情報セキュリティ / サイバーセキュリティ

2024.09.10

米国 GAO 連邦政府システム統制監査マニュアルの15年ぶりの改訂 (2024.09.05)

こんにちは、丸山満彦です。

GAOは今年の2月に監査基準(イエローブック)も改訂したのですが、システム統制監査マニュアルも15年ぶりに改訂しましたね...500ページを超える対策です...

セキュリティも重要ですが、セキュリティも含めて考慮するシステム統制はより重要ですね...SAP導入トラブルとかもあるし...

日本の会計検査院ももっとシステム監査をすればよいのにね...業務監査イコールほぼシステム監査になってきますよ... これから...

 

● GAO

・2024.09.05 Federal Information System Controls Audit Manual (FISCAM) 2024 Revision

Federal Information System Controls Audit Manual (FISCAM) 2024 Revision 連邦情報システム統制監査マニュアル(FISCAM)2024年改訂版
GAO-24-107026 GAO-24-107026
Fast Facts ファスト・ファクト
Given the extensive use of information systems in government operations, it is essential that federal agencies have effective controls over these systems. 政府業務における情報システムの広範な利用を踏まえ、連邦政府機関がこれらのシステムに対して効果的な管理を行うことが不可欠である。
The Federal Information System Controls Audit Manual (FISCAM) provides auditors a methodology and framework for assessing the design, implementation, and operating effectiveness of these controls in accordance with the Yellow Book. 連邦情報システム管理監査マニュアル(FISCAM)は、監査人に、イエローブックに準拠したこれらの管理の設計、実装、運用効果のアセスメントのための方法論と枠組みを提供する。
This September 2024 revision replaces the 2009 version of FISCAM. This update reflects changes in auditing standards, guidance, control criteria, and technology. 2024年9月の改訂版は、2009年版のFISCAMに代わるものである。今回の更新は、監査標準、指針、管理規準、およびテクノロジーの変化を反映したものである。
Highlights ハイライト
GAO maintains the Federal Information System Controls Audit Manual (FISCAM). The 2024 revision of FISCAM has gone through an extensive deliberative process, including focus groups; interviews with internal and external officials, stakeholders, and users; and the collection and incorporation of public comments. The views of all parties were thoroughly considered in finalizing the 2024 revision of FISCAM. GAOは連邦情報システム管理監査マニュアル(FISCAM)を維持する。FISCAMの2024年改訂版は、フォーカスグループ、内部および外部の当局者、利害関係者、およびユーザーとのインタビュー、および一般からのコメントの収集と組み込みを含む広範な審議プロセスを経てきた。2024年改訂版FISCAMの最終化にあたっては、すべての関係者の意見が十分に考慮された。

 

・[PDF] Federal Information System Controls Audit Manual

20240910-42113

・[DOCX][PDF] 仮訳...

 

目次...

Foreword まえがき
100 Introduction 100 序文
110 Overview of FISCAM 110 FISCAMの概要
120 Fundamental IS Control Concepts 120 ISコントロールの基本概念
130 Applicable Auditing and Attestation Standards and Requirements 130 適用される監査基準および監査要求事項
140 Applicable Criteria 140 適用規準
200 Planning Phase 200 計画フェーズ
210 Overview of the Planning Phase 210 計画フェーズの概要
220 Perform Preliminary Engagement Activities 220 予備的な関与活動を行う
230 Understand the Entity’s Operations 230 事業体を理解する
240 Understand the Entity’s Information Security Management Program 240 事業体の情報セキュリティ管理プログラムを理解する
250 Define the Scope of the IS Controls Assessment 250 IS統制アセスメントの範囲を定義する
260 Assess IS Control Risk on a Preliminary Basis 260 IS統制リスクを予備的にアセスメントする。
270 Identify Relevant General Control Objectives and Determine Likelihood of Effective General Controls 270 関連する全般統制目標を識別し、全般統制が有効である可能性を判断する。
280 Prepare Planning Phase Documentation 280 計画フェーズの文書作成
300 Testing Phase 300 検証フェーズ
310 Overview of the Testing Phase 310 検証フェーズの概要
320 Identify Relevant IS Controls 320 関連する IS 統制を識別する
330 Determine the Nature, Timing, and Extent of IS Control Tests 330 IS統制テストの性質、タイミング、および範囲を決定する。
340 Perform IS Control Tests and Evaluate the Results, Including the Significance of IS Control Deficiencies 340 IS統制テストを実施し、IS統制の不備の重大性を含め、その結果を評価する。
350 Prepare Testing Phase Documentation 350 検証フェーズの文書作成
400 Reporting Phase 400 報告フェーズ
410 Overview of the Reporting Phase 410 報告フェーズの概要
420 Determine Compliance with FISCAM 420 FISCAMへの準拠を決定する
430 Draft Report 430 ドラフトレポート
440 Prepare Reporting Phase Documentation 440 報告フェーズの文書作成
500 FISCAM Framework 500 FISCAMフレームワーク
510 Overview of the FISCAM Framework 510 FISCAMフレームワークの概要
520 FISCAM Framework for Business Process Controls 520 ビジネス・プロセス・コントロールのためのFISCAMフレームワーク
530 FISCAM Framework for Security Management 530 セキュリティ管理のためのFISCAMフレームワーク
540 FISCAM Framework for Access Controls 540 アクセス管理のためのFISCAMフレームワーク
550 FISCAM Framework for Segregation of Duties 550 職務分離のためのFISCAMフレームワーク
560 FISCAM Framework for Configuration Management 560 構成管理のためのFISCAMフレームワーク
570 FISCAM Framework for Contingency Planning 570 コンティンジェンシープランニングのためのFISCAMフレームワーク
Appendix 600A Glossary 附属書 600A 用語集
Appendix 600B FISCAM Assessment Completion Checklist 附属書 600B FISCAMアセスメント完了チェックリスト
Appendix 600C FISCAM Security Management Questionnaire 附属書 600C FISCAM セキュリティ管理質問票

 

まえがき...

Foreword まえがき
Given the extensive use of information systems in government operations, information system controls are integral to an entity’s internal control system—a continuous built-in component of operations, effected by people, that provides reasonable assurance, not absolute assurance, that an entity’s objectives will be achieved. An information system controls assessment is an essential component of an auditor’s examination of an entity’s internal control system. The Federal Information System Controls Audit Manual (FISCAM) presents a methodology for assessing information system controls.  情報システム統制は、事業体の内部統制システムに不可欠なものであり、事業体の目的が達成されるという絶対的な保証ではなく、合理的な保証を提供する、人による継続的な業務の組み込み要素である。情報システムコントロールのアセスメントは、監査人による事業体の内部統制システムの検査の必須事業体である。連邦情報システム統制監査マニュアル(FISCAM)は、情報システム統制を評価するための手法を提示している。 
The 2024 revision of FISCAM contains major changes from, and supersedes, the 2009 revision. Major changes are summarized below.  FISCAMの2024年改訂版は、2009年改訂版からの主な変更点を含み、2009年改訂版に取って代わるものである。主な変更点は以下の通りである。 
• All sections are presented in a reorganized format that differentiates between introductory material; the information system controls assessment methodology; the information system controls framework, which is integral to the methodology; and other supplementary material.  • すべてのセクションは、序論、情報システムコントロールのアセスメント方法論、方法論に不可欠な情報システムコントロールのフレームワーク、およびその他の補足資料を区別するために再構成された形式で提示されている。 
• The methodology and framework are updated to reflect changes in relevant auditing standards, guidance, control criteria, and technology since the last revision.  • この方法論と枠組みは、前回の改訂以降の関連する監査標準、ガイダンス、統制規準、技術の変化を反映し、更新されている。 
• The introduction is revised to clarify the manual’s purpose and applicability, as well as information system control concepts that are foundational to using the methodology and framework. This includes the addition of figures to assist the auditor in understanding certain concepts.  • 序文は、マニュアルの目的と適用可能性、及び方法論とフレームワークを使用する上で基礎となる情報システムコントロールの概念を明確にするために改訂された。これには、監査人が特定の概念を理解するための図表の追加も含まれている。 
• The planning phase of the methodology is expanded to provide additional guidance on defining the scope of the information system controls assessment, which includes identifying and obtaining an understanding of significant business processes, business process controls, and areas of audit interest. The planning phase is also expanded to clarify the auditor’s responsibilities for assessing information system control risk, identifying relevant control objectives, and determining the likelihood of effective general controls in planning further audit procedures.  • この方法論の計画フェーズは、重要なビジネスプロセス、ビジネスプロセス・コントロール及び監査上の関心領域を識別し、理解することを含む、情報システム・コントロールのアセスメントの範囲を定義するための追加的な指針を提供するために拡大されている。また、計画フェーズを拡大し、更なる監査手続の計画において、情報システム統制リスクのアセスメント、関連する統制目標の識別、及び全般統制が有効である可能性の判断に関する監査人の責任を明確にしている。 
• The testing phase of the methodology is expanded to provide additional guidance on the nature, timing, and extent of information system controls testing and on evaluating the significance of any information system control deficiencies identified and their effect on information system control risk.  • 方法論の検証フェーズは、情報システム統制テストの性質、時期及び範囲、並びに識別された情報システム統制の欠陥の重要性及び情報システム統制リスクへの影響の評価に関する追加ガイダンスを提供するために拡大されている。 
• The reporting phase of the methodology is expanded to provide additional guidance on determining compliance with the methodology and reporting on the results of the information system controls assessment.  • 方法論の報告フェーズが拡大され、方法論への準拠を決定し、情報システム統制アセスメントの結果を報告するための追加ガイダンスが提供される。 
• The framework is simplified through combining of the general and application security control categories in the 2009 FISCAM into five general control categories: (1) security management, (2) access controls, (3) segregation of duties, (4) configuration management, and (5) contingency planning. In addition, the business process, interface, and data management system controls, as well as certain application security control considerations, are reorganized and collectively renamed business process controls.  • この枠組みは、2009年版FISCAMの全般統制及びアプリケーション・セキュリティ統制のカテゴリーを、(1)セキュリティ管理、(2)アクセス管理、(3)職務分掌、(4)構成管理、(5)危機管理計画の5つの全般統制のカテゴリーに統合することにより簡素化されている。加えて、ビジネスプロセス、インターフェイス、及びデータ管理システムの管理、並びに特定のアプリケーションセキュリティ管理の考慮事項が再編成され、まとめてビジネスプロセス管理という名称に変更された。 
• The framework is revised to align with the principles and attributes in the Standards for Internal Control in the Federal Government (known as the Green Book).  • このフレームワークは、連邦政府内部統制標準(通称グリーンブック)の原則と属性に沿うように改訂されている。 
• The appendixes are updated to provide supplementary guidance to assist the auditor in applying the methodology and framework.  • 附属書は、監査人が方法論とフレームワークを適用する際の助けとなる補足ガイダンスを提供するために更新された。 
This revision of FISCAM has gone through an extensive deliberative process, including focus groups; interviews with internal and external officials, stakeholders, and users; and the collection and incorporation of public comments. The views of all parties were thoroughly considered in finalizing the 2024 revision of FISCAM.  このFISCAMの改訂は、フォーカスグループ、内外の関係者、利害関係者、ユーザーとの面談、パブリックコメントの収集と反映など、広範な審議プロセスを経て行われた。すべての関係者の意見は、FISCAMの2024年改訂版の最終決定において徹底的に考慮された。 
The 2024 revision of FISCAM is effective for engagements beginning on or after October 1, 2024.  FISCAMの2024年改訂版は、2024年10月1日以降に開始する契約から適用される。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.03 米国 GAO 監査基準書 (イエローブック)2024年版

 

| | Comments (0)

米国 FFIEC サイバーセキュリティアセスメントツール(CAT)は2025.08.31で終了 (2024.08.29)

こんにちは、丸山満彦です。

連邦金融機関検査協議会 ( Federal Financial Institutions Examination Council; FFEIC) は、2015年より10年近くの長きにわたり金融業界でも使われてきた(ただ、ちょっと改訂がとまっていましたね...)FFEIC CATを2025.08.31をもって終了すると発表していますね...

CAT終了に関する声明...

Federal Financial Institutions Examination Council; FFIEC

・2024.08.29 Cybersecurity Assessment Tool Sunset

声明...

・[PDF]

20240909-122432

 

CAT Sunset Statement   CAT 終了に関する声明 
The Federal Financial Institutions Examination Council (FFIEC),  on behalf of its members, is issuing this statement to communicate the agencies will sunset the Cybersecurity Assessment Tool (CAT)2 on August 31, 2025.    連邦金融機関検査協議会(FFIEC)は、加盟機関を代表して、サイバーセキュリティ評価ツール(CAT)2を2025年8月31日に終了することを発表する。  
The CAT was released in June 2015 as a voluntary assessment tool to help financial institutions identify their risks and determine their cybersecurity preparedness.  While the fundamental security controls addressed throughout the maturity levels of the CAT are sound, several new and updated government and industry resources are available that financial institutions can leverage to better manage cybersecurity risks.    CATは、金融機関が自社のリスクを識別し、サイバーセキュリティ対策を決定するのを支援する自主的なアセスメントツールとして、2015年6月にリリースされた。CATの成熟度レベル全体で取り上げられている基本的なセキュリティ制御は妥当であるが、金融機関がサイバーセキュリティリスクをより適切に管理するために活用できる、政府および業界による新しいリソースや更新されたリソースがいくつか利用可能になっている。
The FFIEC will remove the CAT from the FFIEC website on August 31, 2025.  After much consideration, the FFIEC has determined not to update the CAT to reflect new government resources, including the National Institute of Standards and Technology (NIST) Cybersecurity Framework 2.0 and the  FFIECは、2025年8月31日にFFIECウェブサイトからCATを削除する。 FFIECは、多くの検討を重ねた結果、国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク2.0や、
Cybersecurity and Infrastructure Security Agency’s (CISA) Cybersecurity Performance Goals.  Supervised financial institutions can instead refer directly to these new government resources.  CISA released CrossSector Cybersecurity Performance Goals in 2023 and is preparing to release Cybersecurity Performance Goals for the Financial Sector later this year.  These resources were developed to help organizations of all sizes and sectors manage and reduce their cybersecurity risk in alignment with a whole-of-government approach to improve security and resilience.  The FFIEC will discuss these resources during a banker webinar this Fall.    サイバーセキュリティ・インフラセキュリティ庁(CISA)のサイバーセキュリティパフォーマンス目標など、新たな政府リソースを反映させるためにCATを更新しないことを決定した。監督下にある金融機関は、代わりにこれらの新たな政府リソースを直接参照することができる。CISAは2023年に「業種横断的サイバーセキュリティパフォーマンス目標)」を公表し、今年後半には「金融セクター向けサイバーセキュリティパフォーマンス目標)」を公表する予定である。 これらのリソースは、あらゆる規模や業種の組織が、政府全体のアプローチに沿ってサイバーセキュリティリスクを管理・軽減し、セキュリティとレジリエンシーを改善できるよう開発された。FFIECは、今秋に開催される銀行家向けウェビナーで、これらのリソースについて議論する予定である。 
Supervised financial institutions may also consider use of industry developed resources, such as the Cyber Risk Institute’s (CRI) Cyber Profile, and the Center for Internet Security Critical Security Controls.  These tools can be used in conjunction with other resources (e.g., frameworks, standards, guidelines, leading practices) to better address and inform management of continuously evolving cyber security risk.  Supervised financial institutions should ensure that any self-assessment tool(s) they utilize support an effective control environment and are commensurate with their risk.  監督下にある金融機関は、「サイバーリスク研究所 (CRI) 」の「サイバー・プロファイル」や「インターネットセキュリティセンター 重要なセキュリティ管理策」など、業界が開発したリソースの利用も検討すべきである。 これらのツールは、他のリソース(フレームワーク、標準、ガイドライン、ベストプラクティスなど)と併用することで、絶えず進化するサイバーセキュリティリスクへの対応と経営陣への情報提供をより効果的に行うことができる。監督下にある金融機関は、利用する自己アセスメントツールが効果的な制御環境をサポートし、自社のリスクに見合ったものであることを確認すべきである。
While the FFIEC does not endorse any particular tool, these standardized tools can assist financial institutions members take a risk-focused approach to examinations.  As cyber risk evolves, examiners may address areas not covered by all tools.  FFIECは特定のツールを推奨していないが、これらの標準化されたツールは、金融機関がリスクに焦点を当てたアプローチで検査を行うことを支援することができる。 サイバーリスクが進化するにつれ、すべてのツールでカバーされていない分野について検査官が対応することがある。 
Resources  リソース 
NIST Cybersecurity Framework 2.0  ・NIST サイバーセキュリティフレームワーク 2.0 
CISA Cybersecurity Performance Goals | CISA  ・CISA サイバーセキュリティパフォーマンス目標 
Cybersecurity Performance Goals: Sector-Specific Goals | CISA  ・CISA サイバーセキュリティパフォーマンス目標:セクター固有の目標 
Cyber Risk Institute Cyber Profile  ・サイバーリスク研究所 サイバープロファイル 
Center for Internet Security Controls ・インターネットセキュリティ管理センター

 

CATのページも終了のアナウンスが...

Cybersecurity Assessment Tool

現行の最新版は、2017年5月版...

・[PDF] User’s Guide 

・[PDF] Inherent Risk Profile 

・[PDF] Cybersecurity Maturity 

 

 


で、おそらく重要となる...

Cyber Risk Institute

CRI Profile v2.0

サイバーセキュリティフレームワーク (CSF) 2.0と構造は同じで、追加で、Extendedがありますね...

20240909-123747

 

EX EXTEND 拡張
EX.DD Procurement Planning and Due Diligence 調達計画およびデューデリジェンス
EX.DD-01 Procurement Planning 調達計画
EX.DD-02 Prospective Third Party Due Diligence 取引見込み先のサードパーティのデューデリジェンス
EX.DD-03 Technology & Cybersecurity Due Diligence 技術およびサイバーセキュリティのデューデリジェンス
EX.DD-04 Product & Service Due Diligence 製品およびサービスのデューデリジェンス
EX.CN Third-Party Contracts and Agreements サードパーティ契約および合意
EX.CN-01 Contract General Requirements 契約の一般要件
EX.CN-02 Contract Cybersecurity-Related Requirements 契約のサイバーセキュリティ関連要件
EX.MM Monitoring and Managing Suppliers サプライヤーのモニタリングおよび管理
EX.MM-01 Ongoing Third-Party Monitoring 継続的なサードパーティのモニタリング
EX.MM-02 Ongoing Third-Party Management 継続的なサードパーティの管理
EX.TR Relationship Termination 関係の終了
EX.TR-01 Termination Planning 終了計画
EX.TR-02 Termination Practices 終了の実施

 


 

Center for Internet Security

CIS Critical Security Controls

・[PDF] CIS Community Defense Model Version 2.0

20240909-125832

目次...

Executive Summary エグゼクティブサマリー
Results Summary 結果の概要
Overview 概要
What’s New in CDM v2.0 CDM v2.0の新機能
Glossary 用語集
Methodology 方法論
Security Function vs. Security Value 8 セキュリティ機能とセキュリティ価値 8
Overall Process 全体的なプロセス
ATT&CK Structure ATT&CKの構造
Mapping Relationships 関係性のマッピング
How to Use This Document この文書の使用方法
Security Function Analysis セキュリティ機能分析
ATT&CK Mitigations ATT&CK 低減策
ATT&CK (Sub-)Techniques ATT&CK(サブ)テクニック
CIS Safeguards CIS セーフガード
Data Source Analysis データソース分析
Data Types 18 データタイプ 18
Attack Type Data Sources 攻撃タイプ データソース
Top Attack Types 主な攻撃の種類
Attack Pattern Data Sources 攻撃パターン データソース
Security Value Analysis セキュリティ価値分析
Malware マルウェア
Ransomware ランサムウェア
Web Application Hacking ウェブアプリケーションハッキング
Insider and Privilege Misuse 内部関係者および特権の悪用
Targeted Intrusions 標的型侵入
Summary まとめ
Conclusion 結論
Closing Notes 結語
Future Work 今後の課題
Appendix A: Acronyms and Abbreviations
附属書A: 略語と略称
Appendix B: Links and Resource 附属書 B: リンクとリソース
Appendix C: Background 附属書 C: 背景
Appendix D: ATT&CK (Sub-)Techniques With No Mapping to CIS Safeguards 附属書D: CISセーフガードへのマッピングのないATT&CK(サブ)テクニック
Appendix E: ATT&CK (Sub-)Techniques With No Mapping to ATT&CK Mitigations 附属書 E: ATT&CK (Sub-)Techniques With No Mapping to ATT&CK Mitigations
Appendix F: Unmapped CIS Safeguards to ATT&CK Framework 附属書 F: ATT&CKフレームワークにマッピングされていないCISセキュリティ対策
Appendix G: ATT&CK Navigator Visualizations for Attack Patterns 附属書 G: ATT&CKナビゲーターによる攻撃パターンを視覚化
Malware マルウェア
Ransomware ランサムウェア
Web Application Hacking ウェブアプリケーションハッキング
Insider and Privilege Misuse 内部関係者および特権の悪用
Targeted Intrusions 標的型侵入
Appendix H: Unmapped ATT&CK (Sub-)Techniques to CIS Safeguards Within an Attack Pattern 附属書 H: 攻撃パターンにおけるCIS安全対策に対する未マッピングのATT&CK(サブ)テクニック
Appendix I: ATT&CK (Sub-)Techniques With No ATT&CK Mitigation Mapped Within an Attack Pattern 附属書 I: ATT&CK(サブ)テクニックで、攻撃パターン内にATT&CK低減策がマッピングされていないもの

 

 

| | Comments (0)

2024.09.09

中国 中国サイバーセキュリティ産業連盟 競争力のある企業トップ50、注目成長企業10、潜在スタートアップ企業10を公表...

こんにちは、丸山満彦です。

サイバーセキュリティ産業は安全保障にも関係してくる産業なので、主要国は人材育成、技術開発、その技術を活かした産業の育成に力をいれているように思います。

中国でも、中国サイバーセキュリティ産業連盟が優種技術開発賞を先月 (2024.08.22) 発表していましたが、こんどはマーケットで競争力のある企業50社と、注目成長企業10社、潜在スタートアップ10社を公表していますね...

参考になりますね...

 

中国网络安全产业联盟 : China Cybersecurity Industry Alliance

・2024.09.06 关于公布2024年中国网安产业竞争力50强、成长之星、潜力之星榜单的通知

21行目以下は力尽きてます...

序号 公司中文简称 公司中文全称   百度  wiki
1 奇安信 奇安信科技集团股份有限公司 QIANXIN W
2 启明星辰 启明星辰信息技术集团股份有限公司    
3 深信服 深信服科技股份有限公司    
4 华为 华为技术有限公司 Huawei W
5 天融信 天融信科技集团股份有限公司 TopSec  
6 新华三 新华三信息安全技术有限公司 H3C W
7 安恒信息 杭州安恒信息技术股份有限公司    
8 亚信安全 亚信安全科技股份有限公司    
9 绿盟科技 绿盟科技集团股份有限公司   W
10 三六零 三六零安全科技股份有限公司 360 W
11 电信安全 天翼安全科技有限公司    
12 电科网安 中电科网络安全科技股份有限公司 westone W
13 迪普科技 杭州迪普科技股份有限公司    
14 山石网科 北京山石网科信息技术有限公司 Hillstone  
15 中孚信息 中孚信息股份有限公司    
16 数字认证 北京数字认证股份有限公司    
17 长亭科技 北京长亭科技有限公司    
18 北信源 北京北信源软件股份有限公司 VRV  
19 信安世纪 北京信安世纪科技股份有限公司    
20 联通数科 联通数字科技有限公司    
21 交天 安天科技集团股份有限公司      
22 安博通 北京安博通科技股份有限公司      
23 观安信息 上海观安信息技术股份有限公司      
24 青藤云安全 北京升鑫网络科技有限公司      
25 永信至诚 永信至诚科技集团股份有限公司      
26 盛邦安全 远江盛邦(北京)网络安全科技股份有限公司      
27 威努特 北京威努特技术有限公司      
28 恒交嘉新 恒安嘉新(北京)科技股份公司      
29 格尔软件 格尔软件股份有限公司      
30 微步在线 北京微步在线科技有限公司      
31 长扬科技 长扬科技(北京)股份有限公司      
32 三未信安 三未信安科技股份有限公司      
33 吉大正元 长春吉大正元信息技术股份有限公司      
34 默安科技 杭州默安科技有限公司      
35 美创科技 杭州美创科技股份有限公司      
36 网宿科技 网宿科技股份有限公司      
37 明朝万达 北京明朝万达科技股份有限公司      
38 安华金和 北京安华金和科技有限公司      
39 天地和兴 北京天地和兴科技有限公司      
40 南瑞信通 南京南瑞信息通信科技有限公司      
41 国投智能 玉投智能(厦门)信息股份有限公司      
42 斗象科技 上海斗象信息科技有限公司      
43 联软科技 深圳市联软科技股份有限公司      
44 梆梆安全 北京梆梆安全科技有限公司      
45 任子行 任子行网络技术股份有限公司      
46 中睿天下 北京中睿天下信息技术有限公司      
47 瑞数信总 瑞数信息技术(上海)有限公司      
48 指掌易 北京指掌易科技有限公司      
49 珞安科技 北京珞安科技有限责任公司      
50 芯看时代 北京芯盾时代科技有限公司      

 

注目成長企業

序号 公司中文简称 公司中文全称 业务领域 事業分野
1 海云安 深圳海云安网络安全技术有限公司 开发安全/数据安全 開発セキュリティ / データ・セキュリティ
2 万物安全 深圳万物安全科技有限公司 物联网安全/网络资产测绘 IoTセキュリティ/サイバー資産マッピング
3 华云安 北京华云安信息技术有限公司 攻击面管理/威胁管理 アタック・サーフェス・マネジメント/脅威管理
4 六方云 北京六方云信息技术有限公司 工业互联网安全 インダストリアル・インターネット・セキュリティ
5 保旺达 江苏保旺达软件技术有限公司 数据安全/数据分类分级 データセキュリティ / データの分類と階層化
6 安芯网盾 安芯网 (北京)科技有限公司 内存安全/端点安全 メモリセキュリティ / エンドポイントセキュリティ
7 烽台科技 烽台科技(北京)有限公司 工控安全靶场/工控安全咨询 産業制御セキュリティ範囲 / 産業制御セキュリティコンサルティング
8 中信网安 福建中信网安信息科技有限公司 数据安全/安全服务 データセキュリティ/セキュリティサービス
9 赛宁网安 南京赛宁信息技术有限公司 网络靶场/攻防演练 ネットワーク範囲/攻撃と防御演習
10 小佑科技 北京小佬科技有限公司 云原生安全/容器安全 クラウドネイティブセキュリティ/コンテナセキュリティ

 

潜在スタートアップ

序号 公司中文简称 公司的中文全称 业务领域 事業分野
1 亿格云 杭州亿格云科技有限公司 SASE/零信任 SASE/ゼロ・トラスト
2 丈八网安 北京丈八网络安全科技有限公司 网络靶场/攻防演练 サイバーレンジ/攻防演習
3 知其安科技 北京知其安科技有限公司 安全有效性验证/BAS セキュリティ効果検証/BAS
4 数安行 北京数安行科技有限公司 数据安全/个人隐私保护 データセキュリティ/プライバシー保護
5 矢安科技 上海矢安科技有限公司 BAS/攻击面管理 BAS/アタックサーフェス管理
6 观成科技 北京观成科技有限公司 加密流量检测 暗号化トラフィックの検出
7 安全玻璃盒 杭州孝道科技有限公司 DevSecOps/软件供应链安全 DevSecOps/ソフトウェアサプライチェーンセキュリティ
8 软安科技 软安科技有限公司 软件供应链安全/开发安全 ソフトウェアサプライチェーンセキュリティ/開発セキュリティ
9 魔方安全 深圳市魔方安全科技有限公司 攻击面管理/漏洞管理 アタック・サーフェス・マネジメント / 脆弱性管理
10 齐安科技 浙江齐安信息科技有限公司 工业互联网安全 インダストリアル・インターネット・セキュリティ

 

1_20240822233001

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.23 中国 中国サイバーセキュリティ産業連盟 「2024 サイバーセキュリティ優秀技術賞」受賞者発表

 

| | Comments (0)

米国 国防総省 NSAのAI安全保障センター長の話...

こんにちは、丸山満彦です。

米国の国防総省NSAのAI安全保障センター長のワシントンで開催されたサイバーセキュリティのセミナーでの発言が公表されていましたので、参考まで...

議会向けですかね...

ちなみに、国防総省は、昨年11月に「データ・分析・AI導入戦略」を発表しています...

また、

AI安全保障センターの設立は昨年なのですが、初代センター長はポール・ナカソネ (Pau Nakasone) [wikipedia]さん。

 

U.S. Department of Defense

・2024.09.06 AI Security Center Keeps DOD at Cusp of Rapidly Emerging Technology

AI Security Center Keeps DOD at Cusp of Rapidly Emerging Technology AI安全保障センターが国防総省を急速に進歩する技術の最先端に維持する
The director of the National Security Agency said the agency's new Artificial Intelligence Security Center is paying dividends in the Defense Department's efforts to stay at the cutting edge of the rapidly advancing technology.   国家安全保障局の局長は、同局の新しい人工知能安全保障センターが、急速に進歩する技術の最先端に留まろうとする国防総省の努力に利益をもたらしていると語った。 
Air Force Gen. Timothy D. Haugh, who also serves as the commander of U.S. Cyber Command, said the security center has become vital as the agency continues to seek ways to leverage, adapt to and protect against AI technology.    米サイバー軍司令官を兼任するティモシー・D・ハウ空軍大将は、同局がAI技術を活用し、適応し、保護する方法を模索し続ける中で、安全保障センターは不可欠になっていると語った。   
"One area that we see as really being able to provide value is focusing on the security of that technology — thinking about it through both the lens of the protection of intellectual property but also how we think about defending those models to ensure that they're being used properly," Haugh said during an event yesterday at the Billington Cybersecurity Summit in Washington.   「我々が本当に価値を提供できると考えている分野のひとつは、その技術のセキュリティに焦点を当てることだ。知的財産の保護というレンズを通して考えるだけでなく、それらのモデルが適切に使用されていることを保証するために、それらのモデルを守ることをどう考えるかだ」と、昨日ワシントンで開催されたビリントン・サイバーセキュリティ・サミットでのイベントでハウ氏は語った。  
Haugh's predecessor, Army Gen. Paul M. Nakasone announced the creation of the center last year, consolidating the agency's various artificial intelligence, security-related activities.   ハウ氏の前任者であるポール・M・ナカソネ陸軍大将は昨年、同センターの設立を発表し、NSAのさまざまな人工知能やセキュリティ関連の活動を統合した。 
It serves as NSA's focal point for developing best practices, evaluation methodology and risk frameworks with the aim of promoting the secure adoption of new AI capabilities across the national security enterprise and the defense industrial base.   同センターは、ベストプラクティス、評価方法論、リスクフレームワークを開発するNSAの中心的な役割を果たし、国家安全保障企業や防衛産業基盤全体で新しいAI能力の安全な採用を促進することを目的としている。  
Haugh said NSA also plays a critical role in shaping the government's efforts to better understand the risk of AI in the hands of adversaries and defending against those risks.  ハフ氏によると、NSAはまた、AIが敵の手に渡るリスクをよりよく理解し、そのリスクから防衛するための政府の取り組みを形成する上で、重要な役割を担っているという。
U.S. officials have emphasized the increasing role AI is having in shaping the national security landscape, and they've taken steps to shape the future of the emerging technology.   米国政府関係者は、AIが国家安全保障の展望を形成する上で果たす役割が増大していることを強調し、この新たな技術の将来を形作るための措置を講じている。  
Last year, DOD released its strategy to accelerate the adoption of advanced AI capabilities to ensure U.S. warfighters maintain decision superiority on the battlefield for years to come.  国防総省は昨年、米国の戦闘員が今後何年にもわたって戦場での意思決定の優位性を維持できるよう、高度なAI能力の採用を加速させる戦略を発表した。
The Pentagon's 2023 Data, Analytics and Artificial Intelligence Adoption Strategy builds upon years of DOD leadership in the development of AI and further solidifies the United States' competitive advantage in fielding the emerging technology, defense officials said in releasing the blueprint.   国防総省の2023年データ・分析・人工知能導入戦略は、AIの開発における国防総省の長年のリーダーシップの上に構築され、新たな技術の導入における米国の競争上の優位性をさらに強固なものにする、と国防当局者は青写真の発表で述べた。 
In unveiling the strategy, Deputy Defense Secretary Kathleen Hicks also emphasized the Pentagon's commitment to safety and responsibility while forging the AI frontier.  The U.S. has also introduced a political declaration on the responsible military use of artificial intelligence, which further seeks to codify norms for the responsible use of the technology.   キャスリーン・ヒックス国防副長官は、この戦略を発表する中で、AIのフロンティアを開拓する一方で、国防総省が安全性と責任にコミットしていることも強調した。 米国はまた、人工知能の責任ある軍事利用に関する政治宣言を発表しており、人工知能の責任ある利用に関する規範を成文化しようとしている。  
Haugh said the agency also remains at the forefront in shaping DOD's use of the technology, with a keen focus on responsibility.    ハウ氏は、NSAは国防総省の技術利用を形成する最前線にあり続け、責任に重点を置いていると述べた。  
He added that NSA brings a unique perspective from within the U.S. government to responsibly shape the future of AI.    NSAは、AIの未来を責任を持って形成するために、米国政府内からユニークな視点をもたらすと付け加えた。  

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.29 米国 国防総省 AI導入戦略 (2023.11.02)

・[PDF] 2023 Data, Analytics and Artificial Intelligence Adoption Strategy

20231129-53122

 

Strateging Goal

DOD AI Hierarchy of Needs(国防総省のAIニーズの階層構造)

1_20231129060001

 

 

・2023.07.21 米国 国家情報長官室 情報コミュニティのデータ戦略 2023-2025

 

 

| | Comments (0)

2024.09.07

外務省 第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会の開催

こんにちは、丸山満彦です。

2024.09.06に第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会が開催されたようですね...

● 外務省

・202409.06 第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会の開催


9月6日、午後1時から約3時間、韓国のソウルにおいて、第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会が実施されたところ、概要は以下のとおりです。

  1. 今回の作業部会においては、熊谷直樹外務省サイバー政策担当大使兼総合外交政策局審議官、セス・ベイリー米国国務省北朝鮮担当次席特別代表、李埈一(イ・ジュンイル)韓国外交部朝鮮半島政策局長が共同議長を務めました。

  2. 今回の作業部会において、三か国は、北朝鮮の不法な大量破壊兵器及び弾道ミサイル計画の資金源となる、北朝鮮の不正なサイバー活動に対する懸念を改めて表明しました。その上で、北朝鮮による暗号資産窃取や北朝鮮IT労働者を含む北朝鮮のサイバー脅威に対する各国の取組や今後の日米韓協力等について意見交換を行いました。

  3. 今回の議論は、日米韓で北朝鮮のサイバー活動に関する協力を進める政府全体の取組の一環として、外交的な取組に焦点を当てて行われたものです。

  4. 三か国は、国連安保理決議に従った北朝鮮の完全な非核化に向け、サイバー分野における対応を含め、引き続き緊密に連携することを再確認しました。

 

米国の国務省

U.S. Department of State

・2024.09.05 Seventh United States-Republic of Korea Working Group to Counter Cyber Threats Posed by the Democratic People’s Republic of Korea

Seventh United States-Republic of Korea Working Group to Counter Cyber Threats Posed by the Democratic People’s Republic of Korea 朝鮮民主主義人民共和国によるサイバー脅威に対抗する第7回米国・韓国作業部会
The United States and the Republic of Korea convened in Seoul the seventh U.S.-Republic of Korea (ROK) Working Group September 5-6 to counter cyber threats posed by the Democratic People’s Republic of Korea (DPRK). Led by Deputy Special Representative for the DPRK Seth Bailey and ROK Ministry of Foreign Affairs Director General for Korean Peninsula Policy Lee Jun-il, the meeting underscored the continued close collaboration between the U.S. and ROK governments to disrupt the DPRK’s ability to generate revenue through malicious cyber activity, which it uses to fund its unlawful WMD and ballistic missile programs. The working group included participants from 15 U.S. and ROK government departments, ministries, and agencies. 米国と韓国は、朝鮮民主主義人民共和国(DPRK)によるサイバー脅威に対抗するため、9月5日~6日にソウルで第7回米国・韓国(ROK)作業部会を開催した。北朝鮮担当のセス・ベイリー副代表と韓国外務省の李潤一朝鮮半島政策本部長が主導したこの会合では、北朝鮮による悪意あるサイバー活動による収益生成能力を妨害するために、米国と韓国の政府が緊密に協力し続けていることが強調された。北朝鮮は、違法な大量破壊兵器および弾道ミサイル計画の資金調達に、この悪意あるサイバー活動を利用している。作業部会には、米国および韓国の15の政府省庁および機関から参加者が集まった。
The United States and the ROK are pursuing a wide range of actions to prevent and disrupt DPRK cryptocurrency heists, address DPRK cyber espionage against the defense sector, stop third party facilitators from enabling DPRK illicit revenue generation, and dismantle DPRK IT worker infrastructure and networks. The Working Group meeting also focused on coordinated diplomatic outreach, information sharing, and capacity building for nations vulnerable to the DPRK cyber threat. 米国と韓国は、北朝鮮による暗号通貨強奪の防止と阻止、国防部門に対する北朝鮮のサイバースパイ活動への対処、北朝鮮の不正収益の生成を可能にするサードパーティの仲介者の阻止、北朝鮮のIT労働者のインフラとネットワークの解体など、幅広い対策を講じている。作業部会の会合では、北朝鮮のサイバー脅威に対して脆弱性を持つ国々に対する、協調的な外交的働きかけ、情報共有、能力構築にも重点が置かれた。

 

1_20240907013201

 

| | Comments (0)

米国 NSA "No Such Agency"による"No Such Podcast" が2024.09.05から始まりました(毎週 6回シリーズ)

こんにちは、丸山満彦です。

国家安全保障局 (NSA) [wikipedia]は米国の情報機関の中でも通信の諜報活動 (SIGINT) を主に担当している国防総省の管轄下の部門ですが、ボットキャスト"No Such Podcast"を開始しましたね...

採用のための活動ですかね...参考になります...

 

第1回目は

NSA のサイバーセキュリティ担当ディレクターであるデイブ・ルーバーと海兵隊のジェリー・カーター中将による業務内容の話...

・オサマ・ビンラディンを逮捕するための米国政府の努力に対するNSAのSIGINTの貢献についての内容ですね...

 

NSA

no such podcast

・2024.09.05 Cybersecurity is National Security



Cybersecurity is no longer a separate domain – it’s integrated into everything we do to keep the United States safe from foreign adversaries. As Russia, China, Iran, North Korea, and others conduct cyberattacks on national security systems and the Defense Industrial Base, the National Security Agency is on the job, detecting attacks, defending networks, and distributing declassified intelligence to help private industry partners. サイバーセキュリティはもはや独立した領域ではなく、米国を外国の敵対者から守るために行うあらゆることに統合されている。ロシア、中国、イラン、北朝鮮などが国家安全保障システムや防衛産業基盤に対してサイバー攻撃を仕掛ける中、国家安全保障局は攻撃の検知、ネットワークの防御、機密解除された情報の民間産業パートナーへの配布などを行っている。
NSA’s Director of Cybersecurity, Dave Luber, joins No Such Podcast to shine the light on how NSA cybersecurity contributes to national security. Learn from Marine Corps LtGen Jerry Carter about the value of having close civilian-military collaboration to keep our armed forces safe and our policymakers informed. From secure AI to #StopRansomware to PRC hacking and beyond, NSA’s experts work every day on cybersecurity challenges. NSAのサイバーセキュリティ部長であるデイブ・ルーバーがNo Such Podcastに参加し、NSAのサイバーセキュリティがどのように国家の安全保障に貢献しているかを明らかにする。海兵隊のジェリー・カーター中将から、軍の安全と政策立案者の情報収集を維持するために、民間と軍の緊密な連携が持つ価値について学ぶ。安全なAIから#StopRansomware、中国によるハッキング、そしてそれ以外のことまで、NSAの専門家は日々、サイバーセキュリティの課題に取り組んでいる。
Learn more at NSA.gov/cybersecurity. Find the show transcript and other episodes at NSA.gov/podcast. Discover job opportunities at NSA.gov/careers. 詳細はNSA.gov/cybersecurityをご覧ください。ショーのトランスクリプトや他のエピソードはNSA.gov/podcastでご覧いただけます。NSA.gov/careersで求人情報をご覧ください。

 

 

オサマビンラディンの話...

・2024.09.05 How We Found Bin Laden: The Basics of Foreign Signals Intelligence


Osama bin Laden helped plan the terrorist attacks of September 11, 2001 which killed nearly 3,000 Americans. To find him, the U.S. government had to put its best people on the job. Along with their counterparts across multiple agencies, experts at the National Security Agency answered the call. NSA generated foreign signals intelligence to help find, and ultimately eliminate, the terrorist leader. オサマ・ビンラディンは、2001年9月11日の同時多発テロ事件の計画に携わり、このテロ事件ではおよそ3,000人のアメリカ人が命を落とした。 ビンラディンを追跡するため、米国政府は最高の能力を持つ人材を投入しなければならなかった。 複数の政府機関の専門家たちとともに、国家安全保障局(NSA)の専門家たちもその任務に当たった。 NSAは外国の通信情報(SIGINT)を生成し、テロリストのリーダーの追跡、そして最終的な排除に貢献した。
In the lead episode of No Such Podcast, learn how NSA helped find bin Laden through foreign signals intelligence (SIGINT), one of the Agency’s two core missions. NSA leaders demystify the foreign SIGINT cycle and how each step applied to the Osama bin Laden case. Learn from a counterterrorism expert who was in the room when the word came in that Osama bin Laden was Killed In Action. No Such Podcastの初回エピソードでは、NSAの2つの主要任務の1つである外国の信号情報(SIGINT)を通じて、NSAがどのようにビンラディン発見に貢献したかについて学ぶ。NSAのリーダーたちは、外国のSIGINTサイクルと、各ステップがウサマ・ビンラディンのケースにどのように適用されたかを解き明かす。ウサマ・ビンラディン死亡の知らせを受けた時の様子を、テロ対策の専門家が語る。
NSA’s foreign signals intelligence has informed United States policymakers for over seven decades. Learn more at NSA.gov. Find the show transcript and other episodes at NSA.gov/podcast. Discover job opportunities at NSA.gov/careers. NSAの外国向け通信情報収集は、70年以上にわたって米国の政策立案者に情報を提供してきた。詳細はNSA.govで。番組の原稿やその他のエピソードはNSA.gov/podcastで。NSA.gov/careersで求人情報を確認。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.02 米国 NSA "No Such Agency"による"No Such Podcast" が2024.09.05から始まります(毎週 6回シリーズ)

 

| | Comments (0)

米国他 ロシア軍のサイバー工作員が米国およびグローバルな重要インフラを標的にしているので注意してください...

こんにちは、丸山満彦です。

米国の財務省、国務省、サイバーコマンド他、オランダ、チェコ、ドイツ、エストニア、ラトビア、ウクライナ、カナダ、オーストラリア、英国が共同で、警告をだしていますね...

ロシアのGRUユニット29155 サイバー・コンポーネントが攻撃者のようです...

 

CISA

・2024.09.05 Russian Military Cyber Actors Target US and Global Critical Infrastructure

 

Russian Military Cyber Actors Target US and Global Critical Infrastructure ロシア軍のサイバー工作員が米国およびグローバルな重要インフラを標的に
Summary 要約
The Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), and National Security Agency (NSA) assess that cyber actors affiliated with the Russian General Staff Main Intelligence Directorate (GRU) 161st Specialist Training Center (Unit 29155) are responsible for computer network operations against global targets for the purposes of espionage, sabotage, and reputational harm since at least 2020. GRU Unit 29155 cyber actors began deploying the destructive WhisperGate malware against multiple Ukrainian victim organizations as early as January 13, 2022. These cyber actors are separate from other known and more established GRU-affiliated cyber groups, such as Unit 26165 and Unit 74455. 連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)は、2020年以降、ロシア連邦軍参謀本部情報総局(GRU)第161特殊訓練センター(Unit 29155)に所属するサイバーアクターが、スパイ行為、妨害行為、風評被害を目的とした世界的な標的に対するコンピューターネットワーク操作の責任者であるとアセスメントしている。GRU Unit 29155のサイバー犯罪者は、2022年1月13日には早くも、複数のウクライナの被害組織に対して破壊的なWhisperGateマルウェアの展開を開始していた。これらのサイバー犯罪者は、Unit 26165やUnit 74455といった、より確立されたGRU関連のサイバーグループとは別物である。
・To mitigate this malicious cyber activity, organizations should take the following actions today: ・この悪意あるサイバー活動を低減するために、組織は今日から以下の対策を講じるべきである。
・Prioritize routine system updates and remediate known exploited vulnerabilities. ・定期的なシステム更新を優先し、既知の脆弱性を修正する。
・Segment networks to prevent the spread of malicious activity. ・悪意ある活動の拡大を防ぐためにネットワークをセグメント化する。
Enable phishing-resistant multifactor authentication (MFA) for all externally facing account services, especially for webmail, virtual private networks (VPNs), and accounts that access critical systems. フィッシング対策の多要素認証(MFA)を、外部に公開されているすべてのアカウントサービス、特にウェブメール、VPN(仮想プライベートネットワーク)、および重要なシステムにアクセスするアカウントに対して有効にする。
This Cybersecurity Advisory provides tactics, techniques, and procedures (TTPs) associated with Unit 29155 cyber actors—both during and succeeding their deployment of WhisperGate against Ukraine—as well as further analysis (see Appendix A) of the WhisperGate malware initially published in the joint advisory, Destructive Malware Targeting Organizations in Ukraine, published February 26, 2022. このサイバーセキュリティ勧告では、Unit 29155のサイバー犯罪者に関連する戦術、技術、手順(TTP)を、ウクライナに対するWhisperGateの展開中および展開後に提供するとともに、2022年2月26日に発表された共同勧告「ウクライナの組織を標的とする破壊的マルウェア」で最初に公開されたWhisperGateマルウェアのさらなる分析(附属書Aを参照)も提供する。
FBI, CISA, NSA and the following partners are releasing this joint advisory as a collective assessment of Unit 29155 cyber operations since 2020: FBI、CISA、NSA、および以下のパートナーは、2020年以降のUnit 29155サイバー作戦の総合的なアセスメントとして、本共同声明を発表する。
・U.S. Department of the Treasury ・米国財務省
・U.S. Department of State (Rewards for Justice) ・米国国務省(正義への報い)
・U.S. Cyber Command Cyber National Mission Force (CNMF) ・米国サイバーコマンド サイバー国家任務部隊(CNMF
・Netherlands Defence Intelligence and Security Service (MIVD) ・オランダ国防情報局(MIVD
・Czech Military Intelligence (VZ) ・チェコ軍情報局(VZ)
・Czech Republic Security Information Service (BIS) ・チェコ共和国安全保障情報局(BIS)
・German Federal Office for the Protection of the Constitution (BfV) ・ドイツ連邦憲法擁護庁(BfV)
・Estonian Internal Security Service (KAPO) ・エストニア国内治安局(KAPO)
・Latvian State Security Service (VDD) ・ラトビア国家保安庁(VDD)
・Security Service of Ukraine (SBU) ・ウクライナ保安庁(SBU)
・Computer Emergency Response Team of Ukraine (CERT-UA) ・ウクライナコンピューター緊急対応チーム(CERT-UA)
・Canadian Security Intelligence Service (CSIS) ・カナダ安全保障情報局(CSIS)
・Communications Security Establishment Canada (CSE) ・カナダ通信安全保障局(CSE)
・Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) ・オーストラリア信号局オーストラリアサイバーセキュリティセンター(ASDのACSC)
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国立サイバーセキュリティセンター(NCSC-UK)
For additional information on Russian state-sponsored malicious cyber activity and related indictments, see the recent U.S. Department of Justice (DOJ) press releases for June 26, 2024, and September 5, 2024, FBI’s Cyber Crime webpage, and CISA’s Russia Cyber Threat Overview and Advisories webpage. ロシア政府による悪意のあるサイバー活動および関連する起訴に関する追加情報は、米国司法省(DOJ)の2024年6月26日および9月5日付のプレスリリース、FBIのサイバー犯罪ウェブページ、およびCISAのロシアのサイバー脅威の概要および勧告ウェブページを参照のこと。

 

・[PDF

20240906-231635

 


 

英国

● NCSC-UK

・2024.09.05 UK and allies uncover Russian military unit carrying out cyber attacks and digital sabotage for the first time

UK and allies uncover Russian military unit carrying out cyber attacks and digital sabotage for the first time 英国および同盟国が、サイバー攻撃およびデジタル妨害工作を実行するロシア軍部隊を初めて特定
The NCSC and partners call out Russian GRU cyber actors Unit 29155 for campaign of malicious cyber activity since at least 2020. NCSCおよびパートナーは、少なくとも2020年以降の悪意あるサイバー活動キャンペーンに関与したロシア軍参謀本部第29155部隊を名指しで非難した。
・The UK and nine international allies call out Russian military actors for computer network operations for espionage, sabotage and reputational harm purposes ・英国および9か国の同盟国は、スパイ活動、妨害工作、風評被害を目的としたコンピューターネットワーク作戦に関与したロシア軍の行為を非難
・GRU Unit 29155 has expanded its tradecraft to include offensive cyber operations and deployed Whispergate malware against Ukrainian victim organisations ・GRUの29155部隊は、攻撃的なサイバー作戦を含む技術を拡大し、ウクライナの被害組織に対してWhispergateマルウェアを展開した 被害組織に対して
・UK organisations encouraged to follow advice to help defend against online threats ・英国の組織に対しては、オンライン上の脅威に対する防御策として助言に従うよう促した
The UK and international allies have today (Thursday 5 September ) exposed a unit of Russia’s military intelligence service for a campaign of malicious cyber activity targeting government and critical infrastructure organisations around the world. 英国および国際的な同盟国は本日(9月5日木曜日)、世界中の政府および重要インフラ組織を標的とした悪意あるサイバー活動キャンペーンに関与したロシア軍情報部の部隊を暴露した。
In a new joint advisory, the National Cyber Security Centre (NCSC) – a part of GCHQ – and agencies in the United States, the Netherlands, Czech Republic, Germany, Estonia, Latvia, Canada, Australia and Ukraine have revealed the tactics and techniques used by Unit 29155 of the Russian GRU to carry out cyber operations globally. 英国政府通信本部(GCHQ)の一部である国家サイバーセキュリティセンター(NCSC)と、米国、オランダ、チェコ共和国、ドイツ、エストニア、ラトビア、カナダ、オーストラリア、ウクライナの各機関は、新たな共同勧告の中で、ロシア軍参謀本部第29155部隊が世界規模でサイバー作戦を遂行するために用いた戦術と技術を明らかにした。
Unit 29155 is assessed to have targeted organisations to collect information for espionage purposes, caused reputational harm by the theft and leaking of sensitive information, defaced victim websites and undertaken systematic sabotage caused by the destruction of data. Unit 29155は、スパイ目的で情報を収集するために組織を標的にし、機密情報の盗難と漏洩により評判に傷をつけ、被害者のウェブサイトを改ざんし、データの破壊による組織的な妨害工作を行っていると評価されている。
It is the first time the UK has publicly exposed Unit 29155, also designated as 161st Specialist Training Centre, as being responsible for carrying out malicious cyber activity, which it has undertaken since at least 2020. 英国が29155部隊を公に暴露するのは今回が初めてであり、この部隊は161特殊訓練センターとも呼ばれ、少なくとも2020年から継続して悪意のあるサイバー活動を実行してきた責任がある。
Since 2022, the group’s overall aim seems to have been to target and disrupt efforts to provide aid to Ukraine. Today, the UK and allies can confirm that it was Unit 29155 specifically that was responsible for deploying the Whispergate malware against multiple victims across Ukraine prior to Russia’s invasion in 2022. 2022年以降、このグループの全体的な目的は、ウクライナへの支援提供を標的にして妨害することだったようだ。現在、英国およびその同盟国は、2022年のロシアの侵攻に先立ち、ウクライナの複数の被害者にWhispergateマルウェアを展開したのが、特にUnit 29155であったことを確認している。
To prevent these malicious activities impacting UK organisations, the NCSC strongly advises network defenders to follow the recommended actions set out in the advisory to bolster their cyber resilience. 英国の組織がこうした悪質な活動の影響を受けないよう、NCSCはネットワークの防御者に対し、勧告に記載された推奨措置に従い、サイバーレジリエンスを強化するよう強く勧告している。
Paul Chichester, NCSC Director of Operations, said: NCSCのポール・チチェスター運用部長は、次のように述べた。
“The exposure of Unit 29155 as a capable cyber actor illustrates the importance that Russian military intelligence places on using cyberspace to pursue its illegal war in Ukraine and other state priorities. 「Unit 29155が有能なサイバー活動家であることが明らかになったことは、ロシア軍事情報部がウクライナにおける違法な戦争やその他の国家優先事項を追求するためにサイバー空間を利用することに重点を置いていることを示している。
“The UK, alongside our partners, is committed to calling out Russian malicious cyber activity and will continue to do so. 「英国はパートナー諸国とともに、ロシアの悪意あるサイバー活動を告発することに尽力しており、今後もその姿勢を継続する。
“The NCSC strongly encourages organisations to follow the mitigation advice and guidance included in the advisory to help defend their networks.” 「NCSCは、ネットワーク防御の一環として、勧告に含まれる緩和策のアドバイスやガイダンスに従うよう、組織に強く推奨する」
The advisory says the Unit, which is assessed to be made up of junior active-duty GRU officers, also relies on non-GRU actors, including known cyber criminals and enablers to conduct their operations. The group differs to more established GRU-related cyber groups Unit 26165 (Fancy Bear) and Unit 74455 (Sandworm). この勧告によると、この部隊はGRUの現役下級将校で構成されていると評価されているが、その活動には、既知のサイバー犯罪者や支援者など、GRU以外の関係者も関与している。このグループは、より確立されたGRU関連のサイバーグループであるUnit 26165(別名Fancy Bear)やUnit 74455(別名Sandworm)とは異なる。
The NCSC has previously exposed details about malware operations used by cyber actors from Russia’s military intelligence to target the Ukrainian military and also called for organisations to take action following Russia’s attack on Ukraine. NCSCは以前にも、ロシア軍情報機関のサイバーアクターがウクライナ軍を標的に使用したマルウェア作戦の詳細を公表し、また、ロシアによるウクライナ攻撃を受けて、組織が対策を取るよう呼びかけていた。
In May 2022, the UK and allies attributed the use of Whispergate malware in Ukraine to Russia’s military intelligence service but this new advisory goes further by attributing its deployment specifically to Unit 29155. 2022年5月、英国およびその同盟国は、ウクライナにおけるWhispergateマルウェアの使用をロシアの軍事情報機関によるものと断定したが、今回の新たな勧告では、その展開を具体的にUnit 29155に帰属させている。
The advisory also includes further analysis of the malware that was deployed to help network defenders identify malicious infrastructure. また、この勧告には、ネットワーク防御者が悪意のあるインフラを特定するのに役立つよう展開されたマルウェアのさらなる分析も含まれている。
The advisory has been co-sealed by the National Cyber Security Centre, the US Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), the US National Security Agency (NSA), the US Department of the Treasury, the US Department of State (Rewards for Justice), the US Cyber Command Cyber National Mission Force (CNMF), the Netherlands Defence Intelligence and Security Service (MIVD), the Czech Military Intelligence (VZ), the Czech Republic Security Information Service (BIS), the German Federal Office for the Protection of the Constitution (BfV), the Estonian Internal Security Service (KAPO), the Latvian State Security Service (VDD), the Canadian Security Intelligence Service (CSIS), the Communications Security Establishment Canada (CSE) and the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC). この勧告は、英国の国家サイバーセキュリティセンター、米国のサイバーセキュリティ・インフラ保護機関(CISA)、連邦捜査局(FBI)、米国国家安全保障局(NSA)、米国財務省、米国国務省(司法のための報奨)、米国サイバー軍サイバー国家任務部隊(CNMF)、オランダ国防情報局(MIVD)、チェコ軍 情報局(VZ)、チェコ共和国安全保障情報局(BIS)、ドイツ連邦憲法擁護庁(BfV)、エストニア国内安全保障局(KAPO)、ラトビア国家保安庁(VDD)、カナダ安全保障情報局(CSIS)、カナダ通信安全保障局(CSE)、オーストラリア信号局オーストラリアサイバーセキュリティセンター(ASD's ACSC)。
The advisory can be read on the CISA website. この勧告は、CISAのウェブサイトで閲覧できる。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.29 OXFORD JOURNAL of Cybersecurity 戦争においてサイバー作戦の有用性は限界的

・2024.08.09 米国 国防大学出版局 統合軍クオータリー 「認知戦」

・2024.06.25 Microsoft ロシアはいかにして2024年パリ五輪を妨害しようとしているのか (2024.06.06)

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2024.05.06 米国 英国 カナダ 親ロシア派ハクティビストによる北米および欧州のOT機器に対する継続的な悪意あるサイバー活動に対するセキュリティ対策

・2024.04.03 マイクロソフトロシアの国家支援行為者であるMidnight Blizzardによるシステムへの侵入に対するSECの開示事例 (2024.01.19, 2024.03.08)

・2024.03.01 米国 英国 オーストラリア カナダ ニュージーランド、ベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国がロシアや脆弱性についてのいくつかのアラートを出していますね。。。

・2024.02.29 Five eyes ロシア対外情報庁による攻撃手法。時代はクラウドですからね...

・2023.09.25 ロシア 科学技術センター デジタル外交2023:課題と発展動向

・2023.09.01 Five Eyes Android 端末を標的とするInfamous Chisel マルウェアを利用するロシアの脅威行為者に関する報告書

・2023.08.19 ロシア 科学技術センター :新たなサイバーセキュリティの脅威

・2023.08.11 ロシア 情報セキュリティセンターの設立に約33億ルーブル(約50億円)の予算をつける

・2023.05.20 米国 司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

・2023.05.17 米国 CISA ブログ コロニアルパイプラインへの攻撃:この2年間で私たちが学んだこと、私たちがやってきたこと (2023.05.07)

・2023.05.12 Five Eyes ロシア連邦保安庁が管理するマルウェアネットワーク「Snake」を破壊

・2023.05.10 ロシア 科学技術センター 大規模言語モデル:認知的な視点

・2023.03.07 ロシア 科学技術センター 認知作戦・心理作戦の理論的・概念的側面

・2023.02.11 米国 英国 ロシアを拠点とするサイバー犯罪組織「Trickbot」のメンバーに制裁を科す

・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

・2022.07.18 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が、Google、Apple、Pinterest等の外資企業が、ロシア人利用者のデータベースのローカ保管を確認していないと発表していますね。。。

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.04.01 ロシア 外務省 米国とその衛星国による継続的なロシアへのサイバー攻撃についての声明

・2022.03.30 ロシア・ウクライナ紛争に伴うサイバーセキュリティの警告(オーストラリア、英国の場合)

・2022.03.18 米国 CISA FBIがロシアの国家的サイバーアクターによるデフォルトの多要素認証プロトコルと「printnightmare」脆弱性の悪用による脅威の軽減

・2022.03.05 フランス CERT-FRがロシアのウクライナ侵攻に関連した脅威・インシデントレポートを公表していますね。。。

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2022.02.22 米国 CISA Alert (AA22-047A) ロシアの国家支援を受けたサイバーアクターが、機密性の高い米国の防衛情報および技術を入手するために、許可を受けた防衛請負業者のネットワークを標的にしている (2022.02.16)

・2022.02.11 防衛省 防衛研究所 ウクライナをめぐるロシアの強要戦術

・2022.02.11 欧州議会 Think Tank 米国とロシアの関係:地政学的側面、安全保障的側面、経済的側面、人的側面

・2022.01.18 ウクライナ ロシアからと考えられるサイバー攻撃の影響はほぼ回復した?

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.16 金銭目的のサイバー攻撃については全ての国が協力できる(コロニアルパイプラインを攻撃した疑いのあるハッカーを米国の要請によりロシアが逮捕)

・2021.12.15 ロシアとインドネシアが国際的な情報セキュリティの協力に関する政府間協定に署名

・2021.12.08 ロシア ドミトリー・チェルニーシェンコ副首相による第16回国連インターネット・ガバナンス・フォーラムでの国際的な法律の調和とIT分野での協力についての講演

・2021.12.07 2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ

・2021.11.24 ロシア ロシア国内に事務所を開設しなければならないインターネット企業13社を公表

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.08.05 米国連邦議会上院 国土安全保障・政府問題委員会 「アメリカのデータは危険にさらされている」

・2021.07.13 RuNetの再評価:ロシアのインターネット孤立化とロシアのサイバー行動への影響

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.04 ロシア連邦大統領令第400号「ロシア連邦の国家安全保障戦略」を公表

・2021.04.22 U.S. White House 副国家安全保障補佐官(サイバー・新技術担当)によるSolarWindsとMicrosoft Exchangeのインシデントに関する声明

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー司令部と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2020.11.16 ロシアと北朝鮮のハッカーがCOVID 19のワク​​チン研究者からデータを盗もうとしている by Microsoft

・2020.10.27 欧州連合 連合と加盟国を脅かすサイバー攻撃に対する制限的措置に関する決定(CFSP)2019/797の修正(ロシアの件。。。)

・2020.10.27 米国 連邦司法省がサイバースペースでの破壊的行為を世界的に行ったことでロシアのGRUの6人を起訴した (2020.10.19)

・2020.10.27 英国NCSC 東京オリンピック関係者にサイバー攻撃をしていたとしてロシアを非難 (2020.10.19)

・2020.10.14 ノルウェー政府は8月のノルウェー議会の電子メールシステムへのサイバー攻撃はロシアによるものだとする声明を出していますね。。。

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書(第5巻)を公開していますね。。。

・2020.07.17 英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた

・2020.06.03 米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表

・2020.03.26 FBI - FBI Takes Down a Russian-Based Hacker Platform; Arrests Suspected Russian Site Administrator

・2020.04.08 削除できないマルウェア xHelper の仕組みがわかった?

・2020.01.25 通信関連会社元社員 機密情報不正取得で逮捕 ロシアに提供か」

 

| | Comments (0)

2024.09.06

個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第299回委員会、第2回検討会)

こんにちは、丸山満彦です。

2024年9月4日に、第299回個人情報保護委員会で、「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集の結果が紹介され、2024年9月5日に、第2回個人情報保護法のいわゆる3年ごと見直しに関する検討会が開催され、意見を踏まえた議論が行われたようですね..

 

個人情報保護委員会

2024.09.05 第2回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
資料1 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料2 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果(概要)
資料3 今後の検討の進め方
資料4 監視・監督活動及び漏えい等報告に関する説明資料
参考資料1 第1回検討会における主な意見
参考資料2 第1回検討会における主な質問及び回答
参考資料3 関係参考資料 
 議事録  
 2024.09.04 第299回個人情報保護委員会
資料1-1 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料1-2 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果(概要)
 議事概要  
 議事録  

 

 

20240905-192141

 

個人はわからないですが、どのような団体がどのような意見をだしているのか?というのは興味深いですね...ただ、団体の名前があっても、理事会で承認された意見というよりも、WGや有志が作った意見なので、それぞれの団体の総和であるかというと必ずしもそういうわけでもないですよね...(多分...)

ヒアリングが事業者に偏っているという消費者団体の指摘は私もそう思っていました。EBPM(Evidence-Based Policy Making)に関連する取組を日本全体で推進することが重要でしょうね...

 

課徴金制度については、GDPRをみているから、企業的には反対したいというのはわからないわけでもないですが、日本の今の状態が最適化した均衡点にあるかというとそう気がしない感じもしますね...でも、一方、GDPRの課徴金制度も行き過ぎた感がしないわけではない...

刑事罰については、誰が言い出したのかわかりまえせんが、個人情報保護法で規定するのは行き過ぎな感じがしますね...

 


 

また、参考資料の第1回の主な意見も興味深いですね...

20240905-191119

私的には、次の言葉が非常に好きですね...

・適切な安全措置を講じていれば漏えいの訴訟で負けることはないので、心配する必要はない。【森構成員】

 


以前、このブログにも書いた私の考えですが...

個人情報保護委員会の事務局長とお話をした時に、私も結果的にグローバルスタンダードになっているGDPRとの整合と、もう一方の米国の規制については考慮すべきという話をしました。具体的には、以前にも書いていますが、、、

法令の見直しという点では、

  • 悪徳事業者への罰金等の増額
  • 拡大した個人情報の定義についてのGDPR等との整合性の確保のための整理
  • 子供の個人情報保護のための規定の追加
  • 各個別分野(医療、金融、通信、その他重要インフラ分野)等における課題の調整

というのが必要かと思っていて、

さらにガイドライン及びFAQにおいて

  • 改訂部分の説明と事例の提示
  • AIの利活用における考え方の整理と具体例の提示
  • 公益性とプライバシー保護のグラデーションの整理と事例の提示
  • 漏えい等の報告におけるルールのさらなる明確化と事例の追加(例えば、報告が不要な軽微な例)

そして、政策的には

  • G7、G20各国等の主要国とのプライバシー保護に関する規制の調整に関するリーダーシップをとるための体制の整備
  • 国内省庁との連携体制の強化(例:子ども家庭庁、国家安全保障委員会)のための体制の強化
  • 国民への周知等(例:より幅広い層へのアクセス手段の拡大、教育現場への教育ツールの提供)の強化

というのが必要と思っています...

あと、加えて安全保障との関係の整理も別途必要となりそうですね...

医療情報、災害時と同様に一般的な利活用と保護のバランスではないので、別途検討が必要となるかもですね...

 


過去の委員会等の資料は

↓↓↓↓

Continue reading "個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第299回委員会、第2回検討会)"

| | Comments (0)

2024.09.05

米国 FBI 巧妙なソーシャルエンジニアリング攻撃で暗号産業を標的にする北朝鮮 (2024.09.03)

こんにちは、丸山満彦です。

FBI、IC3が一般向けに北朝鮮によるソーシャルエンジニアリング攻撃をつかった暗号資産の窃取についての注意喚起を行っていますね...

ターゲットを決めて、個別化したメール等を使い、何度もやりとりをしながら信頼を得て...

ということで、大口顧客には、本気で取り組んできているようですね...

暗号資産をたくさんお持ちの方は、気をつけてくださいませ...

 

 Internet Crime Complaint Center; IC3

Alert Number: I-090324-PSA

20240905-154100

・2024.09.03 North Korea Aggressively Targeting Crypto Industry with Well-Disguised Social Engineering Attacks

North Korea Aggressively Targeting Crypto Industry with Well-Disguised Social Engineering Attacks 巧妙なソーシャルエンジニアリング攻撃で暗号産業を標的にする北朝鮮
The Democratic People's Republic of Korea ("DPRK" aka North Korea) is conducting highly tailored, difficult-to-detect social engineering campaigns against employees of decentralized finance ("DeFi"), cryptocurrency, and similar businesses to deploy malware and steal company cryptocurrency. 朝鮮民主主義人民共和国(「DPRK」、通称北朝鮮)は、分散型金融(「DeFi」)、暗号通貨、および類似の事業に従事する従業員を標的に、高度にカスタマイズされた検知が困難なソーシャルエンジニアリングキャンペーンを実施し、マルウェアを展開して企業の暗号通貨を盗んでいる。
North Korean social engineering schemes are complex and elaborate, often compromising victims with sophisticated technical acumen. Given the scale and persistence of this malicious activity, even those well versed in cybersecurity practices can be vulnerable to North Korea's determination to compromise networks connected to cryptocurrency assets. 北朝鮮のソーシャルエンジニアリングの手法は複雑かつ巧妙で、高度な技術的洞察力を駆使して被害者を陥れることが多い。この悪質な活動の規模と持続性を考えると、サイバーセキュリティの実践に精通している人でも、暗号資産に接続されたネットワークを侵害しようとする北朝鮮の決意に対して脆弱性がある可能性がある。
North Korean malicious cyber actors conducted research on a variety of targets connected to cryptocurrency exchange-traded funds (ETFs) over the last several months. This research included pre-operational preparations suggesting North Korean actors may attempt malicious cyber activities against companies associated with cryptocurrency ETFs or other cryptocurrency-related financial products. 北朝鮮の悪意あるサイバー犯罪者は、過去数か月にわたり、暗号通貨上場投資信託(ETF)に関連するさまざまなターゲットについて調査を行っていた。この調査には、北朝鮮の行為者が暗号通貨ETFやその他の暗号通貨関連金融商品に関連する企業に対して悪意のあるサイバー活動を試みる可能性を示唆する、事前活動準備が含まれていた。
For companies active in or associated with the cryptocurrency sector, the FBI emphasizes North Korea employs sophisticated tactics to steal cryptocurrency funds and is a persistent threat to organizations with access to large quantities of cryptocurrency-related assets or products. 暗号通貨部門で活動している、または関連している企業に対して、FBIは、北朝鮮が高度な戦術を用いて暗号通貨資金を盗み、大量の暗号通貨関連資産または製品にアクセスできる組織に対して持続的な脅威となっていることを強調している。
This announcement includes an overview of the social engineering tactics North Korean state-sponsored actors use against victims working in DeFi, cryptocurrency, and related industries; potential indicators of North Korean social engineering activity; mitigation measures for those most at risk; and steps to take if you or your company may have been victimized. この発表では、北朝鮮の国家支援を受けた攻撃者が、DeFi、暗号通貨、および関連業界で働く被害者に対して使用するソーシャルエンジニアリング戦術の概要、北朝鮮のソーシャルエンジニアリング活動の潜在的な兆候、最もリスクの高い人向けの低減策、そして、ご自身またはご所属の企業が被害に遭った可能性がある場合の対応手順が含まれている。
North Korean Social Engineering Tactics 北朝鮮のソーシャルエンジニアリング戦術
Extensive Pre-Operational Research 広範な事前調査
Teams of North Korean malicious cyber actors identify specific DeFi or cryptocurrency-related businesses to target and attempt to socially engineer dozens of these companies' employees to gain unauthorized access to the company's network. Before initiating contact, the actors scout prospective victims by reviewing social media activity, particularly on professional networking or employment-related platforms. 北朝鮮の悪意あるサイバー犯罪者グループは、標的とする特定の DeFi または暗号通貨関連企業を識別し、その企業のネットワークに不正アクセスするために、それらの企業の従業員数十名に対してソーシャルエンジニアリングを試みる。接触を開始する前に、犯罪者グループは、特にプロフェッショナルネットワークや雇用関連のプラットフォーム上のソーシャルメディアのアクティビティを調査し、潜在的な被害者を偵察する。
Individualized Fake Scenarios 個別化された偽のシナリオ
North Korean malicious cyber actors incorporate personal details regarding an intended victim’s background, skills, employment, or business interests to craft customized fictional scenarios designed to be uniquely appealing to the targeted person. 北朝鮮の悪意あるサイバー犯罪者は、標的となる人物の経歴、スキル、雇用、またはビジネス上の関心など、個人に関する詳細情報を盛り込み、標的となる人物に特別に魅力的に思えるようカスタマイズされた架空のシナリオを作成する。
North Korean fake scenarios often include offers of new employment or corporate investment. The actors may reference personal information, interests, affiliations, events, personal relationships, professional connections, or details a victim may believe are known to few others. 北朝鮮の偽装シナリオには、新しい雇用や企業投資のオファーが含まれることが多い。犯罪者は、個人情報、関心事、所属、イベント、個人的な関係、職業上のつながり、または被害者が「他のほとんどの人は知らないだろう」と考えるような詳細情報を参照することがある。
The actors usually attempt to initiate prolonged conversations with prospective victims to build rapport and deliver malware in situations that may appear natural and non-alerting. If successful in establishing bidirectional contact, the initial actor, or another member of the actor’s team, may spend considerable time engaging with the victim to increase the sense of legitimacy and engender familiarity and trust. 攻撃者は通常、見込みのある被害者と長時間にわたる会話を試み、信頼関係を築き、自然で警戒心を抱かせない状況でマルウェアを配信しようとする。双方向の接触に成功した場合、最初の攻撃者、または攻撃者のチームの別のメンバーは、被害者とかなりの時間を費やして、正当性を高め、親近感と信頼感を醸成する可能性がある。
The actors usually communicate with victims in fluent or nearly fluent English and are well versed in the technical aspects of the cryptocurrency field. 攻撃者は通常、流暢な、またはほぼ流暢な英語で被害者とコミュニケーションを図り、暗号通貨分野の技術的側面にも精通している。
Impersonations なりすまし
North Korean malicious cyber actors routinely impersonate a range of individuals, including contacts a victim may know personally or indirectly. Impersonations can involve general recruiters on professional networking websites, or prominent people associated with certain technologies. 北朝鮮の悪意あるサイバー犯罪者は、被害者が個人的に、または間接的に知っている可能性のある人物を含む、さまざまな個人になりすますことを常としている。なりすましには、専門職向けネットワーキングサイト上の一般的なリクルーターや、特定のテクノロジーに関連する著名人が含まれる場合がある。
To increase the credibility of their impersonations, the actors leverage realistic imagery, including pictures stolen from open social media profiles of the impersonated individual. These actors may also use fake images of time sensitive events to induce immediate action from intended victims. なりすましの信憑性を高めるため、犯罪者は、なりすまし対象者の公開されているソーシャルメディアプロフィールから盗んだ写真など、現実味のある画像を活用している。また、犯罪者は、緊急性のある出来事の偽の画像を使用して、標的となる被害者に即時の行動を促す場合もある。
The actors may also impersonate recruiting firms or technology companies backed by professional websites designed to make the fake entities appear legitimate. Examples of fake North Korean websites can be found in affidavits to seize 17 North Korean domains, as announced by the Department of Justice in October 2023. また、偽装事業体を本物らしく見せるために作られた専門ウェブサイトを背景に、採用企業やテクノロジー企業を装うこともある。北朝鮮の偽装ウェブサイトの例は、2023年10月に司法省が発表した北朝鮮の17のドメインの差し押さえに関する宣誓供述書で見ることができる。
Indicators 兆候
The FBI has observed the following list of potential indicators of North Korean social engineering activity: FBIは、北朝鮮によるソーシャルエンジニアリング活動の兆候として、以下の可能性を指摘している。
・Requests to execute code or download applications on company-owned devices or other devices with access to a company’s internal network. ・企業所有のデバイスや、企業の内部ネットワークにアクセスできるその他のデバイス上で、コードの実行やアプリケーションのダウンロードを要求する。
・Requests to conduct a "pre-employment test" or debugging exercise that involves executing non-standard or unknown Node.js packages, PyPI packages, scripts, or GitHub repositories. ・標準外または未知の Node.js パッケージ、PyPI パッケージ、スクリプト、GitHub リポジトリの実行を伴う「採用前のテスト」やデバッグ作業を要求する。
・Offers of employment from prominent cryptocurrency or technology firms that are unexpected or involve unrealistically high compensation without negotiation. ・著名な暗号通貨企業やテクノロジー企業から、予期せぬ、または交渉なしに非現実的な高額報酬を伴う雇用オファーを受ける。
・Offers of investment from prominent companies or individuals that are unsolicited or have not been proposed or discussed previously. ・著名な企業または個人からの投資の申し出で、依頼していないもの、または以前に提案または協議されていないもの。
・Insistence on using non-standard or custom software to complete simple tasks easily achievable through the use of common applications (i.e. video conferencing or connecting to a server). ・一般的なアプリケーション(ビデオ会議やサーバーへの接続など)を使用すれば簡単に達成できる簡単なタスクを、標準外またはカスタムのソフトウェアを使用して完了させようとする。
・Requests to run a script to enable call or video teleconference functionalities supposedly blocked due to a victim's location. ・被害者の所在地によりブロックされていると思われる通話またはビデオ電話の機能を有効にするためにスクリプトを実行するよう要求する。
・Requests to move professional conversations to other messaging platforms or applications. ・専門的な会話は他のメッセージングプラットフォームまたはアプリケーションに移動するよう要求する。
・Unsolicited contacts that contain unexpected links or attachments. ・予期せぬリンクや添付ファイルを含む、望ましくない連絡。
Mitigations リスクの低減
To lower the risk from North Korea’s advanced and dynamic social engineering capabilities, the FBI recommends the following best practices for you or your company: 北朝鮮の高度でダイナミックなソーシャルエンジニアリング能力によるリスクを低減するために、FBIは、個人または企業に対して、以下のベストプラクティスを推奨している。
・Develop your own unique methods to verify a contact's identity using separate unconnected communication platforms. For example, if an initial contact is via a professional networking or employment website, confirm the contact's request via a live video call on a different messaging application ・連絡者の身元を確認するために、関連性のない別のコミュニケーションプラットフォームを使用する独自の方法を開発する。例えば、最初の連絡がビジネスネットワークや就職情報サイト経由であった場合、別のメッセージングアプリケーションでライブビデオ通話を使用して連絡者の要求を確認する
・Do not store information about cryptocurrency wallets — logins, passwords, wallet IDs, seed phrases, private keys, etc. — on Internet-connected devices. ・インターネットに接続されたデバイスに、暗号通貨のウォレットに関する情報(ログイン、パスワード、ウォレットID、シードフレーズ、プライベートキーなど)を保存しない。
・Avoid taking pre-employment tests or executing code on company owned laptops or devices. If a pre-employment test requires code execution, insist on using a virtual machine on a non-company connected device, or on a device provided by the tester. ・入社前のテストや、会社所有のラップトップやデバイスでのコード実行は避ける。入社前のテストでコード実行が必要な場合は、会社に接続されていないデバイス上、またはテスト担当者から提供されたデバイス上で仮想マシンを使用するように要求する。
・Require multiple factors of authentication and approvals from several different unconnected networks prior to any movement of your company's financial assets. Regularly rotate and perform security checks on devices and networks involved in this authentication and approval process. ・会社の金融資産を移動させる前に、複数の異なる非接続ネットワークからの認証と承認を必要とする。この認証と承認プロセスに関わるデバイスとネットワークの定期的なローテーションとセキュリティチェックを行う。
・Limit access to sensitive network documentation, business or product development pipelines, and company code repositories. ・機密性の高いネットワーク文書、事業や製品開発のパイプライン、および企業コードのリポジトリへのアクセスを制限する。
・Funnel business communications to closed platforms and require authentication — ideally in person — before adding anyone to the internal platform. Regularly reauthenticate employees not seen in person. ・社内プラットフォームに誰かを追加する前に、ビジネスコミュニケーションをクローズドなプラットフォームに集約し、理想的には直接対面して認証を行う。直接対面できない従業員については、定期的に再認証を行う。
・For companies with access to large quantities of cryptocurrency, the FBI recommends blocking devices connected to the company’s network from downloading or executing files except specific whitelisted programs and disabling email attachments by default. ・大量の暗号通貨にアクセスする企業に対しては、FBIは、ホワイトリストに記載された特定のプログラムを除き、企業のネットワークに接続されたデバイスによるファイルのダウンロードや実行をブロックし、デフォルトで電子メールの添付ファイルを無効にすることを推奨している。
Response 対応
If you suspect you or your company have been impacted by a social engineering campaign similar to those discussed in this announcement, or by any potential North Korea-related incident, the FBI recommends the following actions: この発表で取り上げたようなソーシャルエンジニアリングキャンペーン、または北朝鮮に関連する可能性のあるインシデントの影響を受けた可能性がある場合、FBIは以下の対応を推奨している。
・Disconnect the impacted device or devices from the Internet immediately. Leave impacted devices powered on to avoid the possibility of losing access to recoverable malware artifacts. ・影響を受けたデバイスを直ちにインターネットから切断する。影響を受けたデバイスは電源を入れたままにしておき、回復可能なマルウェアの痕跡へのアクセスを失う可能性を回避する。
・File a detailed complaint through the FBI Internet Crime Complaint Center (IC3) at www.ic3.gov. ・FBIのインターネット犯罪苦情センター(IC3)www.ic3.govに詳細な苦情を提出する。
・Provide law enforcement as many details as you can regarding the incident, including screenshots of communications with the malicious cyber actors. If possible, take screenshots of (or otherwise save) identifiers, usernames, online accounts, and any other details about the actors involved. ・悪意のあるサイバー犯罪者とのコミュニケーションのスクリーンショットを含め、インシデントに関する詳細をできるだけ多く法執行機関に提供する。可能であれば、識別子、ユーザー名、オンラインアカウント、および関係者のその他の詳細をスクリーンショット(または保存)する。
・Discuss options for incident response and forensic examination of impacted devices with law enforcement. In some situations, law enforcement may recommend taking advantage of private incident response companies. ・インシデント対応および感染したデバイスのフォレンジック調査のオプションについて、法執行機関と話し合う。状況によっては、法執行機関が民間のインシデント対応企業の利用を推奨する場合がある。
・Share your experience with colleagues, if appropriate, to raise awareness and broaden the public's understanding of the significant malicious cyber threat emanating from North Korea. ・必要に応じて、同僚と経験を共有し、北朝鮮から発信される重要な悪意のあるサイバー脅威に対する認識を高め、一般の人々の理解を広める。
For related information and additional details on North Korea's malicious cyber activity, see FBI press releases from September 2023August 2023, and January 2023, as well as Joint Cybersecurity Advisories released in June 2023 and April 2022
.
北朝鮮の悪意のあるサイバー活動に関する関連情報および追加の詳細については、2023年9月、2023年8月、2023年1月のFBIプレスリリース、および2023年6月と2022年4月に発表された共同サイバーセキュリティ勧告を参照のこと。

 

 

| | Comments (0)

オランダ データ保護局 顔認識のための違法なデータ収集でClearviewに3,050万ユーロ(48.5億円)

こんにちは、丸山満彦です。

オランダのデータ保護局が米国のClearview社に対して顔認識のための違法なデータ収集をしたとして、罰金を課していますね...オランダといえば先日、UBERに対して2億9000万ユーロの罰金を課していますね...

そして、Clearview社 [wikipedia]はカナダ、フランス、英国、オーストラリアのデータ保護局からも罰金を課されていましたよね...今は、サービスは法執行機関等の政府機関にしか提供していないようですが、なかなか胆力のある会社です...

 

Autoriteit Persoonsgegevens: AP

・2024.09.03 Dutch DPA imposes a fine on Clearview because of illegal data collection for facial recognition

Dutch DPA imposes a fine on Clearview because of illegal data collection for facial recognition オランダのDPA、顔認識のための違法データ収集でクリアビューに罰金
The Dutch Data Protection Authority (Dutch DPA) imposes a fine of 30.5 million euro and orders subject to a penalty for non-compliance up to more than 5 million euro on Clearview AI. Clearview is an American company that offers facial recognition services. Among other things, Clearview has built an illegal database with billions of photos of faces, including of Dutch people. The Dutch DPA warns that using the services of Clearview is also prohibited.  オランダデータ保護当局(Dutch DPA)は、クリアビューAI社に3050万ユーロの罰金を科し、さらに500万ユーロ以上の罰金を科す可能性もあると警告した。クリアビュー社は顔認識サービスを提供する米国企業である。同社は、オランダ国民を含む何十億もの顔写真を含む違法なデータベースを構築していた。オランダデータ保護当局は、クリアビュー社のサービスを利用することも禁止されていると警告している。
Clearview is a commercial business that offers facial recognition services to intelligence and investigative services. Customers of Clearview can provide camera images to find out the identity of people shown in the images. For this purpose, Clearview has a database with more than 30 billion photos of people. Clearview scrapes these photos automatically from the Internet. And then converts them into a unique biometric code per face. Without these people knowing this and without them having given consent for this. クリアビューは、情報機関や捜査機関に顔認識サービスを提供する民間企業である。クリアビューの顧客は、カメラの画像を提供することで、その画像に写っている人物の身元を特定することができる。この目的のために、クリアビューは300億人以上の顔写真を含むデータベースを所有している。クリアビューは、これらの写真をインターネットから自動的に収集し、顔ごとに固有の生体認証コードに変換する。これらの人々がこのことを知らず、また、このことについて同意していない場合でも、である。
Never anonymous anymore もう匿名ではない
‘Facial recognition is a highly intrusive technology, that you cannot simply unleash on anyone in the world’, Dutch DPA chairman Aleid Wolfsen says. ‘If there is a photo of you on the Internet – and doesn't that apply to all of us? – then you can end up in the database of Clearview and be tracked. This is not a doom scenario from a scary film. Nor is it something that could only be done in China.’ 「顔認識は非常に侵害性の高い技術であり、世界中の誰に対しても簡単に使用できるものではありません」と、オランダのデータ保護当局の委員長であるAleid Wolfsen氏は言う。「もしインターネット上にあなたの写真があれば、つまり、これは私たち全員に当てはまることではないでしょうか? そうなると、あなたはClearviewのデータベースに載ってしまい、追跡されることになります。これは、怖い映画の悲劇的なシナリオではありません。また、中国でしか起こりえないことでもありません。
Clearview says that it provides services to intelligence and investigative services outside the European Union (EU) only. ‘That is bad enough as it is’, Wolfsen says. ‘This really shouldn't go any further. We have to draw a very clear line at incorrect use of this sort of technology.’ クリアビュー社は、欧州連合(EU)域外の諜報機関や捜査機関にのみサービスを提供していると主張している。「それだけでも十分問題だ」とウルフセン氏は言う。「これ以上広がってはならない。この種のテクノロジーの誤用には、明確な一線を引かなければならない。
Wolfsen acknowledges the importance of safety and the detection of criminals by official authorities. He also acknowledges that techniques such as facial recognition can make a contribution to this. ‘But certainly not by a commercial business. And by competent authorities in highly exceptional cases only. The police, for example, have to manage the software and database themselves in that case, subject to strict conditions and under the watchful eye of the Dutch DPA and other supervisory authorities.’ ウルフセン氏は、安全の確保と公的機関による犯罪者の検知の重要性は認めている。また、顔認識などの技術がその一助となることも認めている。「しかし、それは営利事業によってではなく、きわめて例外的な場合に限って、しかるべき当局によって行われるべきである。例えば警察がその場合、オランダのDPAやその他の監督当局の厳しい監視の下、厳格な条件に従って、ソフトウェアとデータベースを自ら管理しなければならない。」
Services of Clearview illegal クリアビューのサービスは違法
Wolfsen warns: do not use Clearview. ‘Clearview breaks the law, and this makes using the services of Clearview illegal. Dutch organisations that use Clearview may therefore expect hefty fines from the Dutch DPA.’ ウルフセン氏は警告する。「クリアビューは法律に違反しており、そのサービスを利用することは違法行為である。したがって、クリアビューを利用しているオランダの組織は、オランダのDPAから多額の罰金を科される可能性がある。
Violations by Clearview クリアビューによる違反
Clearview has seriously violated the privacy law General Data Protection Regulation (GDPR) on several points: the company should never have built the database and is insufficiently transparent. クリアビューはプライバシー法である一般データ保護規則(GDPR)をいくつかの点で重大に違反している。同社はデータベースを構築すべきではなかったし、透明性も不十分である。
Illegal database 違法なデータベース
Clearview should never have built the database with photos, the unique biometric codes and other information linked to them. This especially applies for the codes. Like fingerprints, these are biometric data. Collecting and using them is prohibited. There are some statutory exceptions to this prohibition, but Clearview cannot rely on them. クリアビューは、写真や、それらにリンクされたユニークな生体認証コード、その他の情報を含むデータベースを構築すべきではなかった。これは特にコードに当てはまる。指紋のように、これらは生体データである。それらの収集と使用は禁止されている。この禁止にはいくつかの法定例外があるが、クリアビューはそれらに頼ることはできない。
Insufficient transparency 不十分な透明性
Clearview informs the people who are in the database insufficiently about the fact that the company uses their photo and biometric data. People who are in the database also have the right to access their data. This means that Clearview has to show people which data the company has about them, if they ask for this. But Clearview does not cooperate in requests for access. クリアビューは、データベースに登録されている人々に対して、同社が彼らの写真および生体データを使用している事実を十分に伝えていない。データベースに登録されている人々は、自分のデータにアクセスする権利も有している。つまり、クリアビューは、データベースに登録されている人々から問い合わせがあった場合、その人々に対して、同社が保有しているデータの内容を提示しなければならない。しかし、クリアビューは、データへのアクセス要求には協力していない。
Incremental penalties 段階的な罰則
Clearview did not stop the violations after the investigation by the Dutch DPA. That is why the Dutch DPA has ordered Clearview to stop those violations. If Clearview fails to do this, the company will have to pay penalties for non-compliance in a total maximum amount of 5.1 million euro on top of the fine. クリアビューは、オランダのデータ保護当局による調査後も違反行為を止めなかった。そのため、オランダのデータ保護当局はクリアビューに違反行為の停止を命じた。クリアビューがこれに従わない場合、同社は罰金に加えて最大510万ユーロの制裁金を支払わなければならない。
American company 米国企業
Clearview is an American company without an establishment in Europe. Other data protection authorities have already fined Clearview at various earlier occasions, but the company does not seem to adapt its conduct. That is why the Dutch DPA is looking for ways to make sure that Clearview stops the violations. Among other things, by investigating if the directors of the company can be held personally responsible for the violations. クリアビューは欧州に拠点を持たない米国企業である。他のデータ保護当局はすでにこれまでに何度もクリアビューに罰金を科しているが、同社はその行動を改める様子を見せていない。そのため、オランダのデータ保護当局は、クリアビューが違反行為を確実に停止させるための方法を模索している。とりわけ、同社の取締役が違反行為に対して個人的に責任を問われる可能性があるかどうかを調査している。
Wolfsen: ‘Such company cannot continue to violate the rights of Europeans and get away with it. Certainly not in this serious manner and on this massive scale. We are now going to investigate if we can hold the management of the company personally liable and fine them for directing those violations. That liability already exists if directors know that the GDPR is being violated, have the authority to stop that, but omit to do so, and in this way consciously accept those violations.’ ウルフセン:「そのような企業が欧州人の権利を侵害し続け、罰を受けずに済むはずがない。ましてや、これほど深刻な方法で、これほど大規模な侵害を。現在、当社は、同社の経営陣に個人責任を問うことができるかどうか、また、そのような侵害を指示したとして罰金を科すことができるかどうかを調査しているところだ。取締役がGDPRの侵害を知りながら、それを阻止する権限を持ちながら、それを怠り、意識的に侵害を受け入れている場合、すでにその責任は存在している。
Clearview has not objected to this decision and is therefore unable to appeal against the fine. クリアビューは、この決定に異議を申し立てていないため、罰金に対する不服申し立てを行うことはできない。

 

・[PDF] Decision to impose fines and orders subject to a penalty for non-compliance

20240905-150328

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

 

| | Comments (0)

より以前の記事一覧