんにちは、丸山満彦です。

COVID-19との戦い（あるいは共存？）のために、世界中の人が力を合わせています。その中で、個人の権利利益の保護と公衆の利益の保護（回り回って個人の利益にもなるわけですが）のバランスをどこに置くのか？と言う問題が出てきますね。

その中で、ドイツ連邦政府は明確に決定事項を文字に落として公開していますね。この政府と言うかそれを形作っている国民と言うかは素晴らしいと感じました。。。

絶対読んでみてください！！！

● Die Bundeskanzlerin (首相)

・2020.04.15 PRESSEMITTEILUNG Telefonschaltkonferenz der Bundeskanzlerin mit den Regierungschefinnen und Regierungschefs der Länder - Beschränkungen des öffentlichen Lebens zur Eindämmung der COVID19-Epidemie

・2020.04.15 BESCHLUSS Telefonschaltkonferenz der Bundeskanzlerin mit den Regierungschefinnen und Regierungschefs der Länder - TOP 2 Beschränkungen des öffentlichen Lebens zur Eindämmung der COVID19-Epidemie

 ・[PDF]

 

上がプレス発表で、下が決定事項です。

ドイツ語は大学時代の院試で必死にした以降は、専門書以外は読んだことがなかったので、翻訳ソフトに頼っているわけですが、、、

「COVID19の流行を抑制するための公衆衛生上の制限」と言うべきでしょうか。。。

19の決定事項があるわけですが、興味深いのは4です。コンタクトトレースについての記述です。4番目であるというのは、それなりに重要ということだと思います。

-----

4. Zur Unterstützung der schnellen und möglichst vollständigen Nachverfolgung von Kontakten ist der Einsatz von digitalem „contact tracing“ eine zentral wichtige Maßnahme. Bund und Länder unterstützen hierbei das Architekturkonzept des „Pan-European Privacy-Preserving Proximity Tracing“, weil es einen gesamteuropäischen Ansatz verfolgt, die Einhaltung der europäischen und deutschen Datenschutzregeln vorsieht und lediglich epidemiologisch relevante Kontakte der letzten drei Wochen anonymisiert auf dem Handy des Benutzers ohne die Erfassung des Bewegungsprofils speichert. Darüber hinaus soll der Einsatz der App auf Freiwilligkeit basieren. Sobald auf Grundlage der bereits vorgestellten Basissoftware eine breit einsetzbare Anwendungssoftware (App) vorliegt, wird es darauf ankommen, dass breite Teile der Bevölkerung diese Möglichkeit nutzen, um zügig zu erfahren, dass sie Kontakt zu einer infizierten Person hatten, damit sie schnell darauf reagieren können. Bund und Länder werden dazu aufrufen. Ferner werden alle diejenigen, die unabhängig davon an Tracing-Apps arbeiten, eindringlich gebeten, das zugrundeliegende Architekturkonzept zu nutzen, damit alle Angebote kompatibel sind. Ein Flickenteppich von nicht zusammenwirkenden Systemen würde den Erfolg der Maßnahme zunichte machen.

-----

基本的には公表されているアプリはGDPRに沿っている（これからも沿う必要がある）ということですかね。そして、何よりも重要なことは、自分が感染者と接触していると気づいたら、迅速に適切な対応を取るということだと思います。

 

 

US-CERT 北朝鮮のサイバー脅威に関するガイダンス

こんにちは、丸山満彦です。

US-CERTは北朝鮮のサイバー脅威に関するガイダンスを公表しましたね。。。

●  Cybersecurity and Infrastructure Security Agency (CISA)  - Aleart

・2020.04.15 Alert (AA20-106A) Guidance on the North Korean Cyber Threat

・[PDF] Guidance on the North Korean Cyber Threat 

対策については、

1. 北朝鮮のサイバー脅威に対する意識を高める
2. 北朝鮮のサイバー脅威の技術情報を共有する
3. サイバーセキュリティのベストプラクティスを実装、運用する
4. 法執行機関に通知する
5. マネーロンダリング対策（AML）の強化する
   テロ資金調達（CFT）に対応する
   拡散防止資金（CPF）を遵守する

なかなか興味深いですね。。。

 

EU COVID-19の封じ込め対策を解除するためのロードマップ

こんにちは、丸山満彦です。

EUがCOVID-19の封じ込め対策を解除するためのロードマップを公表していますね。

● EU - Live, work, travel in the EU - Health - Coronavirus response

・2020.04.15 

-----

15 April – A European roadmap to lifting containment measures

The European Commission, in cooperation with the President of the European Council put forward a roadmap, recommendations and key principles to lifting the containment measures. A successful coordinated European approach to gradually phasing out containment measures will require the correct timing and that several  common criteria are fulfilled: the spread of the virus must decrease and stabilise, health care systems must have capacity, and large-scale testing capacities must be put in place. A number of measures should accompany the phase-out - a contact tracing system must be put in place, testing capacities must be expanded, effective treatments must be developed and health care systems must have capacity.

-----

・2020.04.15 Coronavirus: European roadmap shows path towards common lifting of containment measures

・[PDF] Communication - A European roadmap to lifting coronavirus containment measures

-----

● JETRO

・2020.04.16 新型コロナウイルス対策の出口戦略のロードマップ公表

加盟国の出口戦略に8つの提言

ロードマップでは、欧州疾病予防管理センター（ECDC）と欧州委員会の新型コロナウイルスに関する諮問パネルの科学的助言を基に、加盟国が制限解除で考慮すべき提言を以下のとおりまとめている。

• 制限解除が段階的に実施され、その影響を測定する十分な時間が確保されること
• 高齢者や慢性疾患のある高リスクグループなど、より必要度の高い者の保護を維持しつつ、その他のグループへの制限を解除すること
• 国内の地域的な状況を踏まえ、解除の対象を地域レベルから徐々に広域化させること
• 域内の国境制限の解除を加盟国間で協調的に実施した上で、次の段階としてEU域外との国境措置緩和に進むこと
• 経済活動の再開は、安全を確保すべく段階的に実施すること
• 市民の活動制限の解除は、学校、商業施設、飲食店、大規模集会など、活動ごとの特性を考慮した方法で漸進的に進められること
• ウイルス拡散を防止するための取り組みは維持されること
• 国内の状況を継続的に監視し、必要あれば制限措置の再開に備えること

 

Continue reading "EU COVID-19の封じ込め対策を解除するためのロードマップ"

ENISA eIDと信託サービスにおけるENISAの役割

こんにちは、丸山満彦です。

ENISAが、eIDと信託サービスにおけるENISAの役割を発表していますね。eIDASに関するENISAのアピールですかね。。。

● ENISA

・2020.04.14 Earning Trust: ENISA on eID and Trust services

関連する情報やリンクがまとまっているので参考になります。。。

・eIDASは次の5つの分野に広がっている。

• Signatures; 署名
• Seals; 印鑑
• Time stamps; タイムスタンプ
• Registered delivery services; 登録配送サービス
• Website authentication certificates; ウェブサイト認証証明書

 

・eIDASに関連する規格の概要

・2019.12.18 Report - Overview of standards related to eIDAS

・[PDF] OVERVIEW OF STANDARDS - Specifying formats of advanced electronic signatures and seals

#	原文	章	仮訳
1	INTRODUCTION	1	序論
2	OVERVIEW OF THE ADVANCED ELECTRONIC SIGNATURE AND SEAL FORMAT STANDARDS	2	高度化された電子署名およびシール形式の規格概要
2.1	FIRST SET OF TSS SPECIFYING ADVANCED ELECTRONIC SIGNATURES FORMAT	2.1	TSS仕様の先進電子署名フォーマットの最初のセット
2.2	PUBLICATION OF A SET OF ELECTRONIC SIGNATURE BASELINE PROFILES (“PREVIOUS TSS”)	2.2	電子署名ベースラインプロファイル（以下、「従来型TSS」)
2.3	PUBLICATION OF THE ADES/ASIC ENS	2.3	ADES/ASIC ENSの公開
3	MOST SIGNIFICANT DIFFERENCES BETWEEN ADES/ASIC ENS AND PREVIOUS TSS	3	ADES/ASIC ENS と従来の黄砂との最も重要な差異
3.1	ETSI TR 119 112	3.1	ETSI TR 119 112
3.2	XADES DIGITAL SIGNATURES	3.2	XADES DIGITAL SIGNATURES
3.2.1	New qualifying properties substituting previously defined ones	3.2.1	以前に定義されたものを置き換える新しい修飾プロパティ
3.2.2	Clarification of qualifying properties semantics	3.2.2	資格特性のセマンティクスの明確化
3.2.3	New set of levels	3.2.3	レベルの新セット
3.3	CADES DIGITAL SIGNATURES	3.3	CADES デジタル署名
3.3.1	New attributes substituting previously defined ones	3.3.1	以前に定義されたものを置き換える新しい属性
3.3.2	Clarification of attributes semantics	3.3.2	属性のセマンティクスの明確化
3.3.3	Deprecated attributes	3.3.3	非推奨属性
3.3.4	New sets of levels	3.3.4	レベルの新セット
3.4	PADES DIGITAL SIGNATURES	3.4	PADES デジタル署名
3.4.1	New attributes substituting previously defined ones	3.4.1	以前に定義されたものを置き換える新しい属性
3.4.2	Clarification of attributes usage and encoding	3.4.2	属性の使用方法とエンコーディングの明確化
3.4.3	Deprecated attributes	3.4.3	非推奨属性
3.4.4	New set of levels	3.4.4	レベルの新セット
3.5	ASIC CONTAINERS	3.5	ASICコンテナー
3.5.1	New set of container levels	3.5.1	コンテナレベルの新セット
3.5.2	Evidence records	3.5.2	証拠記録
3.5.3	New ASiC Manifest files for long term availability	3.5.3	長期利用可能な新しいASiCマニフェストファイル
4	CONCLUSIONS	4	結論
4.1	OPPORTUNITY AND SUITABILITY TO REFERENCE THE ADES/ASIC ENS	4.1	ADES/ASIC ENSを参照する機会と適合性
4.2	POSSIBLE WAY FORWARD MINIMIZING IMPACT	4.2	影響を最小限に抑えるための考えられる進め方
ANNEX A	BASIC CONCEPTS	ANNEX A	基本コンセプト
A.1	GENERAL CONTEXT: THE EIDAS REGULATION AND TRUST SERVICES	A.1	一般的な文脈：EIDAS規制と信託サービス
A.2	TRUST SERVICES DEFINED BY THE EIDAS REGULATION	A.2	EIDAS規則に定義された信託サービス
A.3	ADVANCED ELECTRONIC SIGNATURES AND SEALS	A.3	高度な電子署名とシール
ANNEX B	GLOSSARY	ANNEX B	索引

 

・eIDへの移行

・2020.03.15 Report - eIDAS compliant eID Solutions

・[PDF] eIDAS COMPLIANT eID SOLUTIONS - Security Considerations and the Role of ENISA

・参考 - まるちゃんの情報セキュリティ気まぐれ日記
・2020.03.17 ENISA eIDAS準拠のeIDソリューションに関する報告書

 

・eIDASでETSITS 119403-3を参照する適格性の評価

・2019.11.15 Assessment of ETSI TS 119 403-3 related to eIDAS

・[PDF] Assessment of ETSI TS 119 403-3 - Eligibility of ETSI TS 119 403-3 for referencing in an eIDAS implementing act

・eIDAS規則の技術的実装のための推奨事項

・2019.12.17 Recommendations for technical implementation of the eIDAS Regulation

・[PDF] Recommendations for technical implementation of the eIDAS Regulation - Towards a harmonised Conformity Assessment Scheme for QTSP/QTS

 

UK Information commissioner's officeがパンデミック時の規制に関する文書を公表しましたね。。。

こんにちは、丸山満彦です。

UK Information commissioner's officeがパンデミック時の規制に関する文書を公表しましたね。。。

● UK -ICO

・2020.04.15 How we will regulate during coronavirus

・[PDF] The ICO’s regulatory approach during the coronavirus public health emergency

平時ではないので、本来の目的を意識して柔軟に対応をすることにしているということだと思います。

 

Continue reading "UK Information commissioner's officeがパンデミック時の規制に関する文書を公表しましたね。。。"

個人情報保護委員会 「テレワーク等により自宅においてマイナンバーを取り扱っても問題ないか」

こんにちは、丸山満彦です。

個人情報保護委員会が、Q&Aで「テレワーク等により自宅においてマイナンバーを取り扱っても問題ないか」について回答しています。

● 個人情報保護委員会

・2020.04.15 新型コロナウイルス感染症対策として、事業者等においてテレワーク等を活用する場合のマイナンバーの取扱いについて

・[PDF] 質問に対する回答 

答は、

↓

Continue reading "個人情報保護委員会 「テレワーク等により自宅においてマイナンバーを取り扱っても問題ないか」"

UKがCOVID-19の追跡アプリを独自に開発？

こんにちは、丸山満彦です。

UKがCOVID-19の追跡アプリを独自に開発することになるという報道がありますね。。。

● BBC - News

・2020.04.12 Coronavirus: UK confirms plan for its own contact tracing app by Leo Kelion

● SC Media UK

・2020.04.15 UK plans its own Covid contact tracing app

-----

● YouTube UK-Gov

・2020.04.12 Watch again: Matt Hancock gives new coronavirus update

-----

● TraceTogether, safer together - SG-Gov

● OpenTrace - GitHub

 

-----

シンガポールのシステムの概要

● BlueTrace: A privacy-preserving protocol for community-driven contact tracing across borders

 

批判的な研究者の発言もありますね。

● Light Blue Touchpaper - the Security Group at the University of Cambridge Computer Laboratory

・2020.04.12 Contact Tracing in the Real World

● Cryptology ePrint Archive

・2020.04.08 Report 2020/399 Analysis of DP3T by Serge Vaudenay

・[PDF] Analysis of DP3T

Abstract: To help fighting the COVID-19 pandemic, the Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) project proposed a Decentralized Privacy-Preserving Proximity Tracing (DP3T) system. This helps tracking the spread of SARS-CoV-2 virus while keeping the privacy of individuals safe. In this report, we analyze the security and the privacy protection of DP3T. Without questioning how effective it could be against the pandemic, we show that it may introduce severe risks to society. Furthermore, we argue that some privacy protection measurements by DP3T may have the opposite affect of what they were intended to. Specifically, sick and reported people may be deanonymized, private encounters may be revealed, and people may be coerced to reveal the private data they collect.

GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ！という報告書

こんにちは、丸山満彦です。

GAOは日本の会計検査院と同等の組織です。

	GAO	会計検査院
長	Gene Dodaro	森田祐司
設置	1921年	1880年
人数	約3000名（FTE）	約1250名（2019.01.01）
予算 2019年度	637 M US$ (約700億円)	約177億円

GDP比的に見ても米国は厚い陣容です。。。

ちなみに、現在の会計検査院長の森田さんは、私がトーマツに入った時の上司で最初の結婚式の仲人的な方です。システム監査をしておられて、ISACAに入るきっかけになった方でもあります(^^)。

話が脱線しましたが、そのGAOが国防総省にサイバー衛生を改善するように指摘をしております。。。

● U.S. Government Accountability Office (GAO) [wikipedia]

・2020.04.13 CYBERSECURITY:DOD Needs to Take Decisive Actions to Improve Cyber Hygiene

　・[PDF] Highlights Page

　・[PDF] Full Report

-----

Fast Facts

“Cyber hygiene” is a set of practices for managing the most common and pervasive cybersecurity risks. The Department of Defense’s cyber hygiene is critical as threats to its information and networks increase.

DOD has had 3 cyber hygiene initiatives underway. These efforts are incomplete—or their status is unknown because no one is in charge of reporting on progress.

DOD has also developed lists of its adversaries’ most frequently used techniques, and practices to combat them. Yet, DOD doesn’t know the extent to which it’s using these practices.

We made 7 recommendations that would have DOD fully implement cyber hygiene practices.

-----

Recommendation:

1. The Secretary of Defense should ensure that the DOD CIO takes appropriate steps to ensure implementation of the DC3I tasks. 
2. The Secretary of Defense should ensure that DOD components develop plans with scheduled completion dates to implement the four remaining CDIP tasks overseen by DOD CIO. 
3. The Secretary of Defense should ensure that the Deputy Secretary of Defense identifies a DOD component to oversee the implementation of the seven CDIP tasks not overseen by DOD CIO and report on progress implementing them. 
4. he Secretary of Defense should ensure that DOD components accurately monitor and report information on the extent that users have completed the Cyber Awareness Challenge training as well as the number of users whose access to the network was revoked because they have not completed the training.
5. he Secretary of Defense should ensure that the DOD CIO ensures all DOD components, including DARPA, require their users to take the Cyber Awareness Challenge training developed by DISA.
6. The Secretary of Defense should direct a component to monitor the extent to which practices are implemented to protect the department's network from key cyberattack techniques. 
7. The Secretary of Defense should ensure that the DOD CIO assesses the extent to which senior leaders' have more complete information to make risk-based decisions—and revise the recurring reports (or develop a new report) accordingly. Such information could include DOD's progress on implementing (a) cybersecurity practices identified in cyber hygiene initiatives and (b) cyber hygiene practices to protect DOD networks from key cyberattack techniques.

 

Continue reading "GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ！という報告書"

IAASB - INTERNATIONAL STANDARD ON RELATED SERVICES (ISRS) 4400 (REVISED)

こんにちは、丸山満彦です。

国際監査・保証基準審議会が合意された手続きに関する基準の改訂をしていますね。備忘録です。。。

● IAASB

・2020.04.03 INTERNATIONAL STANDARD ON RELATED SERVICES (ISRS) 4400 (REVISED)

・[PDF] Final Pronoucement ISRS 4400 Revised Agreed Upon Procedures

 

 

European Union Agency for fundmental Human Lights - Coronavirus pandemic in the EU - Fundamental Rights Implications - Bulletin 1

こんにちは、丸山満彦です。

European Union Agency for fundmental Human Lights からCoronavirus pandemic in the EU - Fundamental Rights Implications - Bulletin 1が公開されています。

宮下先生、高橋郁夫先生からん紹介です。。。COVID-19の感染拡大防止とプライバシーの関係についても触れられています。

● European Union Agency for fundmental Human Lights

・2020.04.13 Coronavirus pandemic in the EU - Fundamental Rights Implications - Bulletin 1

・[PDF] Coronavirus pandemic in the EU - Fundamental Rights Implications - Bulletin 1

-----

The outbreak of COVID-19 affects people’s daily life in the 27 EU Member States. As the number of infected people in the EU territory began to mount rapidly in February and March, governments put in place a raft of measures – often introduced in a period of only a few days – in an effort to contain the spread of the virus. Many of these measures reflect how, in exceptional emergency situations, the urgent need to save lives justifies restrictions on other rights, such as the freedom of movement and of assembly. This report outlines some of the measures EU Member States have put in place to protect public health during the COVID-19 pandemic. It covers the period 1 February – 20 March 2020.

-----

・2020.04.08 Press Lerease Protect human rights and public health in fighting COVID-19

 

内容はすでに高橋郁夫先生が分析を始めています。。。

【参考】

● 駒澤綜合法律事務所 - IT Law

・2020.04.13 コロナウイルス（Covid-19)とGDPR　（1２)　宮下先生からの情報

Continue reading "European Union Agency for fundmental Human Lights - Coronavirus pandemic in the EU - Fundamental Rights Implications - Bulletin 1"

NIST White Paper 5G Cybersecurity: Preparing a Secure Evolution to 5G

こんにちは、丸山満彦です。

NISTが5G securityに関する白書を出していますね。。。

● NIST ITL

・2020.04.13  White Paper 5G Cybersecurity: Preparing a Secure Evolution to 5G

● NIST - NCCoE

・Preparing a Secure Evolution to 5

・[PDF] 5G CYBERSECURITY - Preparing a Secure Evolution to 5G

Continue reading "NIST White Paper 5G Cybersecurity: Preparing a Secure Evolution to 5G"

NIST SP 1800-19(Draft) Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments

こんにちは、丸山満彦です。

NISTがVMウェアのセキュリティガイドのドラフトを公表していますね。

● NIST ITL

・2020.04.13 SP 1800-19(Draft)  Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments

　・ Submit Comments on SP 1800-19C (other)
　・[PDF] SP 1800-19C How-To Guides 
　・[PDF] SP 1800-19A Executive Summary  (Prelim. Draft 1)
　・[PDF] SP 1800-19B Approach, Architecture, and Security Characteristics (Prelim. Draft 1)
　・ Project Homepage (other)

-----

Abstract

A cloud workload is an abstraction of the actual instance of a functional application that is virtualized or containerized to include compute, storage, and network resources. Organizations need to be able to monitor, track, apply, and enforce their security and privacy policies on their cloud workloads, based on business requirements, in a consistent, repeatable, and automated way. The goal of this project is to develop a trusted cloud solution that will demonstrate how trusted compute pools leveraging hardware roots of trust can provide the necessary security capabilities. These capabilities not only provide assurance that cloud workloads are running on trusted hardware and in a trusted geolocation or logical boundary, but also improve the protections for the data in the workloads and in the data flows between workloads. The example solution leverages modern commercial off-the-shelf technology and cloud services to address a particular use case scenario: lifting and shifting a typical multi-tier application between an organization-controlled private cloud and a hybrid/public cloud over the internet.

-----

 

Continue reading "NIST SP 1800-19(Draft) Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments"

約2300名分のZoomの認証情報のリストがDark Webのフォーラム上にあるようですね。。。

こんにちは、丸山満彦です。

銀行、コンサルティング会社、教育施設、医療機関、ソフトウェアベンダー等の、幅広い組織に属するZoomアカウントの認証情報（約2300名分）がダークウェブのフォーラムで流通しているようです。メールアドレスとパスワードのみが含まれているものだけでなく、中には会議ID、名前、ホストキーが含まれているものもあるようです。

● Insights - Blog

・2020.04.10 Zooming in on the Target: Cybercriminals Automate Attacks Against Remote Workers by Etay Maor

-----

In a recent investigation of deep and dark web forums, IntSights researchers came across a cybercriminal who shared a database containing more than 2300 usernames and passwords to Zoom accounts.

An analysis of the database revealed that aside from personal accounts, there were many corporate accounts belonging to banks, consultancy companies, educational facilities, healthcare providers, and software vendors, amongst others. While some of the accounts “only” included an email and password, others included meeting IDs, names and host keys as seen in the image below.

-----

● Security Affaris

・2020.04.12 Thousands Zoom credentials available on a Dark Web forum by Pierluigi Paganini

 

AppleとGoogleが協力して携帯電話を使ってCOVID-19感染者と接触したかを通知する仕組みを導入？

こんにちは、丸山満彦です。

AppleとGoogleが協力してCOVID-19の感染拡大を防ぐ対策をするということが、話題になっていますね。。。

仕組みとしては、一定時間以上近くにいた人の情報を匿名で貯めておき、COBID-19に感染をした人が登録すると、その情報が共有され、最近感染者に接触しましたとアラートをあげる仕組みです。。。

● Apple
・2020.04.10 Apple and Google partner on COVID-19 contact tracing technology
・2020.04.10 AppleとGoogle、新型コロナウイルス対策として、濃厚接触の可能性を検出する技術で協力

● Google
・2020.04.10 Apple and Google partner on COVID-19 contact tracing technology

 

● Twitter - Tim Cook 
・2020.04.11 02:03 Contact tracing can help slow the spread of COVID-19 and can be done without compromising user privacy. We’re . with @sundarpichai & @Google to help health officials harness Bluetooth technology in a way that also respects transparency & consent.

● Twitter - Sundar Pichai
・2020.04.11 02:04 To help public health officials slow the spread of #COVID19, Google & @Apple are working on a contact tracing approach designed with strong controls and protections for user privacy. @tim_cook and I are committed to working together on these efforts.

 

● BBC
・2020.04.10 Coronavirus: Apple and Google team up to contact trace Covid-19 by Leo Kelion

● Time
・2010.04.10 Apple, Google Announce COVID-19 Smartphone Contact Tracing in Rare Partnership BY MARK GURMAN / BLOOMBERG

● The VERGE
・2020.04.10 Apple and Google are building a coronavirus tracking system into iOS and Android - Potentially a huge step forward in the fight against COVID-19 By Russell Brandom and Adi Robertson 
・2020.04.11 How Apple and Google are tackling one of the toughest parts about tracking COVID-19 exposures - Adoption is the hard part of contact tracing apps so far — but if it’s baked into the operating system, it gets a lot easier by Casey Newton

 

● The Hacker News
・2020.04.10 Google and Apple Plan to Turn Phones into COVID-19 Contact-Tracking Devices by Ravie Lakshmanan

● Threat Post
・2020.04.10 Apple, Google Team on Coronavirus Tracking – Sparking Privacy Fears by Lindsey O'Donnell

● WIRED
・2020.04.10 How Apple and Google Are Enabling Covid-19 Contact-Tracing - The tech giants have teamed up to use a Bluetooth-based framework to keep track of the spread of infections without compromising location privacy. by ANDY GREENBERG

● techcrunch
・2020.04.11 Apple and Google are launching a joint COVID-19 tracing tool for iOS and Android by Matthew Panzarino

 

● IT Media
・2020.04.11 AppleとGoogleが提携　新型コロナの感染防止で　スマホのBluetoothで濃厚接触を検出  by 山口恵祐
・2020.04.11 GoogleとApple共闘の新型コロナ対策、その仕組みとプライバシー by 佐藤由紀子

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.10 米国自由人権協会　COVID-19の封じ込めのための位置情報は限界を理解して活用を検討するようにコメント？

・2020.04.09 スイス連邦データ保護・透明性委員会　COVID-19感染拡大防止を目的とした外出自粛の履行状況を確認するために、スイスコムが連邦健康局にユーザの位置情報を提供したことはその内容を踏まえてデータ保護法上問題ないと発表

・2020.04.08 欧州データ保護委員会が、COVID-19に関連してデータ保護、追跡・測位ツールの使用に関するガイダンスを作成することに

・2020.04.08 欧州委員会はモバイルデータとモバイルアプリを活用した出口戦略を支援する勧告を採択

・2020.04.08 Cookie等の追跡技術の使用に関する報告書 by アイルランド・データ保護委員会

・2020.04.03 個人情報保護委員会 新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて

・2020.04.01 英国政府（コミッショナー） コロナウイルス危機対応のための携帯電話追跡データの使用に関する声明 

・2020.04.01 政府から移動通信事業者等に対する「新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請

 

Continue reading "AppleとGoogleが協力して携帯電話を使ってCOVID-19感染者と接触したかを通知する仕組みを導入？"

2020年11月の大統領選はネット投票が行われるか？

こんにちは、丸山満彦です。

米国のCOVID-19の影響は非常に大きいですね。もし、この状態が11月まで続くと大統領選にまで影響することになるかもしれません（集会等が難しくなっているので、少なくとも選挙活動には影響していますね）。現在のところは、大統領選の延期や投票方法の変更などがある等の特段の発表はされていません。

対面での投票が難しくなっても、インターネット投票ではなく、郵送等の方法でするのが良いのではと思います。

● Cyber Scoop

・2020.04.08 Experts: Internet voting isn’t ready for COVID-19 crisis by Brett Winterford

上記の記事によると、米国のセキュリティ専門家も同じ感覚ですね。

郵送が良いと言っている専門家もいますね。。。

-----

COVID-19 presents a very specific problem to the November election, he said, for which online voting isn’t necessarily the right answer. The need is for a mode of voting that doesn’t require hundreds of people to congregate in queues at polling stations. “But that problem is solved already,” Hursti said. “We’ve had early ballots, absentee ballots, mail-in ballots and other methods of voting for 40 or 50 years.”

-----

 

● Cyber Scoop

・2020.03.17 Election commission hires cyber-savvy adviser to support 2020 efforts by Sean Lyngaas

 

3Dプリンターで指紋を偽造し認証すると...80%成功？

こんにちは、丸山満彦です。

（１）直接採取、（２）リーダから取得した複数画像、（３）ガラスについた指紋を使って3Dプリンターで指紋を偽造したところ、平均80%で突破できたようですね。。。

● CISCO - TALOS - Blog

・2020.04.08 Fingerprint cloning: Myth or reality?

実験の様子が詳細です(^^)

IPA セキュリティ製品の有効性検証の試行について

こんにちは、丸山満彦です。

IPAが「セキュリティ製品の有効性検証の試行について」を公表していますね。。。

● IPA

・2020.04.10 セキュリティ製品の有効性検証の試行について

選定された製品は、

　（1）「yamory」：ビジョナル・インキュベーション株式会社
　（2）「AX-Network-Visualization」：アラクサラネットワークス株式会社

さてさて、結果は、。。
 

米国自由人権協会 COVID-19の封じ込めのための位置情報は限界を理解して活用を検討するようにコメント？

こんにちは、丸山満彦です。

100年の歴史を誇る米国のNGOである米国自由人権協会（American Civil Liberties Union, ACLU ）が、COVID-19の感染拡大を防止するために位置情報を活用することについて、限界とプライバシー上の問題をよく考えた上で利用するべきであるという白書を出していますね。。。

● American Civil Liberties Union, ACLU

・2020.04.08 ACLU WHITE PAPER: THE LIMITS OF LOCATION TRACKING IN AN EPIDEMIC / [Downloaded]

・2020.03.30 Is Location Tracking Technology the Magic Pill to Stemming the Coronavirus

 

● SC Media
・2020.04.09 ACLU: Privacy Concerns abound over location tracking to stop Covid-19 spread By Teri Robinson

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.09 スイス連邦データ保護・透明性委員会　COVID-19感染拡大防止を目的とした外出自粛の履行状況を確認するために、スイスコムが連邦健康局にユーザの位置情報を提供したことはその内容を踏まえてデータ保護法上問題ないと発表

・2020.04.08 欧州データ保護委員会が、COVID-19に関連してデータ保護、追跡・測位ツールの使用に関するガイダンスを作成することに

・2020.04.08 欧州委員会はモバイルデータとモバイルアプリを活用した出口戦略を支援する勧告を採択

・2020.04.08 Cookie等の追跡技術の使用に関する報告書 by アイルランド・データ保護委員会

・2020.04.03 個人情報保護委員会 新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて

・2020.04.01 英国政府（コミッショナー） コロナウイルス危機対応のための携帯電話追跡データの使用に関する声明 

・2020.04.01 政府から移動通信事業者等に対する「新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請

Continue reading "米国自由人権協会　COVID-19の封じ込めのための位置情報は限界を理解して活用を検討するようにコメント？"

米国国土安全保障省（サイバー・インフラ安全保障局）と英国サイバーセキュリティセンターは共同で、COVID-19の感染拡大に乗じたサイバー攻撃の増加に警告していますね

こんにちは、丸山満彦です。

米国国土安全保障省（サイバー・インフラ安全保障局）（ Cybersecurity and Infrastructure Security Agency (CISA) ）と英国サイバーセキュリティセンター（National Cyber Security Centre）は共同で、COVID-19の感染拡大に乗じたサイバー攻撃の増加に警告していますね。

● CISA

・2020.04.08 Alert (AA20-099A) COVID-19 Exploited by Malicious Cyber Actors

● NCSC

・2020.04.08 Advisory: COVID-19 exploited by malicious cyber actors

・[PDF] Advisory: COVID-19 exploited by malicious cyber actors

-----

● Avast

・2020.04.10 Remote workers targeted for cyberattacks

Continue reading "米国国土安全保障省（サイバー・インフラ安全保障局）と英国サイバーセキュリティセンターは共同で、COVID-19の感染拡大に乗じたサイバー攻撃の増加に警告していますね"

外貨両替のTravelex社はSodinokibiランサムウェアの解決のために2.3MUS$（2.5億円）の身代金を支払った？

こんにちは、丸山満彦です。

外貨両替のTravelex社がSodinokibiランサムウェアの解決のために2.3M US$（2.5億円）の身代金を支払ったようです。

● The Wall Street Journal

・2020.04.09 Travelex Paid Hackers Multimillion-Dollar Ransom Before Hitting New Obstacles - U.K. foreign-exchange company paid about $2.3 million in bitcoin to cybercriminals months before its business began unraveling (有料)

● BleepingComputer

・2020.04.09 Travelex Reportedly Paid $2.3 Million Ransom to Restore Operations By Lawrence Abrams

BleepingComputerの記事によると、攻撃者は、

• 会社ネットワーク全体の暗号化
• バックアップファイルの削除し
• 5GBを超える個人データのコピー

をしたということのようです。その上で、身代金の支払いに応じなさそうとなると、ハッカーフォーラムで脅し始めたようです。。。

単に暗号化するだけでなく、個人情報、機密情報等を搾取した上、それを公表すると脅すタイプが増えていますよね。。。

 

 

Zoom 90日間プランの更新 - 元Facebook CSO Alex Stamos氏のアドバイザー就任

こんにちは、丸山満彦です。

投資家に訴えられたり、いろいろと大変な状況となってきていますが、2020.04.01に公開した90日間プランの更新（進捗）がありましたね。

一つは、CISO評議会および諮問委員会ですね。CISO評議会の目的は、プライバシー、セキュリティ、技術上の問題とベストプラクティスについて継続的に議論をし、アイデアを共有し、協力することです。諮問委員会（Advisory Board）はCISOカウンシルの下部組織でCEOを支えます。

次に、元Facebook CSO Alex Stamos氏のアドバイザー就任ですね。

最後は、透明性です。毎週水曜日にプライバシーとセキュリティの改善状況についてのWebinerをすることですね。。。

せっかくの素晴らしい技術ですから、この難局をうまく乗り越えて、ビジネスが成功してくれると良いですね。。。

 

● Zoom

・2020.04.08 Press UPDATE -- Zoom Provides Update on 90-Day Plan to Bolster Key Privacy and Security Initiatives

・2020.04.08 Blog Update on Zoom’s 90-Day Plan to Bolster Key Privacy and Security Initiatives by ERIC S. YUAN

● Medium

・2020.04.08 Working on Security and Safety with Zoom by Alex Stamos

-----

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.09 Zoomが株主から訴えられる・・・

・2020.04.04 Zoomの暗号の問題 

・2020.04.03 Zoom IDを見つけるためのツールは1時間あたり平均110の会議を見つけることができ、入り込む成功率は約14%

・2020.04.02 Zoom関連の脆弱性など。。。

・2020.03.31 FBIが、COVID-19で在宅勤務や在宅学習が増えることによるZoomを使ったサイバー犯罪についての注意喚起をしていますね。。。

 

 

 

スイス連邦データ保護・透明性委員会 COVID-19感染拡大防止を目的とした外出自粛の履行状況を確認するために、スイスコムが連邦健康局にユーザの位置情報を提供したことはその内容を踏まえてデータ保護法上問題ないと発表

こんにちは、丸山満彦です。

COVID-19の感染拡大防止を目的として、携帯電話契約者の位置情報を施策の立案や実効性を確認するために利用する動きがあります。日本でも2020.03.31に新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請（総務省）等が行われていますが、他の国でも同じです。

どこの国も利用者の位置情報データをそのまま渡しているのではなく、データの集約や匿名化等の加工はしているようです。つまり、目的を達成するために必要な範囲でできる限り特定の個人に到達できないようにしているということですね。。。

● Préposé fédéral à la protection des données et à la transparence (PFPDT)
・2020.04.03 Mise à jour - Protection des données dans le cadre de l’endiguement du coronavirus (Fr)

● JETRO
・2020.04.09 データ保護・透明性委員会、外出自粛の状況確認にモバイル位置情報の利用を認める

-----

PFPDTは3月25日にスイスコムに対して、保有するユーザーデータにFOPHがアクセスすることへの見解を明らかにするよう求めていた。スイスコムは3月27日と4月2日に回答した。これによると、スイスコムはモバイルユーザーの移動情報を匿名化し集団統計情報として取り扱うモビリティ・インサイト（MIP）プラットフォームを利用して、スイス国内におけるユーザーの位置情報を視覚化していた。スイスコムはFOPHに対し、100平方メートル単位で20人以上のユーザーがいたかどうかを地図上に表したデータを8時間以上経過後に提供していた。

PFPDTは、その提供について以下の点を認めた。

• ユーザーの位置情報を匿名化した上で集計
• 組織的なデータ利用方法は明らかにされていないが、MIPプラットフォームについては過去数年の運用実績があり、データ保護上の明らかな瑕疵（かし）が認められない
• スイスコムはFOPHにMIPプラットフォームにより視覚化された情報を提供する。FOPHは当該情報の基となるデータにはアクセスできない
• ユーザーの位置情報の集計データについて匿名性が保持されている

これらのことから、FOPHがアクセス可能なデータは匿名化されたデータに限られているとし、PFPDTは、スイスコムによるデータの取り扱い方法とFOPHへのデータ提供はデータ保護法上問題ないと判断した。

-----

PFPDT・・・「連邦データ保護・透明性委員会」
FOPH・・・「連邦健康局」

スイステレコムからの回答

・2020.04.03 [PDF] SwisscomデータのFOPHへの転送の評価（De）
Kurzauswertung der Datenlieferung der Swisscom an das BAG in Zusammenhang mit der Eindämmung des Corona- virus – Version
・2020.04.03 [PDF] FOPHによるMIPプラットフォームの使用に関するFAQ （De）

-----

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.08 欧州データ保護委員会が、COVID-19に関連してデータ保護、追跡・測位ツールの使用に関するガイダンスを作成することに

・2020.04.08 欧州委員会はモバイルデータとモバイルアプリを活用した出口戦略を支援する勧告を採択

・2020.04.08 Cookie等の追跡技術の使用に関する報告書 by アイルランド・データ保護委員会

・2020.04.03 個人情報保護委員会 新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて

・2020.04.01 英国政府（コミッショナー） コロナウイルス危機対応のための携帯電話追跡データの使用に関する声明 

・2020.04.01 政府から移動通信事業者等に対する「新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請

Continue reading "スイス連邦データ保護・透明性委員会　COVID-19感染拡大防止を目的とした外出自粛の履行状況を確認するために、スイスコムが連邦健康局にユーザの位置情報を提供したことはその内容を踏まえてデータ保護法上問題ないと発表"

JIPDEC 「プライバシーマークとISMS認証について」という難しいお題に対する説明。。。

こんにちは、丸山満彦です。

PマークとISMSについての話です。。。

JIPDECは事業者が個人情報の取扱いを適切に行う体制等を整備していることを評価する制度として1998年4月からPマーク制度を運用しています。この制度は、民間部門の個人情報の取扱いに関する方策（行政機関には立法で対応した）として、経済産業省の指導を受けて作られたものです。その後、2005年に個人情報保護法が施行されたので、認定のポイントが対策からマネジメント認証に軸足を移さざるをえなくなってきています。

一方、JIPDECは事業者が情報セキュリティの管理を適切に行う体制等を整備していることを評価する制度として2002年4月からISMS認証制度を運用しています。この制度は、情報処理サービス業のコンピュータシステムが十分な安全対策を実施しているかどうかを認定する制度として、昭和56年（1981年）7月20日通商産業省告示342号による「情報システム安全対策実施事業所認定制度（安対制度）」という政府認定の制度の民間移管に伴い作られた制度です。情報セキュリティがあらゆる場面で重要となってきたためか、認証基準やガイドラインがたくさんできています。

私は両方の制度に関わったことがあるのですが（今も薄く関わっています）、特にISMS認証制度については、制度立ち上げから関わっています。安対制度が設備、技術中心であったものをマネジメント認証制度に変更していきました（たまたま当時、英国のマネジメント認証規格で会ったBS7799が注目を集め始めていた頃で、英国がISO 9000やISO 14000に続いて国際基準化する方向にあったのを知っていたので、BS7799をベースに認証基準を作りました。その際には元安対基準をベースに作りたいという人も多く難儀しましたが・・・）。

さて、このような別々の成り立ちからできた制度（したがって、JIPDECで対応している部署も別）ですが、個人情報の保護をするためには情報セキュリティ対策が必要となること、一方、情報セキュリティマネジメントの対象として個人情報の保護も必須となってくることから、常に二つの制度は微妙な関係でJIPDEの中で両立していました。

そして、2019年に情報セキュリティマネジメントの認証規格であるISO/IEC 27001をプライバシー情報に拡張したISO/IEC 27701プライバシー情報のマネジメントシステム認証規格が登場します。こうなってくると、Pマーク制度とISMSを拡張したPIMSの違いがますますわかりにくくなりました。。。

ということで、JIPDECが説明文書を公開しました(^^)

● JIPDEC

・2020.04.09 プライバシーマークとISMS認証について

-----

プライバシーマークは、付与事業者の方々にビジネス取引の現場だけでなく企業のWebサイトやTV CM、店頭等でもご活用いただいており、個人情報保護を重要視しているという企業の姿勢を示すマークとして多くの方にご理解いただいております。一方、ISO/IEC 27701を付加したISMS認証^(注2)は、今後、国際的な認知が高まることが予想され、海外の取引先等からの要請に応える場合に有効になると考えられます。

----

上記の背景を理解すると、この説明文書の内容もよりよく理解できるかも...です。。。

 

【参考】

● JIPDEC - 付与事業者情報

● ISMS-AC 
・2020.04.08 ISO/IEC 27701への対応について

● Microsoft Japan - ISO/IEC 27701 プライバシー情報管理システム (PIMS)

● まるちゃんの情報セキュリティ気まぐれ日記
・2020.04.03 佐藤慶浩さんによる「15分でわかる「ISO/IEC 27701国際規格（プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張－要求事項及び指針）の概要紹介」を講演録」

 

米国医師会が遠隔医療のための導入参考書（Play book）を策定してますね。

こんにちは、丸山満彦です。

米国医師会がCOVID-19の拡大を踏まえて遠隔医療のための導入参考書（正式にはPlay bookとなっていて、情報提供目的です）を公表していますね。。。

米国医師会の調査によれば、2016年から2019年にかけて、遠隔医療（Telehealth : Tele-visits /virtual visits）の活用が14％から28％に増えたとされています。まぁ、国土が広く、人が分散して居住していることもあり、遠隔医療は重要なのでしょうね。。。

で、今回のCOVID-19のPandemicでNYや空母での医療崩壊がありますので、物理的な対応が必要でない部分は遠隔医療を活用することにより、リソースの最適配分をするということなのでしょうね。。。

このガイドは、

• 計画フェーズ
• 実装フェーズ

の２つに分かれていて、それぞれお6つのステップ、つまり合計12のステップに分けて説明しています。

計画フェーズは、

1. ニーズの特定
2. チームの形成
3. 成功の定義
4. ベンダーの評価
5. ケースの作成
6. 契約

実装フェーズは、

1. ワークフローの設計
2. ケアチームの準備
3. 患者とのパートナーシップ
4. プログラムの実行
5. 成功の評価
6. プログラムの拡張

となっていますね。

もちろん、セキュリティも計画、実装に当たっての重要な要素となっています。。。

例えば、ベンダーの評価の部分には、サイバーセキュリティ対策もポイントとなっていて、Appendix D.3にCybersecurityの項目がありますね。

APPENDIX D / EVALUATING THE VENDOR
D.3: Cybersecurity 101: What You Need to Know

こういうところに、SOC2と言う単語が普通に出てくるところが米国ですね。。。

 

● American Medical Association (AMA)

・2020.04.06 AMA expands Digital Health Playbook Series to integrate telemedicine

・[PDF] Telehealth Implementation Playbook (128pages)

なお、digital health careの調査については、

・2020.02 AMA digital health care 2016 & 2019 study findings

・[PDF] AMA Digital Health Research Physicians’ motivations and requirements for adopting digital health
Adoption and attitudinal shifts from 2016 to 2019 (37pages)

・2020.02.06 Why physicians’ use of digital health is on the rise

 

Continue reading "米国医師会が遠隔医療のための導入参考書（Play book）を策定してますね。"

Zoomが株主から訴えられる・・・

こんにちは、丸山満彦です。

COVID-19でビデオ会議が普通になり、画質の良いと言う評判もあり、Zoom利用者が20倍になったという話もあったような・・・ところが、セキュリティやプライバシー問題が明らかになり、NYでは州の学校での利用が禁止されたりで、株価が下がったようですね。で、株主に訴えられようです・・・

● Bloomberg - News
・2020.04.08 Zoom Sued for Fraud Over Privacy, Security Flaws

● CNET - News
・2020.04.08 Zoom sued by shareholder over security issues

● Silicon Valley business Journal
・2020.04.08 Zoom brings former Facebook security chief in to advise amid criticism, lawsuit over privacy flaws

 

株価

欧州データ保護委員会が、COVID-19に関連してデータ保護、追跡・測位ツールの使用に関するガイダンスを作成することに

こんにちは、丸山満彦です。

欧州データ保護委員会（European Data Protection Board (EDPB)
）がCOVID-19に関連してデータ保護、追跡・測位ツールの使用に関するガイダンスを作成することになったようですね。。。

● European Data Protection Board (EDPB) 

・2020.04.07 Twentieth Plenary Session: adopted documents

 

第20回本会議の採択文書は２つで、

1. COVID-19発生下における研究目的の健康データの処理に関する義務
2. COVID-19発生下における地理位置情報とその他の追跡ツールについての義務

それぞれの文章は

1. [PDF] Mandate on the processing of health data for research purposes in the context of the COVID-19 outbreak
2. [PDF] Mandate on geolocation and other tracing tools in the context of the COVID-19 outbreak

Continue reading "欧州データ保護委員会が、COVID-19に関連してデータ保護、追跡・測位ツールの使用に関するガイダンスを作成することに"

欧州委員会はモバイルデータとモバイルアプリを活用した出口戦略を支援する勧告を採択

こんにちは、丸山満彦です。

欧州委員会はモバイルデータとモバイルアプリを活用した出口戦略を支援する勧告を採択したようですね。。。

● European Commission

・2020.04.08 Coronavirus: Commission adopts Recommendation to support exit strategies through mobile data and apps

二つのアプローチを想定しているようですね。

（１）追跡アプリの使用のための共通の協調的なアプローチ
（２）広がりを予測しモデル化するための共通のアプローチ

（１）は、人々が効果的に社会的距離を取ることができるようにするためのモバイル・アプリケーショ ンの使用と、警告、予防、連絡先追跡のための協調的なアプローチ

（２）は、匿名化されたり、集約されたモバイルから得られる位置データを用いてウイルスの進化をモデル化し、予測するための共通のアプローチ。

 

今後の予定として、

• 加盟国は、欧州委員会とともに、2020年4月15日までに、欧州データ保護委員会（European Data Protection Board）と連携して、モバイルアプリケーションに関する汎欧州的なアプローチに向けたツールボックスを開発する。
• 加盟国は、2020年5月31日までに実施した措置を報告し、その措置を他の加盟国や欧州委員会がピアレビューのために利用できるようにする。
• 欧州委員会は、進捗状況を確認し、2020年6月から危機の期間中は定期的に報告書を発行し、不必要な措置の段階的な廃止を勧告する。

 

勧告

・[PDF] Commission Recommendation on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis [Downloaded]

 

 

 

 

AccentureがOT+ITのセキュリティを手がけるRevolutionary Security社を買収

こんにちは、丸山満彦です。

AccentureがOT+ITのセキュリティを手がけるRevolutionary Security社を買収をしたようですね。

● ZDnet
・2020.04.07 Accenture acquires cybersecurity startup Revolutionary Security

● ZDnet Japan
・2020.04.08 アクセンチュア、重要インフラのサイバーセキュリティ新興企業Revolutionary Security買収

しかし、Kellyは戦略的で、積極的ですね。。。

-----

　Accentureのセキュリティ部門を率いるKelly Bissell氏は「Revolutionary Securityの買収も、クライアントをサイバー脅威から守り続けるために投資するという、われわれの継続的なコミットメントの一環だ」と述べるとともに、「Revolutionary SecurityのサービスはAccentureのポートフォリオを補完する上で最適だと言える。また、この買収は、顧客が組織をエコシステム全体で保護し、防御できるよう支援するという当社のミッションを強化する」としている。

　Accentureは、これまでにDeja vu SecurityやiDefense、Arismore、Maglan、Redcore、FusionXを買収しており、セキュリティに重点を置いた事業部門を複数擁している。

-----

● Revolutionary Security

 

Cookie等の追跡技術の使用に関する報告書 by アイルランド・データ保護委員会

こんにちは、丸山満彦です。

アイルランドのデータ保護委員会が、Cookie等の追跡技術の使用に関する報告書を公開していますね。。。

● Ireland - the Data Protection Commission (DPC) 

・2020.04.06 Report by the DPC on the use of cookies and other tracking technologies

この調査の目的は、Cookie等の追跡技術の企業等への導入状況を把握し、企業等が法律をどのように遵守しているかについての情報提供を求めることのようです。特に、Cookie等の追跡技術の使用に関して、どのようにユーザの同意を得ているかを調査したいと考えていたようです。

その結果、広告技術と顧客の追跡がビジネスモデルの中核をなしていることが明らかになったとのことです。。。

 

・2020.04.06 [PDF]Report by the Data Protection Commission on the use of cookies and other tracking technologies [Downloaded]

・2020.04.06 [PDF]Guidance note on cookies and other tracking technologies [Downloaded]

 

新しいCookieガイダンスの重要なポイントは次のような感じです。。。

• 組織は、不要なCookieおよび類似技術（SDK、ピクセルトラッカー、「いいね」ボタン、ソーシャル共有ツール、デバイスのフィンガープリント技術等）がサイトまたはアプリのランディングページに設定されていないことを確認する。
• Cookieバナーまたはポップアップを実装することで利用者の同意を得ることは、次の条件で許容される。
  • Cookieバナーまたはポップアップは、組織が特定の目的のためにCookie等の使用について同意を要求していることを概説し、利用者が不要なCookie等を拒否するか、Cookie等の使用に関する詳細情報を要求することができるようにしている。「サイトを継続して使用することにより、Cookieの使用に同意する」などの表現は許容されない。
  • Cookieのバナーまたはポップアップは、利用者を「拒否」ではなく「受け入れ」を誘導ように設計されていない。実際には、バナーに「承認」ボタンがある場合、バナーは「拒否」ボタン、または利用者に第二層で、Cookieの設定が管理できるようにしておかなければならない。
    
  • この第二層は、設定されているCookie等の種類と目的、およびそれらのCookie等が展開されたときに収集された情報を処理する第三者について、より詳細な情報を提供する必要がある。Cookieの種類と目的別に、事前にチェックしてはならないチェックボックスや、デフォルトで「オン」に設定してはならないスライダなどを介して、そのようなCookie等を受け入れるか拒否するかのオプションをユーザーに提供しなければならない。チェックボックスやスライダは、利用者が機能性を推測する必要がないように、たとえ二値の色の選択があったとしても、「オン」または「オフ」と明確にマークされるべきです。
    
• 利用者が、Cookieの設定をいつでも変更できるようにしなければならない。例えば、各ウェブページで利用可能なCookieボタンを使って、スライダやオン/オフのオプションを明らかにする。
• 利用者がCookieの使用に同意した記録を保存するためにCookieが使用される場合、このCookieの有効期間は6か月でなければなりません。フランスのCNILと同様に、DPCは6ヶ月後に利用者から再び同意を得ることが適切であると考えている。
• 同意の記録は、利用者の同意の表明（または撤回）が効果的に行われることを保証する実証可能な組織的および技術的手段によってバックアップする必要がある。
• Analytics Cookie、ターゲティングCookie、およびマーケティングCookieには、利用者の事前の同意が必要である。ただし、ファーストパーティの分析Cookieは潜在的にリスクが低いと見なされているため、DPCによる正式な執行措置の優先事項となることはほとんどない。
• 組織は（共同の）データコントローラーまたはデータプロセッサとして、WebサイトまたはアプリでCookie等を使用する第三者の役割を調査する必要がある。特に、第三者のアセットとプラグインの使用から生じる可能性のある共同データコントローラーの問題を調査する必要がある。必要に応じて、これらの第三者との適切なデータ処理契約を締結する必要がある。これには、処理の実際の事実が反映されている必要がある。

 

【参考】

● PrivSec Report - news

・2020.04.06 Report by the DPC on the use of cookies and other tracking technologies by PRIVSEC REPORT

● Hunton Andrews Kurth

・2020.04.08 Irish DPC Publishes New Cookie Guidance

。

Continue reading "Cookie等の追跡技術の使用に関する報告書 by アイルランド・データ保護委員会"

七都府県に出された緊急事態宣言等を含むCOVID-19関係の影響・・・

こんにちは、丸山満彦です。

2020.04.07に緊急事態宣言が七都府県に出されたわけですが、その影響が出てきていますね。個人的に気になった部分をまとめておきます。。。

■ 裁判関係

● 弁護士紀藤正樹のＬＩＮＣ TOP NEWS－ＢＬＯＧ版

・2020.04.08 今日、緊急事態宣言後4月8日からの裁判所の対応

-----

司法分野でも、明日から東京地方裁判所のほぼ全機能が停止され、刑事事件などの一部処理を除き、ほとんどの裁判期日が取り消されることになった。

しかし明日からは、市民の裁判所へのアクセスすら難しい状況なのに、それでも時効、上訴期限、書面提出期限などの失権期限は進んでしまう。

法的な形で、緊急事態宣言が出される時は、時効など、期限の到来に関するものは、自動的にその期間を延長させるなどの仕組みが必要ではないか。裁判を受ける権利など、市民の基本的な権利に強く影響する。

----

■ 株主総会関係

● 経済産業省 - 新型コロナウイルス感染症関連（宣言が出される前から準備しています・・・）

・2020.04.06 株主総会（オンラインでの開催等）、企業決算・監査等の対応

● 法務省 - 新型コロナウイルス感染症に関する情報はこちらに掲載しています。

・2020.04.02 定時株主総会の開催について

-----

１　定時株主総会の開催時期に関する定款の定めについて
　定時株主総会の開催時期に関する定款の定めがある場合でも，通常，天災その他の事由によりその時期に定時株主総会を開催することができない状況が生じたときまで，その時期に定時株主総会を開催することを要求する趣旨ではないと考えられます。
　したがって，今般の新型コロナウイルス感染症に関連し，定款で定めた時期に定時株主総会を開催することができない状況が生じた場合には，その状況が解消された後合理的な期間内に定時株主総会を開催すれば足りるものと考えられます。なお，会社法は，株式会社の定時株主総会は，毎事業年度の終了後一定の時期に招集しなければならないと規定していますが（会社法第２９６条第１項），事業年度の終了後３か月以内に定時株主総会を開催することを求めているわけではありません。

-----

■ 有価証券報告書

● 金融庁

・2020.02.10 新型コロナウイルス感染症に関連する有価証券報告書等の提出期限について

-----

金融商品取引法に基づく開示書類（有価証券報告書及び内部統制報告書、四半期報告書、半期報告書）について、今般の新型コロナウイルス感染症の影響に伴い、中国子会社への監査業務が継続できないなど、やむを得ない理由により期限までに提出できない場合は、財務（支）局長の承認により提出期限を延長することが認められていますので、ご遠慮なく所管の財務（支）局にご相談ください。
（注）有価証券報告書及び
　　　内部統制報告書の提出期限     ： 事業年度経過後3ヶ月以内
　　   四半期報告書の提出期限　     ： 四半期会計期間経過後45日以内
         半期報告書の提出期限 　    　： 中間会計期間経過後3ヶ月以内

-----

 

【参考】

● ビジネス法務の部屋 山口利昭弁護士

・2020.04.08 新型コロナウイルス緊急事態宣言と在宅勤務推進に向けた企業の対応

・2020.04.06 新型コロナウイルス「緊急事態宣言」と企業コンプライアンスの実践

 

新型コロナウイルス感染症緊急事態宣言に関する公示

こんにちは、丸山満彦です。

COVID-19に関連して、緊急事態宣言が2020.04.07に出されましたね。。。遅かった、必要ないのでは、法的効力はあまりないから何が変わるんだ、とかいろいろと意見はあるとは思いますが。。。

対象は、東京都、神奈川県、埼玉県、千葉県、大阪府、兵庫県、福岡県となっていますね。都道府県単位ですが、例えば、東京都でも、世田谷区と奥多摩地区、島嶼部つまり大島（大島町、利島村、新島村、神津島村 ）、三宅（三宅村、御蔵島村 ）、八丈（八丈町、青ヶ島村 ）、小笠原（小笠原村）を一律に同じように対策はできないでしょうね。。。島嶼部の場合、島外からの移動を抑制するための宿泊設備の自粛というのは重要でしょうし、既に島民が罹患している可能性もあるので、そのための対策というのも必要ですが、通勤電車や都心の繁華街等とはまた違った状況ですね。一方で、小さな島でクラスターが発生したら、即医療崩壊の可能性もありますしね。。。地域コミュニティーと言う意味で状況に応じた対応というのが重要なんでしょうね。。。

しかし、島嶼部の町村のウェブページは癒されますね。。。
一方、ドメインがlg.jpでなかったりでドキドキ。。。

● 官報

・2020.04.07 特別号外（第44号）[Downloaded]

官庁事項

• 新型コロナウイルス感染症緊急事態宣言に関する公示（新型コロナウイルス感染症対策本部
• 新型コロナウイルス感染症対策の基本的対処方針に関する公示の一部を変更する公示（同）

 

● Twitter - 首相官邸(災害・危機管理情報)

 ・2020.04.07 20:52
《総理の動き》本日（4月7日）安倍総理は官邸で第27回新型コロナウイルス感染症対策本部を開催しました。会議では、新型コロナウイルス感染症への対応について議論が行われました。(1/4)
「緊急事態宣言を発出いたします。…期間は、令和2年4月7日から5月6日までの1か月間とし…区域は、埼玉県、千葉県、東京都、神奈川県、大阪府、兵庫県、及び福岡県の7都府県とします。…措置を実施する必要がなくなったと認められるときは、速やかに緊急事態を解除することといたします。」(2/4)
「緊急事態を宣言しても、海外で見られるような都市封鎖を行うものではなく、公共交通機関など必要な経済社会サービスは可能な限り維持しながら、密閉、密集、密接の3つの密を防ぐことなどによって、感染拡大を防止していく、という対応に変わりはありません。」(3/4)
「…何よりも、国民の皆様の行動変容、つまり行動を変えることです。専門家の試算では、私たち全員が努力を重ね、人と人との接触機会を最低7割、極力8割、削減することができれば、2週間後には感染者の増加をピークアウトさせ、減少に転じさせることができます。」(4/4)
全文は (https://www.kantei.go.jp/jp/98_abe/actions/202004/07corona.html )

 

削除できないマルウェア xHelper の仕組みがわかった？

こんにちは、丸山満彦です。

昨年、Audroidに感染するxHelperと言うマルウェアが話題となりましたが、その仕組みをKasperskyが解明したようですね。Kasperskyによるとロシアのユーザが80%と言うことです。

● Kaseprsky - Secure List

・2020.04.07 Unkillable xHelper and a Trojan matryoshka by Igor Golovin

システムパーティションに書き込みができるように変更した上で、システムパーティションを書き換え、逆に書き換えられなくすることにより、自分を守ると言うことをしていたようですね。。。考え方はわかりますが、それを実装できたというのはすごいことですね。。。それ以外にも、このようなマルウェアの機能を仕込むための前段階もかなり凝っているわけですが・・・

【参考】

● The Hacker News
・2020.04.07 Unveiled: How xHelper Android Malware Re-Installs Even After Factory Reset by Mohit Kumar

● Threat Post
・2020.04.07 xHelper: The Russian Nesting Doll of Android Malware by Tara Seals

● Malaysia Internet
・2020.04.07 How xHelper Android Malware Re-Installs Even After Factory Reset by Jarvis

 

DarkHotel APT グループがVPN 0dayの脆弱性を利用して中国政府機関に侵入？

こんにちは、丸山満彦です。

DarkHotel[wikipedia] APT グループがSangfor SSL VPN Serverの0day脆弱性を利用して中国政府機関に侵入したと、Qihoo 360社[wikipedia]が発表していますね。。。

ただし、この内容について、Kaspersky社のBrian Bartholomew氏はこの発表を鵜呑みにするのではなく、よく確認しないといけないよと言っています。

 

Qihoo 360
・2020.04.06 惊雷！中国驻外机构正遭受攻击！深信服VPN设备成境外国家级黑客突破口

中国語のページしかないのでGoogle翻訳等で確認しながら読んでいますので、ちょいと大変ですが、割と詳細に記載されていますね。（背景情報等も多いですが。。。）

COVID-19の流行により、在宅勤務が行われることが想定されることから、こういった攻撃があったとしても驚くことではないと。

 

● Twitter - 360 Threat Intelligence Center@360CoreSec
・2020.04.06 20:02 The #DarkHotel (APT-C-06) Attacked Chinese Institutions Abroad via Exploiting SangFor #VPN Vulnerability http://blogs.360.cn/post/APT_Darkhotel_attacks_during_coronavirus_pandemic.html?preview=true

 

● Security Afairs - Blog
・2020.04.06 DarkHotel APT uses VPN zero-day in attacks on Chinese government agencies

 

● Twitter - Brian Bartholomew @Mao_Ware
・2020.04.06 21:23 I’m going to be a bit blunt here. This write up is full of speculation, no evidence this was actually DatkHotel, and a ton of confirmation bias about targeting because of Covid. Not saying they’re wrong, but in the future, there needs to be more supporting data to support claims.

 

Continue reading "DarkHotel APT グループがVPN 0dayの脆弱性を利用して中国政府機関に侵入？"

米国Digital WalletのKey Ring社 1400万人のデータを漏洩？？？

こんにちは、丸山満彦です。

米国Digital WalletのKey Ring社の1400万人の4400万のデータが見られる状態にあったようですね。。。記事によるとAmazon S3の設定ミスのようですね。。。もし、本当であれば影響は大きいでしょうね。。。

● vpnMentor - blog

・2020.04.02 Report: Popular Digital Wallet Exposes Millions to Risk in Huge Data Leak

恥ずかしながらこの記事を読むまでKey Ring社についての詳細は知りませんでした。。。

Key Ring社[wikipedia]のアプリは、ユーザが会員カードやポイントカードのスキャンや写真を携帯電話のデジタルフォルダにアップロードするものです。ただ、実際は多くのユーザが、ID、運転免許証、クレジットカードなどのコピーを保存していると言われています。

Key RIng社の所有するAmazon Web Services（AWS）のS3が誤って設定されていたために、ユーザがアップロードしたデータが見られる状態になっていたようです。。。

vpnMentorの研究員によると、見られる状態になっていたデータ（画像）には、

• 政府ID
• ショップのメンバーカード、ポイントカード
• 全米ライフル協会の会員カード
• ギフトカード
• クレジットカード。CVV番号付き
• 医療保険証
• 医療用マリファナIDカード

が含まれていたようですね。

vpnMentorの研究員が見つけたのは2020年1月で、改善がされたのが2月18日のようですね。。。

 

● Security Afairs

・2020.04.06 Key Ring digital wallet exposes data of 14 Million users in data leak

　

 

ENISAがGood practices on interdependencies between OES and DSPsとISO/IEC 27002, NIST Cybersecurity Framework, Cobit5とのマッピング表を公開しましたね。。。

こんにちは、丸山満彦です。

ENISAがGood practices on interdependencies between OES and DSPsとISO/IEC 27002, NIST Cybersecurity Framework, Cobit5とのマッピング表を公開しましたね。。。Web版とExcel版があります。。。

● ENISA

・2020.04.06 ENISA publishes a Tool for the Mapping of Dependencies to International Standards

ツールはここです。

・ The Interdependencies between OES and EDPS - Tool

　・[Excel][Downloaded]

関連する報告書

・Report - Stock Taking of security requirements set by different legal frameworks on OES and DSPs

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.03.20 ENISA OESとDSP向けセキュリティ対策のためのガイドライン

Interpol 病院に対ランサムウェアの攻撃に気をつけるようにアウアンスしていますね。。。COVID-19対応で大変な状況なのに犯罪者もちょっと考えてみてよ...

こんにちは、丸山満彦です。

COVID-19対応で大変な状況なのに犯罪者もちょっと考えてみてよ...と言いたくなりますね。。。

● Interpol

・2020.04.04 Cybercriminals targeting critical healthcare institutions with ransomware

加盟国に対して警告を出しているようですね。

対策については、次ようになっていますね。

-----

There are a number of steps hospitals and others can take to protect their systems from a ransomware attack:

• Only open emails or download software/applications from trusted sources;
• Do not click on links or open attachments in emails which you were not expecting to receive, or come from an unknown sender;
• Secure email systems to protect from spam which could be infected;
• Backup all important files frequently, and store them independently from your system (e.g. in the cloud, on an external drive);
• Ensure you have the latest anti-virus software installed on all systems and mobile devices, and that it is constantly running;
• Use strong, unique passwords for all systems, and update them regularly.

-----

• メールを開いたり、ソフトウェアやアプリケーションをダウンロードするときは、信頼できるソースからのみ行うようにする
• 受信するとは思ってもいなかったメールや知らない人からのメールのリンクをクリックしたり、添付ファイルを開いたりしない
• 感染する可能性のあるスパムから保護するために、電子メールシステムを堅牢にする
• 重要なファイルはこまめにバックアップを取り、システムから独立（クラウドや外付けドライブなど）して保存する
• すべてのシステムとモバイルデバイスに最新のアンチウイルスソフトウェアをインストールし、常に起動していることを確認する
• すべてのシステムに強力でユニークなパスワードを使用し、定期的に更新する

-----

すべてのシステムに対してパスワードの定期的な更新は不要かも・・・

● Bleeping Computer - News - Security
・2020.04.06 Interpol: Ransomware attacks on hospitals are increasing

● ComputerWeelky.com - News
 ・2020.04.06 Interpol warns of more ransomware attacks against healthcare sector

● TEISS
・2020.04.06 Interpol warns hospitals against crippling ransomware attacks

● SC Magazine
・2020.04.06 Global police agencies issue alerts on Covid-related cyber-crime

国家資格「情報処理安全確保支援士」の登録総数が20,000人を超えていますね！

こんにちは、丸山満彦です。

情報セキュリティに関する国家資格である「情報処理安全確保支援士」の登録総数が20,000人を超えましたね（2020.04.01現在）。

● IPA 

・2020.04.01 国家資格「情報処理安全確保支援士」2020年4月1日付登録人数1,096人（総数20,413人）

みなさんも興味があれば、是非チャレンジして見てみてください！！！

国際性がないので、ガラパゴス資格だと言われるようなこともあるのですが、サイバーセキュリティが安全保証と密接不可分な関係となってきている現在、むしろこのような国家資格が必要でありまして、私も応援をしているところです。と言いながら、私はこの資格を持っているわけではなく、倫理綱領の策定に関わることにより、制度の発展に寄与しているつもりです(^^)。

● 倫理綱領

-----

「情報処理安全確保支援士 倫理綱領」は、サイバーセキュリティ分野において業務を遂行する際に規範となるものです。
登録セキスペは「情報処理安全確保支援士 倫理綱領」を遵守し、業務を行う必要があります。

• 「情報処理安全確保支援士 倫理綱領」の制定について（143KB）
• 情報処理安全確保支援士 倫理綱領（144KB）
• 情報処理安全確保支援士 倫理綱領（説明付き） （271KB）

-----

● 関連情報

• 情報処理安全確保支援士制度について
• 情報処理安全確保支援士（登録セキスぺ）になるには
• 制度活用企業・組織のインタビュー
• 登録セキスペインタビュー
• 情報処理安全確保支援士の受講する講習について
• 国家資格「情報処理安全確保支援士（登録セキスペ）」とは
• 情報処理安全確保支援士検索サービス
• 登録者情報、活用インタビュー、資料ダウンロードなど
• 登録セキスペの方々へ

-----

● まるちゃんの情報セキュリティ気まぐれ日記

・2016.10.21 経済産業省 サイバーセキュリティ分野において初の国家資格となる「情報処理安全確保支援士」制度を開始しました

内閣官房 安全保障局に経済斑設置

こんにちは、丸山満彦です。

内閣官房 安全保障局に経済斑が2020.04.01に設置されましたね。

● 時事通信

・2020.04.01 安保局「経済班」が発足　新型コロナにも対応

-----

政府の外交・安全保障政策の司令塔を担う国家安全保障局（ＮＳＳ）内に経済安保を扱う「経済班」が１日、正式に発足した。サイバーセキュリティー対策や機微に触れる技術の流出防止に当たるほか、新型コロナウイルス感染症が日本経済に与える影響にも対処することになる。
　菅義偉官房長官は同日の記者会見で「経済活動分野における安全保障上の課題について、俯瞰（ふかん）的、戦略的な政策の企画立案と総合調整を迅速、適切に行う」と意義を語った。
　経済班は、経済産業省出身の審議官１人と、総務、外務、財務各省、警察庁から１人ずつ計４人の参事官を配置し、約２０人体制で始動した。
　新型ウイルスは既に世界経済の脅威となっており、ＮＳＳは「安全保障上の緊急事態」（内閣官房担当者）と位置付け、情報収集の徹底や関係各省との総合調整を図り、水際対策や人の移動制限、物流などへの対応を担う。

-----

● 首相官邸 国家安全会議

● 内閣官房 国家安全保障局

-----

• 国家安全保障会議を恒常的にサポート。内閣官房の総合調整権限を用い、国家安全保障に関する外交・防衛政策の基本方針・重要事項に関する企画立案・総合調整に専従。

• 緊急事態への対処に当たり、国家安全保障に関する外交・防衛政策の観点から必要な提言を実施。（事態対処のオペレーションは、危機管理の専門家である内閣危機管理監等が引き続き担当。）

• 関係行政機関等に対し、適時に情報を発注。また、会議に提供された情報を、政策立案等のために活用（情報の「総合整理」機能）。

-----

● United States - National Security Council [wikipedia]

● United Kingdom - National Security Council [wikipedia]

 

アルジェリアの石油合弁会社がMazeランサムウェアに攻撃され投資計画等の機密情報がネット上に公開されているようです。。。

こんにちは、丸山満彦です。

アルジェリアの石油合弁会社（Sonatrach社とOccidental社）がMazeランサムウェアに攻撃され投資計画等の機密情報がネット上に公開されているようです（Under the brieach on Twitter @2020.04.05）。

● iTWire - Security

・2020.04.06 Algerian petroleum JV hit by Maze ransomware, data posted online

最初はデータを小出しに公表して脅すが、脅しに応じない場合は、より多くのデータを流出させ、それでも抵抗する場合はダークウェブ上のハッカーフォーラムにデータを投稿し、フォーラムに頻繁に参加する人に、フィッシング等にデータを利用するよう促すようです。なるほどですね。。。

過去に、保険会社のChubb社[wikipeia]とオーストラリアの貨物輸送会社Henning Harders社が被害にあっていますね。。。

● iTWire - Security

・2020.03.27 Global insurer Chubb hit by Maze ransomware: claim

・2020.03.19 Freight forwarding firm Henning Harders hit by Windows ransomware

 

なお、Ransomware Mazeについては、McAfeeのブログが詳細です。

● MaAfee - Blog

・2020.03.26 Ransomware Maze (by Alexandre Mundo )

かなり詳細です。

 

-----

Sonatrach社[wikipedia]は1963年に設立さたアルジェリア最大の企業。従業員数は4万人、年収は約390億米ドル。

Anadarko社[wikipedia]は2019年にOccidental社[wikipedia]に買収され、Oxy Occidental社となった。同社は2018年12月期に178億米ドルの売上をあげている[2018 4Q]。

 

 

 

COVID-19をテーマにしたサイバー攻撃

こんにちは、丸山満彦です。

COVID-19をテーマにしたサイバー攻撃の例がSecurity Affairsに掲載されていますね。。

● Security Affairs

・2020.04.05 Coronavirus-themed attacks March 29 – April 04, 2020

記事では、古い順に並んでいますが、ここでは新しい順に並べておきます。。。

-----

・2020.04.04 New Coronavirus-themed campaign spread Lokibot worldwide

・2020.04.02 Crooks use tainted Zoom apps to target users at home due to Coronavirus outbreak

・2020.03.30 Crooks leverage Zoom’s popularity in Coronavirus outbreak to serve malware

・2020.03.30 Zeus Sphinx spam campaign attempt to exploit Covid19 outbreak

・2020.03.30 Your colleague was infected with COVID19, this is the latest phishing lure

-----

 ・2020.03.29 Coronavirus-themed attacks March 22 – March 28, 2020

-----

・2020.03.26 Hackers hijack D-Link and Linksys routers to point users to COVID19-themed sites serving malware

・2020.03.26 WordPress WP-VCD malware delivered via pirated Coronavirus plugins

・2020.03.25 Fake Coronavirus Finder spread Ginp Mobile Banker

・2020.03.24 New York Attorney General asks domain registrars to crack down on COCscam sites

・2020.03.23 Operation Pangea: Europol dismantles criminal gangs selling COVID19 medicine, surgical masks

・2020.03.23 COVID19-themed campaign delivers a new variant of Netwalker Ransomware

-----

・2020.03.22 Coronavirus-themed attacks March 15 – March 21, 2020

-----

・2020.03.21 New Coronavirus-themed attack uses fake WHO chief emails

・2020.03.19 Coronavirus news used by Emotet and Trickbot to evade detection

・2020.03.19 Is APT27 Abusing COVID-19 To Attack People ?!

・2020.03.18 Thousands of COVID19-related malicious domains are being created every day

・2020.03.17 Attackers use a new CoronaVirus Ransomware to cover Kpot Infostealer infections

-----

・2020.03.15 Coronavirus-themed attacks February 1 – March 15, 2020

-----

・2020.03.15 Noooo, now Ancient Tortoise BEC scammers are launching Coronavirus-Themed attacks

・2020.03.15 BlackWater, a malware that uses Cloudflare Workers for C2 Communication

・2020.03.13 State-sponsored hackers are launching Coronavirus-themed attacks

・2020.03.12 Crooks use weaponized coronavirus map to deliver malware

・2020.03.08 New Coronavirus-themed malspam campaign delivers FormBook Malware

・2020.03.06 TrickBot targets Italy using fake WHO Coronavirus emails as bait

・2020.02.26 New Cyber Attack Campaign Leverages the COVID-19 Infodemic

・2020.02.25 South Korea suffers from the spread of people infected with Corona 19

・2020.02.01 Crooks start exploiting Coronavirus as bait to spread malware

 

 

 

関西電力 役職員が高浜町元助役の森山氏より金品等を受領していた問題についての第三者委員会報告書の格付け

こんにちは、丸山満彦です。

第三者委員会格付け委員会から、関西電力の第三者委員会報告書の格付けが発表されていますね。

● 第三者委員会格付け委員会

・2020.03.27 第22回格付け　格付け評価対象　関西電力株式会社が設置した第三者委員会が2020年3月14日付で公表した「調査報告書」

-----

格付け結果（総合評価）

評価	人数	委員
A	0名	－
B	5名	國廣正、齊藤誠、竹内朗、行方洋一、松永和紀
C	3名	久保利英明、塚原政秀、八田進二
D	0名	－
F	0名	－

※なお、野村修也委員は都合により評価しない

● 個別評価（各委員の個別評価）

・個別評価

● 委員会における議論のポイント

・議論のポイント

● 報告書

https://www.kepco.co.jp/corporate/pr/2020/pdf/0314_2j_01.pdf

-----

この関西電力は、第三者委員会とは別に、「取締役責任調査委員会」も設置しますね。

● 関西電力 - 再発防止に向けた業務改善計画について

・第三者委員会報告書の概要

・[PDF] 金品受取り問題にかかる第三者委員会の調査報告書 [Downloaded - 0314_2j_01.pdf]

・2020.03.30「取締役責任調査委員会」の設置について

 

 

 

 

 

● ■ＣＦＯのための最新情報■ 公認会計士武田雄治のブログです。

・2020.04.04 第三者委員会報告書格付け委員会 関西電力「調査報告書」の格付け結果を公表

 

● ビジネス法務の部屋（山口利昭弁護士）

・2020.03.30 関電金品受領問題－責任調査委員会における調査の限界

・2020.03.18 関西電力・第三者委員会報告書から考える－関電が一番隠したかったものとは？

・2020.03.16 関電・金品受領問題に関する第三者委員会報告書に対する第一印象

・2019.10.05 関西電力金品受領事件－第三者委員会は二つに分けるべきでは？

・2019.09.30 関西電力裏金受領事件－やっぱり「お天道様は見ている」

 

AppleはiPhoneのカメラを乗っ取るバグを報告した人に800万円ほど支払ったようですね。。。

こんにちは、丸山満彦です。

AppleはiPhoneのカメラを乗っ取るバグを報告した人に800万円ほど支払ったようですね。。。

● Bleeping Computer

・2020.04.03 Apple Paid $75K For Bugs Letting Sites Hijack iPhone Cameras

● WIRED

・2020.04.03 A Hacker Found a Way to Take Over Any Apple Webcam

● Forbes

・2020.04.03 iPhone Camera Hacked: Three Zero-Days Used In $75,000 Attack Chain

説明を読んでいるとこの方法は巧妙ですね。。。こういうバグの発見はBug Bountyの活用が有効なのかもしれません。

Zoomの暗号の問題

こんにちは、丸山満彦です。

Zoomのセキュリティと プライバシーの課題については、多くの人の注目を集めることになっていますが、暗号に関する話を紹介しておきます。。。

● Citizen Lab (University of Toronto)

・2020.04.03 Move Fast & Roll Your Own CryptoA Quick Look at the Confidentiality of Zoom Meetings

-----

Key Findings

• Zoom documentation claims that the app uses “AES-256” encryption for meetings where possible. However, we find that in each Zoom meeting, a single AES-128 key is used in ECB mode by all participants to encrypt and decrypt audio and video. The use of ECB mode is not recommended because patterns present in the plaintext are preserved during encryption.
• The AES-128 keys, which we verified are sufficient to decrypt Zoom packets intercepted in Internet traffic, appear to be generated by Zoom servers, and in some cases, are delivered to participants in a Zoom meeting through servers in China, even when all meeting participants, and the Zoom subscriber’s company, are outside of China.
• Zoom, a Silicon Valley-based company, appears to own three companies in China through which at least 700 employees are paid to develop Zoom’s software. This arrangement is ostensibly an effort at labor arbitrage: Zoom can avoid paying US wages while selling to US customers, thus increasing their profit margin. However, this arrangement may make Zoom responsive to pressure from Chinese authorities.

-----

ZoomはAES-128の鍵をメッセージの秘匿化に向かないECBモードで利用しているようですね。

開発自体は中国の会社で行われているようですね。

解決にはいろいろと時間がかかりそうな感じですね。。。

【参考】

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.03 Zoom IDを見つけるためのツールは1時間あたり平均110の会議を見つけることができ、入り込む成功率は約14％

・2020.04.02 Zoom関連の脆弱性など。。。

・2020.03.31 FBIが、COVID-19で在宅勤務や在宅学習が増えることによるZoomを使ったサイバー犯罪についての注意喚起をしていますね。。。

 

 

日本IBM労組はAIを利用した人事評価・賃金決定について団体交渉に応じないのは不当な団交拒否に当たるとして、東京都労働委員会に救済を申し立てた。

こんにちは、丸山満彦です。

表題の通りなんですが、、、問題は、AIの利用そのものというよりも、人事評価の要素をAIがどのように判断するのかの説明を求めたが、開示する前提にないとして団体交渉を拒否したことから、申し立てに至ったということのようですね。。。

 

● 弁護士ドットコム

・2020.04.03「まさにブラックボックス」AIによる人事評価　情報開示求め、日本IBM労組が申し立て

-----

組合は繰り返し、団体交渉を通じて、AIの学習データや、AIが評価者である上司に向けて表示するアウトプットの開示を求めたほか、日本IBMが人事評価の要素として就業規則に定める「職務内容」「執務態度」などをAIがどのように判断するか説明を求めてきた。

その求めに対して、同社はAIが上司に示す情報は社員に開示することを前提としていないなどと主張し、団体交渉を拒否した。

-----

人間の評価もブラックボックスであるような。。。ただ、ブラックボックスではないかのようにそれなりの説明はするので、AIのワトソンさんだけで決めたのではなく、ワトソンさんのコメントも含めて上司が評価をしているのであれば、その上司が説明をすれば良いようにも思ったりします。。。

人事評価というのは、評価者と被評価者が事前に評価の仕方について了解をとっていないと揉めることが多いようにも思いますので、それらを含めて全体的に考えることが重要なような気もしますが、特徴的な話ということで取り上げました。。。

 

【参考】

● HAIシンポジウム2020

・2020.03.07 G-13: 人はロボットの選好を読めるか

・[PDF][Download - g13.pdf]

-----

...人はロボットの選好を推定することが可能であることが分かった．

-----

 

Europol COVID-19パンデミックに乗じて行われるサイバー犯罪と偽情報等に関する報告書

こんにちは、丸山満彦です。

EuropolがCOVID-19パンデミックに乗じて行われるサイバー犯罪と偽情報等に関する"Catching the virus cybercrime, disinformationand the COVID-19 pandemic"を公表していますね。。。

● Europol

・2020.04.03 CATCHING THE VIRUS

・2020.04.03 CATCHING THE VIRUS CYBERCRIME, DISINFORMATION AND THE COVID-19 PANDEMIC

・[PDF] Catching the virus cybercrime, disinformation and the COVID-19 pandemic

報告書で言及されているものは、

• ransomware;
• DDoS;
• child sexual exploitation;
• the dark web;
• hybrid threats: disinformation and interference campaigns. 

です。

主な発見事項は、

• The impact of the COVID-19 pandemic on cybercrime has been the most visible and striking compared to other criminal activities.
• Criminals active in the domain of cybercrime have been able to adapt quickly and capitalise on the anxieties and fears of their victims.
• Phishing and ransomware campaigns are being launched to exploit the current crisis and are expected to continue to increase in scope and scale.
• Activity around the distribution of child sexual exploitation material online appears to be on the increase, based on a number of indicators.
• Both criminal organisations, states and state-backed actors seek to exploit the public health crisis to advance geopolitical interests.

　

 

山賀さんの記事だ！ 犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に

こんにちは、丸山満彦です。

このブログでも過去に紹介だけしていますが、WhiteSourceの報告書「The State of Open Source Security VULNERABILITIES」とRecoreded Futureの報告書「2019 Vulnerability Report: Cybercriminals Continue to Target Microsoft Products」についての分析記事が公開されていますね。。。書いているのは山賀さんです(^^)

● Internet Watch

・2020.04.03 犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に 2019年に最も狙われたのは、2018年以前の脆弱性 ほか

分析がされていて面白いです!!!

【参考】

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.03.13 WhiteSource オープンソースの脆弱性に関する報告書(2020)

・2020.02.05 2019年に狙われた脆弱性

 

佐藤慶浩さんによる「15分でわかる「ISO/IEC 27701国際規格（プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張－要求事項及び指針）の概要紹介」を講演録」

こんにちは、丸山満彦です。

佐藤慶浩さんが、「15分でわかる「ISO/IEC 27701国際規格（プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張－要求事項及び指針）の概要紹介」を講演録」をYouTubeで公開していますね。

● yohihiro.com - Speech

・2020.04.03 ISO/IEC 27701概要

・YouTube

・Slide

佐藤さんは、2004年に内閣官房に一緒に出向した同士で、ともにNISCの立ち上げに関与し、当時のメンバーで一緒に統一基準をゼロから作りました。その後８年間くらいNISCで一緒にしました。。。

後、JIPDECでISMSの制度立ち上げとその後の基準の改訂等も一緒にやっていました。

そういえば、経済産業省の個人情報保護法のガイドラインも一緒に作りました。。。

論理的で一緒に仕事をしていて気持ちが良い方です(^^)

Zoom IDを見つけるためのツールは1時間あたり平均110の会議を見つけることができ、入り込む成功率は約14％

こんにちは、丸山満彦です。

Zoomのセキュリティ、プライバシーの問題が話題となっていますが、ツールを使って1日かければ、2,400のZom IDを見つけられるという報告がありますね。。。

● Krebs on Security

・ 2020.04.02 ‘War Dialing’ Tool Exposes Zoom’s Password Problems

丁寧にいろいろと情報を書いていますね。。。

-----

zWarDial, an automated tool for finding non-password protected Zoom meetings. According to its makers, zWarDial can find on average 110 meetings per hour, and has a success rate of around 14 percent.

-----

● The VERGE

・2020.04.02 Automated tool can find 100 Zoom meeting IDs per hour

 

なお、ZoomのFounder and CEOの"Eric S. Yuan"がブログで、今後90日間は機能開発は止めてセキュリティ、プライバシーの問題の解決を優先するとのことです。。。対応が早いですね！！！

● Zoom Blog

・2020.04.01 A Message to Our Users

-----

What we’re going to do 

Over the next 90 days, we are committed to dedicating the resources needed to better identify, address, and fix issues proactively. We are also committed to being transparent throughout this process. We want to do what it takes to maintain your trust. This includes: 

• Enacting a feature freeze, effectively immediately, and shifting all our engineering resources to focus on our biggest trust, safety, and privacy issues.
• Conducting a comprehensive review with third-party experts and representative users to understand and ensure the security of all of our new consumer use cases.
• Preparing a transparency report that details information related to requests for data, records, or content.
• Enhancing our current bug bounty program.
• Launching a CISO council in partnership with leading CISOs from across the industry to facilitate an ongoing dialogue regarding security and privacy best practices.
• Engaging a series of simultaneous white box penetration tests to further identify and address issues.
• Starting next week, I will host a weekly webinar on Wednesdays at 10am PT to provide privacy and security updates to our community.

-----

【参考】

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.02 Zoom関連の脆弱性など。。。

・2020.03.31 FBIが、COVID-19で在宅勤務や在宅学習が増えることによるZoomを使ったサイバー犯罪についての注意喚起をしていますね。。。

 

ENISA 「CSIRTと法執行機関の協力」を強化するための報告書

こんにちは、丸山満彦です。

ENISAが「ROADMAP ON THE COOPERATION BETWEEN CSIRTS AND LE」を公開していますね。

● ENISA

・2020.04.02 Supporting the fight against cybercrime - The map to the road less traveled: CSIRTs & Law Enforcement cooperation

サイバー犯罪への対応は、被害にあった組織で技術的に対応をしたものと法執行機関の連携（役割分担とコミュニケーション等）も重要ですよね。。。もちろん、技術面だけではないですし、法執行機関の国際連携も重要なわけで、いろいろと示唆に富んでいますね。

-----

Reccomandations:

Core areas of further analysis and ENISA recommendations in an effort to improve cooperation between CSIRTs, LEAs and their interaction with the judiciary include:

• Promoting the use of ‘Segregation of duties’ matrix for avoiding conflicting roles and responsibilities of CSIRTs, LE and the judiciary throughout the cybercrime investigation lifecycle.
• Developing a competency framework for cybersecurity workforce and education and training policies.
• Promoting knowledge of digital forensics rules.
• Promoting interoperability of cooperation tools deployed and conceived considering future technologies.
• Assessing the suitability of cybersecurity certification for common tools and procedures.
• Simplifying arrangements by creating internal cooperation procedures to streamline exchanges.

-----

・Roadmap on the cooperation between CSIRTS and LE

ロードマップの目的は国や政府機関の法執行機関や司法機関とのコンピュータセキュリティインシデント対応チーム（CSIRT）間の協力関係をさらに深めることのようですね。そのために、協力のために必要な情報を提供し、今、何が足りていないかを明らかにすることが重要ということで、そういうところにも言及されていますね。。。

-----

The purpose of this roadmap is to further explore the cooperation across computer security incident response teams (CSIRTs) in particular with national and governmental - law enforcement (LE) and the Judiciary (prosecutors and judges). This roadmap aims to support the cooperation between CSIRTs and LE, as well as their interaction with the Judiciary in their fight against cybercrime, by providing information on the aforementioned cooperation aspects and by identifying current shortcomings and making recommendations to further enhance cooperation. The geographical coverage of this roadmap is mainly the EU and European Free Trade Association (EFTA).

----

・[PDF] Roadmap on the cooperation between CSIRTS and LE

 

Continue reading "ENISA 「CSIRTと法執行機関の協力」を強化するための報告書"

個人情報保護委員会 新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて

こんにちは、丸山満彦です。

COVID-19の感染爆発を防ぐためにも適切な情報開示や関係機関等との連携が重要となってきますが、個人データが含まれるようなケースも当然考えられますので、そのあたりの対応をどのようにしたら良いかは悩ましいと思います。プライバシーと社会のセキュリティのバランスをどう取るのか？ということになりますので。。。

多く寄せられている質問って、二つだけ？？？

 

● 個人情報保護委員会

・2020.04.02 新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて

• 新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて
• （別紙）個人情報保護法相談ダイヤルに多くよせられている質問に関する回答

ーーーーー

別紙の多く寄せられている質問

問１．社員に新型コロナウイルス感染者と濃厚接触者が出た。社内公表する場合の注意点は何か。

（答）
ご指摘のケースについて、同一事業者内での個人データの提供は「第三者提供」に該当しないため、社内で個人データを共有する場合には、本人の同意は必要ありません。
また、仮にそれが当初特定した利用目的の範囲を超えていたとしても、当該事業者内での２次感染防止や事業活動の継続のために必要がある場合には、本人の同意を得る必要はありません。

問２．社員が新型コロナウイルスに感染し、当該社員が接触したと考えられる取引先にその旨情報提供することを考えている。社員本人の同意を取ることが困難なのだが、提供することはできるか。

（答）
当該社員の個人データを取引先に提供する場合、仮にそれが当初特定した利用目的の範囲を超えていたとしても、取引先での２次感染防止や事業活動の継続のため、また公衆衛生の向上のため必要がある場合には、本人の同意は必要ありません。

ーーーーー

 

 

Zoom関連の脆弱性など。。。

こんにちは、丸山満彦です。

在宅勤務が普通になりつつある中で、Zoomの人気が高まっていますが（私も使っていますが。。。）、いろいろと注意が必要なようですね。

 

■ Windowsの認証情報が盗まれる

● Bleeping Computer - News - Security
・2020.03.031 Zoom Lets Attackers Steal Windows Credentials, Run Programs via UNC Link

● PC Watch
・2020.04.02 ZoomからWindowsの認証情報が盗まれる脆弱性

● The Hacker News
・2020.04.02 New Zoom Hack Lets Hackers Compromise Windows and Its Login Password

 

■ エンドツーエンド暗号化が行われていない

● The Intercept
・2020.03.31 ZOOM MEETINGS AREN’T END-TO-END ENCRYPTED, DESPITE MISLEADING MARKETING

● The VERGE
・2020.03.31 Zoom isn’t actually end-to-end encrypted

 

■ ユーザのメールアドレス等を許可を得ずにFacebookに送っていた

● VICE
・2020.04.01 Zoom is Leaking Peoples' Email Addresses and Photos to Strangers

 

■ Mac版ではユーザーの許可なくインストールが始まるようになっている

● VMRAY - Security Blog
・2020.04.01 Good Apps Behaving Badly: Dissecting Zoom’s macOS Installer Workaround

● ITMedia - News - Security
・2020.04.02 ZoomのMac版、インストール時にマルウェア的な挙動　セキュリティ専門家が指摘

 

NIST White Paper (Draft) Methodology for Characterizing Network Behavior of Internet of Things Devices

こんにちは、丸山満彦です。

NISTがWhite Paper (Draft) Methodology for Characterizing Network Behavior of Internet of Things Deviceを公開し、意見募集をしていますね。

ネットワークに接続されたIoTデバイスのタイプと通信動作を判断し文書化するためのアプローチについて説明していますね。この識別と文書化から製造者使用説明書（MUD）仕様に基づいたファイルを作成し、製造者やネットワーク管理者が、デバイスへのアクセスやデバイスからのアクセスを管理するために使用することができるようになりますね。Next Stepではこのアプローチの実装の現状と今後の開発のための提案にも触れられていますね。

● NIST ITL

・2020.04.01 White Paper (Draft) Methodology for Characterizing Network Behavior of Internet of Things Devices

・[PDF] White Paper (Draft)

-----

Announcement

This draft white paper from the National Cybersecurity Center of Excellence (NCCoE) demonstrates how to use device characterization techniques to describe the communication requirements of Internet of Things (IoT) devices in support of the manufacturer usage description (MUD) project. 

Securing a network is a complex task made all the more challenging when IoT devices are connected to it. This white paper delves into capturing network communications from IoT devices for analysis and generation of MUD files. Manufacturers and network administrators can use the proposed characterization techniques to describe the communication requirements of an IoT device, which can allow for the accurate management of network access to and from those devices. This can help to ensure that IoT devices perform as intended by the device manufacturers or owners.   

Companion Tool: NCCoE created a tool called MUD-PD for characterizing IoT devices, which is helpful in generating MUD files.

Abstract

This white paper describes an approach to determining and documenting the device types and communication behaviors of Internet of Things (IoT) devices connected to a network. From this identification and documentation, files based on the Manufacturer Usage Description (MUD) specification can be created and used by manufacturers and network administrators to manage access to and from those devices. The paper also describes the current state of implementation of the approach and proposals for future development.

----

Continue reading "NIST White Paper (Draft) Methodology for Characterizing Network Behavior of Internet of Things Devices"

NIST SP 800-210(Draft) General Access Control Guidance for Cloud Systems

こんにちは、丸山満彦です。

NISTが SP 800-210(Draft) General Access Control Guidance for Cloud Systemsの意見募集をしていますね。。。

IaaS、PaaS、SaaSの3つのクラウド・サービス提供モデルにおけるアクセス制御（AC）の考慮事項を分析し、クラウド・システムにおけるセキュリティ上の課題を理解するための第一歩を提示しているとのことです。

IaaSのACガイダンスはPaaSとSaaSに適用され、IaaSとPaaSのACガイダンスはSaaSにも適用されるものの、各サービスモデルにはそのサービスのアクセス制御要件に関して独自の焦点が必要となる場合もありますね。

 

● NIST ITL

・2020.04.01 SP 800-210(Draft) General Access Control Guidance for Cloud Systems

-----

Announcement

This draft guidance presents an initial step toward understanding security challenges in cloud systems by analyzing the access control (AC) considerations in all three cloud service delivery models—Infrastructure as a Service (IaaS), Platform as a Service (PaaS), and Software as a Service (SaaS). Essential characteristics that would affect the Cloud's AC design are also summarized, such as broad network access, resource pooling, rapid elasticity, measured service, and data sharing. Various guidance for AC design of IaaS, PaaS, and SaaS are proposed according to their different characteristics. Recommendations for AC design in different cloud systems are also included to facilitate future implementations. Additionally, potential policy rules are summarized for each cloud system.

Abstract

This document presents cloud access control characteristics and a set of general access control guidance for cloud service models: IaaS (Infrastructure as a Service), PaaS (Platform as a Service), and SaaS (Software as a Service). Different service delivery models require managing different types of access on offered service components. Such service models can be considered hierarchical, thus the access control guidance of functional components in a lower-level service model are also applicable to the same functional components in a higher-level service model. In general, access control guidance for IaaS is also applicable to PaaS and SaaS, and access control guidance for IaaS and PaaS is also applicable to SaaS. However, each service model has its own focus with regard to access control requirements for its service.

-----

Continue reading "NIST SP 800-210(Draft) General Access Control Guidance for Cloud Systems"

Fintech Accenture: fintech, cybersecurity and how to manage risk

こんにちは、丸山満彦です。

FinTech Magazineにアクセンチュアの報告書（THE COST OFCYBERCRIME）に基づく記事が掲載されていますね。。。

● FinTech Magazine

・2020.03.30 Accenture: fintech, cybersecurity and how to manage risk

・[PDF] 2019 Ninth Annual Cost of Cybercrime 

Continue reading "Fintech Accenture: fintech, cybersecurity and how to manage risk"

NIST White Paper [Project Description] Critical Cybersecurity Hygiene: Patching the Enterprise

こんにちは、丸山満彦です。

NISTのNCCoE (National Cybersecurity Center of Excellence)から[Project Description] Critical Cybersecurity Hygiene: Patching the Enterpriseという白書が公開されていますね。。。
組織全体でできる限り多くの脆弱性をパッチにより減らすことにより、組織全体の脆弱性を減少させることができますよね。まさに、サイバーセキュリティ衛生の向上ですよね。。。

● NIST ITL

・2020.03.30 [Project Description] Critical Cybersecurity Hygiene: Patching the Enterprise

・[PDF] Project Description

 

Abstract

Cyber hygiene describes recommended mitigations for the small number of root causes responsible for many cybersecurity incidents. Implementing a few simple practices can address these common root causes. Patching is a particularly important component of cyber hygiene, but existing tools and processes are frequently insufficient to rapidly mitigate this risk in many environments and situations. The objective of this project is to demonstrate a proposed approach for improving enterprise patching practices for general IT systems. Commercial and open source tools will be used to aid with the most challenging aspects of patching, including system characterization and prioritization, patch testing, and patch implementation tracking and verification. These tools will be accompanied by actionable, prescriptive guidance on establishing policies and processes for the entire patching life cycle, in the form of a freely available NIST Cybersecurity Practice Guide.

 

TABLE OF CONTENTS

1 Executive Summary

Purpose 
Scope
Assumptions/Challenges
Background 

2 Scenarios

Scenario 0: Asset identification and assessment
Scenario 1: Routine patching
Scenario 2: Routine patching with cloud delivery model .
Scenario 3: Emergency patching
Scenario 4: Emergency workaround (and backout if needed)
Scenario 5: Isolation of unpatchable assets
Scenario 6: Patch management system security (or other system with administrative privileges)

3 High-Level Architecture

Component List
Desired Requirements

4 Relevant Standards and Guidance

Secure Update Guidelines
Microsoft Software Update Guides

5 Security Control Map

Appendix A References

Appendix B Acronyms and Abbreviations

 

 

 

・Project Description (Critical Cybersecurity Hygiene: Patching the Enterprise NCCoE)

Continue reading "NIST White Paper [Project Description] Critical Cybersecurity Hygiene: Patching the Enterprise"

経済産業省 パブコメ 「IoTセキュリティ・セーフティ・フレームワーク（案）」

こんにちは、丸山満彦です。

経済産業省が、「IoTセキュリティ・セーフティ・フレームワーク（案）」についての意見募集をしていますね。。。

● 2020.03.31「IoTセキュリティ・セーフティ・フレームワーク（案）」の意見公募手続（パブリックコメント）を開始しました

-----

1. 背景・趣旨

経済産業省では、令和元年8月2日に「産業サイバーセキュリティ研究会WG1『第2層：フィジカル空間とサイバー空間のつながり』の信頼性確保に向けたセキュリティ対策検討タスクフォース」を設置し、フィジカル空間とサイバー空間のつながりの信頼性の確保に関する検討を行ってきました。

サイバー空間とフィジカル空間が高度に融合した「Society5.0」、「Connected Industries」では、サイバー空間とフィジカル空間の境界において、情報が正確に変換されること、つまり転写機能の正確性を確保することが極めて重要となります。

フィジカル空間とサイバー空間をつなぐ機器・システム、つまりIoT機器・システムに対するセキュリティ対策は、IoT機器・システムに関連する課題の多様性だけでなく、その利用される環境の多様性も踏まえた対応が必要となります。

上記タスクフォースでは、このようなIoT機器・システムの多様性も考慮し、「Society5.0」、「Connected Industries」におけるフィジカル空間とサイバー空間のつながりの信頼性の確保の考え方を議論し、「IoTセキュリティ・セーフティ・フレームワーク（案）」として取りまとめを行いました。

今般、同フレームワーク（案）について幅広い御意見を頂くべく、パブリックコメントを開始しました。同フレームワーク（案）については、グローバルに活用されることを念頭におき、英語版も作成しておりますので、日本国内に留まらず諸外国の方々からも、幅広く忌憚のない御意見を頂きたく存じます。

-----

● 電子政府 - パブリックコメント

・2020.03.31「IoTセキュリティ・セーフティ・フレームワーク(案)」に対する意見公募について

・2020.03.31 Invitation for Public Comments on the Draft of “IoT Security Safety Framework“

　・IoTセキュリティ・セーフティ・フレームワーク（案） 

　・IoT Security Safety Framework - Securing the Trustworthiness of Mutual Connections between Cyberspace and Physical Space (Draft)

・産業サイバーセキュリティ研究会

・WG1『第2層：フィジカル空間とサイバー空間のつながり』の信頼性確保に向けたセキュリティ対策検討タスクフォース

 

Continue reading "経済産業省 パブコメ 「IoTセキュリティ・セーフティ・フレームワーク（案）」"

英国政府（コミッショナー） コロナウイルス危機対応のための携帯電話追跡データの使用に関する声明

こんにちは、丸山満彦です。

英国政府のコミッショナーは、COVID-19の危機対応のために、個人が特定できない状態になった携帯電話の位置情報データ等を利用することは、プライバシー法に違反しないと声明を出していますね。。。

● UK Information Commissioner's Office (UK ICO)

・2020.03.28 Statement in response to the use of mobile phone tracking data to help during the coronavirus crisis

-----

The ICO’s Deputy Commissioner Steve Wood said:

“Generalised location data trend analysis is helping to tackle the coronavirus crisis. Where this data is properly anonymised and aggregated, it does not fall under data protection law because no individual is identified.

“In these circumstances, privacy laws are not breached as long as the appropriate safeguards are in place.

“The ICO has provided advice about how data protection law can continue to apply flexibly to protect lives and data. The safety and security of the public remains our primary concern. We will continue to work alongside Government to provide advice about the application of data protection law during these unprecedented times.”

-----

英国も個人を特定できない状態での利用についてのようです。台湾、香港、シンガポール、シンガポールなど感染者の位置情報を使っているケースがあるようですが、そこまででなないようですね。

 

● PrivSec Report

・2020.03.31 #Privacy: ICO announces that mobile tracking is legal during pandemic

● The Register

・2020.03.29 UK Information Commissioner OKs use of phone data to track coronavirus spread

 

日本と同時期にコメントを発表していますので、連携しながら検討をしていたのかもしれませんね。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.01 政府から移動通信事業者等に対する「新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請」

● 総務省

・2020.03.31 新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請

・[PDF] 要請文

 

 

政府から移動通信事業者等に対する「新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請」

こんにちは、丸山満彦です。

内閣官房、総務省、厚生労働省、経済産業省が、プラットフォーム事業者や移動通信事業者にCOVID-19の感染拡大防止に資する「統計データ」の提供を要請したようですね。。。

● 総務省

・2020.03.31 新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請

・[PDF] 要請文

狙いは、

-----

プラットフォーム事業者・移動通信事業者等が保有する、地域での人流把握やクラスター早期発見等の感染拡大防止に資する統計データ（例：ユーザーの移動やサービス利用履歴を統計的に集計・解析したデータ）等を活用することにより、
　・　外出自粛要請等の社会的距離確保施策の実効性の検証
　・　クラスター対策として実施した施策の実効性の検証
　・　今後実施するクラスター対策の制度の向上
等を通じ、感染拡大防止策のより効果的な実施が可能となると期待されます。

-----

ということのようですね。。。

【参考】

● 厚生労働省

・2020.03.27 新型コロナウイルス感染症のクラスター対策に資する情報提供に関する協定締結の呼びかけについて

 

Continue reading "政府から移動通信事業者等に対する「新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請」"

NIST SP 800-175B Rev. 1 Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanism

こんにちは、丸山満彦です。

NISTがSP 800-175B Rev. 1 Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanismを公表しましたね。。。

送信中、保管中の sensitive but unclassified digitized information を保護するための連邦政府へのガイダンスで、暗号方式とサービスについて説明しています。。。

● NIST ITL

・2020.03.31 SP 800-175B Rev. 1 Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanism

・[PDF] SP 800-175B Rev. 1 (DOI)

・Other Parts of this Publication:　SP 800-175A

-----

Abstract

This document provides guidance to the Federal Government for using cryptography and NIST’s cryptographic standards to protect sensitive but unclassified digitized information during transmission and while in storage. The cryptographic methods and services to be used are discussed.

-----

Continue reading "NIST SP 800-175B Rev. 1 Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanism"

Marriott Hotelで最大520万人の顧客データが漏洩したかも・・・またですかって感じですが。。。

こんにちは、丸山満彦です。

Marriott Hotelグループが最大520万人の顧客データが漏洩したかもと発表しています。

パスワード、クレジットカード番号関係、パスポート番号関係は漏洩していないようで、名前、住所、電子メール、電話番号、アカウント番号、ポイント残高、勤務先、誕生日等が漏洩している可能性があるそうです。。。

● Marriott International

・2020.03.31 Marriott International: Incident Notification

-----

What Happened?

Hotels operated and franchised under Marriott’s brands use an application to help provide services to guests at hotels. At the end of February 2020, we identified that an unexpected amount of guest information may have been accessed using the login credentials of two employees at a franchise property. We believe this activity started in mid-January 2020. Upon discovery, we confirmed that the login credentials were disabled, immediately began an investigation, implemented heightened monitoring, and arranged resources to inform and assist guests.

Although our investigation is ongoing, we currently have no reason to believe that the information involved included Marriott Bonvoy account passwords or PINs, payment card information, passport information, national IDs, or driver’s license numbers.

At this point, we believe that the following information may have been involved, although not all of this information was present for every guest involved:

• Contact Details (e.g., name, mailing address, email address, and phone number)
• Loyalty Account Information (e.g., account number and points balance, but not passwords)
• Additional Personal Details (e.g., company, gender, and birthday day and month)
• Partnerships and Affiliations (e.g., linked airline loyalty programs and numbers)
• Preferences (e.g., stay/room preferences and language preference)

-----

● The Register

・2020.03.31 Marriott Hotels hacked AGAIN: Two compromised employee logins abused to siphon off guests' personal info - How many customers' deets? It's not saying just yet

・2019.01.04 Marriott: Good news. Hackers only took 383 million booking records ... and 5.3m unencrypted passport numbers - Plus an extra 20m passport digits and 8.6m payment card details, though encrypted

● CNET

・2020.03.31 Marriott data breach exposes over 5 million people: Latest major security hack - The hotel chain's latest security breach is just one of dozens that have revealed guests' personal details.

ENISA Tips for cybersecurity when buying and selling online

こんにちは、丸山満彦です。

ENISAがオンラインでの売買についてのセキュリティのティップスを公開していますね。。。個人向けと中小企業向けとなっています。ヨーロッパは中小企業が重要ということだからでしょうね。。。日本も似た構造だと思いますので、参考になるでしょうね。

ただ、セキュリティに関しては、中小企業が単独で対応するのは人的にも金銭的にも難しいと思うので、プラットフォーム事業者の上にシステムを作っていくことになるのだろうと思います。そうすると、プラットフォーム事業者は社会インフラとなっていきますので、電力事業者、水道事業者、鉄道事業者、通信事業者といったインフラ事業者となるわけですから、寡占問題等も鑑みて適切な規制が必要となってくるというセットと考えています。

● ENISA

・2020.03.31 Tips for cybersecurity when buying and selling online

For citizens: Cyber secure buying online

1. Secure connection
2. Look out for Covid-19 phishing emails and fake websites
3. Payment fraud
4. Updated systems
5. Protect your privacy

For SMEs: Cyber secure online selling

1. Secure your website for customers
2. Protect your assets
3. Store passwords securely
4. Ensure compliance with data protection requirements
5. Monitor and prevent incidents

Continue reading "ENISA Tips for cybersecurity when buying and selling online"