フィッシング

2023.02.20

経済産業省 クレジットカード決済システムのセキュリティ対策強化検討会報告書 (2023.02.02)

こんにちは、丸山満彦です。

クレジットカード決済システムのセキュリティ対策強化検討会報告書が公表されていました。。。紹介したつもりが、忘れていました...(^^;;

3週間程前の話になります。。。

 

経済産業省

・2023.02.02 「クレジットカード決済システムのセキュリティ対策強化検討会」の報告書を取りまとめました

内容ですが...


(1)クレジットカード番号等を安全に管理する(漏えい防止)、

(2)クレジットカード番号等を不正に利用させない(不正利用防止)、

(3)クレジットの安全・安心な利用に関する周知・犯罪の抑止

の3本柱に沿って、本検討会での議論を踏まえ、クレジットカード決済システムのセキュリティ対策強化に向けた具体的な取組と今後の課題について取りまとめたものです。


と言うことです。。。

報告書

・2023.02.02 [PDF] クレジットカード決済システムの更なるセキュリティ対策強化に向けた主な取組のポイント

20230220-112820

 

こちらが報告書本体

・2023.02.02 [PDF] クレジットカード決済システムのセキュリティ対策強化検討会 報告書

20230220-111150

 

目次...

はじめに

第1章 クレジットカード決済システムをめぐる環境
1.クレジットカード決済システムをとりまく環境
(イ)クレジットカード決済システムをとりまく環境
(ロ)非対面取引におけるクレジットカード決済の取引の仕組み

2.クレジットカード決済のセキュリティ対策の経緯
3.クレジットカードの不正利用の現況

第2章 基本的考え

第3章 3つの方向性について

第1節の1.クレジットカード番号等の適切管理の強化
1.加盟店での漏えい対策の強化
(イ)EC 加盟店側での対応
(ロ)アクワイアラー側の対応

2.決済代行業者等関連事業者における漏えい対策の強化
(イ)PSP
(ロ)EC 決済システム提供者

3.クレジットカード番号等取扱業者(共通)での漏えい対策の強化
4.業界全体での体制強化

第1節の2.インシデント対応・漏えい防止に係る利用者保護
1.漏えい時の利用者への連絡・公表の早期化
2.利用者保護を図るための国の監督の整備

第2節.クレジットカード番号等の不正利用防止
1.非対面取引での利用者本人の適切な確認
2.不正利用情報の共有化と活用

第3節.クレジットの安全・安心な利用に関する周知・犯罪の抑止
1.フィッシング対策
2.警察等との連携による犯罪抑止
3.利用者への周知

おわりに

構成員名簿
検討経過



 

参考...

・クレジットカード決済システムのセキュリティ対策強化検討会

・・2023.01.20 報告書

 


・・2023.01.20 第6回

・・2022.12.23 第5回

・・2022.11.15 第4回

・・2022.10.11 第3回

・・2022.09.13 第2回

・・2022.08.04 第1回

 


 

・2023.02.01 クレジットカード会社等に対するフィッシング対策の強化を要請しました

 

関連リンク

迷惑メール対策推進協議会「送信ドメイン認証技術導入マニュアル第3版

フィッシング対策協議会「フィッシング対策ガイドライン2022 年度版

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.02 フィッシング対策協議会 フィッシング対策ガイドライン(2022年度版)

・2022.05.09 フィッシング対策協議会をかたるフィッシング

少し遡りますが...

・2010.03.18 フィッシング対策協議会 「フィッシング フィル」と「フクロウ先生のフィッシング警告ページ」

・2007.07.06 フィッシング対策協議会 「フィッシングに関するユーザ意識調査報告書」、 「フィッシング対策における技術・制度調査報告書 2007」

・2005.04.29 経済産業省 「フィッシング対策協議会」設立

・2005.02.05 経済産業省 フィッシング対策協議会

 

 




| | Comments (0)

2023.02.10

欧州連合 欧州対外行動庁 外国人による情報操作と干渉の脅威に関する報告書

こんにちは、丸山満彦です。

欧州連合の欧州対外行動庁が、外国人による情報操作と干渉 (foreign information manipulation and interference: FIMI) の脅威に関する報告書を公表していますね。。。

偽情報というか、情報操作や干渉というのが問題ですよね。。。国民を分断したりすることもできるので、ミサイルが体に作用するハードな武器とすれば、偽情報などは心に作用するソフト武器と言えるかもしれませんね。。。

会議が開催されています。。。この分野の分析やディスカッションは重要ですね。。。

 

European External Action Service

・2023.02.08 Disinformation – EU responses to the threat of foreign information manipulation

Disinformation – EU responses to the threat of foreign information manipulation 偽情報 - 外国による情報操作の脅威に対するEUの対応
Today the European External Action Service (EEAS) under the patronage of High Representative/Vice-President Josep Borrell brought together top political representatives and  experts from around the globe to discuss the threats of foreign information manipulation and interference (FIMI). The conference “Beyond disinformation: EU responses to the threat of foreign information manipulation took place in Brussels. 本日、欧州対外行動庁(EEAS)は、ジョゼップ・ボレル上級代表/副委員長の後援の下、世界各国の政治家および専門家を集め、外国による情報操作と干渉(FIMI)の脅威について議論した。会議「偽情報を超えて。EUは外国による情報操作の脅威に対してどのように対応するか」という会議がブリュッセルで開催された。
“Russia is using information manipulation and interference as a crucial instrument of its war against Ukraine with an unprecedented intensity and use of instruments. We have to work along three axes: to anticipate and deter FIMI activities, to take action in support of Ukraine, and finally – to be ambitious in building resilience to authoritarian regimes” – said HRVP Borrell in his keynote speech. 「ロシアは、ウクライナに対する戦争の重要な手段として、情報操作と干渉を、前例のない強度と手段の使用で行っている。我々は3つの軸で動く必要がある。すなわち、FIMI活動を予測し抑止すること、ウクライナを支援するための行動を起こすこと、そして最後に、権威主義的な体制に対する回復力を高めることに意欲的になることだ」-ボレル副社長は基調講演でこのように述べた。
During the conference, HRVP Borrell presented its first ever threat report analysing foreign information manipulation and interference trends. The report uses best case practice methodology and outlines a wide variety of tactics of information manipulation and interference applied by Russia and China in the last months of 2022. 会議期間中、HRVPボレルは、外国による情報操作と干渉の傾向を分析した初の脅威レポートを発表した。この報告書は、ベストケースプラクティスの手法を用い、2022年の最後の数カ月間にロシアと中国が適用した情報操作と干渉のさまざまな戦術を概説している。
Another key outcome of today’s conference was the consensus by leading experts from EU institutions, Member States, international partners like NATO and the United Nations, civil society organisations, academia, and journalists across the world that the only way forward to combat this threat is to keep working together, engaging all levels of our societies and partners around the globe. In this context, the EU is launching a new initiative to bring information exchange to the next level with a FIMI Information Sharing and Analysis Centre (ISAC). 本日の会議のもう一つの重要な成果は、EU機関、加盟国、NATOや国連などの国際パートナー、市民社会組織、学術界、ジャーナリストなど世界各地の第一線の専門家が、この脅威と戦う唯一の方法は、我々の社会のあらゆるレベルや世界中のパートナーを巻き込んで協力し続けることである、という点で一致したことである。この文脈で、EUは、FIMI情報共有・分析センター(ISAC)により、情報交換を次のレベルに引き上げるための新たな構想を打ち出している。
The conference included a number of panel discussions, with strong emphasis on a wide variety of responses to the threat – from communication to disruptive measures. 会議では、コミュニケーションから破壊的措置まで、脅威に対する多様な対応に強く重点を置いて、多くのパネルディスカッションが行われた。

 

会議の様子...

・2023.02.06 Beyond disinformation – EU responses to the threat of foreign information manipulation

・[YouTube]

 

報告書...

・2023.02.07 1st EEAS Report on Foreign Information Manipulation and Interference Threats

1st EEAS Report on Foreign Information Manipulation and Interference Threats 外国人による情報操作と干渉の脅威に関する第1回EEAS報告書
This first edition of the EEAS report on Foreign Information Manipulation and Interference (FIMI) threats is informed by the work of the European External Action Service’s (EEAS) Stratcom division in 2022. Based on a first sample of specific FIMI cases, it outlines how building on shared taxonomies and standards can fuel our collective understanding of the threat and help inform appropriate countermeasures in the short to the long term. 外国による情報操作と干渉(FIMI)の脅威に関するEEASレポートのこの第1版は、2022年の欧州対外行動庁(EEAS)のストラットコム部門の作業から得られたものである。具体的なFIMI事例の最初のサンプルに基づき、共有の分類法と基準を構築することが、いかに脅威に対する我々の集団的理解を促進し、短期から長期にわたって適切な対策を知らせるのに役立つかを概説している。

 

・[PDF]

20230209-230336

 

目次...

Glossary 用語解説
Executive Summary エグゼクティブサマリー
1 Introduction 1 序文
Encouraging a Community-Wide Conversation on Best Practices ベストプラクティスに関するコミュニティ全体の対話の促進
Scope, Limitations, and Caveats 範囲、限界、および注意事項
2 Focus on Key FIMI Actors 2 主要なFIMIアクターへのフォーカス
3 Pilot Analysis on EEAS Priority Actors and Issues in 2022 3 2022年におけるEEASの優先アクターと課題に関するパイロット版分析
(Threat) Actors (脅威)アクター
Presumed Objectives 想定される目的
Behaviour 行動
Tactics, Techniques, and Procedures (TTPs) 戦術・技術・手順(TTPs)
Content 内容
Timeline of Events イベントのタイムライン
Narratives 物語
Degree 程度
Composition of the Threat Actor Media Ecosystem 脅威アクターのメディア・エコシステムの構成
Threat Actors’ Infosphere 脅威要因のインフォスフィア
Tools: Distribution of Content ツール コンテンツの流通
Languages 言語
Targets ターゲット
Effect 効果
Course of Action 行動指針
4 A Behaviour-Centred Problem Definition: Introducing the Notion of Foreign Information Manipulation and Interference (FIMI) 4 行動を中心とした問題定義。外国人による情報操作と妨害(FIMI)の概念の導入
The “Kill Chain” Perspective on FIMI: Expanding the countermeasures toolbox FIMIに対する「キルチェーン」の視点:対策のツールボックスを拡張する
Threat Analysis vs Disruptive Responses 脅威の分析と破壊的対応
5 An Analytical Framework for FIMI Threat Analysis 5 FIMI脅威分析のための分析フレームワーク
Analysis Cycle: Establishing a Strategic and Self-Reinforcing Workflow 分析サイクル 戦略的かつ自己強化的なワークフローの確立
DISARM Framework: A Community-Driven Taxonomy of TTPs DISARM フレームワーク。コミュニティ主導のTTPの分類法
Towards a standardised Data Format for Threat Information Sharing 脅威情報共有のための標準的なデータフォーマットに向けて
Conclusion まとめ
Recommendations 推奨事項
References 参考文献

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブ・サマリー 
This first edition of the report on Foreign Information Manipulation and Interference threats is informed by the work of the European External Action Service’s (EEAS) Stratcom division8 in 2022. It is the first of its kind and can be seen as a pilot project. It applies a novel framework developed by the EEAS, based on best case practices of the FIMI defender community, to a first sample of 100 FIMI incidents detected and analysed between October and December 2022. It therefore does not intend to give a comprehensive overview of FIMI in general or of a specific actor, but highlight how the existing analysis can be enhanced through this approach. In this report the EEAS uses best case practice methodology to allow for informed judgements of ongoing FIMI activities, actors and threat levels. It is therefore a useful tool to support informed and analysis based policy choices. The main findings of this report, based on the samples used, are:  海外情報操作・妨害の脅威に関する本レポートの初版は、2022年の欧州対外行動庁(EEAS)のストラットコム部門8による作業から得られたものである。この種のものとしては初めてであり、パイロットプロジェクトと見なすことができる。これは、2022年10月から12月の間に検知され分析された100件のFIMIインシデントの最初のサンプルに、FIMI擁護者コミュニティのベストケースプラクティスに基づいてEEASが開発した新しいフレームワークを適用するものである。したがって、本報告書は、FIMI全般あるいは特定のアクターの包括的な概観を与えることを意図しておらず、既存の分析がこのアプローチを通じてどのように強化され得るかを強調するものである。本報告書においてEEASは、現在進行中のFIMI活動、行為者及び脅威レベルについて情報に基づいた判断を可能にするために、ベストケースプラクティスの方法論を用いている。したがって、これは情報に基づいた、分析に基づく政策選択を支援するための有用なツールである。使用したサンプルに基づく本報告書の主な所見は以下の通りである。
■ Russia’s full-scale invasion of Ukraine dominates observed FIMI activity. Ukraine and its representatives have been the direct target of 33 incidents. In 60 out of 100 incidents, supporting the invasion was the main motivation behind the attack. ・ロシアのウクライナへの本格的な侵攻が、観測された FIMI 活動の大部分を占めている。ウクライナとその代表者は、33 件のインシデントの直接の標的となっている。100 件中 60 件で、侵攻を支持することが攻撃の主な動機となっている。
 ■ Diplomatic channels are an integral part of FIMI incidents. Russia’s diplomatic channels regularly serve as enablers of FIMI operations. They are deployed across wide range of topics. China also uses diplomatic channels, mostly targeting the US.  ・外交チャンネルは FIMI 事件に不可欠な要素である。ロシアの外交チャンネルは、定期的にFIMI活動を支援する役割を担っている。外交チャンネルは広範なテーマにわたって展開されている。中国も外交チャンネルを利用しているが、その多くは米国をターゲットとしている。
■ Impersonation techniques become more sophisticated. Impersonations of international and trusted organisations and individuals are used by Russian actors particularly to target Ukraine. Print and TV media are most often impersonated, with magazines seeing their entire style copied.  ・なりすまし技術はさらに高度化している。国際的で信頼できる組織や個人へのなりすましは、特にウクライナを標的にしたロシアの工作員によって利用されている。印刷メディアとテレビメディアは最も頻繁になりすまされ、雑誌ではそのスタイル全体がコピーされる。
■ FIMI actor collusion exists but is limited. Official Russian actors were involved in 88 analysed FIMI incidents. Chinese actors were involved in 17. In at least 5 cases, both actors engaged jointly.  ・FIMI の関係者の共謀は存在するが、限定的である。分析した 88 件の FIMI 事件にロシアの公的関係者が関与している。中国の行為者は 17 件に関与している。少なくとも5件では、両者が共同で関与している。
■ FIMI is multilingual. Incidents do not occur in just one language; content is translated and amplified in multiple languages. Incidents featured at least 30 languages, 16 of which are EU-languages. Russia used a larger variety of languages than Chinese actors but 44% of Russian content targeted a Russian-speaking populations, while 36% targeted English-speaking populations.  ・FIMI は多言語である。事件は一つの言語だけで起こるのではなく、コンテンツは複数の言語に翻訳され、増幅される。事件には少なくとも 30 の言語が登場し、そのうち 16 は EU 言語である。ロシアは中国の俳優よりも多くの種類の言語を使用しているが、ロシアのコンテンツの44%はロシア語圏の人々をターゲットにしており、36%は英語圏の人々をターゲットにしている。
■ FIMI is mostly intended to distract and distort. Russia (42%) and China (56%) mostly intend to direct attention to a different actor or narrative or to shift blame (“distract”). Russia attempts to change the framing and narrative (“distort”) relatively more often (35%) than China (18%).  ・FIMIは、そのほとんどが注意をそらし、歪曲させることを目的としている。ロシア(42%)と中国(56%)は、主に別の行為者や物語に注意を向けさせたり、責任を転嫁したりすることを意図している(「注意をそらす」)。ロシアは、中国(18%)よりも比較的頻繁に(35%)フレーミングや物語を変えようとしている(「歪曲」)。
■ FIMI remains mostly image and video based. The cheap and easy production and distribution of image and video material online makes these formats still the most commonly used. The report contributes to the implementation of the Strategic Compass’ call for a FIMI Data Space.  ・FIMIは、依然として画像や動画をベースとしたものが多い。画像・映像素材の安価で容易なオンライン制作・配信により、これらのフォーマットが依然として最もよく利用されている。本報告書は、戦略的コンパスによる FIMI データスペースの呼びかけの実施に寄与するものである。
The EEAS aims to provide the FIMI defender community with a proof-of-concept for a common framework that enables mutual sharing of complex insights in a timely fashion and at scale. This is done to create a common understanding and formulate a collective, systematic response to FIMI. EEASは、FIMI擁護者コミュニティに、複雑な洞察をタイムリーにかつ大規模に相互共有することを可能にする共通フレームワークの概念実証を提供することを目的としている。これは、共通の理解を生み出し、FIMIに対する集団的かつ体系的な対応を策定するために行われる。

 

結論と推奨事項...

CONCLUSION 結論
The experience gathered by the EEAS in analysis and sharing information on FIMI since 2015 fed into this first report on Foreign Information Manipulation and Interference (FIMI). During this time, the defender community has achieved considerable progress and has continued to grow. With this evolution, that is encouraging in light of the ever evolving threat, comes the question of how all of this knowledge and insight can be brought together in an efficient and sustainable manner, complementing the existing practice of sharing reports on specific aspects of the threat. The EEAS in this report is proposing an approach which can enable the FIMI defender community to build on good case practices developed inand outside the community to collectively achieve a more comprehensive situational awareness and inform appropriate countermeasures to the FIMI threat. 2015年以降、EEASがFIMIの分析と情報共有で集めた経験は、外国人による情報操作と干渉(FIMI)に関するこの最初の報告書に反映された。この間、擁護者コミュニティはかなりの進展を達成し、成長を続けてきた。進化し続ける脅威に照らして心強いこの進化に伴い、脅威の特定の側面に関する報告書を共有するという既存の慣行を補完し、この知識と洞察のすべてを効率的かつ持続可能な方法でどのようにまとめることができるのかという疑問が生じる。EEASは本報告書において、FIMI防御コミュニティが、コミュニティ内外で開発された優れた事例を基に、より包括的な状況認識とFIMIの脅威に対する適切な対策を共同で実現できるようなアプローチを提案している。
The report described and applied a methodology to reliably identify, analyse and share information on FIMI incidents It outlined, based on a sample of 100 FIMI incidents, how building on shared taxonomies and standards can enable FIMI defenders to derive larger trends and patterns from their individual and collective findings to help inform appropriate countermeasures in the short to the long term. 本報告書は、FIMI事件に関する情報を確実に特定、分析、共有するための方法論を説明し、適用した。100件のFIMI事件のサンプルに基づいて、共通の分類法と基準を構築することにより、FIMI擁護者が、短期から長期の適切な対策への情報提供を支援すべく、個別及び集団の発見からいかに大きなトレンドとパターンを導き出すことができるかを概説した。
In line with the EEAS’ priority to work in a whole-of-society approach on tackling FIMI, the report strongly advocates for a collaborative and community driven approach that enables each member of the FIMI defender community to contribute with their unique skills, insights and perspectives.  FIMIへの取り組みについて社会全体のアプローチで取り組むというEEASの優先事項に沿って、本報告書は、FIMI擁護者コミュニティの各メンバーが、そのユニークなスキル、洞察力、観点で貢献できるような、共同およびコミュニティ主導のアプローチを強く提唱するものである。
Community-driven, shared taxonomies and standards like DISARM for FIMI TTPs or STIX for threat information storage and exchange are available and will facilitate deeper analysis, discussion as well as collective learning and action. Building on established open standards enables the usage and best case practice development and exchange of open source tools like MISP or OpenCTI and will pave the way for further innovation in the field. This also ensures an approach that is independent of the size or financial situation of an organisation, which makes a broad adoption also by think tanks, fact-checking organisations or NGOs possible. FIMI TTPs のための DISARM や脅威情報の保存と交換のための STIX のようなコミュニティ主導の共有分類法と標準が利用でき、より深い分析、議論、そして集合的な学習と行動が促進されるであろう。確立されたオープンスタンダードの上に構築することで、MISP や OpenCTI のようなオープンソースツールの利用やベストケースの開発・交換が可能になり、この分野におけるさらなる革新への道が開かれる。また、組織の規模や財務状況に依存しないアプローチであるため、シンクタンク、事実確認機関、NGOなどにも広く採用されることが可能である。
Obviously, the EU deploys also other important instruments and tools to address FIMI. Among those are the use of restrictive measures, including those imposed against Russia in response to the unprovoked and unjustified invasion of Ukraine on 24 February 2022. The analysis of FIMI actors carried out by the EEAS has informed many measures taken so far. もちろん、EUは、FIMIに対処するために、他の重要な手段や手段も展開している。その中には、2022年2月24日のいわれのない不当なウクライナ侵攻に対応してロシアに課されたものを含む制限的措置の使用も含まれる。EEASが実施したFIMIアクターの分析は、これまでにとられた多くの措置に情報を与えている。
Many possible avenues for further research have been identified in this report. For continuous and in-depth coverage, follow euvsdisinfoeu 本報告書では、さらなる研究のための多くの可能な道が特定されている。継続的で詳細な取材については、euvsdisinfoeuをフォローすること。
   
RECOMMENDATIONS 推奨事項
1.   A common analytical framework to facilitate multistakeholder cooperation requires consensus for wide adoption.  1.   マルチステークホルダー協力を促進するための共通の分析フレームワークは、広く採用するためのコンセンサスが必要である。
a.   Build on and enrich existing good-case practices, experiences and standards like STIX and DISARM where possible Avoid the creation of parallel frameworks which would hinder interoperability.  a. 可能であれば、STIX や DISARM のような既存のグッドケース、経験、標準を基にし、充実させる。 相互運用性を妨げるような並列のフレームワークの作成は避ける。
b.   Favour widest possible adoption by endorsing and supporting open-source tools and standards that are community driven and informed by active usage of FIMI analysts. b. コミュニティ主導で、FIMI アナリストの積極的な利用によってもたらされるオープンソースツール 及び標準を支持し、支援することによって、可能な限り広く採用されることを支持する。
c.   Prioritise interoperability of frameworks and standards to foster experimentation and innovation. c. 実験と革新を促進するために,フレームワークと標準の相互運用性を優先させる。
2.   We suggest that the FIMI community convenes to agree upon a shared FIMI extension of STIX in the near future  2. 私たちは、近い将来、FIMIコミュニティがSTIXの共有FIMI拡張に合意するために招集される ことを提案します。
a. In this regard, the creation of an Information Sharing and Analysis Center (ISAC) on FIMI can focus such discussions a. この点で、FIMIに関する情報共有・分析センター(ISAC)の設立は、このような議論に焦点を当てることができる。
b. Continuous interoperability of FIMI standards with other communities, like cybersecurity, should be ensured to realise the full potential of information sharing across sectors where appropriate b. 適切な場合には、セクターを超えた情報共有の可能性を完全に実現するために、サイバーセ キュリティのような他のコミュニティとのFIMI標準の継続的な相互運用性を確保する必要がある。
3.   Members of the FIMI defender community with the relevant means should engage in supporting communitydriven initiatives that  3. 関連する手段を有する FIMI 擁護者コミュニティのメンバーは,次のようなコミュニティ主導のイニ シアティブの支援に取り組むことが望ましい。

 

| | Comments (0)

2023.01.24

ENISA サイバーセキュリティの組織内の啓発プログラムの開発を支援するためのパッケージ

こんにちは、丸山満彦です。

サイバーセキュリティの組織内の啓発プログラムの開発を支援するためのパッケージ (Awareness Raising in a Box(AR-in-a-BOX)) を公表していますね。。。

この啓発プログラム開発支援パッケージには、次のものが含まれているようです。。。

  • 組織内で使用するためのカスタム啓発プログラムの構築方法に関するガイドライン。
  • 社外のステークホルダーを対象とした啓発キャンペーンを作成するためのガイドライン。
  • ターゲットに最も適したツールやチャネルの選択方法。
  • プログラムやキャンペーンを評価するための適切な指標の選択と重要業績評価指標の開発に関する説明。
  • 啓発目標の達成に不可欠なコミュニケーション戦略の策定ガイド。
  • 啓発用ゲーム(様々なバージョンとスタイルで提供され、その遊び方に関するガイドも付いている。)

 

ENISA

・2023.01.19 Cybersecurity Awareness Raising: Peek Into the ENISA-Do-It-Yourself Toolbox

Cybersecurity Awareness Raising: Peek Into the ENISA-Do-It-Yourself Toolbox サイバーセキュリティの意識向上:ENISA-Do-It-Yourself Toolboxを覗く
The European Union Agency for Cybersecurity (ENISA) launches today the “Awareness Raising in a Box (AR-in-a-BOX)” package designed to help organisations build their own awareness raising programmes. 欧州連合サイバーセキュリティ機関(ENISA)は、組織が独自の啓発プログラムを構築するのを支援するために設計された「Awareness Raising in a Box(AR-in-a-BOX)」パッケージを本日発表する。
Awareness raising programmes form an indispensable part of an organisation’s cybersecurity strategy and are used to promote good practices and induce change in the cybersecurity culture of employees and ultimately the society at large. 啓発プログラムは、組織のサイバーセキュリティ戦略の不可欠な部分を形成し、グッドプラクティスを促進し、従業員、ひいては社会全体のサイバーセキュリティ文化に変化をもたらすために使用される。
AR-in-a-Box is offered by ENISA to public bodies, operators of essential services, large private companies as well as small and medium ones (SMEs). With AR-in-a-BOX, ENISA provides theoretical and practical knowledge on how to design and implement cybersecurity awareness activities. AR-in-a-Boxは、ENISAが公共機関、重要サービス運営者、大規模民間企業、中小企業に対して提供している。AR-in-a-BOXでは、ENISAがサイバーセキュリティの啓発活動を設計・実施する方法について理論的・実践的な知識を提供する。
AR-in-a-Box includes: AR-in-a-BOXには以下が含まれる。
・A guideline on how to build a custom awareness program, to be used internally within an organisation; ・組織内で使用するためのカスタム啓発プログラムの構築方法に関するガイドライン。
・A guideline on creating an awareness campaign targeted at external stakeholders; ・社外のステークホルダーを対象とした啓発キャンペーンを作成するためのガイドライン。
・Instructions on how to select the appropriate tools and channels to best match the target audience; ・ターゲットに最も適したツールやチャネルの選択方法。
・Instructions on selecting the right metrics and developing key performance indicators to evaluate a program or campaign; ・プログラムやキャンペーンを評価するための適切な指標の選択と重要業績評価指標の開発に関する説明。
・A guide for the development of a communication strategy, which is indispensable for the achievement of awareness objectives; ・啓発目標の達成に不可欠なコミュニケーション戦略の策定ガイド。
・An awareness raising game, provided in different versions and styles, along with a guide on how it is played; ・啓発用ゲーム。様々なバージョンとスタイルで提供され、その遊び方に関するガイドも付いている。
An awareness raising quiz. 啓発クイズ
Find more in the dedicated page:  Awareness Material — ENISA (europa.eu) 詳しくは、専用ページでご確認ください。  啓発資料 - ENISA (europa.eu)
AR-in-a-Box is dynamic and will be regularly updated and enriched. New versions will be promoted via social media and uploaded on the ENISA website. AR-in-a-Boxは動的なもので、定期的に更新され、充実していく予定です。新バージョンはソーシャルメディアを通じてプロモーションされ、ENISAのウェブサイトにアップロードされる。
Further information さらに詳しい情報
ENISA topic – Awareness Raising ENISAトピック - 認知度向上
Awareness Campaigns — ENISA (europa.eu) 意識向上キャンペーン - ENISA (europa.eu)
SME Cybersecurity — ENISA (europa.eu) 中小企業のサイバーセキュリティ - ENISA (europa.eu)

 

Cybersecurity Awareness Raising: The ENISA -Do-It-Yourself Toolbox 

Cybersecurity Awareness Raising: The ENISA -Do-It-Yourself Toolbox  サイバーセキュリティの意識向上:ENISA -Do-It-Yourself Toolbox
AR-in-a-Box AR-in-a-Box

AR-in-a-Box is a comprehensive solution for cybersecurity awareness activities designed to meet the needs of public bodies, operators of essential services, and both large and small private companies. It provides theoretical and practical knowledge on how to design and implement effective cybersecurity awareness programmes, including:

AR-in-a-Boxは、公共機関、重要なサービスを提供する事業者、および大企業と中小企業のニーズを満たすように設計されたサイバーセキュリティ啓発活動のための包括的なソリューションです。効果的なサイバーセキュリティ啓発プログラムを設計し、実施する方法について、以下のような理論的および実践的な知識を提供する。
A guideline on building custom awareness programmes for internal use within an organisation. Download it here. ・組織内で使用するカスタム啓発プログラムの構築に関するガイドライン。
A guideline on creating targeted awareness campaigns for external stakeholders. Download it here. ・社外のステークホルダーを対象とした啓発キャンペーンを作成するためのガイドライン。
Instructions on selecting the appropriate tools and channels to effectively reach the target audience. Download it here. ・対象者に効果的にリーチするための適切なツールやチャネルの選択に関する説明。
Instructions on developing Key Performance Indicators to evaluate the effectiveness of a programme or campaign. Download it here. ・プログラムやキャンペーンの効果を評価するための主要業績評価指標(KPI)の開発に関する説明。 
A guide for the development of a communication strategy, crucial for achieving awareness objectives. Download it here. ・啓発目標の達成に不可欠なコミュニケーション戦略の策定ガイド 
An awareness raising quiz to test comprehension and retention of key information. Download it here. ・重要な情報の理解と保持をテストするための意識向上クイズ。 
・An awareness raising game provided in different versions and styles, along with a guide on how to play: ・様々なバージョンとスタイルで提供される啓発用ゲームと、その遊び方のガイド。
・・Download the guide on how to play the game here. ・・ゲームの遊び方ガイドのダウンロードはこちら。
・・Generic version of the game  ・・一般的なゲーム 
・・・Style 1 ・・・スタイル1
・・・Style 2 ・・・スタイル2
・・・Mini version  ・・・ミニバージョン 
・・Version of the game tailored for energy sector ・・エネルギー分野に特化したバージョン
・・・Style 1 ・・・スタイル1
・・・Style 2 ・・・スタイル2
・・・Mini version  ・・・ミニバージョン 
With AR-in-a-Box, ENISA equips organisations with the necessary tools and resources to effectively raise cybersecurity awareness within their operations. ENISAは、AR-in-a-Boxにより、各組織の業務におけるサイバーセキュリティの意識を効果的に高めるために必要なツールやリソースを提供する。
AR-in-a-Box is dynamic and will be regularly updated and enriched. AR-in-a-Boxは動的なものであり、定期的に更新され、充実していく予定である。

 

 

[PDF] A guideline on building custom awareness programmes for internal use within an organisation.

20230124-21232

[PDF] A guideline on creating targeted awareness campaigns for external stakeholders.

20230124-21243

[PDF] Instructions on selecting the appropriate tools and channels to effectively reach the target audience.

20230124-21252

[PDF] Instructions on developing Key Performance Indicators to evaluate the effectiveness of a programme or campaign. 

20230124-21305

[PDF] A guide for the development of a communication strategy, crucial for achieving awareness objectives.

20230124-21322

[PDF] An awareness raising quiz to test comprehension and retention of key information.

20230124-21354

 

[PDF] the guide on how to play the game.

20230124-21417

 

・Generic version of the game 

[PDF] Style 1

20230124-21518

[PDF] Style 2

20230124-21558

[PDF] Mini version 

20230124-21607

Version of the game tailored for energy sector

[PDF] Style 1

20230124-21615

[PDF] Style 2

20230124-21622

[PDF] Mini version 

20230124-21642

 

興味深いです。。。

| | Comments (0)

2022.12.21

経済産業省 総務省 警察庁 NISC 年末年始休暇において実施いただきたい対策について(注意喚起)

こんにちは、丸山満彦です。

GW前、お盆前、年末年始前、、、風物詩的になってまいりました。。。

 

経済産業省

・2022.12.20 年末年始休暇において実施いただきたい対策について注意喚起を行います

・[PDF] 年末年始休暇において実施いただきたい対策について

・[PDF] 別添資料

20221220-154355

 

● 警察庁 - サイバーポリスエージェンシー

・2022.12.20 年末年始休暇において実施いただきたい対策について(注意喚起)

・[PDF] 年末年始休暇において実施いただきたい対策について(注意喚起)

・[PDF] セキュリティ対策責任者・システム担当者向け資料

 

● 内閣官房サイバーセキュリティセンター

・2022.12.20 年末年始休暇において実施いただきたい対策について注意喚起を行います

・[PDF] 年末年始休暇において実施いただきたい対策について(注意喚起) 

・[PDF] 長期休暇に向けて、セキュリティ対策は万全ですか? 

ちなみに...

 

 

 

| | Comments (0)

2022.12.06

NISC 警察庁 学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について(注意喚起)(2022.11.30)

こんにちは、丸山満彦です。

NISCと警察庁から、学術関係者・シンクタンク研究員等を標的としたサイバー攻撃についての注意喚起が出ていますね。。。

こういう注意喚起が出るということは、そういう事態があったんでしょうかね。。。知らんけど。。。

 

● NISC

・2022.11.30 学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について(注意喚起)

・[PDF] 注意喚起

20221205-235736

・[PDF] 概要

20221205-235951

 

 

● 警察庁

・2022.11.30 学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について(注意喚起)

・[PDF] 注意喚起

・[PDF] 別添資料

 

| | Comments (0)

2022.10.31

ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ局 (BSI) が2022年版「ドイツにおける ITセキュリティの現状」を公表していますね。。。

分野ごとの脅威Top3

社会 経済 国家と行政
個人情報保護 ランサムウェア ランサムウェア
セキストラクション 脆弱性、オープン又は設定ミスのあるオンラインサーバー APT
インターネット上の偽店 ITサプライチェーン:依存関係とセキュリティ 脆弱性、オープン又は設定ミスのあるオンラインサーバー

 

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.10.25 BSI-Lagebericht 2022: Gefährdungslage im Cyber-Raum hoch wie nie

BSI-Lagebericht 2022: Gefährdungslage im Cyber-Raum hoch wie nie BSI状況報告書2022:サイバー空間における脅威の状況はかつてないほど高まっている
Im Berichtszeitraum von Juni 2021 bis Mai 2022 hat sich die bereits zuvor angespannte Lage weiter zugespitzt. 2021年6月から2022年5月までの報告期間において、すでに緊迫した状況はさらに深刻化している。
Die Gründe für die hohe Bedrohungslage sind anhaltende Aktivitäten im Bereich der Cyber-Kriminalität, Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine und auch in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten. 脅威が高い状況の理由は、継続的なサイバー犯罪活動、ロシアのウクライナ攻撃を背景としたサイバー攻撃、さらに多くの場合、ITおよびソフトウェア製品の品質が不十分であることである。
Bundesinnenministerin Nancy Faeser: „Die seit dem russischen Angriffskrieg auf die Ukraine anhaltend erhöhte Cyber-Bedrohungslage erfordert eine strategische Neuaufstellung und deutliche Investitionen in unsere Cyber-Sicherheit. Die Cyber-Sicherheitsagenda des BMI bildet die für uns wesentlichen Ziele und Maßnahmen ab. Hier wollen wir als BMI noch in dieser Legislaturperiode wesentliche Fortschritte erreichen und die Cyber-Sicherheit auf ein neues Level heben. Die Modernisierung unserer Cyber-Sicherheitsarchitektur mit dem Ausbau des BSI zur Zentralstelle, der weitere Ausbau und die Erneuerung von Netzen und IT-Systemen der Verwaltung, die Stärkung der Sicherheitsbehörden zur Verfolgung von Cyber-Crime sowie die Verbesserung der Abwehrfähigkeiten gegen Cyber-Angriffe sind wichtige und notwendige Schritte für eine eng verzahnte föderale Cyber-Abwehr und eine effektive und effiziente Aufstellung im Cyber-Raum.“ ナンシー・フェーザー連邦内務大臣:「ロシアのウクライナ侵略戦争以来、持続的に高まっているサイバー脅威の状況は、戦略的な再配置とサイバーセキュリティへの大規模な投資を必要としている。連邦内務省のサイバーセキュリティアジェンダは、私たちにとって必要不可欠な目標と対策の概要を示している。連邦内務省として、この立法期間中にこの分野で大きな進展を遂げ、サイバーセキュリティを新たなレベルに引き上げたいと考えている。BSIの中央オフィスへの拡張、行政のネットワークとITシステムのさらなる拡張と更新、サイバー犯罪の訴追のためのセキュリティ当局の強化、サイバー攻撃に対する防衛能力の向上など、サイバーセキュリティ・アーキテクチャの近代化は、緊密に連携した連邦サイバー防衛とサイバー空間における効果的かつ効率的な位置付けのために重要かつ必要な措置である。」
Jede Schwachstelle in Soft- oder Hardware-Produkten ist ein potenzielles Einfallstor für Angreifer und gefährdet die Informationssicherheit in Verwaltung, Wirtschaft und Gesellschaft. Im Jahr 2021 wurden über 20.000 Schwachstellen in Software-Produkten registriert. Das entspricht einem Zuwachs von 10 % gegenüber dem Vorjahr. ソフトウェアやハードウェア製品に存在するあらゆる脆弱性は、攻撃者にとっての潜在的な入り口であり、行政、経済、社会における情報セキュリティを脅かすものである。2021年には、ソフトウェア製品に2万件以上の脆弱性が登録された。これは、前年度比10%の増加に相当する。
Vizepräsident des BSI, Dr. Gerhard Schabhüser: „Die Bedrohungslage im Cyber-Raum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie. In einer digitalisierten Welt hängt das Wohlergehen der Bevölkerung stärker als jemals zuvor davon ab, wie gut wir uns gegen IT-Sicherheitsvorfälle gerüstet haben. Jedes Computersystem, das nicht gehackt werden kann, jede digitale Dienstleistung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. Mit den richtigen Maßnahmen können wir der Bedrohungslage begegnen. Wir dürfen beim Thema Cyber-Sicherheit keinen Deut nachlassen.“ BSI副会長 ゲルハルト・シャブヒューザー博士:「サイバー空間における脅威の状況は、緊迫し、ダイナミックで多様であるため、これまでになく高まっている。デジタル化された世界では、国民の幸福度は、ITセキュリティインシデントに対する備えがどれだけできているかに、これまで以上に左右されることになる。ハッキングされないコンピュータシステム、中断されないデジタルサービス、これらはすべてデジタルネットワーク社会が機能するための基本的な貢献である。適切な対策を講じることで、脅威の状況に対抗することができるのである。サイバーセキュリティの問題には一歩も手を緩めてはいけない。」
Ransomware-Angriffe, also Cyber-Angriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gilt aktuell als größte Bedrohung im Cyber-Bereich. So ist es im Berichtszeitraum zu mehreren Ransomware-Vorfällen gekommen bei denen Kommunen in Deutschland angegriffen wurden. Zum ersten Mal in der deutschen Geschichte wurde in Folge eines Cyber-Angriffs von der betroffenen Kommune der Katastrophenfall ausgerufen. ランサムウェア攻撃とは、身代金の強奪を目的とした企業や大学、当局に対するサイバー攻撃で、現在サイバーセクターにおける最大の脅威と考えられている。報告期間中、ドイツの自治体が攻撃を受けたランサムウェア事件が数件発生した。ドイツ史上初めて、サイバー攻撃によって被害を受けた自治体から災害宣言が出されたのである。
Cyber-Sicherheit ist ein wesentlicher Aspekt der Daseinsvorsorge und dient unmittelbar dem Schutz von Bürgerinnen und Bürger. サイバーセキュリティは、一般消費者向けのサービスには欠かせないものであり、市民の保護に直接役立つものである。

 

・2022.10.25 Die Lage der IT-Sicherheit in Deutschland 2022

Die Lage der IT-Sicherheit in Deutschland 2022 ドイツにおけるITセキュリティの現状 2022
Mit seinem Bericht zur Lage der IT-Sicherheit in Deutschland legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) als die Cyber-Sicherheitsbehörde des Bundes jährlich einen umfassenden Überblick über die Bedrohungen im Cyber-Raum vor. In diesem Jahr bewertet der Bericht auch die IT-Sicherheitslage im Kontext des russischen Angriffskrieges auf die Ukraine. ドイツ連邦情報セキュリティ局(BSI)は、連邦政府のサイバーセキュリティ当局として、毎年、ドイツのITセキュリティの現状に関する報告書を発表し、サイバー空間における脅威の包括的な概要を示している。今年は、ロシアのウクライナ侵略戦争を背景としたITセキュリティの状況も評価している。
IT-Sicherheitslage spitzt sich zu ITセキュリティの状況は頭打ちになる
Insgesamt spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie. Im Berichtszeitraum wurde – wie schon im Vorjahr – eine hohe Bedrohung durch Cybercrime beobachtet. Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine. 全体として、すでに緊張状態にあった状況は、報告期間中に悪化した。このように、サイバー空間における脅威はかつてないほど高まっている。この報告期間中、前年度と同様に、サイバー犯罪による高い脅威が観察された。さらに、ロシアのウクライナ侵略戦争に関連して、さまざまな脅迫があった。
Russischer Angriffskrieg gegen die Ukraine ロシアによるウクライナへの侵略戦争
Bislang gab es in Deutschland in Zusammenhang mit dem Angriffskrieg Russlands gegen die Ukraine eine Ansammlung kleinerer Vorfälle und Hacktivismus-Kampagnen. Beispiele hierfür waren der Ausfall der Fernwartung in deutschen Windkraftanlagen nach dem Angriff auf ein Unternehmen der Satellitenkommunikation und ein Hacktivismus-Angriff auf deutsche Mineralölhändler mit russischem Mutterkonzern. Eine übergreifende Angriffskampagne gegen deutsche Ziele war nicht ersichtlich. Die Lage im Cyber-Raum von NATO-Partnern war dagegen teilweise angespannt und in der Ukraine teilweise existenzbedrohend kritisch . これまでドイツでは、ロシアのウクライナ侵略戦争に関連して、小規模な事件やハクティビズム・キャンペーンが積み重ねられてきました。例えば、衛星通信会社が攻撃されてドイツの風力発電機の遠隔保守ができなくなったり、ロシアを親会社とするドイツの石油商社がハクティビズム攻撃を受けたりした。ドイツの目標に対する包括的な攻撃作戦は明らかにされていない。一方、NATO加盟国のサイバー空間における状況は、ウクライナでは国の存立を脅かすほど緊迫したケースもあり、危機的な状況であった。
Cyber-Erpressung bleibt eine der größten Bedrohungen サイバー恐喝は依然として最大の脅威の一つである
Ransomware blieb die Hauptbedrohung besonders für Unternehmen. Die im vergangenen Berichtszeitraum beobachtete Ausweitung von Methoden der Erpressungsmethoden im Cyber-Raum hat sich im aktuellen Berichtszeitraum fortgesetzt. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Sowohl die von IT-Sicherheitsdienstleistern berichteten Lösegeld- und Schweigegeld-Zahlungen als auch die Anzahl der Opfer, deren Daten etwa wegen ausbleibender Zahlungen auf Leak-Seiten veröffentlicht wurden, sind weiter gestiegen. Das nicht nur Unternehmen Ziel von Ransomware-Angriffen sind, zeigt eindrücklich der folgenschwere Angriff auf eine Landkreisverwaltung in Sachsen-Anhalt: Erstmals wurde wegen eines Cyber-Angriffs der Katastrophenfall ausgerufen. Bürgernahe Dienstleistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar. ランサムウェアは、特に企業にとって主要な脅威であることに変わりはない。前回の報告期間中に見られたサイバー空間における恐喝の手法の拡大は、今回の報告期間でも継続された。特に、いわゆる大物狩り、つまり暗号化され流出したデータで高収益の企業を強奪するケースが増え続けているのである。ITセキュリティサービスプロバイダーが報告する身代金や口止め料の支払いも、支払いがないために漏洩サイトなどでデータが公開された被害者も、ともに増え続けている。ランサムウェアの攻撃対象が企業だけではないことは、ザクセン=アンハルト州の行政機関が深刻な攻撃を受け、初めてサイバー攻撃による災害事態が宣言されたことからも印象的に示されている。207日間、市民に身近なサービスが利用できなかったり、限られた範囲でしか利用できなかったりした。
Zahl der Schwachstellen steigt weiter 増加し続ける脆弱性の数
Im Jahr 2021 wurden zehn Prozent mehr Schwachstellen in Software-Produkten bekannt als im Vorjahr. Mehr als die Hälfte von ihnen wiesen hohe oder kritische Scores nach dem Common Vulnerability Scoring System (CVSS) auf. Als kritisch wurden 13 Prozent der Schwachstellen bewertet. Zu ihnen zählt die Schwachstelle in Log4j, da sich diese in vielen frei verfügbaren Software-Bausteinen befand. IT-Sicherheitsverantwortliche konnten daher in der Regel nur schwer einschätzen, ob die von ihnen eingesetzte Software die Schwachstelle aufwies. Aufgrund der hohen Verbreitung von Log4j war von einer großen Angriffsfläche für Cyber-Angriffe auszugehen. 2021年には、ソフトウェア製品の脆弱性が前年より10%多く知られるようになった。そのうちの半数以上は、CVSS(Common Vulnerability Scoring System)によるスコアが「高」または「重大」であった。13%の脆弱性が「重要」と評価された。Log4jの脆弱性もその一つで、自由に利用できるソフトウェア部品に多く見受けられたからである。 そのため、ITセキュリティ管理者は、通常、使用しているソフトウェアに脆弱性があるかどうかを判断することは困難であった。Log4jの分布が多いため、サイバー攻撃の攻撃対象が多いと想定される。
DDoS-Angriffe und Advanced Persistent Threats (APT) nehmen zu DDoS攻撃とAPT(Advanced Persistent Threat)が増加中
Im aktuellen Berichtszeitraum waren vermehrt Angriffe auf Perimeter-Systeme, wie zum Beispiel Firewalls oder Router zu beobachten. Während gezielte APT-Angriffe mittels Schadprogrammen in E-Mails in der Regel hohen Aufwand erfordern, sind Perimeter-Systeme direkt aus dem Internet erreichbar, vergleichsweise schlecht geschützt und daher leichter angreifbar. Mehr und mehr scannen APT-Gruppen das Internet nach bekannten Schwachstellen in Perimeter-Systemen, für die noch keine Patches verfügbar sind, um diese gezielt angreifen zu können. 今回の報告期間では、ファイアウォールやルーターなどの境界システムに対する攻撃が多く観測された。電子メールにマルウェアを仕込んだ標的型攻撃は、通常、多大な労力を必要とするが、境界システムはインターネットから直接アクセスでき、比較的防御が甘いため、攻撃されやすいといえます。APTグループは、境界システムの既知の脆弱性のうち、まだパッチが提供されていないものをインターネット上でスキャンし、特別に攻撃できるようにするケースが増えている。
Auch die Zahl der Distributed Denial of Service-Angriffe (DDoS-Angriffe) hat nach Berichten verschiedener Mitigationsdienstleister weiter zugenommen. So verzeichnete etwa der deutsche Dienstleister Link11 für das Jahr 2021 einen Anstieg der DDoS-Angriffe um rund 41 Prozent im Vergleich zum Vorjahr. Insbesondere rund um das jährliche Onlineshopping-Event Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt. また、各ミティゲーション・サービス・プロバイダーからの報告によると、分散型サービス拒否攻撃(DDoS攻撃)の件数も増加し続けているとのことである。例えば、ドイツのサービスプロバイダーであるLink11は、2021年に前年比約41%のDDoS攻撃の増加を記録している。特に、毎年恒例のネット通販イベント「サイバーウィーク」の前後や、クリスマスまでの間に、顕著に多くの攻撃が観測された。2021年のサイバーウィーク前後には、2020年のサイバーウィークと比較してDDoS攻撃の件数が2倍に増加した。
Zeitenwende für "Cyber-Sicherheit made in Germany" 「ドイツにおけるサイバーセキュリティ」の転換点
Die beschleunigte Digitalisierung in allen Bereichen des alltäglichen Lebens – von den Lieferketten der international agierenden Konzerne, den Geschäftsprozessen auch in kleinen und kleinsten Unternehmen über die Dienstleistungen öffentlicher Institutionen bis hin zu den digitalen Anwendungen, die fast jede Bürgerin und jeder Bürger täglich im Alltag nutzt – macht auch bei der "Cyber-Sicherheit made in Germany" eine Zeitenwende notwendig. 国際的に事業展開する企業のサプライチェーン、中小企業でもビジネスプロセス、公共機関のサービス、ほぼすべての市民が毎日利用するデジタルアプリケーションなど、日常生活のあらゆる分野でデジタル化が加速しており、「メイド・イン・ジャーマニー」のサイバーセキュリティにも転換が必要となっている。
Denn das vergangene Jahr hat gezeigt, dass unvorhergesehene Ereignisse die Bedrohungslage auf ein neues Level heben können und Kollateralschäden durch Cyber-Angriffe in Nachbarländern auch unmittelbare Auswirkungen auf Deutschland haben können. All dies macht deutlich, dass präventive IT-Sicherheitsmaßnahmen die wirkungsvollsten IT-Sicherheitsmaßnahmen sind. Jedes Computersystem, das nicht gehackt werden kann, jede IT-basierte Dienstleitung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. Vor diesem Hintergrund ist die von der Bundesregierung geplante Modernisierung der Cyber-Sicherheitsarchitektur und der Ausbau des BSI zur Zentralstelle für Informationssicherheit im Bund-Länderverhältnis ein wichtiger Schritt für eine eng verzahnte föderale Cyber-Abwehr. この1年で、不測の事態が脅威の状況を新たなレベルに引き上げ、近隣諸国のサイバー攻撃の巻き添えがドイツにも直接影響を及ぼすことが明らかになった。これらのことから、予防的なITセキュリティ対策が最も効果的なITセキュリティ対策であることは明らかである。ハッキングされないコンピュータシステム、中断されないITベースのサービスは、デジタルネットワーク社会が機能するための初歩的な貢献である。このような背景から、連邦政府が計画しているサイバーセキュリティ・アーキテクチャーの近代化、およびBSIの連邦国家関係における情報セキュリティの中央機関への拡大は、緊密に連動した連邦サイバー防衛にとって重要なステップとなる。

 

・2022.10.25 Die Lage der IT-Sicherheit in Deutschland 2022

Die Lage der IT-Sicherheit in Deutschland 2022 ドイツにおけるITセキュリティの現状 2022
Der Bericht zur Lage der IT-Sicherheit in Deutschland 2022 beschreibt und analysiert die aktuelle IT-Sicherheitslage, auch anhand konkreter Beispiele und Vorfälle. Daraus abgeleitet stellen wir die Angebote und Lösungsansätze des BSI zur Verbesserung der IT-Sicherheit in Deutschland vor. 2022年ドイツのITセキュリティの現状について、具体的な事例やインシデントも踏まえて解説・分析したレポートである。そこから導き出された、ドイツにおけるITセキュリティ向上のためのBSIの提案とソリューションへのアプローチを紹介する。

 

  ・[PDF] Die Lage der IT-Sicherheit in Deutschland 2022

20221031-02755

 

目次...

Vorwort Nancy Faeser, Bundesministerin des Innern und für Heimat 序文 Nancy Faeser(連邦内務大臣) 内務・内政担当大臣
Vorwort Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik 序文 連邦情報セキュリティ局副局長 ゲルハルト・シャブヒューザー博士
1 Gefährdungen der Cyber-Sicherheit in Deutschland 1 ドイツにおけるサイバーセキュリティへの脅威
1.1 Zusammenfassung und Bewertung 1.1 概要と評価
1.2 Schadprogramme 1.2 マルウェア
1.2.1 Neue Schadprogramm-Varianten 1.2.1 新しいマルウェアの亜種
1.2.2 Ransomware 1.2.2 ランサムウェア
1.2.3 Botnetze 1.2.3 ボットネット
1.2.4 Spam und Phishing 1.2.4 スパムとフィッシング
1.2.5 Social Bots 1.2.5 ソーシャルボット
1.3 Schwachstellen 1.3 脆弱性
1.3.1 Schwachstellen in Software-Produkten 1.3.1 ソフトウェア製品における脆弱性
1.3.2 Schwachstellen in Hardware-Produkten 1.3.2 ハードウェア製品における脆弱性
1.4 Advanced Persistent Threats 1.4 アドバンスドパーシステントスレット
1.5 Distributed Denial of Service 1.5 分散型サービス拒否(Denial of Service
1.6 Angriffe im Kontext Kryptografie 1.6 暗号の文脈における攻撃
1.7 Hybride Bedrohungen 1.7 ハイブリッドの脅威
1.8 Cyber-Sicherheitslage im Kontext des russischen Angriffskrieges gegen die Ukraine 1.8 ロシアのウクライナ侵略戦争を背景としたサイバーセキュリティの状況
2 Zielgruppenspezifische Erkenntnisse und Maßnahmen 2 ターゲットグループ別の知見と対策
2.1 Gesellschaft 2.1 社会
2.1.1 Erkenntnisse zur Gefährdungslage in der Gesellschaft 2.1.1 社会における脅威の状況についての所見
2.1.2 Digitaler Verbraucherschutz 2.1.2 デジタル消費者保護
2.1.3 IT-Sicherheitskennzeichen 2.1.3 ITセキュリティラベル
2.1.4 Information und Sensibilisierung von Verbraucherinnen und Verbrauchern 2.1.4 消費者への情報提供と意識啓発
2.1.5 Projekt „Dialog für Cyber-Sicherheit“ 2.1.5 「サイバーセキュリティーのための対話」プロジェクト
2.1.6 Sicherheit im Internet der Dinge, im Smart Home und in Smart Cities 2.1.6 モノのインターネット、スマートホーム、スマートシティーにおけるセキュリティ
2.1.7 Sicherheit im Gesundheitswesen 2.1.7 保健分野でのセキュリティ
2.1.8 Sichere Gestaltung virtueller Versammlungen und Abstimmungen 2.1.8 バーチャル会議と投票の安全性確保
2.1.9 Sicherheit von Bezahlverfahren 2.1.9 支払手続きのセキュリティ
2.1.10 Zwei-Faktor-Authentisierung 2.1.10 二要素認証
2.1.11 Bewertung von elektronischen Identifizierungsverfahren 2.1.11 電子的な本人確認手続きの評価
2.1.12 Sichere elektronische Identitäten auf dem Smartphone 2.1.12 スマートフォンでの電子IDの保護
2.1.13 Mediale Identitäten 2.1.13 メディア・アイデンティティ
2.1.14 Moderne Messenger für sichere Kommunikation 2.1.14 安全な通信を実現するモダンメッセンジャー
2.2 Wirtschaft 2.2 経済
2.2.1 Erkenntnisse zur Gefährdungslage in der Wirtschaft 2.2.1 経済における脅威の状況についての所見
2.2.2 Gefährdungslage Kritischer Infrastrukturen 2.2.2 重要インフラストラクチャーの脆弱性
2.2.3 UP KRITIS 2.2.3 アップクリッツ
2.2.4 Unternehmen im Fokus der europäischen und deutschen Cyber-Sicherheits-Regulierung 2.2.4 欧州とドイツのサイバーセキュリティ規制で注目される企業
2.2.5 Besondere Situation der KMU in Deutschland 2.2.5 ドイツにおける中小企業の特殊な状況
2.2.6 Cyber-Sicherheit im Automobilbereich 2.2.6 自動車産業におけるサイバーセキュリティ
2.2.7 Cyber-Sicherheit im Luftverkehr 2.2.7 航空輸送におけるサイバーセキュリティ
2.2.8 Digitalisierung der Energiewirtschaft 2.2.8 エネルギー産業のデジタル化
2.2.9 Cyber-Sicherheit in der industriellen Versorgungskette 2.2.9 産業用サプライチェーンにおけるサイバーセキュリティ
2.2.10 Moderne Telekommunikationsinfrastrukturen (5G/6G) 2.2.10 最新の通信インフラ(5G/6G)
2.2.11 Sicherheit von Cloud-Diensten 2.2.11 クラウドサービスにおけるセキュリティ
2.2.12 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme 2.2.12 電子記録システムのための技術的セキュリティ装置
2.2.13 Überführung der Produktzertifizierung in den europäischen Rechtsakt zur Cyber-Sicherheit 2.2.13 製品認証のサイバーセキュリティに関する欧州の法律行為への移行
2.2.14 IT-Grundschutz 2.2.14 IT関連サービス
2.2.15 Allianz für Cyber-Sicherheit 2.2.15 アライアンス・フォー・サイバー・セキュリティ
2.2.16 Cyber-Sicherheitsnetzwerk 2.2.16 サイバーセキュリティネットワーク
2.2.17 Sonstige Lösungen für die Wirtschaft 2.2.17 経済に関するその他の解決策
2.3 Staat und Verwaltung 2.3 国家と行政
2.3.1 Die Gefährdungslage in der Bundesverwaltung 2.3.1 連邦政府における脅威の状況
2.3.2 Computer Emergency Response Team für Bundesbehörden 2.3.2 連邦政府機関向けコンピュータ緊急対応チーム
2.3.3 Nationales Verbindungswesen 2.3.3 国内リエゾン体制
2.3.4 Zusammenarbeit mit Ländern und Kommunen 2.3.4 州・自治体との連携
2.3.5 Cyber-Sicherheit von Landtagswahlen 2.3.5 国政選挙のサイバーセキュリティ
2.3.6 Informationssicherheitsberatung 2.3.6 情報セキュリティコンサルティング
2.3.7 Geheimschutzberatung zu VS-IT 2.3.7 VS-ITに関する秘密のセキュリティアドバイス
2.3.8 Smart Borders und hoheitliches Identitätsmanagement 2.3.8 スマートボーダーと主権者ID管理
2.3.9 Technologieverifikation in sogenannten Technologie Labs 2.3.9 いわゆる技術研究所での技術検証
2.3.10 App-Testing für mobile Lösungen 2.3.10 モバイルソリューションのアプリテスト
2.3.11 Onlinezugangsgesetz: die IT-Sicherheitsverordnung Portalverbund 2.3.11 オンラインアクセス法:ITセキュリティ規制ポータルネットワーク
2.4 Internationales 2.4 国際
2.4.1 Engagement des BSI im EU-Rahmen 2.4.1 BSI の EU 枠組みへの関与
2.4.2 Engagement des BSI in der NATO 2.4.2 BSIのNATOへの関与
2.4.3 Multilaterales und bilaterales Engagement des BSI 2.4.3 BSIの多国間および二国間エンゲージメント
2.4.4 Aufbau der National Cybersecurity Certification Authority 2.4.4 国家サイバーセキュリティ認証機関の設立
2.4.5 Nationales Koordinierungszentrum für Cyber-Sicherheit 2.4.5 ナショナル・サイバー・セキュリティ・コーディネーション・センター
2.4.6 eID: Novellierung der eIDAS-Verordnung 2.4.6 eID:eIDAS規制の改正について
2.4.7 Mindestanforderungen für die IT- und Cyber-Sicherheit von Satelliten 2.4.7 人工衛星のIT・サイバーセキュリティに関する最低要件
2.5 Aktuelle Trends und Entwicklungen in der IT-Sicherheit 2.5 ITセキュリティの最新動向と展開
2.5.1 Künstliche Intelligenz 2.5.1 人工知能
2.5.2 Kryptografie 2.5.2 暗号技術
2.5.3 Quantum Key Distribution 2.5.3 量子鍵配布
2.5.4 Self-Sovereign Identities und Blockchain-Technologie 2.5.4 自己主権型アイデンティティとブロックチェーン技術
3 Fazit 3 結論
Glossar 用語集
Quellenverzeichnis
出典元一覧

 

本文よりぬき...

1 Gefährdungen der Cyber-Sicherheit in Deutschland 1 ドイツにおけるサイバーセキュリティへの脅威
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet als nationale Cyber-Sicherheitsbehörde kontinuierlich die Gefährdungslage der IT-Sicherheit in Deutschland. Im Fokus des BSI stehen Cyber-Angriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privatpersonen, aber auch Maßnahmen zur Prävention und Bekämpfung dieser Lagen. Der vorliegende Bericht zieht eine Bilanz für die Zeit vom 1. Juni 2021 bis zum 31. Mai 2022 (Berichtszeitraum). Damit greift der Bericht aktuelle und unter Umständen anhaltende Cyber-Bedrohungen auf. Er bewertet auch die IT-Sicherheitslage im Kontext des russischen Angriffskrieges auf die Ukraine.  連邦情報セキュリティ局(BSI)は、サイバーセキュリティの国家機関として、ドイツのITセキュリティの脅威の状況を継続的に監視している。BSIは、企業、国家・公共機関、個人に対するサイバー攻撃だけでなく、こうした事態を防止し、対抗するための対策にも重点を置いている。本報告書は、2021 年 6 月 1 日から 2022 年 5 月 31 日までの期間(報告期間)の状況を把握したものである。このように、この報告書では、現在進行中の、そして特定の状況下では継続的なサイバー脅威を扱っている。また、ロシアのウクライナ侵略戦争を背景としたITセキュリティの状況についても評価している。
Anhand zahlreicher konkreter Beispiele aus vielen unterschiedlichen Bereichen zeichnet der Bericht den Weg und die typischen Methoden der Angreifer nach, um zugleich aufzuzeigen, wie sich Menschen und Organisationen schützen können. Die Übersicht beginnt mit einer Zusammenfassung der allgemeinen Gefährdungslage und aktueller Cyber-Bedrohungen. Angriffe wirken sich nicht nur unmittelbar auf die betroffenen Menschen und Organisationen aus, sondern beeinträchtigen das Leben aller in einer digitalisierten Gesellschaft. Umso wichtiger ist es, jeden einzelnen Bereich mit seinen spezifischen Bedrohungen zu beleuchten und im weiteren Verlauf die Gegenmaßnahmen zielgruppenspezifisch darzustellen. 本報告書では、さまざまな分野の具体的な事例を数多く取り上げ、攻撃者の手口や典型的な手法を追うと同時に、人々や組織がどのようにして自らを守ることができるかを示している。概要は、まず一般的な脅威の状況や現在のサイバー脅威の概要について説明する。攻撃は、被害を受けた人や組織に直接的な影響を与えるだけでなく、デジタル化された社会に生きるすべての人の生活に影響を与えます。そのため、各領域の脅威を明確にし、さらにターゲットグループに応じた対策を提示することがより重要である。
1.1 —  Zusammenfassung und Bewertung 1.1 - 概要と評価
Insgesamt spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie. Im Berichtszeitraum wurde – wie schon im Vorjahr – eine hohe Bedrohung durch Cybercrime beobachtet. Ransomware blieb die Hauptbedrohung (siehe Kapitel Ransomware, S. 13), besonders für Unternehmen. Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine, zum Beispiel durch Hacktivismus, insbesondere mittels Distributed-Denial-of-Service-Angriffen (DDoS-Angriffen), und Kollateralschäden bei Cyber-Sabotage-Angriffen  im Rahmen des Krieges. Sowohl durch Cybercrime als auch durch Cyber-Aktivitäten im Rahmen des Kriegs in der Ukraine hat es darüber hinaus im Berichtszeitraum Störungen von IT-Lieferketten gegeben. Eine Erhöhung der Resilienz gegenüber Cyber-Angriffen und technischen Störungen ist daher eine Hauptaufgabe für alle beteiligten Akteure in Staat, Wirtschaft und Gesellschaft. 全体として、すでに緊張状態にあった状況は、報告期間中に悪化した。このように、サイバー空間における脅威はかつてないほど高まっている。この報告期間中、前年度と同様に、サイバー犯罪による高い脅威が観察された。ランサムウェアは、特に企業にとって主要な脅威であることに変わりはない(13ページのランサムウェアの章を参照)。また、ロシアのウクライナ侵略戦争に関連して、特に分散型サービス妨害(DDoS)攻撃によるハクティビズムや、戦争に伴うサイバー妨害攻撃での巻き添えなど、さまざまな脅威があった。また、報告期間中、ウクライナ戦争を背景としたサイバー犯罪とサイバー活動の両方により、ITサプライチェーンに混乱が生じた。したがって、サイバー攻撃や技術的混乱に対するレジリエンスを高めることは、国家、経済、社会に関わるすべてのアクターにとって重要な課題である。
Russischer Angriffskrieg gegen die Ukraine: ロシアのウクライナへの侵略戦争:
Bislang gab es in Deutschland im Zusammenhang mit dem Angriffskrieg Russlands gegen die Ukraine eine Ansammlung kleinerer Vorfälle und HacktivismusKampagnen (vgl. zum Beispiel Vorfall Kollateralschäden nach Angriff auf ein Unternehmen der Satellitenkommunikation, Seite 49 und Vorfall Cyber-Angriff auf deutschen Mineralölhändler, Seite 50). Eine übergreifende Angriffskampagne gegen deutsche Ziele war nicht ersichtlich. Die Lage im Cyber-Raum von NATO-Partnern war dagegen teilweise angespannt und in der Ukraine teilweise existenzbedrohend kritisch.  これまでドイツでは、ロシアのウクライナ侵略戦争に関連して、小規模な事件やハクティビズムキャンペーンが蓄積されてきた(例えば、衛星通信会社に対する攻撃後の巻き添え事件49ページ、ドイツ鉱油取引業者に対するサイバー攻撃事件50ページ参照)。ドイツの目標に対する包括的な攻撃作戦は明らかにされていない。一方、NATO加盟国のサイバー空間における状況は、ウクライナでは国の存立を脅かすほど緊迫し、危機的状況に陥ったケースもあった。
Erpressungsmethoden im Cyber-Raum: サイバー空間における恐喝の手口:
Die im vergangenen Berichtszeitraum beobachtete Ausweitung von Methoden der Erpressungsmethoden im Cyber-Raum hat sich im aktuellen Berichtszeitraum fortgesetzt. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Sowohl die von IT-Sicherheitsdienstleistern berichteten Lösegeld- und SchweigegeldZahlungen als auch die Anzahl der Opfer, deren Daten etwa wegen ausbleibender Zahlungen auf Leak-Seiten veröffentlicht wurden, sind weiter gestiegen. Zudem kam es im aktuellen Berichtszeitraum auch immer wieder zu Erpressungen mit erbeuteten Identitätsdaten.  前回の報告期間中に見られたサイバー空間における恐喝の手法の拡大は、今回の報告期間でも継続された。特に、いわゆる大物狩り、つまり暗号化され流出したデータで高収益の企業を強奪するケースが増え続けているのである。ITセキュリティサービスプロバイダーが報告する身代金や口止め料の支払いも、支払いがないために漏洩サイトなどでデータが公開された被害者も、ともに増え続けている。また、今回の報告期間では、取り込んだIDデータを使った恐喝事件が繰り返された。
Es ließen sich auch wieder mehrere, teils ungewöhnlich ausgeprägte Sextortion-Kampagnen beobachten. In diesen Spam-Mails behaupten Angreifer, über kompromittierende, intime Geheimnisse des Opfers zu verfügen und drohen, diese zu veröffentlichen. Um die Veröffent lichung der vermeintlich vorhandenen kompromittierenden Informationen zu verhindern, solle das Opfer einen bestimmten Betrag in einer Kryptowährung (z. B. Bitcoin) überweisen.  また、いくつかの異常に顕著なセクストーションキャンペーンも再び観測された。これらのスパムメールの中で、攻撃者は被害者の危険な親密な秘密を持っていると主張し、それを公表すると脅す。漏洩したとされる情報の公開を防ぐために、被害者は暗号通貨(ビットコインなど)で一定額を送金することになっている。
Schwachstellen: 脆弱性:
Im Jahr 2021 wurden zehn Prozent mehr Schwachstellen bekannt als im Vorjahr. Mehr als die Hälfte von ihnen wiesen hohe oder kritische Scores nach dem Common Vulnerability Scoring System (CVSS) auf. Als besonders kritisch war die Schwachstelle in Log4j zu bewerten, da sich diese in vielen frei verfügbaren Software-Bausteinen befand. IT-Sicherheitsverantwortliche konnten daher in der Regel nur schwer einschätzen, ob die von ihnen eingesetzte Software die Schwachstelle aufwies. Aufgrund der hohen Verbreitung von Log4j war von einer großen Angriffsfläche für Cyber-Angriffe auszugehen. 2021年は、前年より10%多く脆弱性が開示された。そのうちの半数以上は、CVSS(Common Vulnerability Scoring System)によるスコアが「高」または「重大」であった。特にLog4jの脆弱性は、自由に利用できるソフトウェア・コンポーネントの多くで発見されたため、非常に重大な問題だった。そのため、ITセキュリティ担当者は、通常、使用しているソフトウェアにその脆弱性があるかどうかを判断することは困難であった。Log4jの分布が多いため、サイバー攻撃の攻撃対象が多いと想定される。
Advanced Persistent Threats (APT): 高度な持続的な脅威 (APT):
Im aktuellen Berichtszeitraum waren vermehrt Angriffe auf Perimeter-Systeme, wie zum Beispiel Firewalls oder Router, zu beobachten. Während gezielte APT-Angriffe mittels Schadprogrammen in E-Mails in der Regel hohen Aufwand erfordern, sind PerimeterSysteme direkt aus dem Internet erreichbar, vergleichsweise schlecht geschützt und daher leichter angreifbar. Mehr und mehr scannen APT-Gruppen das Internet nach bekannten Schwachstellen in Perimeter-Systemen, für die noch keine Patches verfügbar sind, um diese gezielt angreifen zu können.  今回の報告期間では、ファイアウォールやルーターなどの境界システムに対する攻撃が多く観測された。電子メールにマルウェアを仕込んだ標的型攻撃は、通常、多大な労力を必要とするが、境界システムはインターネットから直接アクセスでき、比較的防御が甘いため、攻撃されやすいといえます。APTグループは、境界システムの既知の脆弱性のうち、まだパッチが提供されていないものをインターネット上でスキャンし、特別に攻撃できるようにするケースが増えている。
Distributed Denial of Service (DDoS): DDoS(Distributed Denial of Service):
Nach Berichten verschiedener Mitigationsdienstleister hat die Zahl der DDoS-Angriffe weiter zugenommen. So verzeichnete etwa der deutsche Mitigationsdienstleister Link11 für das Jahr 2021 einen Anstieg der DDoSAngriffe um rund 41 Prozent im Vergleich zum Vorjahr. Insbesondere rund um das jährliche OnlineshoppingEvent Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt. 各種ミティゲーション・サービス・プロバイダーからの報告によると、DDoS攻撃は増加の一途をたどっているとのことである。例えば、ドイツのミティゲーションサービスプロバイダーであるLink11は、2021年のDDoS攻撃が前年比で約41%増加したことを記録している。特に、毎年恒例のネット通販イベント「サイバーウィーク」の前後や、クリスマスまでの間に、顕著に多くの攻撃が観測された。2021年のサイバーウィーク前後には、2020年のサイバーウィークと比較して、DDoS攻撃の件数が倍増している。
... ...
2 Zielgruppenspezifische Erkenntnisse und Maßnahmen 2 ターゲットグループ別の知見と対策
Das BSI ist die Cyber-Sicherheitsbehörde des Bundes und gestaltet die sichere Digitalisierung in Deutschland – gemeinsam mit den Bürgerinnen und Bürgern, der Wirtschaft sowie mit Staat und Verwaltung und internationalen Gremien. Mit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 wurde der Auftrag des BSI erweitert, um den Herausforderungen der fortschreitenden Digitalisierung zu begegnen, unter anderem mit der Verankerung des digitalen Verbraucherschutzes im BSI. Damit unterstützt das BSI Verbraucherinnen und Verbraucher in der Risikobewertung von Technologien, Produkten, Dienstleistungen und Medienangeboten. BSIは連邦政府のサイバーセキュリティ当局であり、市民、ビジネスコミュニティ、さらには国や行政、国際機関とともに、ドイツにおける安全なデジタル化を形成している。ITセキュリティ法2.0の発効により、BSIの任務は、デジタル消費者保護をBSIに定着させるなど、デジタル化の進展に伴う課題に対応するために拡大された。このように、BSIは、技術、製品、サービス、メディアのリスク評価において消費者をサポートしている。
2.1 — Gesellschaft  2.1 - 社会 
Die Digitalisierung spielt heutzutage in eine Vielzahl von Bereichen unserer Gesellschaft mit hinein – von der Nutzung verschiedenster Online-Dienste über das Gesundheitswesen bis hin zu Abstimmungen und Wahlen. Informationssicherheit ist für all das eine notwendige Voraussetzung. Das BSI arbeitet kontinuierlich daran, die Informationssicherheit in allen Bereichen unseres Lebens zu verbessern, damit die Bürgerinnen und Bürger ihre persönlichen Daten gut aufgehoben sehen, IT sicher anwenden und sich vertrauensvoll in der vernetzten Welt bewegen können. Dafür bündelt das BSI sein umfangreiches Know-how in den Bereichen Prävention, Detektion und Reaktion und leitet daraus konkrete Informationsangebote für gesellschaftliche Gruppen, aber auch für die einzelnen Bürgerinnen und Bürger ab. Im Berichtszeitraum hat sich das BSI dafür unter anderem mit Fragen rund um die Sicherheit vernetzter medizinischer Produkte, elektronischer Identitätsverfahren und den Möglichkeiten virtueller Versammlungen und Abstimmungen auseinandergesetzt. 現在、デジタル化は、多種多様なオンラインサービスの利用、ヘルスケア、投票や選挙など、社会の多くの分野で役割を担っている。そのためには、情報セキュリティが必須条件となる。BSIは、市民が個人情報を安心して預けられ、ITを安全に利用し、ネットワーク社会で自信を持って行動できるよう、生活のあらゆる場面で情報セキュリティを向上させるための活動を続けている。この目的のために、BSIは予防、検出、対応の分野における幅広いノウハウを蓄積し、そこから社会グループだけでなく、個々の市民に対しても具体的な情報を提供している。報告期間中、BSIは、ネットワークに接続された医療製品のセキュリティ、電子ID手続き、仮想会議と投票の可能性などの問題に取り組んだ。
2.1.1 Erkenntnisse zur Gefährdungslage in der Gesellschaft 2.1.1 社会における脅威の状況についての所見
Das BSI und das Programm Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) kooperieren, um Verbraucherinnen und Verbraucher umfassend über Schutzmöglichkeiten und die Risiken im Internet aufzuklären. Grundlage dieser Arbeit ist das Digitalbarometer, eine gemeinsame, repräsentative und seit 2019 jährlich durchgeführte Online-Befragung. Es wird erhoben, welche Bedeutung Sicherheit im Internet für Verbraucherinnen und Verbraucher hat, inwiefern sie sich vor den Gefahren der digitalen Welt schützen und wie sie sich über Schwachstellen, Risiken und Schutzmaßnahmen informieren. BSIと連邦州警察の犯罪防止プログラム(ProPK)が協力し、インターネットにおける保護の可能性とリスクについて消費者を総合的に教育している。その根拠となるのが、2019年から毎年実施している代表的なオンライン共同調査「デジタルバロメーター」である。消費者にとってのインターネット上のセキュリティの重要性、デジタル世界の危険からどの程度身を守っているか、脆弱性、リスク、防御策についてどのように情報を提供しているかなどを調査している。
Kriminalität im Internet leicht gestiegen – mehr als jeder Vierte ist Opfer インターネット上の犯罪がやや増加 - 4人に1人以上が被害者に
Die generelle Betroffenheit von Verbraucherinnen und Verbrauchern ist im Vergleich zu den vergangenen drei Jahren zuletzt leicht angestiegen: 29 Prozent der Befragten gaben an, bereits Opfer von Kriminalität im Internet gewesen zu sein. In den vergangenen Jahren waren es noch 25 Prozent. Dabei ist jeweils einem Viertel der Befragten vor allem Betrug beim Onlineshopping (25 %), ein Fremdzugriff auf ein Online-Konto (25 %) und/oder eine Infektion mit Schadsoftware (24 %) widerfahren. Im Gegensatz zum Betrug beim Onlineshopping (2021: 19 %) sind die Zahlen zur Betroffenheit vom Fremdzugriff auf ein Online-Konto (2021: 31 %) oder einer Infektion mit Schadsoftware (2021: 29 %) im Vergleich zum Vorjahr rückläufig. Von Phishing waren nur noch 19 Prozent der Befragten betroffen – im Vorjahr galt das noch für ein Viertel (25 %). 消費者の一般的な懸念は、最近、過去3年間と比較してわずかに増加している。調査対象者の29%が、すでにインターネット上で犯罪の被害に遭ったと回答している。過去数年間は、まだ25%だった。いずれの場合も、回答者の4分の1が、オンラインショッピングでの詐欺(25%)、オンラインアカウントへの第三者によるアクセス(25%)、マルウェアへの感染(24%)を経験していることがわかった。オンラインショッピング詐欺(2021年:19%)とは対照的に、オンラインアカウントへの第三者によるアクセス(2021年:31%)やマルウェアへの感染(2021年:29%)の被害を受けたという数値は前年より減少している。フィッシングの被害に遭った回答者はわずか19%だった。前年度も4分の1(25%)の回答者がそうだった。
Die Anwendung von Schutzmaßnahmen durch Verbraucherinnen und Verbraucher bleibt weiterhin ausbaufähig. Die Nutzung von Antivirenprogrammen (53 %), sicheren Passwörtern (52 %) und einer aktuellen Firewall (44 %) ist in der Bevölkerung verbreitet. Lediglich ein Drittel (34 %) der Befragten gab an, automatische Updates zu nutzen. Die Aktivierung einer 2FA nutzten nur 38 Prozent der Befragten. 消費者による保護手段の利用は、依然として拡大可能である。ウイルス対策ソフト(53%)、安全なパスワード(52%)、最新のファイアウォール(44%)の使用は、国民の間に広く浸透している。自動更新を利用していると回答したのは3分の1(34%)に過ぎない。2FAの有効化は、38%の回答者しか利用していない。
Umgang mit Sicherheitsempfehlungen セキュリティ勧告への対応
Zwei von fünf Befragten kennen Sicherheitsempfehlungen zum Schutz vor Kriminalität im Internet (45 %). Von diesen gab wiederum über die Hälfte (58 %) an, diese Empfehlungen zum Teil umzusetzen. 22 Prozent setzen sie vollständig um, nur vier Prozent gar nicht. Über die Hälfte der Befragten (51 %) informiert sich über Internetsicherheit, gut ein Fünftel (23 %) nie. Besonders wichtig ist den Befragten die Sicherheit beim Onlinebanking (83 %), beim Installieren von Software (70 %) und beim Onlineshopping (62 %). 回答者の5人に2人は、インターネット上の犯罪から身を守るためのセキュリティに関する推奨事項を知っている(45%)。このうち、半数以上(58%)が、これらの提言を部分的に実施していると回答している。完全に実施しているのは22%、全く実施していないのはわずか4%である。半数以上(51%)の回答者がインターネットの安全性について自分自身に知らせているが、5分の1(23%)は全くしていない。オンラインバンキング(83%)、ソフトウェアのインストール(70%)、オンラインショッピング(62%)の際に、セキュリティは回答者にとって特に重要な要素となっている。
Wunsch nach Orientierung für den Notfall 緊急時の案内を希望する
Die Opfer von Kriminalität im Internet gaben meist an, sich selbst geholfen zu haben. Das entspricht ihrem Bedarf nach Informationen: Die meisten wünschen sich eine Checkliste für den Notfall als Hilfestellung, gefolgt von einer Webseite mit Erklärvideos und einem Berater oder einer Beraterin bei der Polizei. Insgesamt wünschte sich über die Hälfte mehr Informationen zu Themen rund um Sicherheit im Internet, insbesondere Hinweise, wie sich Kriminalität im Internet erkennen lässt, und Informationen, wie sich Online-Konten schützen lassen. インターネット上の犯罪被害者は、ほとんどが「自分が助かった」と答えている。これは、情報に対するニーズと一致する。緊急時のチェックリストに続いて、説明ビデオを掲載したウェブサイト、警察署でのアドバイザーやカウンセラーの配置を希望する人が多いようである。全体として、半数以上がインターネット上の安全に関するトピック、特にインターネット上の犯罪を見分ける方法やオンラインアカウントを保護する方法に関する情報をもっと知りたいと考えているようである。
... ...
2.2 — Wirtschaft 2.2 - 経済
Die Erfolge bei der Digitalisierung entscheiden im hohen Maße über die Zukunft des Wirtschaftsstandortes Deutschland. Eine funktionierende und sichere IT schafft dafür die wesentlichen Voraussetzungen – sei es für das Betreiben Kritischer Infrastrukturen (KRITIS) oder die erfolgreiche Transformation der Geschäftsmodelle von kleinen und mittleren Unternehmen (KMU). Daher unterstützt das BSI mit zahlreichen Angeboten die Resilienz des Cyber-Standortes Deutschland sowie KRITIS-Betreiber bei der Umsetzung von Präventionsmaßnahmen gegen Cyber-Attacken. KMU profitieren vom fachlichen Austausch sowie von praxisorientierten IT-Sicherheitsempfehlungen. Mit der Allianz für CyberSicherheit wiederum stärkt das BSI die Widerstandsfähigkeit des Standorts Deutschland. Für mehr Informationssicherheit neuer Technologien gestaltet das BSI u. a. praxisgerechte Sicherheitsanforderungen, Standards und Handlungsempfehlungen. Auch als zentrale Zertifizierungs- und Standardisierungsstelle übernimmt das BSI Verantwortung und leistet obendrein einen wesentlichen Beitrag zum Gelingen großer Digitalisierungsprojekte. デジタル化の成功は、ビジネス拠点としてのドイツの将来にとって極めて重要である。重要なインフラの運用や、中小企業のビジネスモデルの転換を成功させるためにも、機能的で安全なITは必要不可欠な条件となるのであり、重要インフラ(KRITIS)の運用や、中小企業のビジネスモデルの転換を成功させるためである。このため、BSIは、サイバー攻撃への予防策を実施するKRITISオペレーターと同様に、サイバー拠点としてのドイツの強靭性を多くのオファーでサポートしている。中小企業にとっては、専門家同士の交流や実践に即したITセキュリティの提言が得られるというメリットがある。BSIは、サイバーセキュリティのためのアライアンスとともに、ビジネス拠点としてのドイツのレジリエンスを強化している。BSIは、新技術の情報セキュリティのために、特に実践的なセキュリティ要件、基準、行動勧告を設計している。BSIは、中央の認証・標準化機関としての責任も担っており、その上で、大規模なデジタル化プロジェクトの成功に大きく寄与しているのである。
2.2.1 — Erkenntnisse zur Gefährdungslage in der Wirtschaft 2.2.1 - 経済における脅威の状況についての所見
Die Wirtschaft war auch in diesem Berichtszeitraum erneut einer großen Anzahl von Cyber-Angriffen ausgesetzt, von denen der Großteil wiederum durch Ransomware geprägt war (vgl. Kapitel Ransomware, Seite 13). この報告期間中、経済は再び多くのサイバー攻撃にさらされ、その大半は再びランサムウェアによって特徴づけられた(13ページの「ランサムウェア」の章を参照)。
Zentrale Herausforderung für die Unternehmen in Deutschland ist die Steigerung der Cyber-Resilienz, d. h. die Kombination aus guter Präventionsarbeit mit der Möglichkeit, auf Cyber-Angriffe zu reagieren mit dem Ziel, den Betrieb des Unternehmens aufrechtzuerhalten und zu sichern. Das BSI beobachtet eine starke Zunahme der Nachfrage nach den Unterstützungsangeboten – von den Standards zur Cyber-Sicherheit bis hin zu Austausch- und Unterstützungsformaten wie der Allianz für Cyber-Sicherheit. Für die CyberSicherheitslage in Deutschland ist die Verfassung der IT-Sicherheit in der Wirtschaft essenziell, sodass eine Intensivierung der Bemühungen der Unternehmen in diesem Bereich für die Verbesserung der CyberSicherheit von großer Bedeutung ist. ドイツにおける企業の中心的な課題は、サイバー耐性を高めること、すなわち、企業活動の維持と安全を目的として、優れた予防業務とサイバー攻撃への対応能力を組み合わせることである。BSIは、サイバーセキュリティの標準から、サイバーセキュリティのためのアライアンスなどの交流・支援形式に至るまで、支援サービスに対する強い需要の増加を確認している。ドイツのサイバーセキュリティの状況には、企業部門のITセキュリティの状況が不可欠であり、この分野での企業の取り組みを強化することは、サイバーセキュリティの向上にとって非常に重要なことである。
... ...
2.3 — Staat und Verwaltung  2.3 - 国家と行政 
Eine Kernaufgabe des BSI ist die Abwehr von CyberAngriffen auf Regierungsnetze und die Bundesverwaltung. Für Behörden bei Bund, Ländern und Kommunen stellt das BSI ein breites Angebot zur Erhöhung der Informationssicherheit zur Verfügung: Die Basis bilden die Informationssicherheitsberatung, IT-Grundschutz und Mindeststandards sowie Zertifizierung und Zulassung. Bei IT-Sicherheitsvorfällen unterstützen CERT-Bund, mobile Einsatzteams (MIRT) oder das Nationale Cyber-Abwehrzentrum betroffene Behörden. Zentraler Ansprechpartner für Länder und Kommunen ist das nationale Verbindungswesen des BSI. Verbindungsstellen befinden sich in Hamburg, Berlin, Bonn, Wiesbaden und Stuttgart. BSIの中核的な任務のひとつは、政府ネットワークや連邦行政に対するサイバー攻撃から身を守ることである。BSIは、連邦、州、地方当局の情報セキュリティを高めるために幅広いサービスを提供している。情報セキュリティコンサルティング、IT-Grundschutz、最低基準、認証・認定がその基盤となっている。ITセキュリティ事件が発生した場合、CERT-Bund、モバイル事件対応チーム(MIRT)、国家サイバー防衛センターが影響を受ける当局を支援する。BSIの国内リエゾンオフィスは、レンダーや自治体との連絡の中心的な役割を担っている。リエゾンオフィスは、ハンブルク、ベルリン、ボン、ヴィースバーデン、シュトゥットガルトにある。
2.3.1 — Die Gefährdungslage in der Bundesverwaltung  2.3.1 - 連邦政府における脅威の状況 
Die Regierungsnetze sind tagtäglich Angriffen aus dem Internet ausgesetzt. Neben überwiegend ungezielten Massenangriffen finden sich hierbei auch gezielte Angriffe auf die Bundesverwaltung. Das BSI setzt verschiedene, sich gegenseitig ergänzende Maßnahmen zum Schutz der Regierungsnetze vor diesen Angriffen ein. 政府機関のネットワークは、日常的にインターネットからの攻撃にさらされている。標的を絞らない集団攻撃が主であることに加え、連邦政府を標的とした攻撃もある。BSIは、これらの攻撃から政府ネットワークを保護するために、相互に補完し合うさまざまな手段を用いている。
Eine präventive Komponente stellen Webfilter dar, die den Zugriff auf Webseiten oder die Verbindung zu Webservern blockieren, die mit Schadprogrammen im Zusammenhang stehen. Dadurch wird zum Beispiel der Zugriff auf hinter Download-Links versteckte Schadprogramme, die im Rahmen von Social-EngineeringAngriffen über E-Mail, Social-Media oder Webseiten verbreitet werden, verhindert. Auch die Kommunikation von Schadsoftware mit den entsprechenden Webservern, zum Beispiel zum Nachladen von weiteren Komponenten oder Befehlen, wird unterbunden. Im aktuellen Berichtszeitraum mussten rund 78.000 maliziöse Webseiten zusätzlich gesperrt werden. Während die Anzahl der monatlich gesperrten Webseiten von Juni 2021 bis Februar 2022 relativ stabil blieb, hat sich die Bedrohungseinschätzung im März 2022 vor dem Hintergrund des russischen Angriffskrieges gegen die Ukraine deutlich verändert, sodass spürbar mehr maliziöse Webseiten für den Zugriff aus der Bundesverwaltung gesperrt werden mussten. Der Index sprang binnen Monatsfrist um 158 Prozent auf 353 Punkte (vgl. Abbildung 28) – der höchste Wert seit Beginn der Aufzeichnungen. 予防的な要素としては、マルウェアに関連するウェブサイトへのアクセスやウェブサーバーへの接続をブロックするウェブフィルタがある。これにより、例えば、ソーシャルエンジニアリング攻撃の一環として電子メール、ソーシャルメディア、Webサイトを通じて拡散されるダウンロードリンクの背後に隠されたマルウェアへのアクセスを防止することができる。また、マルウェアが対応するウェブサーバーと通信し、さらなるコンポーネントやコマンドを再ロードすることも防いでいる。今回の報告では、約78,000の悪質なウェブサイトを追加でブロックする必要があった。2021年6月から2022年2月まで、毎月ブロックされるウェブサイトの数は比較的安定していたが、2022年3月にロシアのウクライナ侵略戦争を背景に脅威評価が大きく変化し、連邦政府からのアクセスをブロックしなければならない悪質なウェブサイトが顕著に増えた。この指数は1ヶ月で158%も上昇し353ポイントとなり(図28参照)、記録開始以来最も高い値となった。
Direkt in E-Mail-Anhängen versendete Schadprogramme werden mittels automatisierter AntivirusSchutzmaßnahmen erkannt und die Zustellung zum Empfänger gestoppt. Dies betraf im Berichtszeitraum durchschnittlich 34.000 E-Mails pro Monat. Nach einer sehr starken Angriffswelle im vorangegangenen Berichtszeitraum und der Abschaltung der EmotetInfrastruktur Ende Januar 2021 zeigt der „Index über Schadprogramm-Angriffe auf die Bundesverwaltung“ zunächst eine Normalisierung des Niveaus. Im März 2022 markiert sodann ein deutlicher Ausschlag des Indikators den sprunghaften Anstieg von Emotet-Spam (vgl. Abbildung 29). In dem Botnetz waren bereits seit Herbst 2021 wieder Aktivitäten zu beobachten, die sich seit März 2022 spürbar verstärkten. メールの添付ファイルで直接送られたマルウェアは、自動的なウイルス対策手段によって検知され、受信者への配信が停止される。この結果、報告期間中、月平均34,000通の電子メールに影響があった。前報告期間に非常に強い攻撃の波があり、2021年1月末にEmotetのインフラが停止した後、「連邦行政に対するマルウェア攻撃の指標」は当初、水準の正常化を示していた。そして、2022年3月には、指標に明確なスパイクが発生し、Emotetスパムの急増を示する(図29参照)。ボットネットでの活動は、2021年秋から既に再確認されていたが、2022年3月以降、顕著に増加した。
Rund 5.200 E-Mails pro Monat wurden ausschließlich auf Basis von eigens durch das BSI erstellter AntivirusSignaturen als schädlich identifiziert. Insbesondere um gezielte Angriffe auf die Bundesverwaltung erkennen zu können, betreibt das BSI zusätzlich zu den bereits beschriebenen Maßnahmen nachgelagert ein System zur Detektion von Schadprogrammen im Datenverkehr der Regierungsnetze. Mit einer Kombination von automatisierten Testverfahren und manueller Analyse konnten die Analystinnen und Analysten des BSI durchschnittlich weitere knapp 2.500 Angriffe pro Monat identifizieren, die weder durch eine kommerzielle noch durch eine der oben genannten automatisierten Lösungen erkannt wurden. 毎月約5,200通のメールが、BSIが作成したアンチウイルスのシグネチャーに基づいて悪意あるメールと判定された。BSIでは、特に連邦政府を標的とした攻撃を検知できるよう、前述の対策に加え、下流の政府ネットワークのデータトラフィックからマルウェアを検知するシステムを運用している。BSIのアナリストは、自動テスト手順と手動分析を組み合わせることで、市販のソリューションでも上記の自動ソリューションでも検出できなかった、月平均約2,500件の攻撃を特定することに成功した。
Ergänzend wird die Sicherheit der Regierungsnetze mit einem zentralen Schutz vor Spam-E-Mails erhöht. Diese Maßnahme wirkt nicht nur gegen unerwünschte Werbe-E-Mails. Auch Cyber-Angriffe wie Phishing-EMails werden damit erkannt. また、スパムメール対策も一元化し、官公庁のネットワークの安全性を高めている。この対策は、迷惑な商用メールに対してのみ有効なわけではない。また、フィッシングメールなどのサイバー攻撃も検知することができる。
Die Spam-Quote, also der Anteil unerwünschter E-Mails an allen eingegangenen E-Mails, lag im Berichtszeitraum bei durchschnittlich 58 Prozent. Aufkommen und Entwicklung der Spam-E-Mails in den Netzen des Bundes werden durch den Spam-Mail-Index gemessen. Dieser erreichte im Berichtszeitraum durchschnittlich 111 Punkte. Im vergangenen Berichtszeitraum hatte der Indikator noch bei 114 Punkten gelegen. Dabei waren teils erhebliche Schwankungen zu verzeichnen. Während das Spam-Aufkommen im Spätsommer und Herbst 2021 auf unterdurchschnittlichem Niveau lag, sprangen die Index-Werte im Dezember 2021 und insbesondere im Februar 2022 deutlich nach oben. スパム率(受信した全メールのうち迷惑メールが占める割合)は、報告期間中平均58%だった。連邦政府のネットワークにおけるスパムメールの発生・発展状況を、スパムメール指数で測定している。この結果、当四半期の平均は 111 ポイントとなった。前回の報告期間では、この指標は114ポイントだった。かなり変動があるケースもあった。2021年晩夏から秋にかけてスパムの量が平均を下回る中、2021年12月、特に2022年2月に指数値が大きく跳ね上がった。
Im Dezember 2021 trieb eine Sextortion-Kampagne im Anschluss an die Onlineshopping-Events Black Friday und Cyber Monday die Werte nach oben (vgl. auch Kapitel Spam und Phishing, Seite 26). Die Spam-Filter der Bundesverwaltung wehren solche Spam-Wellen zuverlässig ab, sodass sie die adressierten Nutzerinnen und Nutzer nicht erreichen. 2021年12月には、オンラインショッピングのイベント「ブラックフライデー」と「サイバーマンデー」に伴うセクスチューションキャンペーンが値を押し上げた(26ページ「スパムとフィッシング」の章も参照)。連邦政府のスパムフィルターは、このようなスパムの波を確実にかわし、宛先のユーザーに届くことはない。
... ...
3 Fazit 3 まとめ
Neue Dimension bei Schwachstellen 新たな次元の脆弱性
Die Lage bei Schwachstellen war im Berichtszeitraum überdurchschnittlich bedrohlich. Das lag einerseits daran, dass mit Schwachstellen in MS Exchange und Log4j besonders kritische Schwachstellen in weitverbreiteten Produkten auftraten und nur zögerlich geschlossen werden konnten. Insbesondere bei Log4Shell herrschte eine langanhaltende Unsicherheit, wie viele IT-Produkte tatsächlich betroffen waren und wie das Problem umfänglich behoben werden konnte. Zum anderen hat aber auch die Anzahl der bekannt gewordenen Schwachstellen insgesamt weiter zugenommen. So verzeichnete das CVSS-Scoring-System im Jahr 2021 mit 20.174 Schwachstellen in Software-Produkten rund 10 Prozent mehr als im Jahr zuvor. Das spiegelt sich auch in den im Jahr 2021 vom Warn- und Informationsdienst des BSI veröffentlichten Meldungen über Schwachstellen in den 150 gängigsten Produkten. Mit 6.910 stieg die Anzahl um rund zehn Prozent im Vergleich zum Vorjahr. 報告期間中の脆弱性の状況は平均以上であった。一方では、MS ExchangeやLog4jの脆弱性など、特に重大な脆弱性が広く普及している製品で発生し、躊躇しているうちに終結してしまったことが原因である。特にLog4Shellの場合、実際にどれだけのIT製品が影響を受け、どのようにすれば問題を包括的に解決できるのか、不明な点が長く続いた。一方、判明した脆弱性の件数も、全体として増加傾向が続いている。例えば、CVSSスコアリングシステムは、2021年にソフトウェア製品に20,174件の脆弱性を記録し、前年より約10%増加した。これは、BSIのWarning and Information Serviceが2021年に発表した、最も一般的な150製品の脆弱性に関する報告書にも反映されている。6,910となり、前年度比で約10%増加した。
Im zweiten Halbjahr 2021 kam es zudem zu herausragenden Supply-Chain-Angriffen über die Software Virtual System Administrator (VSA) eines amerikanischen Software-Herstellers, die auch in Deutschland vielfach verwendet wird und deshalb zahlreiche Kundinnen und Kunden betraf. VSA wird beispielsweise zur Fernwartung und zum Monitoring von IT-Systemen eingesetzt. Schwachstellen in VSA sind deshalb besonders kritisch, weil sich über den Verwaltungsserver von VSA auf jeden verwalteten Client zugreifen und auch Software verteilen lässt. Das BSI hat deshalb am 4. Juli 2021 eine Cyber-Sicherheitswarnung herausgegeben, die anschließend regelmäßig aktualisiert wurde. Das BSI beobachtete die Betroffenheit deutscher Organisationen intensiv, beriet Betroffene zu IT-forensischen Maßnahmen und übermittelte Erste-Hilfe-Dokumente. 2021年後半には、アメリカのソフトウェアメーカーのVSA(Virtual System Administrator)ソフトウェアを介したサプライチェーン攻撃も顕著で、このソフトウェアはドイツでも広く使われているため、多数の顧客に影響が及んだ。VSAは、ITシステムの遠隔保守・監視などに利用されている。特にVSAの脆弱性は、VSAの管理サーバーを経由して、すべての管理対象クライアントにアクセスし、ソフトウェアを配布することができるため、非常に重要である。そこでBSIは、2021年7月4日にサイバーセキュリティ警告を発し、その後、定期的に更新している。BSIは、ドイツの組織がどのような影響を受けたかを集中的に監視し、影響を受けた組織にITフォレンジック対策をアドバイスし、応急処置の文書を提供した。
Zeitenwende für Cyber-Sicherheit made in Germany ドイツ製サイバーセキュリティの転機
Schon vor dem Digitalisierungsschub, den die CoronaPandemie verstärkt hat, und vor der neuen Bedrohungslage in Folge des russischen Angriffskrieges auf die Ukraine, war Cyber-Sicherheit ein wesentlicher Erfolgsfaktor für eine zunehmend digital vernetzte Gesellschaft und Wirtschaft. Doch die beschleunigte Digitalisierung in allen Bereichen des alltäglichen Lebens – von den Lieferketten der international agierenden Konzerne, den Geschäftsprozessen auch in kleinen und kleinsten Unternehmen über die Dienstleistungen öffentlicher Institutionen bis hin zu den digitalen Anwendungen, die fast jede Bürgerin und jeder Bürger täglich im Alltag nutzt – macht auch bei der Cyber-Sicherheit made in Germany eine Zeitenwende notwendig. コロナ・パンデミックが激化したデジタル化の波や、ロシアのウクライナ侵略戦争による新たな脅威の状況以前から、サイバーセキュリティはデジタルネットワーク化が進む社会・経済にとって必須の成功要因であった。しかし、国際的に事業を展開する企業のサプライチェーン、中小企業でもビジネスプロセス、公共機関のサービス、ほぼすべての国民が毎日日常的に利用するデジタルアプリケーションなど、日常生活のあらゆる分野でデジタル化が加速していることもあり、ドイツ製のサイバーセキュリティには転換が必要となっている。
Das Wohlergehen der Bevölkerung hängt stärker als je zuvor unmittelbar und in großem Umfang davon ab, wie erfolgreich es gelingt, die digitale Resilienz der Gesellschaft zu stärken. Und das bedeutet nicht nur Resilienz gegen Angriffe von Cyber-Kriminellen, gegen Soft- und Hardware-Ausfälle oder Konfigurationsfehler, die die Verfügbarkeit von gewohnten und alltäglichen Dienstleistungen gefährden können. Das vergangene Jahr hat auch gezeigt, dass unvorhergesehene Ereignisse die Bedrohungslage auf ein neues Level heben können, dass Kollateralschäden durch Cyber-Angriffe in Nachbarländern auch unmittelbare Auswirkungen auf Deutschland und Europa haben können. これまで以上に、国民の幸福度は、社会のデジタル・レジリエンスをいかに強化するかに直接かつ大きく依存している。これは、サイバー犯罪者による攻撃や、ソフトウェアやハードウェアの障害、設定ミスなど、身近なサービスの可用性を損なうことに対するレジリエンス(回復力)だけを意味するのではない。また、この1年は、不測の事態が脅威の状況を新たなレベルに引き上げること、近隣諸国におけるサイバー攻撃の巻き添えがドイツやヨーロッパにも直接影響を及ぼす可能性があることを示しめした。
All dies macht deutlich, dass präventive IT-Sicherheitsmaßnahmen die wirkungsvollsten IT-Sicherheitsmaßnahmen sind. Vor diesem Hintergrund ist die von der Bundesregierung geplante Modernisierung der CyberSicherheitsarchitektur und der Ausbau des BSI zur Zentralstelle für Informationssicherheit im Bund-Länderverhältnis ein wichtiger Schritt für eine eng verzahnte föderale Cyber-Abwehr. Denn nur eine intensive, dauerhafte und fortgesetzte Zusammenarbeit zwischen Bund und Ländern ermöglicht es, den Gefahren im „grenzenlosen Cyberraum“ eine effektive Antwort entgegen zu setzen. Das BSI wird seinen Beitrag weiter und schnell erhöhen und wirkungsvolle Prävention gegen IT-Sicherheitsvorfälle vorantreiben. Denn jedes Computersystem, das nicht gehackt werden kann, jede IT-basierte Dienstleitung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. これらのことから、予防的なITセキュリティ対策が最も効果的なITセキュリティ対策であることは明らかである。このような背景から、連邦政府が計画しているサイバーセキュリティ・アーキテクチャーの近代化、およびBSIの連邦国家関係における情報セキュリティの中央オフィスへの拡大は、緊密に連動した連邦サイバー防衛のための重要なステップとなるものである。連邦政府とレンダーが集中的、持続的に協力してこそ、「国境のないサイバースペース」の脅威に効果的に対処することができる。BSIは、ITセキュリティインシデントに対する効果的な予防策を推進し、さらに急速に貢献度を高めていく。なぜなら、ハッキングされないコンピュータシステム、中断されないITベースのサービスはすべて、デジタル・ネットワーク社会が機能するための基本的な貢献だからである。

 

| | Comments (0)

2022.10.15

警察庁 金融庁 NISC 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

こんにちは、丸山満彦です。

警察庁、金融庁、NISCが共同で、「北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)」を公表していますね。。。

アトリビューション付きの発表ですね。。。

 

警察庁

・2022.10.14 [PDF] 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

20221015-72155

 


北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起) 

北朝鮮当局の下部組織とされる、ラザルスと呼称されるサイバー攻撃グループについては、国連安全保障理事会北朝鮮制裁委員会専門家パネルが本年10月7日に公表した安全保障理事会決議に基づく対北朝鮮措置に関する中間報告書が、ラザルスと呼称されるものを含む北朝鮮のサイバー攻撃グループが、引き続き暗号資産関連企業及び取引所等を標的にしていると指摘しているところです。また、米国では本年4月 18 日、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)及び財務省の連名で、ラザルスと呼称されるサイバー攻撃グループの手口や対応策等の公表を行うなど、これまでに累次の注意喚起が行われている状況にあります。同様の攻撃が我が国の暗号資産交換業者に対してもなされており、数年来、我が国の関係事業者もこのサイバー攻撃グループによるサイバー攻撃の標的となっていることが強く推察される状況にあります。

このサイバー攻撃グループは、

・ 標的企業の幹部を装ったフィッシング・メールを従業員に送る

・ 虚偽のアカウントを用いた SNS を通じて、取引を装って標的企業の従業員に接近する

などにより、マルウェアをダウンロードさせ、そのマルウェアを足がかりにして被害者のネットワークへアクセスする、いわゆるソーシャルエンジニアリングを手口として使うことが確認されています。その他様々な手段を利用して標的に関連するコンピュータネットワークを侵害し、暗号資産の不正な窃取に関与してきているとされ、今後もこのような暗号資産の窃取を目的としたサイバー攻撃を継続するものと考えられます。

また、最近では分散型取引所による取引など暗号資産の取引も多様化しており、秘密鍵をネットワークから切り離して管理するなど、事業者だけでなく個人のセキュリティ対策の強化も重要となっています。

暗号資産取引に関わる個人・事業者におかれましては、暗号資産を標的とした組織的なサイバー攻撃が実施されていることに関して認識を高く持っていただくとともに、以下に示すリスク低減のための対処例を参考に適切にセキュリティ対策を講じていただくようお願いいたします。あわせて、不審な動き等を検知した際には、速やかに所管省庁、警察、セキュリティ関係機関等に情報提供いただきますよう重ねてお願いいたします。

 

【リスク低減のための対処例】

前述のサイバー攻撃グループは、多様な手法、手口を駆使しているとされるところ、次のような対策の実施を推奨します。

(1) この種のサイバー攻撃に対する優先度の高い対策

○ ソーシャルエンジニアリングに関する意識の向上、ユーザ教育の実施

ソーシャルエンジニアリングの手法・技術について理解し、常に注意を払う。例えば、電子メールを介したマルウェア感染のリスクを低減するため、電子メールの添付ファイル又はハイパーリンクを不用意に開封又はクリックしない。企業・組織等においては、職員のトレーニングの実施を検討する。

        例:SNS のプロフィールに違和感や偽りがないか。

ファイルをダウンロードする際の配信元の確認

外部からファイルをダウンロードする際には、配信元が信頼できるソースであることを常に確認する。特に暗号資産関連のアプリケーションは真正性が確認できる配信元以外からダウンロードしない。

        例:配信元の Web サイトは別サイトを模したものや、登録後間もないドメインではないか。

社内資料のやり取りに社外の URL を使用していないか。

秘密鍵のオフライン環境での保管

暗号資産への不正アクセスを防止するため、秘密鍵をインターネットから切り離されたハードウェアウォレット等のデバイス上などで保管する。

(2) この種のサイバー攻撃に対して効果的な対策

○ 電子メールに関する対策の実装

システム管理者等においては、電子メールの添付ファイルやハイパーリンクのスキャンを行う。

ドメインとの通信に関する対策の実装

レピュテーションの低いドメインや登録後間もないドメインとの通信について確認や制限を行う。

アプリケーションセキュリティの強化

マルウェア感染のリスクを低減するため、システム管理者等は、アプリケーション許可リストを用いて、許可されていないプログラムの実行を禁止する。また、Office ファイルのマクロ機能については、必要がなければ無効にする。

(3) 多様な手法、手口に備えたその他の一般的な対策

○ セキュリティパッチ管理の適切な実施

ソフトウェアや機器の脆弱性に対して、迅速にセキュリティパッチを適用する。パッチ適用を可能な限り迅速化し、適用漏れをなくすため、脆弱性管理やパッチ管理を行うプログラムの導入を検討する。

端末の保護(いわゆるエンドポイント・プロテクション等)

端末(PC、タブレット端末、スマートフォン等)のセキュリティ機能の活用や、セキュリティ対策ソフトの導入を行う。

ソフトウェア等の適切な管理・運用、ネットワーク・セグメンテーション

ソフトウェア及び機器のリストを管理し、不要と判断するものは排除する。また役割等に基づいてネットワークを分割する。

本人認証の強化、多要素認証の実装

パスワードスプレー攻撃やブルートフォース攻撃によって認証が破られるリスクを低減するために、パスワードは十分に長く複雑なものを設定する。また、複数の機器やサービスで使い回さない。システム管理者等においては、多要素認証を導入し本人認証をより強化する。また、不正アクセスを早期に検知できるようにするために、ログイン試行を監視する。

アカウント等の権限の適切な管理・運用

アカウントやサービスの権限はそのアカウント等を必要とする業務担当者にのみ付与する。特権アカウント等の管理・運用には特に留意する。

侵害の継続的な監視

ネットワーク内で不審な活動が行われていないか継続的に監視を行う。たとえば、業務担当者以外がシステムやネットワークの構成に関する資料へアクセスするといった通常の行動から外れた活動や、外部の様々な脅威情報と一致するような不審な活動の監視を行う。

インシデント対応計画、システム復旧計画の作成等

インシデント発生時に迅速な対応をとれるように、インシデント対応の手順や関係各所との連絡方法等を記した対応計画を予め作成し、随時見直しや演習を行う。また包括的な事業継続計画の一部としてシステム復旧計画の作成等を行う。

フィッシングサイトへの注意

     暗号資産取引所等を装ったフィッシングサイトに注意を払う。企業・組織等において自社を装ったフィッシングサイトを把握した場合は、利用者等への注意喚起を行う。

 

【参考資料】

「安保理決議に基づく対北朝鮮措置に関する中間報告書(2022)」(令和4年10月7日公表国連安保理北朝鮮制裁委員会専門家パネル)                  

https://undocs.org/S/2022/668

TraderTraitor: North Korean State-Sponsored APT Targets Blockchain Companies」(令和4年4月18日)

https://www.cisa.gov/uscert/ncas/alerts/aa22-108a

AppleJeus: Analysis of North Korea’s Cryptocurrency Malware」(令和3年2月17日)

https://www.cisa.gov/uscert/ncas/alerts/aa21-048a

「現下の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)」(令和4年3月24日 経済産業省、総務省、警察庁、NISC

https://www.nisc.go.jp/pdf/press/20220324NISC press.pdf 

「サイバーセキュリティ対策の強化について(注意喚起)」(令和4年3月1日 経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁、NISC

https://www.nisc.go.jp/pdf/press/20220301NISC press.pdf

「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)」(令和4年2月23日 経済産業省)

https://www.meti.go.jp/press/2021/02/20220221003/20220221003-1.pdf


 

 

 

| | Comments (0)

2022.09.29

IPA ビジネスメール詐欺(BEC)対策特設ページ

こんにちは、丸山満彦です。

IPAがビジネスメール詐欺(BEC)対策特設ページを開設しています。

IPA

・2022.09.28 ビジネスメール詐欺(BEC)対策特設ページ

 

前から気になっているのが、ビジネスメール詐欺対策の解説です。

多くの解説では、

・普段と異なるメールに注意するとか

・セキュリティ対策(ウイルス対策・不正アクセス対策など)

が強調されるわけですが、、、

最も本質的な対策は、送金についての内部統制なのだろうと思うんですよね。。。

販売周りの不正は、利益調整のための不正、予算達成のための不正が多いのに対して、

購買回りの不正は、金銭不正が多いように思います。

これは昔から。。。内部者が、自分(や自分がコントロールしている他人)の口座に、商品や固定資産等の購入代金を支払わせるという方法や、購買先と結託して、水増し請求をしてもらい、水増しした金額で支払い、購買先から水増し分の一部のキックバックをもらうという方法など、いくつかパターンがあります。

で、ビジネスメール詐欺の対策ですが、最も大事なのは、この支払い段階の不正を無くすことです。

そのためによく取られている対策は、実在性、評価の妥当性、期間配分の適切性を確認するために、

(1)発注部門の承認

(2)経理部門の承認(発注部門での不正を、経理部門が見つける)

(3)支払いのためのアプリケーション統制

となりますね。。。そして、不正が行われないようにするためによく行っている対策は、

・(3)の一部にある、支払い先のマスター管理です。つまり、支払いはあらかじめ登録した口座(支払口座マスターに登録されている口座)にしか払えないようにすることです。例外が生じる場合があると思うのですが、その場合は、取引先への確認(あらかじめ登録されている電話やメールアドレス等に対して)行うことです。

で、これってJ-SOXの業務処理統制ですから、少なくとも財務報告に係る内部統制が有効になっている企業においてはBEC被害はほぼないはずです。逆にいうと高額なBEC詐欺の被害を受けた企業は、財務報告に係る内部統制の不備の結果であることを認識してもらう必要があるかも知れません。。。

サイバーの目線だけで考えると適切なソリューションが見つかりませんね。。。

 

ちなみに、BEC被害はこの2年ほどは下がってきています。。。

● 警察庁

サイバー空間をめぐる脅威の情勢等

3_20220929014901

(出典:警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について, 2022.04.07, https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf から作成)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.22 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバー空間の安全に向けて: All for one, One for all」

| | Comments (0)

2022.08.22

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバー空間の安全に向けて: All for one, One for all」

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

 IDF - Column

・2022.08.18 第731号コラム:「サイバー空間の安全に向けて: All for one, One for all

すべての人が、サイバー空間の安全にむけて、なんらかの貢献をし、それが結局、自分を含むみんなのためになるのではないかという思いを込めて、、、

 


私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

 

No Date Title
27 731 2022.08.22 サイバー空間の安全に向けて: All for one, One for all
26 702 2022.01.31 サイバーセキュリティは空気のように社会全体に拡がる
25 678 2021.08.16 ティラノサウルスとスズメ
24 650 2021.02.01 データを科学的に分析する
23 627 2020.08.17 若者のサイバー犯罪を無くしたい。。。
22 600 2020.02.03 デジタルフォレンジックスと多様性
21 578 2019.08.26 未来を考えようと思うとき、人は過去を振り返る
20 551 2019.02.11 とらわれずに物事をみつめる
19 521 2018.07.09 AIは科学捜査を騙せるか?
18 493 2017.12.18 セキュリティ・デバイド?
17 474 2017.08.07 『デジタル・フォレンジック』という言葉を今更考える
16 451 2017.02.20 相手を知ることが重要
15 425 2016.08.15 本質を理解する
14 383 2015.10.12 名ばかりCSIRTで良いのか?
13 357 2015.04.13 IoT時代は明るいか暗いか
12 335 2014.11.03 頭を下げるのは社長です
11 308 2014.04.30 標的型攻撃には内部不正対応が重要?
10 286 2013.11.14 セキュリティガバナンスはできる範囲だけやればよいのか?
09 261 2013.05.23 セキュリティの基本はずっとかわっていない
08 240 2012.12.25 さらに組織化が進むサイバー攻撃集団
07 207 2012.05.10 外部から侵入されている想定で情報セキュリティを考える
06 173 2011.09.08 想定外に対応するのが危機管理ではないか
05 139 2011.01.13 データ分析を使った不正発見手法
04 131 2010.11.11 発見的統制の重要性
03 084 2009.12.10 クラウドコンピューティングがもたらす光と影
02 058 2009.06.11 不正をさせない
01 021 2008.09.25 ニーズとシーズ、目的と手段

| | Comments (0)

2022.07.24

米国 ボランティアをサポートする政府機関(アメリコープス)の侵入テストとフィッシングキャンペーンの評価 (監査報告書)

こんにちは、丸山満彦です。

ボランティアをサポートする政府機関(アメリコープス)の検査官室が外部の監査機関に依頼しておこなった侵入テストとフィッシングキャンペーンの評価 (監査報告書)が公表されています。監査報告書等を作成する際の参考になるかもしれません。。。

 

Oversight.Gov

・2022.07.21 AmeriCorps’ Penetration Testing and Phishing Campaign Evaluation

AmeriCorps’ security program has not been effective in accordance with Federal Information Security Management Act (FISMA) since Fiscal Year 2017. In order to determine its current status, AmeriCorps OIG engaged an independent certified public accounting firm to conduct an internal penetration test of AmeriCorps’ network. The independent auditors tested AmeriCorps’ network to evaluate the effectiveness of its information security program and to identify areas of weakness. This evaluation was comprised of three phases: network penetration testing, a phishing campaign, and the testing the effectiveness of controls in preventing and detecting the execution of malicious code. The independent auditors found two weaknesses related to preventive and detective security controls. AmeriCorps concurred and agreed to implement our recommendations to (1) develop and implement a plan to modify external emails to include information to assist the recipient of the level of risk posed by external email, (2) implement a plan to increase the frequency of behavior training directed at the identification of unwanted spam emails, and (3) implement a process to improve the detection rate to reduce the occurrence of email spam that reaches the users’ inboxes. AmeriCorps Management’s response can be found in Appendix II of the report. アメリコープスのセキュリティプログラムは、2017年度以降、連邦情報セキュリティ管理法(FISMA)に従ってなかった。現状を把握するために、アメリコープス検査官室は、独立監査事務所にアメリコープスのネットワークの内部侵入テストを実施するよう依頼した。独立監査人は、情報セキュリティ・プログラムの有効性を評価し、弱点の領域を特定するために、AmeriCorpsのネットワークをテストした。この評価は、ネットワーク侵入テスト、フィッシング・キャンペーン、悪意あるコードの実行を防止および検出するためのコントロールの有効性のテストの3つのフェーズで構成されている。独立監査人は、予防的および発見的なセキュリティ管理に関する2つの弱点を発見した。アメリコープスは、(1)外部電子メールがもたらすリスクのレベルを受信者に支援するための情報を含む外部電子メールを修正する計画を策定し実施すること、(2)不要なスパムメールの識別に向けた行動訓練の頻度を高める計画を実施すること、(3)ユーザの受信ボックスに届くスパムメールの発生率を減らすために検出率を改善する処理を実施すること、という私たちの推奨事項に同意し、実施することに同意している。アメリコープスの経営陣の回答は、報告書の附属書IIに掲載されている。

 

・[PDF] AMERICORPS PENETRATION TESTING AND PHISHING CAMPAIGN EVALUATION (OIG-EV-22-06)

20220724-63855


仮訳 [PDF] [DOCX]

 

| | Comments (0)

より以前の記事一覧