フィッシング

2023.11.27

NIST TN 2276 NIST Phish Scale ユーザーガイド

こんにちは、丸山満彦です。

米国国立標準技術研究所(NIST)の人間中心のサイバーセキュリティ・プログラムが、NIST Phish Scaleユーザーガイドを発表していますね。。

フィッシングメールから、いろいろな事案につながることが多いので、ここである程度防げると、すこしばかり被害が減らせることもありますかね。。。

このガイドは実務者向けに作成されたもので、フィッシングに関する意識向上トレーニング・プログラムにおけるPhish Scaleの適用方法について、説明しているもので、

  • 背景
  • 構成要素
  • 詳細なキューの説明
  • Phish Scaleの結果の解釈
  • フィッシングメールにPhish Scaleを適用するためのインタラクティブなNIST Phish Scaleワークシート

が記載されていますね。。。

Phish Scaleは、メールのフィッシング検知の難易度を評価するために考案された手法とのことで、フィッシングの認知度を高めるためのトレーニング・プログラムに追加的な指標を提供するために、世界中の組織で採用されているとのことです。

フィッシング・トレーニングの実施者は、このPhish Scaleを使って、クリック率やフィッシング演習の結果を報告するようです。

 

NIST - ITL

プレス

・2023.11.20 The NIST Phish Scale User Guide is Now Available!

文書

・2023.11.20 NIST TN 2276 NIST Phish Scale User Guide

NIST TN 2276 NIST Phish Scale User Guide NIST TN 2276 NIST Phish Scale ユーザーガイド
Abstract 概要
Phishing cyber threats impact private and public sectors both in the United States and internationally. Embedded phishing awareness training programs, in which simulated phishing emails are sent to employees, are designed to prepare employees in these organizations to combat real-world phishing scenarios. Cybersecurity and phishing awareness training implementers and practitioners use the results of these programs, in part, to assess the security risk of their organization. The NIST Phish Scale is a method created for these implementers to rate an email’s human phishing detection difficulty as part of their cybersecurity awareness and phishing training programs. This User Guide outlines the Phish Scale in its entirety while providing instructional steps on how to apply it to phishing emails. Further, appendices include 1) worksheets to assist training implementers in applying the Phish Scale and 2) detailed information regarding email properties and associated research in the literature. フィッシングのサイバー脅威は、米国内外の民間企業や公的機関に影響を与えている。模擬フィッシングメールが従業員に送信される組み込み型フィッシング認識トレーニングプログラムは、これらの組織の従業員が実際のフィッシングシナリオに対抗できるように準備するために設計されている。サイバーセキュリティとフィッシング・アウェアネス・トレーニングの実施者や実務者は、組織のセキュリティ・リスクを評価するために、これらのプログラムの結果を一部利用している。NIST Phish Scale はこのような実施者がサイバーセキュリティ意識向上やフィッシングトレーニングプログラムの一環として、電子メールの人間によるフィッシング検知の難易度を評価するために作成された方法である。このユーザーガイドでは、Phish Scale の概要を説明し、フィッシング・メールに適用する方法を解説している。さらに、附属書として、1) Phish Scaleの適用に関するトレーニング実施者を支援するワークシート、2) 電子メールの特性に関する詳細な情報および文献における関連研究が含まれている。

 

・[PDF] NIST.TN.2276

20231126-140521

・[DOCX] 仮訳

 

 

 

 

| | Comments (0)

2023.11.05

NATO CCDCOE 国際サイバー法の実践;インタラクティブ・ツールキットの新規募集 (2023.10.23)

こんにちは、丸山満彦です。

NATO CCDCOEでは、国際サイバー法の実践;インタラクティブ・ツールキットとして、28の仮想シナリオを公開していますが、新規のシナリオの募集をしていますね。。。

 

ツールキットのウェブページ

NATO CCECOE - International Cyber Law in Practice: Interactive Toolkit

28のシナリオ

S01 Election interference 選挙妨害
S02 Political espionage 政治スパイ
S03 Power grid 送電網
S04 International organization 国際機関
S05 Criminal investigation 犯罪捜査
S06 Enabling State 国家を動かす
S07 Hacking tools ハッキング・ツール
S08 Certificate authority 認可機関
S09 Economic espionage 経済スパイ
S10 Cyber weapons サイバー兵器
S11 Surveillance tools 監視ツール
S12 Computer data コンピューター・データ
S13 Armed conflict 武力紛争
S14 Ransomware campaign ランサムウェアキャンペーン
S15 Cyber deception サイバー詐欺
S16 High seas 公海
S17 Collective responses 集団的対応
S18 Cyber operators サイバー工作員
S19 Hate speech ヘイトスピーチ
S20 Medical facilities 医療施設
S21 Misattribution  誤爆 
S22 Methods of warfare 戦争の方法
S23 Vaccine research ワクチン研究
S24 Internet blockage インターネット遮断
S25 Humanitarian assistance 人道支援
S26 Export licensing 輸出許可
S27 Redirecting attacks リダイレクト攻撃
S28 Incidental harm 偶発的被害

1_20231105202601

 

 

新しいシナリオの募集...

・2023.10.23 Cyber Law Toolkit 2024

募集文

・[PDF] Cyber Law Toolkit: Call for Submissions for the 2024 Annual Update

| | Comments (0)

2023.10.26

世界経済フォーラム (WEF) データの公平性 生成的AIのための基礎概念

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が「データの公平性 生成的AIのための基礎概念」という報告書を公表していますね。。。

公平性を主に4つの視点で考えていますね。。。

・表現上の公平性

・特徴上の公平性

・アクセス上の公平性

・結果の公平性

 

 

World Economic Forum - Report

・2023.10.17 Data Equity: Foundational Concepts for Generative AI

 

Data Equity: Foundational Concepts for Generative AI データの公平性 生成的AIのための基礎概念
This briefing paper focuses on data equity within foundation models, both in terms of the impact of Generative AI (genAI) on society and on the further development of genAI tools. 本ブリーフィングペーパーは、生成的AI(genAI)が社会に与える影響と、genAIツールのさらなる開発の両面から、基礎モデルにおけるデータの公平性に焦点を当てる。
This white paper sheds light on recent advances in the field of generative AI, its potential and its application areas in manufacturing, and presents a new guidebook for harnessing the AI revolution in industrial operations. The guidebook describes the main considerations and steps of the journey – from defining the overarching objectives to identifying, building and scaling the relevant applications and required foundations, and staying at the forefront of AI innovations. 本ホワイトペーパーは、生成的AI分野における最近の進歩、その可能性、製造業における応用分野に光を当て、産業オペレーションにおけるAI革命を活用するための新しいガイドブックを提示する。本ガイドブックでは、包括的な目標の定義から、関連するアプリケーションや必要な基盤の特定、構築、拡張、AIイノベーションの最前線にとどまることまで、その道のりにおける主な検討事項とステップについて説明している。

 

・[PDF]

20231025-55728

 

目次...

Introduction  序文 
1   Classes of data equity 1 データ公平性の分類
2   Data equity across the data lifecycle  2 データライフサイクル全体におけるデータの公平性 
3   Data equity challenges in foundation models  3 基礎モデルにおけるデータ公平性の課題 
4   Focus areas for key stakeholders 4 主要関係者の重点分野
5   Discussion 5 議論
Conclusion 結論
Contributors 協力者
Endnotes   注  

 

序文...

Introduction  序文 
Over the past several months, a series of technological advances have emerged as a result of generative artificial intelligence (genAI) tools, including ChatGPT, Bard, Midjourney, and Stable Diffusion. The use of these tools has gained significant attention and captured the imagination of public and industry stakeholders due to its capabilities, wide range of applications and ease of use.  過去数ヶ月の間に、ChatGPT、Bard、Midjourney、Stable Diffusionなどの生成的人工知能(genAI)ツールの結果として、一連の技術的進歩が現れた。これらのツールの使用は大きな注目を集め、その機能、幅広い応用範囲、使いやすさにより、世間や業界の関係者の想像力をかきたてた。
Given its potential to challenge established business practices and operational paradigms, and the promise of rapid innovation coupled with the likelihood of significant disruption, genAI is sparking global conversations. These anticipated, far-reaching consequences have a societal dimension and will require comprehensive engagement from key stakeholders such as industry, government,  academia and civil society.  既成のビジネス慣行やオペレーションのパラダイムに挑戦する可能性があり、急速なイノベーションが約束され、大きな破壊が起こる可能性があることから、genAIは世界的な議論を巻き起こしている。これらの予想される遠大な影響には社会的な側面があり、産業界、政府、学界、市民社会といった主要な利害関係者の包括的な関与が必要となる。
At the heart of these discussions lies the concept of “data equity” – a core notion within data governance centred on the impact of data on the equity of technical systems for individuals, groups, enterprises and ecosystems.1 It includes concepts of data fairness, bias, access, control and accountability, all underpinned by principles of justice, non-discrimination, transparency and inclusive participation.  これらの議論の中心には「データ公平性」という概念がある。データの公平性とは、個人、グループ、エ ンタープライズ、エコシステムにとっての技術システムの公平性にデータが与える影響を中心とした、データガバナンス の中核をなす概念であり、正義、非差別、透明性、包括的参加の原則に裏打ちされたデータの公平性、バイアス、アクセ ス、管理、説明責任といった概念を含む。
Data equity is not a new concept; it is grounded in human rights and part of ongoing work on data privacy, protection, ethics, Indigenous data sovereignty and responsibility. The intersection of data equity and genAI, however, is new and presents unique challenges. The datasets used to train AI models are prone to biases that reinforce existing inequities. This requires proactively auditing data and algorithms and intervening at every step of the AI process, from data collection to model training to implementation, to ensure
that the resulting genAI tools fairly represent all communities. With the advent of genAI significantly increasing the rate at which AI is deployed and developed, exploring frameworks for data equity is more urgent than ever.
データ公平性は新しい概念ではなく、人権に根ざしており、データ・プライバシー、防御、倫理、先住民のデータ主権と責任に関する現在進行中の作業の一部である。しかし、データ公平性とGenAIの交差は新しく、独自の課題を提示している。AIモデルの訓練に使われるデータセットには、既存の不公平を強化するバイアスがかかりやすい。そのため、データとアルゴリズムを積極的に監査し、データの収集からモデルのトレーニング、実装に至るまで、AIプロセスのあらゆる段階で介入する必要がある。
その結果、genAIツールはすべてのコミュニティを公平に代表することになる。genAIの登場により、AIの導入・開発速度が大幅に向上する中、データの公平性を確保するための枠組みを模索することは、これまで以上に急務となっている。
This briefing paper delves into these issues, with a particular focus on data equity within foundation models, both in terms of the impact of genAI on society and on the further development of genAI tools. Our goals are threefold: to establish a shared vocabulary to facilitate collaboration and dialogue; to scope initial concerns to establish a framework for inquiry on which stakeholders can focus; and to shape future development of promising technologies proactively and positively.  本ブリーフィング・ペーパーは、GENAIが社会に与える影響とGENAIツールのさらなる開発の両面から、基盤モデルにおけるデータの公平性に特に焦点を当て、これらの問題を掘り下げている。我々の目標は3つある:コラボレーションと対話を促進するための共通の語彙を確立すること、利害関係者が焦点を当てることができる調査の枠組みを確立するために初期の懸念事項を範囲化すること、そして有望な技術の将来の開発を積極的かつ前向きに形成することである。
The World Economic Forum’s Global Future Council (GFC) on Data Equity2 envisions this as a first step in a broader conversation, recognizing the need for further exploration and discussion to be comprehensively understood, scrutinised, and addressed. The issues are complex and interconnected. Tackling them now creates a unique opportunity to positively shape the future of these exciting, promising tools.  世界経済フォーラムのデータ公平性に関するグローバル・フューチャー・カウンシル(GFC)2 は、これをより広範な対話の第一歩として想定しており、包括的に理解し、精査し、対処するためには、さらなる探求と議論が必要であることを認識している。問題は複雑で、相互に関連している。今、この問題に取り組むことは、エキサイティングで有望なツールの未来を前向きに形作るまたとない機会を生み出す。
BOX 1: : Definitions of key concepts BOX 1: : 主要概念の定義
To provide context and clarity, the following key concepts are highlighted:  文脈を明らかにし、明確にするために、以下の主要概念を強調する: 
–  Artificial intelligence is a broad field that encompasses the ability of a machine or computer to emulate certain aspects of human intelligence for diverse tasks based on predetermined objectives.3  ・人工知能は、あらかじめ決められた目的に基づき、多様なタスクに対して人間の知能のある側面をエミュレートする機械やコンピュータの能力を包含する幅広い分野である3。
–  Machine learning is a subset of artificial intelligence which utilizes algorithms to enable machines to identify and learn from patterns found in datasets.4  ・機械学習は人工知能のサブセットであり、機械がデータセットに見られるパターンを識別し、そこから学習できるようにするためのアルゴリズムを利用する4。
–  Generative AI is a branch of machine learning that is capable of producing new text, images and other media, replicating patterns and relationships found in the training data.5  ・生成的AIは機械学習の一分野であり、学習データから発見されたパターンや関係を再現し、新しいテキストや画像、その他のメディアを生成することができる5。
– Foundation models are a type of large-scale, machine-learning model that is trained on diverse multi-modal data at scale and can be adapted to many downstream tasks.6  ・ファウンデーションモデルは、大規模な機械学習モデルの一種であり、多様なマルチモーダルデータに対して大規模に学習され、多くの下流タスクに適応させることができる6。
– Large language models represent a subset of foundation models specializing in comprehending and generating human language, often employed for text-related functions. The latest iteration of LLMs facilitates natural conversations through advanced chatbot mechanisms.7  ・大規模言語モデルは、人間の言語を理解し、生成することに特化した基礎モデルのサブセットであり、テキスト関連の機能に採用されることが多い。LLMの最新の反復は、高度なチャットボット機構を通じて自然な会話を促進する7。

 

データ公平性

Classes of data equity データ公平性の分類
Effectively addressing the complexities of data equity mandates an appreciation of the diverse viewpoints held by various stakeholders regarding data. The academic literature has identified four distinct classes of data equity, which are closely interrelated:8  データ衡平性の複雑性に効果的に対処するには、データに関して様々な利害関係者が持つ多様な視点を 理解することが必要である。学術文献はデータ衡平性の4つの分類を明らかにしているが、これらは相互に密接に関連している。
–  Representation equity seeks to enhance the visibility of historically marginalized groups within datasets while also accounting for data relevancy for the target populations. The development of models primarily within the Global North introduces disparities in representation, potentially leading to systemic biases in subsequent decisions rooted in such data. A proactive approach is indispensable to ensure that AI training data and models authentically reflect all stakeholders without encoding biases.  表現上の公平性は、対象集団にとってのデータの妥当性を考慮しつつ、データセット内で歴史的に疎外されてきた集団の可視性を高めようとするものである。北半球を中心にモデルが開発されることで、表現上の格差が生じ、そのようなデータに根ざしたその後の意思決定において、体系的なバイアスにつながる可能性がある。AIのトレーニングデータとモデルが、バイアスを内包することなく、すべてのステークホルダーを正確に反映するためには、積極的なアプローチが不可欠である。
 Feature equity seeks to ensure the accurate portrayal of individuals, groups and communities represented by data, necessitating the inclusion of attributes such as race, gender, location and income alongside other data. Without these attributes, it is often difficult to identify and address latent biases and inequalities.  特徴上の公平性は、データによって代表される個人、グループ、コミュニティの正確な描写を確保しようとするものであり、他のデータとともに人種、性別、場所、収入などの属性を含める必要がある。これらの属性がなければ、潜在的なバイアスや不平等を特定し、対処することはしばしば困難である。
–  Access equity focuses on the equitable accessibility of data and tools across varying levels of expertise. Addressing transparency and visibility issues related to model construction and data sources is critical. Additionally, access equity also encompasses disparities in terms of AI literacy and the digital divide.  アクセス上の公平性は、様々な専門知識レベルにおいて、データやツールに公平にアクセスできることに焦点を当てる。モデル構築やデータソースに関連する透明性や可視性の問題に対処することが重要である。さらに、アクセスの公平性には、AIリテラシーやデジタルデバイドの観点からの格差も含まれる。
Outcome equity pertains to impartiality and fairness in results. Beyond developing unbiased models, maintaining vigilance over unintended consequences that impact individuals or groups is necessary. Transparency, disclosure and shared responsibility are crucial to achieve fairness.  結果の公平性は、結果の公平性と公正さに関係する。偏りのないモデルを開発するだけでなく、個人や集団に影響を与える意図しない結果に対する警戒を維持することが必要である。公平性を達成するためには、透明性、情報開示、責任の共有が極めて重要である。
These four classes of data equity are particularly relevant to genAI, but not exhaustive. Two other prominent types of equity broadly applicable to technology that need to be considered are procedural and decision-making equity. These procedural elements underscore broad equity concerns and include transparent decision-making, fair treatment of workers who develop and deploy technology, and inclusive development and deployment practices.9  データの公平性に関するこれら4つの分類は、特にgenAIに関連しているが、網羅的なものではない。テクノロジーに広く適用される衡平性のうち、他に考慮すべき顕著な2つのタイプは、手続き上の衡平性と意思決定上の衡平性である。これらの手続き的要素は、広範な衡平性への懸念を強調するものであり、透明性のある意思決定、技術を開発・展開する労働者の公正な待遇、包括的な開発・展開慣行などが含まれる9。
Going further, consideration must also be given to issues of temporal equity (sustainability and long-term impacts) and relational equity (fostering equitable stakeholder relationships). These latter issues are not unique to genAI or technology broadly and, as such, are beyond the scope of this paper. Nonetheless, they are acknowledged here as integral components of the overarching fabric of technology equity.  さらに踏み込めば、時間的衡平性(持続可能性と長期的影響)と関係的衡平 性(公平なステークホルダー関係の醸成)の問題も考慮しなければならない。後者の問題は、genAIやテクノロジーに特有なものではないため、本稿の範囲外である。しかし、テクノロジーの公平性という包括的な枠組みを構成する不可欠な要素として、本稿で取り上げることにする。

 

 

| | Comments (0)

2023.10.24

米国 CISA NSA FBI MS-ISAC ストップ・ランサムウェアガイド

こんにちは、丸山満彦です。

CISA、NSA、FBI、MS-ISACが共同で、フィッシング対策ガイダンスに続いて、ストップ・ランサムウェアガイドを改訂(Ver. 3.0に)し、公表していますね。。。ランサムウェア犯罪が犯罪者の中でエコシステムができてしまって、気軽にされる?ようになって、被害もグローバル全体で広がっていますかね。。。

日本でも警察がランサムウェアについては力をいれていますしね。。。もちろん、ヨーロッパとかも・・・

5月に公表されたVer. 2.0 からの変更点は

- インターネットに面した脆弱性について、初期アクセスベクトル(Initial Access Vector)の箇条書きの追加
- SMB の堅牢化に関するガイダンスの更新
- 従業員になりすました脅威行為者に関する情報の追加
- ウェブブラウザの堅牢化に関する指針の追加
- 任意のポートから送信される異常な量のデータに関する箇条の追加
- 謝辞の追加

ということらしいです。。。

 

CISA

・2023.10.19 CISA, NSA, FBI, and MS-ISAC Release Update to #StopRansomware Guide

 

・[PDF

20231023-90612

 

第一部はベストプラクティス

第二部はチェックリスト

になっていますね。。。

 

ランサムウェアのクイックリファレンス

StopRansomware.gov:ランサムウェアに関するリソースやアラートを提供する政府全体のウェブサイト。

Security Primer - Ransomware(MS-ISAC):ランサムウェアの日和見的キャンペーンと戦略的キャンペーン,一般的な感染ベクター,およびベストプラクティスに関する推奨事項を概説している。

・[PDF] Institute for Security + Technology (IST) Blueprint for Ransomware Defense - 中小企業向けのランサムウェア緩和,対応,復旧のための行動計画。

20231023-223249

 


 

日本のランサム対策...

警察庁 - サイバー警察局 - ランサムウェア被害防止対策

 

 

| | Comments (0)

2023.10.21

米国 CISA NSA FBI MS-ISAC フィッシング・ガイダンス:攻撃サイクルを第一段階で阻止する

こんにちは、丸山満彦です。

CISA、NSA、FBI、MS-ISACが共同で、フィッシング対策ガイダンスを公表していますね。。。多くの攻撃の入り口がフィッシングからということでこのガイダンスの発表ということなのでしょうね。。。

フィッシングを、

・ユーザー認証情報を得ようとするもの

・マルウェアを入れ込むためのもの

と2つにわけて説明していますね。。。

根性論だけでなんとかしようとしていたものを、改善できると良いですよね。。。


あっ、ちなみに、日本もフィッシング対策協議会でいろいろと活動をして、ガイドラインも出していますので、参考まで。。。

フィッシング対策協議会 - ガイドライン

・2023.06.01 資料公開: フィッシング対策ガイドラインの改定について

・[PDF] フィッシング対策ガイドライン 2023 年度版


 

● CISA

プレス

・2023.10.18 CISA, NSA, FBI, MS-ISAC Publish Guide on Preventing Phishing Intrusions

CISA, NSA, FBI, MS-ISAC Publish Guide on Preventing Phishing Intrusions CISA、NSA、FBI、MS-ISACがフィッシング侵入の防止に関するガイドを発表した。
Guide helps organizations understand what malicious actors are doing so defenders can adopt appropriate mitigations to phishing このガイドは、悪意ある行為者の行動を理解することで、防御者がフィッシングに対して適切な緩和策を採用できるようにするものである。
WASHINGTON - The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI) and Multi-State Information Sharing and Analysis Center (MS-ISAC) today published “Phishing Guidance, Stopping the Attack Cycle at Phase One” to help organizations reduce likelihood and impact of successful phishing attacks. It provides detailed insight into malicious actor techniques, as well as technical mitigations and best practices to help prevent successful phishing attempts.   ワシントン - サイバーセキュリティ・インフラストラクチャ安全保障局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、および複数州情報共有分析センター(MS-ISAC)は本日、組織がフィッシング攻撃を成功させる可能性とその影響を軽減するのに役立つ「フィッシング・ガイダンス、第一段階で攻撃サイクルを阻止する」を発表した。このガイダンスでは、フィッシングの成功を防ぐための技術的な対策やベストプラクティスだけでなく、悪意のある行為者のテクニックに関する詳細な洞察を提供している。 
A form of social engineering, malicious actors commonly use phishing with the intent to get their targeted victims to visit an illegitimate website or to download malware. To help organizations better understand this activity, this guide categorizes phishing into two common tactics: phishing to obtain login credentials and phishing to deploy malware. It expands upon the two tactics by detailing the techniques frequently used by these actors, such as impersonating supervisors/trusted colleagues, using voice over internet protocol to spoof caller identification, and using publicly available tools to facilitate spear phishing campaigns.   ソーシャルエンジニアリングの一形態であるフィッシングは、悪意のある行為者が一般的に使用する手口であり、ターゲットとなる被害者に不正なウェブサイトを閲覧させたり、マルウェアをダウンロードさせたりすることを目的としている。組織がこの活動をよりよく理解できるように、このガイドではフィッシングを2つの一般的な手口に分類している。また、この2つの手口について、上司や信頼できる同僚になりすます、ボイス・オーバー・インターネット・プロトコルを使用して発信者識別情報を詐称する、公開されているツールを使用してスピアフィッシング・キャンペーンを促進するなど、これらの行為者が頻繁に使用するテクニックを詳しく説明している。 
“For too long, the prevailing guidance to prevent phishing attacks has been for users to avoid clicking on malicious emails. We know that this advice is not sufficient. Organizations must implement necessary controls to reduce the likelihood of a damaging intrusion if a user interacts with a phishing campaign – which we know many users do, in every organization,” said Sandy Radesky, Associate Director for Vulnerability Management, CISA. “With our NSA, FBI, and MS-ISAC partners, this guide provides practical, actionable steps to reduce the effectiveness of phishing as an initial access vector. We also know that many of the controls described in this guide can be implemented by technology vendors, reducing burden and increasing security at scale. We strongly encourage all organizations and software manufacturers to review this guide and implement recommendations to prevent successful phishing attempts – by design wherever possible.”  CISAの脆弱性管理担当アソシエイト・ディレクターであるサンディ・ラデスキーは、次のように述べている。「あまりにも長い間、フィッシング攻撃を防ぐための一般的なガイダンスは、ユーザーが悪意のあるメールをクリックしないようにすることであった。我々は、このアドバイスが十分でないことを知っている。組織は、ユーザーがフィッシング・キャンペーンに接触した場合、被害をもたらす侵入の可能性を減らすために必要な管理を実施しなければならない。NSA、FBI、MS-ISACのパートナーとともに、このガイドは、最初のアクセス手段としてのフィッシングの有効性を減らすための実践的で実行可能なステップを提供している。また、本ガイドに記載されている管理策の多くは、テクノロジーベンダーが実装することが可能であり、負担を軽減し、規模に応じてセキュリティを向上させることができる。我々は、すべての組織とソフトウェアメーカーがこのガイドを検討し、可能な限り設計によってフィッシングの試みを成功させないための推奨事項を実装することを強く推奨する。」
“Knowing how to navigate phishing danger is essential because anyone can fall victim to these attacks,” said Eric Chudow, NSA’s Cybersecurity System Threats & Vulnerability Analysis Subject Matter Expert. “Cyber threat actors are constantly evolving their techniques and harnessing new technologies to their advantage, including artificial intelligence. They are also finding it easier to deceive people who have transitioned to hybrid work environments and have fewer face-to-face-interactions.”   NSAのサイバーセキュリティ・システム脅威&脆弱性分析サブジェクト・マター・エキスパートであるエリック・チュドウ氏は、次のように述べている。「フィッシングの危険性を回避する方法を知ることは、誰もがこれらの攻撃の犠牲になる可能性があるため、不可欠である。サイバー脅威者は常にテクニックを進化させ、人工知能を含む新しいテクノロジーを活用している。彼らはまた、ハイブリッドな職場環境に移行し、対面でのやり取りが少なくなった人々を欺くことが容易になっている。 」
“Our goal in putting out this product is to provide organizations with the necessary knowledge to prevent them from falling victim to phishing,” said Bryan Vorndran, Assistant Director of the FBI’s Cyber Division. “Cyber is a team sport, which is why we strive to arm our partners with the necessary tools needed in combatting malicious actors that use this intrusion technique.” FBIサイバー課のブライアン・ボーンドラン課長補佐は、次のように述べている。「この製品を世に送り出した我々の目標は、フィッシングの被害に遭わないために必要な知識を組織に提供することだ。サイバーはチームスポーツであり、だからこそ我々は、この侵入テクニックを使用する悪意ある行為者と戦うために必要なツールをパートナーに提供するよう努めている。」
“Phishing continues to be the most successful method for gaining unauthorized access to state and local government networks,” said John Gilligan, CIS Chief Executive Officer. “Organizations and their employees must understand the risks posed by this attack vector and how to successfully identify and avoid phishing threats. This joint guide is a great reference for state and local organizations.”  CISの最高経営責任者(CEO)であるジョン・ギリガン氏は、次のように述べている。「フィッシングは、州政府および地方自治体のネットワークに不正にアクセスするための最も成功した手法であり続けている。「組織とその職員は、この攻撃経路がもたらすリスクと、フィッシングの脅威をうまく識別し回避する方法を理解しなければならない。この共同ガイドは州および地方組織にとって素晴らしい参考資料となる。」
This joint phishing guide is intended to be a one-stop resource to help all organizations protect their systems from phishing threats. All organizations, from small- and medium-sized businesses to software manufacturers, are encouraged to review this joint guide to better understand evolving phishing techniques and implement tailored cybersecurity controls and best practices to reduce the risk of compromise.  この共同フィッシング・ガイドは、すべての組織がフィッシングの脅威からシステムを守るためのワンストップ・リソースとなることを目的としている。中小企業からソフトウェアメーカーに至るまで、すべての組織がこの共同ガイドを確認し、進化するフィッシングのテクニックをよりよく理解し、侵害のリスクを軽減するためにサイバーセキュリティ対策やベストプラクティスを実施することが推奨される。

 

ブログ...

・2023.10.18 Phishing: What’s in a Name?

Phishing: What’s in a Name? フィッシング:名前には何が含まれているのか?
Recent news is filled with stories of companies being compromised, a pattern that goes back years, if not decades. The compromises might lead to attackers deploying ransomware, or other types of malicious activity like the theft of intellectual property and customer data. Stories of these compromises often start the same way, namely through a tactic called phishing.  最近のニュースでは、企業が情報漏洩に陥ったという話で埋め尽くされている。このような侵害は、攻撃者がランサムウェアを展開することにつながる場合もあれば、知的財産や顧客データの窃盗といった他の種類の悪意のある行為につながる場合もある。このような侵害のストーリーは、フィッシングと呼ばれる手口から始まることが多い。
But what exactly is phishing? Looking at different sources, it’s easy to get confused since the term is overloaded with very different meanings. It’s doubly confusing when we see other offshoot terms like spear phishing, whaling, smishing, and vishing. It seems hopelessly complicated and it’s not clear what defenders can do to reduce the chance of compromise. And all too often they end up blaming users “who clicked on a link” (whatever that is supposed to mean) rather than building a system that accounts for inevitable human error.  しかし、フィッシングとは一体何なのだろうか?さまざまな情報源を見ていると、この用語が非常に異なる意味で溢れているため、混乱しやすい。スピアフィッシング、ホエーリング、スミッシング、ビッシングといった他の派生語を見ると、二重に混乱する。それは絶望的に複雑に見え、防御者が侵害の可能性を減らすために何ができるかは明確ではない。そして、避けられないヒューマンエラーを考慮したシステムを構築するのではなく、「リンクをクリックしたユーザー」(それが何を意味するかは別として)を非難することに終始することがあまりにも多い。
Today, CISA announced the release of a joint guide that attempts to separate the two main tactics that we lump into the generic term “phishing”. Doing so helps create a clear mental model about what the attackers are doing so defenders can adopt appropriate mitigations.   本日、CISAは、私たちが「フィッシング」という総称でひとくくりにしている2つの主な手口を分離しようとする共同ガイドのリリースを発表した。こうすることで、攻撃者が何をしているのかについて明確なメンタル・モデルを作り、防御者が適切な緩和策を採用できるようになる。 
The first tactic is phishing to obtain login credentials. The attacker sends to the potential victim an email with a link to an imposter site that convinces them to enter their username and password. In some attacks, the imposter site also asks for MFA codes (called “MFA bypass”). Note that scanning emails for this type of attack will not catch phishing messages sent via SMS or messaging apps like Telegram, Signal, Slack, Facebook, Twitter, Teams, iMessage, and Google Chat, and others.   最初の手口は、ログイン認証情報を得るためのフィッシングである。攻撃者は潜在的な被害者に、ユーザー名とパスワードを入力するよう説得する偽サイトへのリンクを含む電子メールを送る。一部の攻撃では、偽サイトはMFAコードも要求する(「MFAバイパス」と呼ばれる)。この種の攻撃に対してEメールをスキャンしても、SMSやTelegram、Signal、Slack、Facebook、Twitter、Teams、iMessage、Google Chatなどのメッセージング・アプリ経由で送信されたフィッシング・メッセージは捕捉されないことに注意しよう。 
The primary mitigation for this class of attack is to enable MFA, especially phishing-resistant MFA like FIDO authentication. See CISA’s guides on those topics here: MFA portalblog postphishing-resistant MFA whitepaper.   この種の攻撃に対する主な緩和策は、MFA、特にFIDO認証のようなフィッシングに強いMFAを有効にすることである。これらのトピックに関するCISAのガイドはこちら: MFAポータル、ブログ記事、フィッシング耐性MFAホワイトペーパーを参照のこと。 
The second tactic is malware phishing. The attacker sends an email with a malicious attachment that the user can be tricked into launching.   第2の手口はマルウェア・フィッシングである。攻撃者は、ユーザを騙して起動させることができる悪意のある添付ファイル付きの電子メールを送信する。 
There are a range of mitigations to prevent malicious code from running, including application allow listing or running an endpoint detection and response (EDR) agent.   悪意のあるコードの実行を防ぐには、アプリケーションの許可リストやエンドポイント検出応答(EDR)エージェントの実行など、さまざまな緩和策がある。 
I’d be remiss if I didn’t also mention that defenders need to do more than just protect against the two main types of phishing. They need to implement, with their senior leadership teams, a comprehensive information security program. A great place to start that journey is by implementing the CISA Cyber Performance Goals (CPGs). また、防御者は2つの主要なタイプのフィッシングから身を守るだけでは不十分である。シニア・リーダーシップ・チームとともに、包括的な情報セキュリティ・プログラムを実施する必要がある。CISAのサイバー・パフォーマンス・ゴール(CPG)を実施することが、その第一歩となる。
Some astute readers will by now wonder about this framing and why the focus of the guide is on login credentials and malware rather than on other areas, like scanning emails for malicious content. Email scanning can be an important tool for defenders, but as noted above, it cannot catch malicious content delivered via some other mechanism like SMS. However, by focusing on the method of intrusion rather than the method of delivery, defenders can take more granular steps to improve their security posture and deny adversaries an easy path into the network.   賢明な読者の中には、このフレームワークについて、また、なぜこのガイドの焦点が、悪意のあるコンテンツの電子メール・スキャンのような他の分野ではなく、ログイン認証情報やマルウェアに当てられているのか、不思議に思う人もいるだろう。電子メールのスキャンは防御者にとって重要なツールになり得るが、前述のように、SMSのような他のメカニズムで配信される悪意のあるコンテンツを捕まえることはできない。しかし、配信方法ではなく、侵入方法に焦点を当てることで、防御者は、セキュリティ態勢を向上させ、敵がネットワークに容易に侵入できないようにするため、よりきめ細かい対策を講じることができる。 
In addition to providing guidance to defenders, we want to address the safety of the software that organizations of all sizes rely on. When we see news of compromises that stem from phishing, it’s all too easy to blame the victim organization for not having implemented all the mitigations that would have stopped the attack. With the benefit of 20/20 hindsight it’s easy to see what went wrong. But the ease of compromises cannot be solely blamed on the defenders. We need to have a more robust industry-wide conversation about the products that are delivered to customers in a state that not only makes these attacks possible, but in many cases, inevitable.  防御者にガイダンスを提供するだけでなく、あらゆる規模の組織が依存しているソフトウェアの安全性にも取り組みたい。フィッシングに起因する情報漏えいのニュースを目にすると、攻撃を阻止するための緩和策をすべて導入していなかったとして、被害組織を非難するのはあまりにも簡単だ。20/20の後知恵があれば、何が間違っていたかを見抜くのは簡単だ。しかし、侵害の容易さを防御側だけの責任にすることはできない。このような攻撃を可能にするだけでなく、多くの場合、避けられないような状態で顧客に提供されている製品について、業界全体でもっとしっかりと話し合う必要がある。
That’s why CISA’s Secure by Design whitepaper calls on software manufacturers whose products are abused in the commission of login credential phishing and malware phishing attacks to update their software development practices and default settings to raise the cost of attack for the attackers. Secure by design software development would move the burden of staying cyber safe from the customer to the manufacturers. Doing so will be no small effort, and yet the impact of safer products would dramatically reduce the risk for customers and the nation.  CISAの「セキュア・バイ・デザイン」ホワイトペーパーが、ログイン認証フィッシングやマルウェア・フィッシング攻撃で製品が悪用されているソフトウェアメーカーに対し、攻撃者の攻撃コストを引き上げるよう、ソフトウェア開発の慣行やデフォルト設定を更新するよう求めているのはそのためだ。セキュア・バイ・デザインのソフトウェア開発は、サイバーセーフを維持する負担を顧客からメーカーに移すことになる。そのための努力は決して小さなものではないが、より安全な製品がもたらすインパクトは、顧客と国家にとってのリスクを劇的に軽減するだろう。
Phishing is going to continue to be a popular attack vector because it works so well. Until the software we depend on makes both login credential theft and malware deployment more expensive for the attackers, defenders are going to need to take aggressive action. And one of the right ways to do that is to start building defenses with the right mental models.   フィッシングは非常にうまく機能するため、今後も人気のある攻撃手段であり続けるだろう。私たちが依存しているソフトウェアが、ログイン認証情報の窃盗とマルウェアの展開の両方を攻撃者にとってより高価なものにするまでは、防御者は積極的な行動を取る必要があるだろう。そして、そのための正しい方法の1つは、正しいメンタル・モデルで防御を構築し始めることである。 

 

・2023.10.18 Phishing Guidance: Stopping the Attack Cycle at Phase One

Phishing Guidance: Stopping the Attack Cycle at Phase One フィッシング・ガイダンス 攻撃サイクルを第一段階で止める
This guide was created by the Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), and Multi-State Information Sharing and Analysis Center (MS-ISAC) to outline phishing techniques malicious actors commonly use and to provide guidance for both network defenders and software manufacturers. Phishing Guidance: Stopping the Attack Cycle at Phase One contains guidance for network defenders, applicable to all organizations, and for software manufacturers that focuses on secure-by-design and -default tactics and techniques. Additionally, the guide contains a section tailored for small and medium-sized businesses to aid in protecting their cyber resources from evolving phishing threats. このガイドは、サイバーセキュリティおよびインフラストラクチャセキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、および複数州情報共有分析センター(MS-ISAC)によって作成され、悪意のある行為者が一般的に使用するフィッシングのテクニックを概説し、ネットワーク防御者とソフトウェア製造者の両方にガイダンスを提供する。フィッシング・ガイダンス フィッシング・ガイダンス:第一段階で攻撃サイクルを止める」には、すべての組織に適用可能なネットワーク防御者向けのガイダンスと、セキュア・バイ・デザインおよびデフォルトの戦術とテクニックに焦点を当てたソフトウェア製造者向けのガイダンスが含まれている。さらに、このガイドには、進化するフィッシングの脅威からサイバーリソースを保護するために、中小企業向けに調整されたセクションも含まれている。
Resource Materials リソース資料
Phishing Guidance - Stopping the Attack Cycle at Phase One_508c.pdf フィッシング・ガイダンス - 第一段階で攻撃サイクルを止める

 

・[PDF]

20231021-93527

目次...

TABLE OF CONTENTS  目次 
OVERVIEW 概要
PHISHING TO OBTAIN LOGIN CREDENTIALS ログイン認証情報を取得するフィッシング
MALWARE-BASED PHISHING マルウェアベースのフィッシング
MITIGATIONS 対策
INCIDENT RESPONSE インシデント対応
 REPORTING  報告
 CISA SERVICES  CISAサービス
 RESOURCES  リソース
ACKNOWLEDGEMENTS  謝辞 
DISCLAIMER 免責事項
REFERENCES 参考文献

 

概要...

OVERVIEW  概要 
Social engineering is the attempt to trick someone into revealing information (e.g., a password) or taking an action that can be used to compromise systems or networks. Phishing is a form of social engineering where malicious actors lure victims (typically via email) to visit a malicious site or deceive them into providing login credentials. Malicious actors primarily leverage phishing for:  ソーシャル・エンジニアリングとは、誰かを騙して情報(パスワードなど)を明かさせたり、システムやネットワークを侵害するために利用できる行動を取らせようとする試みである。フィッシングはソーシャルエンジニアリングの一形態であり、悪意のある行為者が被害者を(通常は電子メールを介して)誘い出し、悪意のあるサイトにアクセスさせたり、ログイン認証情報を提供させたりする。悪意のある行為者は主に以下の目的でフィッシングを利用する: 
•       Obtaining login credentials. Malicious actors conduct phishing campaigns to steal login credentials for initial network access.  ・ログイン認証情報を取得する。悪意のある行為者は,最初のネットワークアクセスのためのログイン認証情報を盗むためにフィッシングキャンペーンを行う。
•       Malware deployment. Malicious actors commonly conduct phishing campaigns to deploy malware for follow-on activity, such as interrupting or damaging systems, escalating user privileges, and maintaining persistence on compromised systems.  ・マルウェアの展開。悪意のある行為者は,一般的に,システムの中断や損傷,ユーザー権限の昇格,侵害されたシステムでの永続性の維持など,その後の活動のためにマルウェアを展開するためにフィッシングキャンペーンを行う。
The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), and Multi-State Information Sharing and Analysis Center (MS-ISAC) are releasing this joint guide to outline phishing techniques malicious actors commonly use and to provide guidance for both network defenders and software manufacturers. This will help to reduce the impact of phishing attacks in obtaining credentials and deploying malware.  サイバーセキュリティ・インフラストラクチャ安全保障局(CISA)、 国家安全保障局(NSA)、連邦捜査局(FBI)、およびMulti-State Information Sharing and Analysis Center (MS-ISAC)は、悪意のある行為者が一般的に使用するフィッシングのテクニックを概説し、ネットワーク防御者とソフトウェア製造者の両方にガイダンスを提供するために、この共同ガイドを発表する。これにより、認証情報の取得やマルウェアの展開におけるフィッシング攻撃の影響を軽減することができる。
The guidance for network defenders is applicable to all organizations but may not be feasible for organizations with limited resources. Therefore, this guide includes a section of tailored recommendations for small- and medium-sized businesses that may not have the resources to hire IT staff dedicated to a constant defense against phishing threats.  ネットワーク防御者向けのガイダンスはすべての組織に適用可能であるが、リソースが限られている組織にとっては実行不可能かもしれない。そのため、本ガイドには、フィッシングの脅威に対する常時防御に専念するITスタッフを雇用するリソースがない中小企業向けにカスタマイズされた推奨事項のセクションが含まれている。
The guidance for software manufacturers focuses on secure-bydesign and -default tactics and techniques. Manufacturers should develop and supply software that is secure against the most prevalent phishing threats, thereby increasing the cybersecurity posture of their customers.  ソフトウェア製造者向けの手引きでは、セキュアな設計とデフォルトの戦術とテクニックに焦点を当てている。製造業者は、最も一般的なフィッシングの脅威に対して安全なソフトウェアを開発し、提供することで、顧客のサイバーセキュリティ態勢を強化すべきである。

 

続き... ↓ ↓ ↓ ↓ ↓

 

Continue reading "米国 CISA NSA FBI MS-ISAC フィッシング・ガイダンス:攻撃サイクルを第一段階で阻止する"

| | Comments (0)

2023.10.12

ユーロポール コインの裏側:金融・経済犯罪の分析 (2023.09.27)

こんにちは、丸山満彦です。

ユーロポールが金融・経済犯罪の分析をした報告書を公表していますね。。。いろいろと参考になるかもです。。。

 

EUROPL

・2023.09.27 The Other Side of tThe Coin: An Analysis of Financial and Economic Crime - European Financial and Economic Crime Threat Assessment 2023


The Other Side of the Coin: An Analysis of Financial and Economic Crime コインの裏側:金融・経済犯罪の分析
European Financial and Economic Crime Threat Assessment 2023 欧州の金融・経済犯罪の脅威評価 2023年
The European Financial and Economic Crime Threat Assessment looks closely at current and emerging threats relating to financial and economic crime. Using insights and case examples from Europol’s dedicated crime centre, this report analyses the threats posed by money laundering, criminal finances and corruption, and how they have evolved as a result of technological and geopolitical changes. The report also examines the role of these crimes in the broader picture of international serious and organised crime, where criminal networks use financial and economic crime as a tool to obscure, and ultimately benefit from, profits made by illegal activities. 欧州金融・経済犯罪脅威アセスメント」は、金融・経済犯罪に関連する現在の脅威と新たな脅威を詳細に考察している。本レポートは、ユーロポールの犯罪専門センターからの洞察と事例を用いて、マネーロンダリング、犯罪資金、汚職がもたらす脅威と、それらが技術的・地政学的変化の結果としてどのように進化してきたかを分析している。また、犯罪ネットワークが、違法行為によって得た利益を不明瞭にし、最終的に利益を得るための手段として金融・経済犯罪を利用している、国際的な深刻な組織犯罪の全体像におけるこれらの犯罪の役割についても検証している。

 

・[PDF]

20231011-164939

 

・[DOCX] 仮訳

 

目次...

FOREWORD OF THE EXECUTIVE DIRECTOR  序文
INTRODUCTION  はじめに
THE DRIVERS OF TODAY’S FINANCIAL AND ECONOMIC CRIMES  今日の金融・経済犯罪の原動力
Serious and organised crime as a driver  原動力としての深刻な組織犯罪
The digital acceleration  デジタル加速
Geopolitical developments  地政学的展開
Sanctions evasion and its links to organised crime  制裁金逃れと組織犯罪との関係
MONEY LAUNDERING, CRIMINAL FINANCES AND CORRUPTION; THE ENGINES OF CRIME  マネーロンダリング、犯罪資金、汚職、犯罪の原動力
Money laundering: a global, collaborative crime  マネーロンダリング:グローバルな共同犯罪
Asset recovery  資産回収
Criminal finances and investments  犯罪資金と投資
Corruption  汚職
THE WORLD OF FRAUDS  詐欺の世界
Fraud schemes against individuals, public and  private sectors 個人、公共部門、民間部門に対する詐欺計画
Fraud schemes against the financial interests of the EU and Member States  EUと加盟国の財政的利益に反する詐欺計画
Fraud schemes linked to sporting events  スポーツイベントに関連した詐欺
INTELLECTUAL PROPERTY CRIME AND COUNTERFEITING  知的財産権犯罪と偽造
Commodities and sectors most affected by IPC  IPCの影響を最も受ける商品とセクター
Currency counterfeiting  通貨偽造
EUROPOL RESPONSE  ユーロポールの対応
CONCLUSIONS  結論
METHODOLOGY AND DATA SOURCES  方法論とデータソース
LIST OF ACRONYMS  略語リスト
ENDNOTES  参考文献

 

 

 

| | Comments (0)

2023.10.04

NIST ユーザブル・サイバーっセキュリティ・グループが、人間中心サイバーセキュリティ・グループに変更 (2023.09.28)

こんにちは、丸山満彦です。

米国連邦政府の予算の執行はまたしてもぎりぎりと承認され、新しい年度での執行ができるようになりましたね。。。で、NISTのビジュアライゼーションとユーザービリティサイバーグループの中の、ユーザーブル・セキュリティグループが、人間中心サイバーセキュリティ・グループに変更されたようですね。。。

こういう研究グループをもっているということもNISTの強みですね。。。

 

NIST - ITL - CYBERSECURITY INSIGHTS a NIST blog

・2023.09.28 NIST Unveils Newly Named Human-Centered Cybersecurity Program

NIST Unveils Newly Named Human-Centered Cybersecurity Program NISTが人間中心のサイバーセキュリティプログラムという新しい名称を発表する
The Human-Centered Cybersecurity program (formerly Usable Cybersecurity) is part of the Visualization and Usability Group at NIST. It was created in 2008, but we’ve known for quite some time that we needed to rename our program to better represent the broader scope of work we provide for the cybersecurity practitioner and IT professional communities. We made the decision to update the name to Human-Centered Cybersecurity to better reflect our new (but long-time practiced) mission statement, “championing the human in cybersecurity.” With our new name, we hope to highlight that usability still (and always) will be a very important focus for us, but it is just one component within the broader arena of work in which we specialize.    人間中心のサイバーセキュリティ・プログラム(旧ユーザブル・サイバーセキュリティ)は、NISTの可視化・ユーザビリティ・グループの一部である。このプログラムは2008年に創設されたが、サイバーセキュリティの実務者やIT専門家のコミュニティに対して提供する幅広い業務をよりよく代表するために、プログラムの名称を変更する必要があることは、かなり以前から分かっていた。私たちは、「サイバーセキュリティにおける人間の擁護」という新しい(しかし長年実践してきた)ミッション・ステートメントをよりよく反映させるため、「人間中心のサイバーセキュリティ」という名称に変更する決断を下した。新しい名前によって、ユーザビリティは今でも(そしてこれからも)私たちにとって非常に重要な焦点であるが、それは私たちが専門とする幅広い分野の仕事の中の1つの要素に過ぎないことを強調したい。  
Our multi-disciplinary team conducts research at the intersection of cybersecurity, human factors, cognitive science, and psychology. We seek to better understand and improve people’s interactions with cybersecurity systems, products, and services. 私たちの学際的なチームは、サイバーセキュリティ、ヒューマンファクター、認知科学、心理学の交差点で研究を行っている。私たちは、サイバーセキュリティ・システム、製品、サービスに対する人々の相互作用をよりよく理解し、改善することを目指している。
To learn more about our latest projects, watch our latest videos, meet the team, or to view our publications, visit our revamped website. 最新のプロジェクトやビデオ、チーム紹介、出版物などについては、リニューアルしたウェブサイトで公表する。
We changed our name to eliminate misconceptions and better reflect the breadth of what we do. 私たちは、誤解をなくし、私たちの活動の幅広さをよりよく反映させるためにグループ名を変更した。
With this name change we aim to squash the misconception that we only address the usability of cybersecurity technologies and processes. When engaging with different audiences around the world as the Usable Cybersecurity program, we ran into some confusion around the types of projects we do and solutions we offer. It was sometimes believed or interpreted that we only conduct usability evaluations to improve user interfaces and websites or that we only focus on usability for “end users.” このグループ名変更により、私たちはサイバーセキュリティの技術やプロセスの使いやすさだけに取り組んでいるという誤解をなくすことを目指している。ユーザブル・サイバーセキュリティ・プログラムとして世界中のさまざまな聴衆と関わる際、私たちは、私たちが行うプロジェクトの種類や提供するソリューションについて、いくつかの混乱に遭遇した。私たちがユーザビリティ評価を行っているのは、ユーザー・インターフェースやWebサイトを改善するためだけであるとか、"エンド・ユーザー "のユーザビリティにのみ焦点を当てていると信じられたり、解釈されたりすることもあった。
Usability refers to how well people can use a system, product, or service to accomplish a goal with effectiveness, efficiency, and satisfaction in a specific context of use. The lack of usability in cybersecurity systems, products, and services can result in people making errors, becoming frustrated, or trying workarounds. After all, security is not most people’s primary task. ユーザビリティとは、特定の使用状況において、人々がシステム、製品、サービスをいかにうまく使い、効果的、効率的、満足的に目標を達成できるかということである。サイバーセキュリティのシステム、製品、サービスにおけるユーザビリティの欠如は、人々がエラーを起こしたり、フラストレーションを感じたり、回避策を試したりする結果になりかねない。結局のところ、セキュリティはほとんどの人にとって主要な仕事ではない。
Usability was originally and will remain a cornerstone of the program (like our authentication research that informed the usability considerations in NIST Special Publication 800-63). However, our program scope goes beyond that to more broadly consider the human element of cybersecurity: the relationships between individual human, social, organizational, and technological factors and how those relationships ultimately impact people’s experiences with and adoption of cybersecurity. For example, our work uncovering how social influences impact youth cybersecurity and privacy understandings and behaviors resulted in recommendations on how parents can talk to their kids about keeping safe online. Program efforts related to users’ smart home security perceptions helped inform labeling considerations in NIST’s Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products. As a resource for practitioners, we synthesized industry and research evidence to describe and offer suggestions to overcome common user misconceptions and pitfalls. NIST 特別刊行物 800-63 のユーザビリティに関する考察に情報を提供した本人認証研究のように)ユーザビリティはもともと、そしてこれからも、このプログラムの要である。つまり、個々の人間的、社会的、組織的、技術的要因間の関係、そしてそれらの関係が最終的に人々のサイバーセキュリティに関する経験やサイバーセキュリティの導入にどのような影響を与えるかということである。例えば、社会的影響が青少年のサイバーセキュリティやプライバシーに関する理解や行動にどのような影響を与えるかを明らかにした結果、オンライン上の安全確保について親が子供にどのように話しかければよいかを提言することになった。ユーザーのスマートホームセキュリティに関する認識に関するプログラムの取り組みは、NISTの「Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT)Products(消費者向けモノのインターネット(IoT)製品のサイバーセキュリティ表示に関する推奨基準)」におけるラベリングの検討に役立った。実務者向けのリソースとして、業界と研究の証拠を統合し、一般的なユーザーの誤解や落とし穴を克服するための説明と提案を行った。
We also expand the notion of “users” to all stakeholders of cybersecurity, including experts in the field. For example, we have completed projects exploring the work practices, skills, and challenges of cybersecurity advocates and cybersecurity awareness professionals. Our phishing research led to the development of the NIST Phish Scale as a measurement tool to better aid cybersecurity awareness and training staff in contextualizing their phishing simulation click rates. As you can see, all these projects address issues beyond the confines of traditional usability. また、「ユーザー」という概念を、この分野の専門家を含むサイバーセキュリティのすべての利害関係者にまで拡大している。例えば、サイバーセキュリティの提唱者やサイバーセキュリティ意識の専門家の仕事のやり方、スキル、課題を探るプロジェクトを完了した。私たちのフィッシング研究は、サイバーセキュリティの意識向上およびトレーニング担当者がフィッシング・シミュレーションのクリック率をより適切に把握するための測定ツールとして、NIST Phish Scaleの開発につながった。ご覧のように、これらのプロジェクトはすべて、従来のユーザビリティの枠を超えた問題に取り組んでいる。
We’ve updated our website to improve findability and reflect our recent projects. 我々は、見つけやすさを改善し、最近のプロジェクトを反映させるためにウェブサイトを更新した。
One of the goals of our program is to advance cybersecurity adoption and acceptance by getting our research into the hands of those who can take action within federal and non-federal sectors. We strive to help bridge the communication gap that can get in the way of cybersecurity and IT practitioners being informed of the relevant human-based research that could benefit their work and professional education.   私たちのプログラムの目標の1つは、連邦政府および連邦政府以外のセクターで行動を起こすことができる人々の手に私たちの研究を届けることによって、サイバーセキュリティの採用と受け入れを促進することである。私たちは、サイバーセキュリティやITの専門家たちが、彼らの仕事や専門教育に有益となるような、人間ベースの関連研究を知る妨げとなるコミュニケーションギャップを埋める一助となるよう努めている。 
To complement our new name, we decided it was the perfect time to revamp our website in hopes that our resources can be more easily found. We optimized the site with searchability in mind, using the proper keywords that will allow NIST’s resources to be more visible on the web. We reorganized our publications and presentations using easy-to-use navigation bars and updated the list of our current research topic areas to provide transparency and encourage collaboration. We will also highlight recent videos, media, and other program announcements on the front page. 新しいグループ名にふさわしく、私たちのリソースをより簡単に見つけてもらえるよう、ウェブサイトをリニューアルする絶好の機会だと判断した。NISTのリソースがウェブ上でより見やすくなるよう、適切なキーワードを使用し、検索性を念頭にサイトを最適化した。使いやすいナビゲーションバーを使って出版物やプレゼンテーションを再編成し、現在の研究テーマ分野のリストを更新することで、透明性を提供し、共同研究を促進する。また、最近のビデオ、メディア、その他のプログラム発表をトップページで紹介する。
We ultimately want to advance cybersecurity by empowering people to be active, informed partners in cybersecurity. 私たちは最終的に、人々がサイバーセキュリティにおいて能動的で情報豊富なパートナーになれるようにすることで、サイバーセキュリティを前進させたいと考えている。
Through our commitment to “champion the human in cybersecurity,” we humbly serve as a voice for people in a technology-dominated field. We seek to encourage and empower individuals to be active participants and have positive experiences with cybersecurity while, at the same time, improving cybersecurity outcomes for individuals and organizations. We want to provide actionable guidance and evidence and help facilitate connections between researchers and practitioners to keep people informed of the latest updates in human-centered cybersecurity. We will continue to advocate and educate stakeholders on ways to overcome common human element challenges while also learning from others’ experiences through engagement with the community at events, social media, podcasts, articles, etc. サイバーセキュリティにおける人間性を支持する」というコミットメントを通じて、私たちはテクノロジーに支配された分野における人々の代弁者として謙虚に奉仕する。私たちは、個人がサイバーセキュリティに積極的に参加し、積極的な経験をすることを奨励し、力を与えると同時に、個人と組織のサイバーセキュリティの成果を改善することを目指している。私たちは、実用的なガイダンスとエビデンスを提供し、研究者と実務者のつながりを促進することで、人間中心のサイバーセキュリティの最新情報を人々に提供し続けたいと考えている。私たちは、イベント、ソーシャルメディア、ポッドキャスト、記事などでのコミュニティとの関わりを通じて、他の人々の経験から学ぶと同時に、人間的要素に関する一般的な課題を克服する方法について、関係者を提唱し、教育し続ける。

 

新しいウェブサイト

Human-Centered Cybersecurity

1_20231004062701

 

研究領域

| | Comments (0)

2023.08.25

シンガポール CSR 大統領選に向け立候補者、有権者、それぞれに向けてサイバー関連の注意喚起

こんにちは、丸山満彦です。

シンガポールでは9月1日の大統領選に向けて大詰めというところでしょう。

最近の選挙は、国外からの干渉や、選挙にかこつけたフィッシング等の問題もあるので、シンガポールのサイバーセキュリティ庁 (Cyber Security Agency) が、立候補者及び有権者に向けて注意喚起をしていますね。。。

米国では、選挙業務は重要インフラになっていますしね。。。

日本の選挙でも、こういう注意喚起をしてもよいかもですが、どうなんでしょうかね。。。言われなくてもわかっているんですかね。。。

 

Cyber Security Agency; CSA

有権者に向けたフィッシング等についての注意喚起

・2023.08.22 Advisory on Cybersecurity during Elections for Voters

Advisory on Cybersecurity during Elections for Voters 有権者のための選挙中のサイバーセキュリティに関するアドバイザリー
Introduction 序文
With the widespread adoption of digital usage, many activities that were traditionally conducted in person have shifted to the digital space or transformed into a hybrid format. Election campaigning is one such example, with election candidates conducting campaign activities online to expand their reach to the electorate. Some examples include the use of social media to hold online rallies or leveraging Zoom to host Q&A sessions. デジタルの普及に伴い、従来は対面で行われていた多くの活動がデジタル空間に移行したり、ハイブリッド形式に変化したりしている。選挙運動もその一例であり、選挙候補者は選挙民へのリーチを拡大するためにオンラインで選挙活動を行う。ソーシャルメディアを活用してオンライン集会を開いたり、Zoomを活用して質疑応答セッションを開いたりする例もある。
However, this shift to the digital space provides cyber threat actors with more opportunities to conduct cyber-attacks against unsuspecting victims. This advisory provides voters with information on potential cyber threats and the measures that can be taken to mitigate or reduce the risk of falling victim. しかし、このようなデジタル空間への移行は、サイバー脅威行為者に、無防備な被害者に対してサイバー攻撃を行う機会を与えることになる。本アドバイザリーでは、潜在的なサイバー脅威に関する情報と、被害に遭うリスクを軽減・低減するための対策を有権者に提供する。
Potential Cyber Threats サイバー脅威の可能性
During an election, threat actors may take advantage of election fervour and incorporate election-based themes in their attacks to increase their chances of success. Some of these potential cyber threats include: 選挙期間中、脅威行為者は選挙熱を利用し、成功の可能性を高めるために選挙に基づいたテーマを攻撃に組み込む可能性がある。このような潜在的サイバー脅威には、以下のようなものがある:
Phishing フィッシング
Threat actors may compromise the social media accounts of election candidates and political parties or create fake social media accounts to launch phishing attacks. Threat actors could also create websites that mimic the content of official campaign websites to carry out social engineering attacks. During such attacks, unsuspecting victims may inadvertently provide sensitive information or perform financial transactions at the behest of the threat actor impersonating the election candidate or political party as a gesture of support. 脅威行為者は、選挙候補者や政党のソーシャルメディアのアカウントを侵害したり、偽のソーシャルメディアのアカウントを作成してフィッシング攻撃を仕掛ける可能性がある。脅威行為者はまた、ソーシャル・エンジニアリング攻撃を実行するために、選挙運動の公式ウェブサイトのコンテンツを模倣したウェブサイトを作成する可能性もある。このような攻撃では、疑うことを知らない被害者が、選挙候補者や政党になりすました脅威行為者の指示により、支援の意思表示として、不用意に機密情報を提供したり、金融取引を実行したりする可能性がある。
Malware Distribution/Infection マルウェアの配布/感染
Threat actors may attempt to trick voters or members of public into downloading malware masquerading as legitimate software widely used during the election campaign. Such software may include video conferencing applications (apps) that election candidates and political parties use to conduct their campaign activities online. When downloaded and installed onto the victim’s device, the malware could potentially lead to unauthorised access, data breaches or other malicious activities. 脅威行為者は、有権者や一般市民を騙して、選挙キャンペーン中に広く使用されている正規のソフトウェアを装ったマルウェアをダウンロードさせようとする可能性がある。このようなソフトウェアには、選挙候補者や政党がキャンペーン活動をオンラインで行う際に使用するビデオ会議アプリケーション(アプリ)が含まれる可能性がある。ダウンロードされ、被害者のデバイスにインストールされると、マルウェアは不正アクセス、データ侵害、その他の悪質な行為につながる可能性がある。
Cyber Hygiene Measures for Voters 有権者のためのサイバー衛生対策
To better defend against such cyber threats, voters and members of public should adopt the following cyber hygiene measures: このようなサイバー脅威から身を守るために、有権者や一般市民は以下のようなサイバー衛生対策をとるべきである:
Download Software from Official Sources ソフトウェアは公式ソースからダウンロードする
Download apps only from official sources and pay attention to the security permissions required by the app and/or its privacy policy. Be particularly wary of apps that request for unnecessary permissions on your device that may not be necessary for the app to function. アプリは公式ソースからのみダウンロードし、アプリやプライバシー・ポリシーが要求するセキュリティ許可に注意を払うこと。特に、アプリが機能するために必要でないかもしれない不必要なパーミッションをデバイスに要求するアプリには注意すること。
Be Vigilant Against Phishing Attempts フィッシング詐欺に注意する
Be vigilant when receiving emails and messages, particularly those asking for sensitive information or requests for financial payments. This stance should not change even if the purported sender of the email or message is from an election candidate or political party. To check if the email or message is authentic, voters and members of public should: 電子メールやメッセージ、特に機密情報や金銭的な支払いを要求するようなものを受け取る際には用心すること。この姿勢は、メールやメッセージの差出人が選挙候補者や政党であっても変わらない。メールやメッセージが本物かどうかを確認するために、有権者や一般市民は以下のことを行うべきである:
・Closely examine the URL link(s), if any, to check that the website is legitimate before clicking on the link. ・リンクをクリックする前に、URLリンク(もしあれば)をよく調べ、そのウェブサイトが正当なものであることを確認する。
・Refrain from clicking on URL links in unsolicited emails and messages. ・迷惑メールやメッセージのURLリンクをクリックしない。
・Always verify the authenticity of the information with official websites or sources. ・情報の真偽は必ず公式サイトや情報源で確認すること。
・Never disclose any sensitive or financial information. ・機密情報や金銭的な情報は決して開示しないこと。
It is crucial for voters and other members of the public to exercise discernment when encountering information requests on social media platforms, messaging platforms and websites during the election period. By being vigilant and critically assessing the information received, you can safeguard yourself from potential monetary losses and protect your devices from malware infection.  選挙期間中、ソーシャルメディア、メッセージング・プラットフォーム、ウェブサイト上で情報要求に遭遇した場合、有権者やその他の一般市民が識別力を発揮することが極めて重要である。用心深く、受け取った情報を批判的に評価することで、潜在的な金銭的損失から身を守り、マルウェア感染からデバイスを保護することができる。 

 

立候補者向けの海外からの干渉についての注意喚起

・2023.08.15 MHA-CSA-ELD Joint News Release: Advisory to Presidential Election Candidates about the Threat of Foreign Interference and Cybersecurity Risks

MHA-CSA-ELD Joint News Release: Advisory to Presidential Election Candidates about the Threat of Foreign Interference and Cybersecurity Risks MHA-CSA-ELD 共同ニュースリリース: 外患誘致の脅威とサイバーセキュリティリスクに関する大統領選挙候補者への勧告
The Ministry of Home Affairs, the Cyber Security Agency of Singapore and the Elections Department would like to advise Presidential Election candidates about the threat of foreign interference in elections and cybersecurity risks. 内務省、シンガポール・サイバーセキュリティ庁および選挙管理局は、大統領選挙立候補者に対し、外国による選挙干渉の脅威とサイバーセキュリティリスクについて助言する。
Foreign Interference in Elections 選挙への外国からの干渉
2. Foreign interference includes attempts by foreign actors to manipulate domestic politics through covert and deceptive means, which undermines political sovereignty and harms social cohesion. In the last few years, there have been reports of alleged foreign interference in the elections of other countries, e.g. United States Presidential Election (2020), United States Mid-Term Elections (2018), French Presidential Elections (2017).   2. 外国からの干渉には、外国の主体が秘密裏かつ欺瞞的な手段で国内政治を操作しようとする試みが含まれ、政治主権を損ない、社会的結束を害する。ここ数年、米国大統領選挙(2020年)、米国中間選挙(2018年)、フランス大統領選挙(2017年)など、他国の選挙に対する外国からの干渉の疑いが報告されている。  
3. Singapore is not immune. Singapore’s politics should be decided by Singaporeans alone.  We should do all we can to safeguard the integrity of our electoral processes.   3. シンガポールも無関係ではない。シンガポールの政治はシンガポール人だけで決めるべきだ。  我々は、選挙プロセスの完全性を守るために全力を尽くすべきである。  
4. The Elections Department’s webpage on Foreign Interference in Domestic Politics provides information on some methods used by foreign actors to interfere in elections, and precautions Presidential Election candidates can take to mitigate the risks of becoming a target of foreign interference, or unwittingly facilitating it. The Singapore Government too, will be on alert for foreign interference. 4. 選挙管理局の「国内政治への外国からの干渉」に関するウェブページでは、外国人による選挙干渉の手法や、大統領選候補者が外国からの干渉の標的になったり、知らず知らずのうちにそれを助長したりするリスクを軽減するために取るべき予防策についての情報が提供されている。シンガポール政府も外国からの干渉を警戒している。
Cybersecurity Risks サイバーセキュリティのリスク
5. There have been instances of malicious cyber activity such as disruption, defacement, or data theft during the elections of other countries, which have affected their electorates’ confidence in the election processes. As a highly digitally-connected nation, Singapore must guard against attempts to (i) disrupt the election processes; or (ii) cast doubts on the integrity of the Presidential Election. The Advisory on Cybersecurity for Elections in Singapore provides Presidential Election candidates with information on potential cyber threats to their activities and the preventive measures they can take to mitigate the risks. 5. 他国の選挙では、混乱、改ざん、データ窃盗などの悪質なサイバー行為が行われ、選挙プロセスに対する有権者の信頼に影響を与えた例がある。高度にデジタル接続された国家として、シンガポールは(i)選挙プロセスを混乱させる試み、(ii)大統領選挙の完全性に疑念を抱かせる試みを警戒しなければならない。シンガポールの選挙のためのサイバーセキュリティに関するアドバイザリーは、大統領選挙の候補者に、候補者の活動に対する潜在的なサイバー脅威と、リスクを軽減するための予防策に関する情報を提供する。
Role of Presidential Election Candidates 大統領選挙候補者の役割
6. Presidential Election candidates play an important role in safeguarding the integrity of the election. They should enhance their understanding of the threat of foreign interference, and their cybersecurity posture. Candidates should find out more about the precautionary measures they can take to protect their information technology infrastructure, online and social media accounts, as well as the storage and management of their data. They are also advised to stay vigilant by monitoring their platforms for suspicious activity and not re-share posts or tweets of suspicious provenance. 6. 大統領選挙の候補者は、選挙の完全性を守る上で重要な役割を果たす。候補者は、外国からの干渉の脅威とサイバーセキュリティ態勢についての理解を深めるべきである。候補者は、情報技術インフラ、オンラインアカウント、ソーシャルメディアアカウント、データの保存と管理を保護するための予防措置について詳しく知るべきである。また、不審な動きがないかプラットフォームを監視し、疑わしい出所の投稿やツイートを再共有しないなど、警戒を怠らないよう助言される。
7. Presidential Election candidates should make a Police report immediately, and keep the Elections Department informed, if they detect or suspect foreign interference in the election, or that their account(s) or system(s) have been compromised or misused. 7. 大統領選挙の候補者は、選挙に対する外国からの干渉、あるいはアカウントやシステムが侵害されたり悪用されたりしたことを検知したり疑ったりした場合、直ちに警察に通報し、選挙管理局に報告すること。

 

ウェブページ

FOREIGN INTERFERENCE

FOREIGN INTERFERENCE IN DOMESTIC POLITICS 国内政治への外国からの干渉
Foreign interference includes attempts by foreign actors to manipulate domestic politics through covert and deceptive means, which undermines political sovereignty and harms social cohesion. 外国からの干渉とは、政治主権を弱体化させ、社会的結束を害するような、外国の主体による隠密かつ欺瞞的な手段による国内政治操作の試みを含む。
In the last few years, there have been many reports of alleged foreign interference in the elections of other countries, e.g. United States Presidential Election (2020), United States Mid-Term Elections (2018), French Presidential Elections (2017). Singapore is not immune. There is a need to guard against foreign actors who seek to manipulate Singapore’s domestic politics and interfere with elections outcomes. Singapore’s politics should be decided by Singaporeans alone. ここ数年、米国大統領選挙(2020年)、米国中間選挙(2018年)、フランス大統領選挙(2017年)など、他国の選挙に外国が干渉したとされる事例が数多く報告されている。シンガポールも無縁ではない。シンガポールの国内政治を操作し、選挙結果に干渉しようとする外国のアクターを警戒する必要がある。シンガポールの政治はシンガポール人だけで決めるべきだ。
SOME METHODS OF FOREIGN INTERFERENCE IN ELECTIONS 外国人による選挙干渉の手口
Generally, the objective of foreign actors interfering in elections is to shape the sentiment and voting behaviour of the electorate in a manner consistent with the desired outcome of the foreign actor. It is often done through the coordinated use of covert and subversive means, including the following: 一般に、外国勢力が選挙に介入する目的は、外国勢力が望む結果に一致するように有権者の感情や投票行動を形成することである。それは多くの場合、以下のような隠密かつ破壊的な手段を協調的に用いることによって行われる:
Disinformation 偽情報
Disinformation refers to false information with intent to mislead, and often takes the form of deliberately distorted or fabricated news content. In the context of an election, disinformation could involve: (a) the manipulation of public opinion through misleading narratives about electoral processes; (b) attempts to confuse the public about electoral regulations and their enforcement; and (c) narratives that undermine trust in politics and institutions. Disinformation could also seek to stir up the electorate on socially divisive issues or developments of significant public interest, so as to sway public opinion about a candidate or affect a candidate’s electoral chances. 偽情報とは、誤解を招くことを意図した虚偽の情報を指し、多くの場合、意図的に歪曲または捏造されたニュース内容の形をとる。選挙の文脈では、偽情報には、(a)選挙プロセスに関する誤解を招くような叙述による世論操作、(b)選挙規則とその施行について国民を混乱させようとする試み、(c)政治や機構に対する信頼を損なうような叙述が含まれる。偽情報はまた、候補者に関する世論を揺さぶったり、候補者の選挙チャンスに影響を与えたりするために、社会的に分裂している問題や、社会的に大きな関心を集めている出来事について、選挙民をかき乱そうとすることもある。
Sentiment amplification 感情の増幅
Sentiment amplification refers to the deliberate attempt to artificially inflate the spread and prominence of narratives which are useful for the foreign actor’s agenda. Such amplification could involve the coordinated use of fake accounts, cyber armies, trolls and bots. In the context of an election, the narratives inflated to prominence could consist of disinformation or false impressions of public opinion about political parties, candidates or campaign policies. The narratives could also contain inflammatory material which could result in impact on a candidate’s electoral chances, or even social division and polarisation, and public order and security risks. 感情の増幅とは、外国のアクターのアジェンダにとって有益なナラティブの広がりや注目を人為的に高めようとする意図的な試みを指す。このような増幅には、偽アカウント、サイバー軍、トロール、ボットの協調的利用が含まれる。選挙の文脈では、目立つように増幅されたナラティブは、政党、候補者、選挙政策に関する偽情報や世論の誤った印象で構成される可能性がある。ナラティブには扇動的な内容も含まれる可能性があり、その結果、候補者の選挙チャンスに影響を与えたり、社会分裂や分極化、公序良俗や治安のリスクにつながる可能性もある。
Identity falsification アイデンティティの改ざん
Identity falsification is the creation of fake online identities for false-front interaction with target audiences. The objective is to create the impression of authentic behaviours and personas, so as to build a network of followers who could eventually become the vectors or targets of the foreign actor’s interference campaign. アイデンティティの改ざんとは、ターゲットとするオーディエンスとの偽の交流のために、偽のオンライン・アイデンティティを作成することである。その目的は、本物の行動やペルソナのような印象を与えることであり、最終的に外国人行為者の干渉キャンペーンのベクトルやターゲットとなりうるフォロワーのネットワークを構築することである。
Party or campaign financing 政党や選挙運動の資金調達
The funding of a candidate’s election campaign by foreign actors, whether directly or through a proxy, is an attempt to support and increase the chances of the party or candidate to be elected to power, which the foreign actor assesses to be in its interests. 外国のアクターによる候補者の選挙運動への資金提供は、直接であれ代理人を通じてであれ、外国のアクターが自国の利益になると評価する政党や候補者を支援し、政権に選出される可能性を高めようとするものである。
Cultivation of political entities 政治事業体の育成
This refers to a foreign actor’s covert cultivation of favourable relationships with particular electoral candidate(s). It could entail promises of business incentives (or the threat to withhold such), donations or titles, under the guise of purported legitimate platforms (e.g. academic titles, institutional linkages). これは、外国アクターが特定の選挙候補者と有利な関係を秘密裏に構築することを指す。これは、合法的な基盤(例:学術的肩書き、機構とのつながり)を装って、ビジネス上のインセンティブ(またはそれを差し控えるという脅し)、献金、肩書きを約束することを伴う。
PRECAUTIONARY MEASURES 予防措置
All Singaporeans should exercise individual vigilance, to safeguard the integrity of elections. すべてのシンガポール国民は、選挙の完全性を守るため、各自警戒を怠らないこと。
Candidates have a responsibility to raise their awareness of potential foreign interference threats, improve digital literacy, and be on the alert for suspicious behaviours and hidden agendas. They are also recommended to take the following precautions: 候補者には、外国からの干渉の脅威に対する意識を高め、デジタルリテラシーを向上させ、不審な行動や隠された意図を警戒する責任がある。また、以下のような予防策を講じることも推奨される:
a. fact-check information received to ensure that it is accurate and/or authentic, or from a credible source, before sharing or reacting to it in the context of their election campaign; a. 選挙運動の文脈で情報を共有したり反応したりする前に、受け取った情報が正確かどうか、あるいは本人認証されているかどうか、あるいは信頼できる情報源からのものであるかどうかを、事実確認すること;
b. monitor their own social media platforms for suspicious or anomalous activity; and b. 自身のソーシャルメディア・プラットフォームを監視し、不審な動きや異常な動きがないか確認する。
fc. amiliarise with and abide by the Foreign Interference (Countermeasures) Act 2021 and the Political Donations Act 2000. c. 2021年外国人干渉(対策)法と2000年政治献金法を熟知し、遵守すること。
Should any candidate suspect that they are the target of foreign interference activities, they should make a police report and keep the Elections Department informed. For further information on foreign interference, visit the Ministry of Home Affairs' Introduction to Foreign Interference (Countermeasures) Act (FICA) webpage. 万が一、候補者が外患誘致活動の標的になっていると疑われる場合は、警察に通報し、選挙管理局に報告すること。外国人干渉に関する詳細は、内務省の外国人干渉(対策)法の序文(FICA)のウェブページを参照のこと。

 

 

 

 

勧告...

・[PDF] ADVISORY ON CYBERSECURITY FOR ELECTIONS IN SINGAPORE

20230825-22159

 

 

ADVISORY ON CYBERSECURITY FOR ELECTIONS IN SINGAPORE  シンガポールにおける選挙のサイバーセキュリティに関する勧告 
Introduction  序文 
Election campaigns were traditionally conducted physically. As the world rapidly digitalised, election campaign activities are increasingly being conducted online or in hybrid format. While the transition online has made it more convenient for election candidates and political parties while increasing the reach to the voters, the IT systems underpinning such activities are susceptible to cyber-attacks.   選挙運動は従来、物理的に行われてきた。世界が急速にデジタル化するにつれ、選挙運動はオンラインまたはハイブリッド形式で行われることが多くなっている。オンライン化によって選挙候補者や政党の利便性が向上し、有権者へのリーチが広がる一方で、こうした活動を支えるITシステムはサイバー攻撃の影響を受けやすくなっている。 
Examples of online campaign activities range from holding online rallies on social media platforms like Facebook to organising Q&A sessions on video conference platforms such as Zoom. To ensure that all online campaign activities are protected from cyber threats, election candidates and political parties should take appropriate precautionary measures to protect their digital assets. These assets include smartphones, computers, storage devices and online websites and accounts.  オンライン・キャンペーン活動の例としては、フェイスブックなどのソーシャルメディア・プラットフォームでのオンライン集会の開催から、Zoomなどのビデオ会議プラットフォームでの質疑応答セッションの開催まで、多岐にわたる。すべてのオンライン選挙活動をサイバー脅威から確実に守るために、選挙候補者と政党は、デジタル資産を保護するための適切な予防措置を講じるべきである。これらの資産には、スマートフォン、コンピューター、ストレージデバイス、オンラインウェブサイトやアカウントが含まれる。
The purpose of this advisory is to provide election candidates and political parties with information on potential cyber threats to their activities and the preventive measures they can take to mitigate the risk of cyber incidents disrupting their activities.   この勧告の目的は、選挙候補者と政党に、彼らの活動に対する潜在的なサイバー脅威と、彼らの活動を妨害するサイバーインシデントのリスクを軽減するために講じることができる予防措置に関する情報を提供することである。 
Potential Cyber Threats  サイバー脅威の可能性 
There have been reports from several countries of cyber-attacks that use a variety of techniques to target political parties, elected parliamentarians and election candidates. These attacks may be part of a wider intent to influence voters, undermine public confidence in the election process or disrupt campaign efforts. Some potential cyber threats may include:  政党、選挙で選ばれた国会議員、選挙候補者を標的に、さまざまな手法を用いてサイバー攻撃を仕掛けていることが、いくつかの国から報告されている。こうした攻撃は、有権者に影響を与えたり、選挙プロセスに対する国民の信頼を損なったり、選挙活動を妨害したりする、より広範な意図の一部である可能性がある。サイバー脅威には以下のようなものがある: 
Data Theft / Breaches  データ盗難/漏洩 
A data breach occurs when a threat actor successfully infiltrates a data source and extracts sensitive information. These assets can be compromised via various attack vectors, including social engineering, exploitation of software vulnerabilities or malware infection. Data that was exfiltrated could be published or sold, potentially damaging the credibility or reputation of the party or candidate. If the stolen data included account credentials, the threat actor could also leverage that information to launch further attacks on related IT systems, which may disrupt campaign efforts.  データ侵害は、脅威行為者がデータソースへの侵入に成功し、機密情報を抜き取ることで発生する。これらの資産は、ソーシャル・エンジニアリング、ソフトウェアの脆弱性の悪用、マルウェア感染など、さまざまな攻撃ベクトルによって侵害される可能性がある。流出したデータは公表または販売される可能性があり、政党や候補者の信頼性や評判を損なう可能性がある。窃取されたデータにアカウント情報が含まれていた場合、脅威行為者はその情報を活用して関連するITシステムにさらなる攻撃を仕掛け、選挙活動を妨害する可能性もある。
Website Defacement  ウェブサイトの改ざん 
Website defacement takes place when a threat actor gains unauthorised access to a website and changes its visual appearance. The defacement may be performed on the homepage or the sub-pages. Disturbing or graphic images or messages expressing a certain point of view may be left on the website, potentially damaging the credibility or reputation of the party or candidate. The threat actor could also delete website content to disrupt access or publish misleading information that could affect the party or candidate’s reputation.   ウェブサイトの改ざんは、脅威行為者がウェブサイトに不正アクセスし、その外観を変更することで行われる。改ざんはホームページやサブページで行われることがある。不穏当な、あるいはグラフィックな画像や、特定の視点を表現するメッセージがウェブサイトに残され、政党や候補者の信頼性や評判が損なわれる可能性がある。脅威行為者はまた、アクセスを妨害するためにウェブサイトのコンテンツを削除したり、政党や候補者の評判に影響を与えるような誤解を招く情報を公開したりする可能性もある。 
Distributed Denial of Service (DDoS)  分散型サービス拒否(DDoS) 
A DDoS attack is a malicious attempt to make an online service unavailable to legitimate users by flooding the victim’s network with traffic from various sources. Such attacks use multiple compromised internet-connected devices to exhaust the capacity of the victim’s network to handle multiple requests or connections. This could result in potential voters being unable to access online services and information, and potentially undermining the effectiveness of campaigning by the party or candidate.  DDoS攻撃は、様々なソースからのトラフィックで被害者のネットワークをフラッディングすることで、正規のユーザーがオンラインサービスを利用できないようにする悪意のある試みである。このような攻撃は、複数の侵害されたインターネット接続デバイスを使用して、被害者のネットワークが複数の要求や接続を処理する能力を使い果たす。その結果、潜在的な有権者がオンラインサービスや情報にアクセスできなくなり、政党や候補者によるキャンペーンの効果が損なわれる可能性がある。
Ransomware  ランサムウェア 
Ransomware is a type of malware designed to encrypt files stored in a compromised system until a ransom is paid. All affected (encrypted) files are not recoverable unless a decryption key is available. Some ransomware variants may also perform lateral movement to encrypt files stored in shared or network drives, including backups connected to the compromised network. There is no guarantee that victims will get the decryption key or recover their data after paying the ransom.  ランサムウェアは、身代金が支払われるまで、侵害されたシステムに保存されているファイルを暗号化するように設計されたマルウェアの一種である。影響を受けた(暗号化された)ファイルはすべて、復号化キーが入手できない限り復元できない。ランサムウェアの亜種の中には、侵害されたネットワークに接続されたバックアップを含む共有ドライブやネットワークドライブに保存されたファイルを暗号化するために、横方向の移動を行うものもある。身代金を支払っても、被害者が復号鍵を入手したり、データを回復したりできるという保証はない。
A ransomware attack is typically carried out via phishing emails that contain malicious attachments or links. Users’ devices could get infected when they click on these attachments or links. It could also occur when unsuspecting victims unknowingly visit an infected website that downloads and installs the malware onto their device. The inability to access encrypted files may disrupt campaigning by the party or candidates.  ランサムウェア攻撃は通常、悪意のある添付ファイルやリンクを含むフィッシングメールを介して行われる。ユーザーがこれらの添付ファイルやリンクをクリックすると、デバイスが感染する可能性がある。また、疑うことを知らない被害者が感染したウェブサイトを訪問し、マルウェアをダウンロードしてデバイスにインストールした場合にも発生する可能性がある。暗号化されたファイルにアクセスできなくなることで、政党や候補者による選挙活動が妨害される可能性がある。
Exploitation of Vulnerabilities  脆弱性の悪用 
Vulnerabilities in IT systems refer to flaws in the code or design that creates a potential point of compromise for a computer or network. When successfully exploited, it can lead to unauthorised access to the IT system, allowing the threat actor to steal, modify, or delete data. This could potentially disrupt campaign activities.  ITシステムにおける脆弱性とは、コードや設計に欠陥があり、コンピュータやネットワークが危険にさらされる可能性があることを指す。悪用に成功すると、ITシステムへの不正アクセスにつながり、脅威行為者がデータを盗んだり、修正したり、削除したりできるようになる。これにより、キャンペーン活動が妨害される可能性がある。
Compromised/Fake Social Media Accounts  侵害された/偽のソーシャルメディアアカウント 
Threat actors could compromise social media accounts belonging to election candidates or political parties to spread misleading information. Impersonation accounts mimicking legitimate candidates or parties may also be created on various social media platforms for the same purpose. Where possible, candidates are advised to get their social media accounts verified.  脅威行為者は、選挙候補者や政党のソーシャルメディアアカウントを侵害し、誤解を招く情報を拡散させる可能性がある。合法的な候補者や政党を模倣したなりすましアカウントも、同じ目的でさまざまなソーシャルメディア・プラットフォーム上に作成される可能性がある。可能であれば、候補者はソーシャルメディアのアカウントを確認することをお勧めする。
Insider Threats  内部者の脅威 
Insider threats refer to threats that come from someone inside the organisation who has authorised access to a network. He may wittingly or unwittingly use such access to harm the network. A malicious insider within an election campaign may intentionally steal sensitive information or degrade the network’s security to allow unauthorised access from external sources. Data that may be exfiltrated as a result could potentially damage the reputation or credibility of the party or candidate.   内部者の脅威とは、ネットワークへのアクセスを許可された組織内部の人物からもたらされる脅威を指す。故意に、あるいは無意識のうちに、そのようなアクセスを利用してネットワークに危害を加える可能性がある。選挙運動中の悪意ある内部関係者は、意図的に機密情報を盗んだり、ネットワークのセキュリティを低下させて外部からの不正アクセスを許すかもしれない。その結果流出したデータは、政党や候補者の評判や信用を損なう可能性がある。 
Social Engineering  ソーシャル・エンジニアリング 
Social engineering is a manipulation technique that exploits human error to gain confidential information, access, or valuables. There are several types of social engineering attacks, including phishing, vishing, or baiting. All these types of attacks rely on human errors to successfully attain information, gain access, or reap monetary gains. Successful exfiltration of data could potentially damage the credibility or reputation of the party or candidate.  ソーシャル・エンジニアリングは、機密情報、アクセス、または貴重品を得るために人為的ミスを悪用する操作技術である。ソーシャル・エンジニアリング攻撃には、フィッシング、ビッシン グ、おとりなどいくつかの種類がある。これらのタイプの攻撃はすべて、情報の取得、アクセス権の獲得、金銭的利益の獲得に成功するためのヒューマンエラーに依存している。データの流出が成功すれば、政党や候補者の信用や評判を損なう可能性がある。
Precautionary Measures for Election Candidates and Political Parties  選挙候補者と政党のための予防策 
Various IT equipment and systems may be used to support election candidates or political parties’ campaigns. The use of such technologies may introduce potential cyber threats highlighted in the previous section. Election candidates and political parties need to be responsible for their own cybersecurity and are advised to take precautionary measures to safeguard their digital assets.   選挙候補者や政党のキャンペーンを支援するために、さまざまなIT機器やシステムが使用される可能性がある。そのような技術の使用は、前節で強調した潜在的なサイバー脅威をもたらす可能性がある。選挙候補者や政党は、自らのサイバーセキュリティに責任を持つ必要があり、デジタル資産を保護するための予防措置を講じることが推奨される。 
Election candidates and political parties should appoint a responsible person to take charge of their campaign’s cybersecurity matters. Due consideration should also be placed on engaging a cybersecurity vendor to review and manage the cybersecurity posture of the election campaign systems as well as to respond to any cybersecurity incident.   選挙候補者や政党は、選挙運動のサイバーセキュリティに関する事項を担当する責任者を任命すべきである。また、選挙運動システムのサイバーセキュリティ態勢を検討・管理し、サイバーセキュリティインシデントに対応するために、サイバーセキュリティベンダーを雇うことも十分に考慮すべきである。 
Some precautionary measures that can be implemented by election candidates and political parties to safeguard their cybersecurity are provided below. Please note that the measures provided are not exhaustive.   選挙候補者や政党がサイバーセキュリティを守るために実施できる予防策を以下に示す。なお、プロバイダが提供する対策はすべてを網羅しているわけではない。 
Establish Strict Access Control  厳格なアクセス・コントロールを確立する 
- Perform a stock take of all digital assets owned and used by the election campaign. For example, there should be clear awareness of what, where and how data is stored in each device.  ・選挙キャンペーンが所有・使用するすべてのデジタル資産の棚卸しを行う。例えば,各デバイスに何が,どこに,どのようにデータが保存されているかを明確に認識する。
- Institute strict control over administrator and remote access privileges to digital assets. The principle of least privileges should be followed as much as possible.  ・デジタル資産への管理者権限やリモートアクセス権限を厳格に管理する。最小権限の原則にできるだけ従うべきである。
- Establish a whitelist of applications that are allowed to run on device(s) used for campaign purposes especially those containing or processing sensitive data. All other applications should be disallowed.  ・キャンペーン目的で使用されるデバイス,特に機密データを含む,または処理するデバイスで実行が許可されるアプリケーションのホワイトリストを確立する。その他のアプリケーションはすべて許可しない。
Enforce Strong Password Management  強固なパスワード管理を実施する 
- Institute minimum password lengths and complexities for campaign and campaignrelated accounts. A strong password would generally comprise at least 12 characters with a mix of upper- and lower-case letters, numbers, and special characters.  ・キャンペーンおよびキャンペーン関連のアカウントについて,最小限のパスワードの長さと複雑さを設定する。強力なパスワードは一般的に,大文字と小文字,数字,特殊文字を組み合わせた少なくとも12文字で構成される。
- Implement multi-factor authentication (MFA) to further secure online accounts.  ・多要素認証(MFA)を導入し、オンラインアカウントの安全性を高める。
- Raise awareness amongst account holders on safeguarding account credentials (e.g. do not share the credentials with anyone and do not write the password down on paper).  ・アカウント保有者の間で、アカウント認証情報の保護に関する意識 を高める(認証情報を誰とも共有しない、パスワードを紙に書 き出さないなど)。
Perform Regular Software Updates   ソフトウェアのアップデートを定期的に行う  
- Firmware and software should always be updated promptly to protect campaign devices from known vulnerabilities.  ・キャンペーン・デバイスを既知の脆弱性から守るため,ファームウェアとソフトウエアは常に迅速に更新する。
- Set automatic updates where feasible.  ・可能であれば自動アップデートを設定する。
Regularly Backup Important Data  重要なデータを定期的にバックアップする 
- Regularly backup important data on devices to ensure data integrity and availability in the event of a cybersecurity incident such as ransomware. Backups should be stored disconnected from the organisation’s network and kept offline, so as to prevent threat actors from being able to compromise both the primary system as well as the backup system in the same attack.  ・ランサムウェアのようなサイバーセキュリティインシデントが発生した場合にデータの完全性と可用性を確保するために,デバイス上の重要なデータを定期的にバックアップする。脅威行為者が同じ攻撃でプライマリ・システムとバックアップ・システムの両方を侵害できないように,バックアップは組織のネットワークから切り離してオフラインの状態で保存する。
Raise Cybersecurity Awareness Amongst Campaign Staff  選挙スタッフのサイバーセキュリティ意識を高める 
- Educate campaign staff on common cybersecurity threats such as phishing.  ・フィッシングなどの一般的なサイバーセキュリティの脅威についてキャンペーンスタッフを教育する。
- Remind them that they should practice good cyber hygiene and implement preventive measures.  ・適切なサイバー衛生を実践し,予防策を実施すべきであることを再認識させる。
- Establish clear lines of communication for incident reporting. Campaign staff should also be encouraged to report near-miss incidents.  ・インシデント報告のための明確なコミュニケーションラインを確立する。選挙スタッフにもインシデントのニアミスを報告するよう促す。
- Train campaign staff to spot signs of compromise (e.g. not able to login using original password, receiving a ransom message, sudden presence of unknown applications installed in device, or inexplicable activities detected on their device(s)).  ・選挙スタッフが侵害の兆候(元のパスワードでログインできない、身代金要求メッセージを受信した、デバイスに未知のアプリケーションが突然インストールされた、デバイスで不可解なアクティビティが検出されたなど)を発見できるよう検知訓練を行う。
Develop Cybersecurity Monitoring and Incident Response Capabilities  サイバーセキュリティのモニタリングとインシデント対応能力を開発する。
- Establish cybersecurity monitoring capabilities to detect breaches or breach attempts. Such capabilities can take the form of installed technologies such as Endpoint Detection and Response (EDR).  ・侵害または侵害の試みを検知するためのサイバーセキュリティ監視能力を確立する。このような能力は、EDR(Endpoint Detection and Response:エンドポイント検知・応答)のような導入済みテクノロジーの形をとることができる。
- Perform regular security assessments on election campaign related websites using reputable tools such as SSL Labs, MxToolbox, or the Cyber Security Agency of Singapore’s Internet Hygiene Portal to identify possible flaws for remediation.  ・SSL Labs、MxToolbox、Cyber Security Agency of Singapore's Internet Hygiene Portal などの評判の良いツールを使用して、選挙キャンペーン関連のウェブサイトのセキュリティ評価を定期的に実施し、改善の可能性がある欠陥を特定する。
- Enable loggings of network traffic and security events. Logs should be retained for a suitable period (e.g. 6 months) to facilitate any investigations in the event of a cybersecurity incident.  ・ネットワーク・トラフィックとセキュリティ・イベントのロギングを有効にする。サイバーセキュリティインシデントが発生した場合の調査を容易にするため、ログを適切な期間(6 カ月など)保持する。
- Develop an incident response and management plan to ensure that all stakeholders know their role. The following checklist developed by SingCERT may be useful when developing an incident response plan for your campaign: https://www.csa.gov.sg/TipsResources/Resources/singcert/Incident-Response-Checklist.   ・インシデント対応・管理計画を策定し、すべての関係者が自分の役割を把握できるようにする。キャンペーンのインシデント対応計画を策定する際には、SingCERT が作成した以下のチェックリストが有用である。https://www.csa.gov.sg/TipsResources/Resources/singcert/Incident-Response-Checklist.  
Steps to Take in the Event of a (Suspected) Cybersecurity Incident  サイバーセキュリティインシデント(の疑い)が発生した場合の手順 
If election candidates, political parties or campaign staff suspect that a cybersecurity incident may have occurred, they should:  選挙候補者、政党、選挙運動スタッフが、サイバーセキュリティ・インシデントが発生した可能性があると疑われる場合、次のことを行うべきである: 
- Lodge a police report immediately, and keep the Elections Department (ELD) informed.  ・直ちに警察に被害届を提出し、選挙管理局(ELD)に報告する。
To respond to the incident:  インシデントに対応する: 
- Contact the relevant email and social media platform providers for issues related to your email or social media accounts. For immediate self-help, please refer to the section Useful Links for Email Providers and Social Media Platforms.  ・電子メールやソーシャルメディアのアカウントに関する問題については,関連する電子メールやソーシャルメディアのプロバイダに連絡する。早急な自助努力については,「電子メールプロバイダーおよびソーシャル・メディア・プラットフォームのための有用なリンク」のセクションを参照すること。
Contact your appointed cybersecurity vendor if there is a compromise in your IT system. A non-exhaustive list of cybersecurity vendors is provided under the section Cybersecurity Service Providers. For immediate self-help, you may also wish to visit [web].   ITシステムに侵害があった場合は、指定されたサイバーセキュリティ・ベンダーに連絡する。サイバーセキュリティ・ベンダーの非網羅的リストは、「サイバーセキュリティ・サービス・プロバイダー」のセクションに記載されている。早急なセルフヘルプについては、[web]。 
Additional Resources  その他のリソース 
For additional information on the potential cyber threats mentioned in this advisory and other references on cybersecurity tips and good practices, please refer to section Useful References.  この勧告で言及されている潜在的なサイバー脅威に関する追加情報、およびサイバーセキュリティに関するヒントやグッドプラクティスに関するその他の参考情報については、「有用な参考情報」のセクションを参照されたい。
For clarifications on the advisory, please send an email to SingCERT at singcert@csa.gov.sg   この勧告に関する明確な情報については、SingCERT(singcert@csa.gov.sg)まで電子メールで問い合わせること。 
Useful Links for Email Providers and Social Media Platforms  電子メールプロバイダーおよびソーシャルメディアプラットフォームのための有用なリンク 
The following table provides account retrieval details for popular email providers:  以下の表は、一般的な電子メール・プロバイダのアカウント検索の詳細を示している: 
Email Provider Email Contact
Gmail Compromised Account
https://support.google.com/accounts/answer/6294825
Outlook or Hotmail Compromised Account
https://support.microsoft.com/en-hk/help/10494/microsoft-accounthow-to-access-a-compromised-account
The following table provides details for account verification, and account retrieval and impersonation profile reporting for popular social media platforms: 以下の表は、一般的なソーシャル・メディア・プラットフォームのアカウント検証、アカウント検索、なりすましプロファイル報告の詳細を示している:
Social Media Platform Contact Information
Facebook Verify Account
https://www.facebook.com/help/1288173394636262
Compromised Account
https://www.facebook.com/hacked
Impersonation Account https://www.facebook.com/help/174210519303259/
Twitter Verify Account
https://help.twitter.com/en/managing-your-account/about-twitterverified-accounts
Compromised Account
https://help.twitter.com/en/safety-and-security/twitter-accountcompromised
Impersonation Account
https://help.twitter.com/forms/impersonation
Instagram Verify Account
https://help.instagram.com/854227311295302
Compromised Account

https://help.instagram.com/368191326593075
Impersonation Account
https://help.instagram.com/446663175382270
YouTube Verify Account
https://support.google.com/youtube/answer/3046484?hl=en
Compromised Account

https://support.google.com/youtube/answer/76187?hl=en
Impersonation Account

https://support.google.com/youtube/answer/2801947?hl=en
LinkedIn Compromised Account
https://www.linkedin.com/help/linkedin/answer/56363/reporting-ahacked-account?lang=en Impersonation Account
https://safety.linkedin.com/identifying-abuse#profiles

Snapchat
Compromised Account
https://support.snapchat.com/en-US/a/hacked-howto
Impersonation Account
https://support.snapchat.com/en-US/i-need-help
TikTok Verify Account
https://support.tiktok.com/en/using-tiktok/growing-youraudience/how-to-tell-if-an-account-is-verified-on-tiktok
Compromised Account

https://support.tiktok.com/en/log-in-troubleshoot/log-in/myaccount-has-been-hacked
Impersonation Account
https://support.tiktok.com/en/safety-hc/report-a-problem/report-auser
WhatsApp Compromised Account
https://faq.whatsapp.com/1131652977717250

Cybersecurity Service Providers

To review and manage your campaign’s cybersecurity posture or to seek incident response services, you can refer to the following link for CREST-accredited incident response companies with a presence in Singapore: 

https://www.crest-approved.org/members/?filter_accredited_services_10717=Cyber%20Security%20Incident %20Response&filter_offices_10717=Singapore  

Useful References

For more information on potential cyber threats to your campaign and possible preventive measures you can take to secure your IT systems, please visit the following websites:

Data Theft / Breach

Social Engineering

Exploitation of Vulnerabilities

Website Defacement

Distributed Denial of Service (DDoS)

Ransomware

Insider Threats

Incident Response

 

 

| | Comments (0)

2023.08.12

世界経済フォーラム (WEF) デジタル安全設計の介入と革新のためのツールキット: オンライン上の危害の類型

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、「デジタル安全設計の介入と革新のためのツールキット: オンライン上の危害の類型」という報告書を公表していますね。。。

オンライン上の危害 (harm) を類型化していますね。。。対策をより効果的にするためには、統計等を取る上ことも必要ですし、こういうことの標準化ということも重要ですね。。。共通言語 (common language) ですね。。。

 

World Economic Forum - Report

・2023.08.04 Toolkit for Digital Safety Design Interventions and Innovations: Typology of Online Harms

Toolkit for Digital Safety Design Interventions and Innovations: Typology of Online Harms デジタル安全設計の介入と革新のためのツールキット: オンライン上の危害の類型
The increasing interconnectedness of the world through digital means brings both unparalleled opportunities and challenges. As the digital landscape encompasses more than 5 billion users, it is evident that a shared understanding of online harms is imperative. デジタル手段を通じた世界の相互接続性の高まりは、比類ない機会と課題の両方をもたらしている。デジタルを取り巻く環境が50億人以上のユーザーを包含するようになった今、オンライン上の危害に関する理解の共有が不可欠であることは明らかである。
The increasing interconnectedness of the world through digital means brings both unparalleled opportunities and challenges. As the digital landscape encompasses more than 5 billion users, it is evident that a shared understanding of online harms is imperative. デジタル手段を通じた世界の相互接続性の高まりは、比類ない機会と課題の両方をもたらす。デジタルを取り巻く環境が50億人以上のユーザーを包含する中、オンライン上の危害に対する理解の共有が不可欠であることは明らかである。
The World Economic Forum’s Global Coalition for Digital Safety introduces the Typology of Online Harms, aiming to harmonize universal perceptions of online threats. From cyberbullying to hate speech, the varied interpretations of such issues have fragmented efforts to combat them. This typology seeks to bridge the gap, categorizing harms into content, contact and conduct risks, laying the groundwork for unified action. Rooted in fundamental human rights principles, the framework is neither prescriptive nor regulatory but provides instead a foundational common language to enable global multistakeholder cooperation. 世界経済フォーラムのデジタル・セーフティ世界連合は、オンライン上の脅威に関する普遍的な認識の調和を目指し、オンライン上の危害の類型を紹介している。ネットいじめからヘイトスピーチまで、このような問題の解釈は多様であるため、対策への取り組みが分断されている。この類型論はこのギャップを埋めようとするもので、被害をコンテンツ、接触、行為のリスクに分類し、統一的な行動をとるための土台を築くものである。基本的人権の原則に根ざしたこのフレームワークは、規定的でも規制的でもないが、その代わりに、グローバルなマルチステークホルダーによる協力を可能にする基礎となる共通言語を提供するものである。
As online threats continue to evolve, the typology presents a vital step forward in achieving a collaborative, rights-respecting approach to digital safety. オンライン上の脅威が進化し続ける中、この類型は、デジタル・セーフティに対する権利を尊重した協力的なアプローチを実現するための重要な一歩を示すものである。

 

・[PDF]

20230812-51259

目次的なもの...

Foreword まえがき
Executive summary 要旨
The Typology of Online Harms aims to provide a foundational common language, facilitating multistakeholder and cross-jurisdictional discussions to advance digital safety. オンライン被害の類型論」は、デジタルセーフティを推進するために、複数の利害関係者や司法管轄権を超えた議論を促進する、基盤となる共通言語をプロバイダとして提供することを目的としている。
1 Introduction 1 序文
The Typology of Online Harms serves as a foundation to build a common terminology and shared understanding of the diverse range of risks that arise online, including in the production, distribution and consumption of content. オンライン被害の類型論」は、コンテンツの制作、流通、消費を含むオンライン上で生じる多様なリスクについて、共通の用語と共通の理解を構築するための基礎となるものである。
2 Typology of Online Harms 2 オンライン上の被害の類型
The typology recognizes the complex and interconnected nature of online safety, encompassing content, contact and conduct risks. この類型論は、コンテンツ、接触、行為のリスクを包含する、オンライン上の安全性の複雑かつ相互関連的な性質を認識するものである。
2.1 Threats to personal and community safety 2.1 個人とコミュニティの安全に対する脅威
a. Content risks a. 内容リスク
1. Child sexual abuse material (CSAM) 1. 児童性的虐待題材(CSAM)
2. Child sexual exploitation material (CSEM) 2. 児童性的搾取題材(CSEM)
3. Pro-terror material 3. プロテロ題材
4. Content that praises, promotes, glorifies or supports extremist organizations or individuals 4. 過激な組織や個人を賞賛、促進、賛美、支援する内容
5. Violent graphic content 5. 暴力的な映像の内容
6. Content that incites, promotes or facilitates violence 6. 暴力を扇動、促進、助長する内容
7. Content that promotes, incites or instructs in dangerous physical behaviour 7. 危険な身体的行動を促進、扇動、指示する内容
b. Contact risks b. 接触リスク
1. Grooming for sexual abuse 1. 性的虐待を目的としたグルーミング
2. Recruitment and radicalization 2. 勧誘と過激化
c. Conduct risks c. 行為リスク
1. Technology-facilitated abuse (TFA) 1. テクノロジーを利用した虐待(TFA)
2. Technology-facilitated gender-based violence 2. テクノロジーが助長するジェンダーに基づく暴力
d. Content/contact/conduct risks d. 内容/接触/行為リスク
1. Child sexual exploitation and abuse (CSEA) 1. 児童の性的搾取と虐待(CSEA)
2.2 Harm to health and well-being 2.2 健康と幸福への害
a. Content risks a. 内容リスク
1. Material that promotes suicide, self-harm and disordered eating 1. 自殺、自傷行為、乱れた食生活を助長するもの
2. Developmentally inappropriate content 2. 発達段階に不適切な内容
2.3 Hate and discrimination 2.3 ヘイトと差別
a. Content risks a. 内容リスク
1. Hate speech 1. ヘイトスピーチ
b. Conduct risks b. 行為リスク
1. Algorithmic discrimination 1. アルゴリズムによる差別
2.4 Violation of dignity 2.4 尊厳の侵害
a. Conduct risks a. 行為リスク
1. Online bullying and harassment  1. ネット上でのいじめや嫌がらせ 
b. Contact risks b. 接触リスク
1. Sexual extortion 1. 性的恐喝
2.5 Invasion of privacy 2.5 プライバシーの侵害
a. Conduct risks a. 行為リスク
1. Doxxing 1. ドクシング
2. Image-based abuse 2. イメージに基づく悪用
2.6 Deception and manipulation 2.6 欺瞞と操作
a. Content risks a. 内容リスク
1. Disinformation and misinformation 1. 偽情報と誤報
2. Deceptive synthetic media 2. 欺瞞的な合成メディア
b. Conduct risks b. 行為リスク
1. Impersonation 1. なりすまし
2. Scams 2. 詐欺
3. Phishing 3. フィッシング
4. Catfishing 4. キャットフィッシング
3 Conclusion 3 結論
The Typology of Online Harms provides a comprehensive framework for understanding and categorizing various types of online harm through a human rights lens. オンライン被害の類型化」は、人権というレンズを通して、様々なタイプのオンライン被害を理解し、分類するための包括的なフレームワークを提供する。
Appendix: Resources 附属書 リソース
Contributors 協力者
Endnote 巻末資料

 

 

 

 

 

 

 

| | Comments (0)

2023.08.10

日本 インドネシア Interpol 国際的な捜査活動でフィッシング・プラットフォームを閉鎖し、容疑者を逮捕

こんにちは、丸山満彦です。

(2023.08.10 05:00現在では 警察庁、トレンドマイクロ、サイバーディフェンス研究所のウェブページには公表されていませんが、、、)

日本の警察がサイバー領域で国際協力をし、16shopというPhishing-as-a-serviceを閉鎖に追い込み、容疑者を日本で逮捕したとInterpolで公表されています。(日本での逮捕自体は昨年8月に大阪府警が行なっていて、12月に大阪地裁で有罪判決がでているようです...)

民間からは、トレンドマイクロ、サイバーディフェンス研究所が協力したと公表されています。

国際連携、官民連携...とても素晴らしいことだと思います!!!

 

Interpol

・2023.08.08  Notorious phishing platform shut down, arrests in international police operation

Notorious phishing platform shut down, arrests in international police operation 悪名高いフィッシング・プラットフォームが閉鎖され、国際的な捜査活動で犯人を逮捕した
The platform sold hacking tools to more than 70,000 users in 43 countries プラットフォームは43カ国の7万人以上のユーザーにハッキングツールを販売していた
SINGAPORE – A notorious ‘phishing-as-a-service’ (PaaS) platform known as ‘16shop' has been shut down in a global investigation coordinated by INTERPOL, with Indonesian authorities arresting its operator and one of its facilitators, with another arrested in Japan. シンガポール - 「16shop」として知られる悪名高い「フィッシング・アズ・ア・サービス(PaaS)」プラットフォームが、国際刑事警察機構(INTERPOL)の世界的な捜査により閉鎖された。
The three arrests, which concluded with actions against a suspect last month, was made possible due to the intensive intelligence-sharing between the INTERPOL General Secretariat’s cybercrime directorate, national law enforcement in Indonesia, Japan and the United States and private sector partners including Cyber Defense Institute, Group-IB, Palo Alto Networks Unit 42 and Trend Micro, with added support from Cybertoolbelt. この3件の逮捕は、INTERPOL事務局のサイバー犯罪部門、インドネシア、日本、米国の法執行機関、サイバーディフェンス研究所、Group-IB、パロアルトネットワークス42部隊、トレンドマイクロを含む民間セクターのパートナーとの間で集中的な情報共有が行われ、さらにCybertoolbeltの支援により、先月、容疑者の逮捕に至った。
The PaaS platform sold ‘phishing kits’ to hackers seeking to defraud Internet users through email scams where victims typically receive an email with a pdf file or link that redirects to a site requesting the victims’ credit card or other personally identifiable information. This information is then stolen and used to extract money from the victims. このPaaSプラットフォームは、電子メール詐欺を通じてインターネット・ユーザーを騙そうとするハッカーに「フィッシング・キット」を販売していた。フィッシング・キットでは、通常、被害者がPDFファイルや、被害者のクレジットカードやその他の個人を特定できる情報を要求するサイトにリダイレクトするリンクを含む電子メールを受け取る。この情報は盗まれ、被害者から金銭を引き出すために使われる。
Phishing is considered the most prevalent cyber threat in the world, and it is estimated that up to 90 per cent of data breaches are linked to successful phishing attacks, making it a major source of stolen credentials and information. フィッシングは世界で最も普及しているサイバー脅威と考えられており、データ漏洩の最大90%がフィッシング攻撃の成功に関連していると推定されている。
“Cyberattacks such as phishing may be borderless and virtual in nature, but their impact on victims is real and devastating.”Bernardo Pillot, INTERPOL’s Assistant Director of Cybercrime Operations 「フィッシングのようなサイバー攻撃はボーダーレスでバーチャルなものかもしれないが、被害者に与える影響は現実的で壊滅的である。
“In recent years, we have seen an unprecedented increase in both the number of cyber threats and their sophistication, with attacks becoming more tailored as criminals aim for maximum impact, and maximum profit,” added Assistant Director Pillot. 「近年、サイバー脅威の数とその巧妙さの両方がかつてないほど増加しており、犯罪者は最大の影響と最大の利益を目指しているため、攻撃はより巧妙になっている。
 Luxury vehicles  高級車
 The PaaS platform was flagged by analysts in INTERPOL’s cybercrime division during an ongoing project researching cyber threats in the ASEAN region, supported by Japan’s National Police Agency.  PaaSプラットフォームは、日本の警察庁が支援するASEAN地域のサイバー脅威を調査する進行中のプロジェクトにおいて、国際刑事警察機構のサイバー犯罪部門のアナリストによって注目された。
Assisted with information from an array of private sector partners, the INTERPOL team was soon able to determine the identity and probable location of the platform’s administrator. As the platform’s registration indicated, he was based in Indonesia. 様々な民間セクターのパートナーからの情報に助けられ、INTERPOLのチームはすぐにプラットフォームの管理者の身元と所在を突き止めることができた。プラットフォームの登録が示すように、彼はインドネシアに拠点を置いていた。
Because the platform’s servers were hosted by a company based in the United States, analysts liaised with the INTERPOL National Central Bureau in Washington and the Federal Bureau of Investigation to secure key information for Indonesian investigators. プラットフォームのサーバーは米国を拠点とする企業によってホストされていたため、アナリストはワシントンの国際刑事警察機構国家中央局および連邦捜査局と連絡を取り、インドネシアの捜査当局のために重要な情報を確保した。
The INTERPOL team compiled and dispatched a criminal intelligence report to the Indonesian National Police’s Directorate of Cyber Crimes, which allowed national law enforcement to arrest the administrator, a 21-year-old man, seizing electronic items and several luxury vehicles in the process. 国際刑事警察機構のチームは、インドネシア国家警察のサイバー犯罪局長に犯罪情報報告書を作成・送付し、これにより国家警察は管理者である21歳の男を逮捕し、その過程で電子アイテムと高級車数台を押収した。
Following the successful apprehension of the administrator, further information was shared between the National Police Agency of Japan and the Indonesian National Police resulting in the identification and arrest of two facilitators. 管理者の逮捕に成功した後、日本の警察庁とインドネシア国家警察の間でさらなる情報が共有され、その結果、2人の促進者が特定され、逮捕された。
“Phishing isn't a new phenomenon, but when the crime-ware is being offer widely on subscription and to automate phishing campaigns, it enables any person to leverage this type of service to launch a phishing attack with a few clicks,” said Brigadier General Adi Vivid Agustiadi Bachtiar, Director of the Indonesian National Police’s Cyber Crime Investigation. 「フィッシングは今に始まったことではないが、フィッシング・キャンペーンを自動化する犯罪ソフトウェアが広く提供されるようになると、誰でもこの種のサービスを活用し、数回クリックするだけでフィッシング攻撃を仕掛けることができるようになる」とインドネシア国家警察のサイバー犯罪捜査局長であるアディ・ビビッド・アグスティアディ・バクティアール准将は述べた。
“This operation is only successful as we work closely with various stakeholders from the law enforcement community as well as the private sectors, to uproot the root problem to stop the crime-ware being offered as a service and also stopping more people from falling victim to phishing attacks,” added Brigadier General Adi Vivid Agustiadi Bachtiar. 「この作戦が成功するのは、法執行機関だけでなく民間セクターのさまざまな利害関係者と緊密に協力し、サービスとして提供される犯罪ソフトウェアを阻止するために根本的な問題を根こそぎ解決し、さらに多くの人々がフィッシング攻撃の犠牲になるのを阻止するためです」とアディ・ビビッド・アグスティアディ・バクティアール准将は付け加えた。
INTERPOL’s cybercrime directorate brings together cyber experts from law enforcement and industry to gather and analyze all available information on criminal activities in cyberspace to provide countries with coherent, actionable intelligence. 国際刑事警察機構のサイバー犯罪部門は、法執行機関と産業界からサイバー専門家を集め、サイバー空間における犯罪活動に関するあらゆる入手可能な情報を収集・分析し、首尾一貫した実行可能なインテリジェンスを各国に提供している。

 

1_20230810065401

 

警察庁では、金融庁と一緒にフィッシングについての警告をしています...

発表資料のグラフをみると酷いことになっています...

 

● 警察庁

・2023.08.08 [PDF] フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起) 


20230810-65920

 

● 金融庁

・2023.08.08 フィッシングによるものとみられるインターネットバンキングによる預金の不正送金被害が急増しています。

・[PDF] フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起)

 

 

NHK等のニュースにはありますね。。。

● NHK

・2023.08.09 フィッシングで情報盗み不正購入か インドネシア人容疑者逮捕


偽サイトに誘導する「フィッシング」の手口でクレジットカード情報を盗み不正に商品を購入したとして、警察庁はインドネシア国家警察との共同捜査で、インドネシア人の40歳の容疑者を逮捕したと発表しました。

逮捕されたのは、インドネシア在住のデア・カリスナ容疑者(40)です。

警察庁によりますと、4年前の2019年、偽サイトに誘導する「フィッシング」の手口で不正に入手した日本人のクレジットカード情報を使って、通信販売サイトで電化製品を購入するなどした疑いが持たれています。

インドネシア国家警察が、国内法に違反したとして先月逮捕しました。

容疑者は「16shop」と呼ばれるソフトを使って、ショッピングサイトの偽サイトをつくり、クレジットカード番号などを不正に入手して購入した商品を、日本に住む別のインドネシア人の男がオークションサイトで売っていたということです。

インドネシア国家警察の調べでは、容疑者が関わる詐欺の被害はおよそ1500万円に上るとみられています。

日本国内では、インターネットバンキングに関するフィッシング詐欺の被害額がことし6月までの半年間で30億円と急増していて、警察庁は金融庁などとともに注意を呼びかけています。




 

● 朝日新聞

・2023.08.09 16SHOP「43カ国7万人以上に販売」 ICPOが国際捜査発表


...

「16SHOP」事件をめぐる動き

2020年1月 日本の事業者への不正アクセス大阪府警が把握、捜査開始

21年3月 ICPOから警察庁に16SHOP被害の情報提供要請

21年11月 ICPOとインドネシア国家警察が開発者のリスワンダ受刑者を逮捕

21年12月 警察庁がインドネシア警察と捜査会議を開始

22年4月 警察庁サイバー特別捜査隊が発足

22年8月 大阪府警が神奈川県在住のインドネシア人の男を逮捕

22年12月 大阪地裁が男に懲役2年執行猶予3年の有罪判決

23年4月 サイバー特捜隊と大阪府警が合同捜査本部

23年7月 インドネシア警察捜査官が来日。関係者の事情聴取など

     日本警察と国際共同捜査でインドネシア警察がデア容疑者を逮捕

8月8日 両国警察が捜査結果を発表

(警察庁や捜査関係者への取材から)


 

 

 

| | Comments (0)

より以前の記事一覧