フィッシング

2024.05.10

CISA We Can Secure Our World! (子供向けに歌にするというのはよいですね...)

こんにちは、丸山満彦です。

CISAが、スマートフォンを初めて渡す親子向け?に1分のセキュリティ教育用の音楽ビデオをつくっています。。。

日本でいうと5年生から中1年生くらい向けでしょうかね...

MFA推しです。。。

子供の学習用の教材とか見ていると、米国の教材には歌にして覚えるとか多いように思います。リズムに合わせて歌うと覚えやすいし、何度も歌うので記憶するという効果があるのかもしれませんね...

英語という言語がアップテンポの音楽にあっているのかもしれませんが、日本ではあまり見ないなぁと思いました。

日本ではしまじろう??? でも、しまじろうの短いビデオも英語の歌のものを日本語に訳しているのが多くて、いまいちテンポと言葉がmatchしていない感じだしなぁ...

 

CISA

・2024.05.09 We Can Secure Our World! CISA just launched our second Secure Our World PSA. Watch now!

・[YouTube] We can Secure Our World

| | Comments (0)

2024.05.07

米国 NSA FBI 国務省 北朝鮮がDMARCの脆弱なセキュリティポリシーを悪用してスピアフィッシング

こんにちは、丸山満彦です。

米国のNSA、FBI、国務省が北朝鮮がDMARCの脆弱なセキュリティポリシーを悪用したスピアフィッシングについての警告をしていますね...

National Security Agency/Central Security Service

プレス...

NSA Highlights Mitigations against North Korean Actor Email Policy Exploitation NSA が北朝鮮による電子メールポリシー搾取に対する緩和策を強調する
FORT MEADE, Md. – The National Security Agency (NSA) joins the Federal Bureau of Investigation (FBI) and the U.S. Department of State in releasing the Cybersecurity Advisory (CSA), “North Korean Actors Exploit Weak DMARC Security Policies to Mask Spearphishing Efforts,” to protect against Democratic People’s Republic of Korea (DPRK, aka North Korea) techniques that allow emails to appear to be from legitimate journalists, academics, or other experts in East Asian affairs. 米国家安全保障局(NSA)は、米連邦捜査局(FBI)および米国務省とともに、サイバーセキュリティ勧告(CSA)「北朝鮮による脆弱なDMARCセキュリティポリシーの悪用によるスピアフィッシング行為」を発表し、合法的なジャーナリストや学者、その他東アジア問題の専門家からのメールと見せかける朝鮮民主主義人民共和国(DPRK、別名北朝鮮)のテクニックから保護することを明らかにした。
The DPRK leverages these spearphishing campaigns to collect intelligence on geopolitical events, adversary foreign policy strategies, and any information affecting DPRK interests by gaining illicit access to targets’ private documents, research, and communications. 朝鮮民主主義人民共和国は、このようなスピアフィッシング・キャンペーンを利用して、地政学的な出来事、敵対国の外交政策戦略、朝鮮民主主義人民共和国の利益に影響するあらゆる情報について、ターゲットの個人的な文書、研究、通信に不正にアクセスすることで情報を収集している。
“Spearphishing continues to be a mainstay of the DPRK cyber program and this CSA provides new insights and mitigations to counter their tradecraft,” said NSA Cybersecurity Director Dave Luber.
「NSAのサイバーセキュリティ・ディレクターであるデイブ・ルーバーは、「スピアフィッシングは北朝鮮のサイバープログラムの主軸であり続けており、このCSAは彼らの手口に対抗するための新たな洞察と緩和策を提供している。
The report contains background on the DPRK’s cyber program and past information-gathering examples, an explanation of how a strong Domain-based Message Authentication Reporting and Conformance (DMARC) policy can help block DPRK actors, red flag indicators of malicious activity, two sample emails used by DPRK cyber actors, and mitigation measures. 本レポートには、北朝鮮のサイバー・プログラムと過去の情報収集事例に関する背景、強力なDomain-based Message Authentication Reporting and Conformance (DMARC)ポリシーがどのように北朝鮮の行為者をブロックするのに役立つかの説明、悪意のある活動のレッドフラッグ・インジケータ、北朝鮮のサイバー行為者が使用する2つの電子メールのサンプル、および緩和策が記載されている。

 

 

・2024.05.02 [PDF] CSA: North Korean Actors Exploit Weak DMARC Security Policies to Mask Spearphishing Efforts

20240506-44309

 

North Korean Actors Exploit Weak DMARC Security Policies to Mask Spearphishing Efforts  北朝鮮がDMARCの脆弱なセキュリティポリシーを悪用してスピアフィッシングを行う 
SUMMARY  概要 
The Federal Bureau of Investigation (FBI), the U.S. Department of State, and the National Security Agency (NSA) are jointly issuing this advisory to highlight attempts by Democratic People’s Republic of Korea (DPRK, a.k.a. North Korea) Kimsuky cyber actors to exploit improperly configured DNS Domain-based Message Authentication, Reporting and Conformance (DMARC) record policies to conceal social engineering attempts. Without properly configured DMARC policies, malicious cyber actors are able to send spoofed emails as if they came from a legitimate domain’s email exchange.  米連邦捜査局(FBI)、米国務省、および国家安全保障局(NSA)は共同でこの勧告を発出し、朝鮮民主主義人民共和国(DPRK、別名北朝鮮)のキムスキー(Kimsuky)サイバー・アクターが不適切に設定されたDNS Domain-based Message Authentication, Reporting and Conformance(DMARC)レコード・ポリシーを悪用してソーシャル・エンジニアリングの試みを隠蔽しようとしていることを明らかにする。DMARCポリシーが適切に設定されていないと、悪意のあるサイバー行為者は、あたかも正当なドメインの電子メール交換から来たかのようになりすました電子メールを送信することができる。
The North Korean cyber actors have conducted spearphishing campaigns posing as legitimate journalists, academics, or other experts in East Asian affairs with credible links to North Korean policy circles. North Korea leverages these spearphishing campaigns to collect intelligence on geopolitical events, adversary foreign policy strategies, and any information affecting North Korean interests by gaining illicit access to targets’ private documents, research, and communications.   北朝鮮のサイバー・アクターは、合法的なジャーナリスト、学者、または北朝鮮の政策サークルと信頼できるつながりを持つ東アジア問題の専門家を装ったスピアフィッシング・キャンペーンを実施している。北朝鮮はこのようなスピアフィッシング・キャンペーンを活用し、ターゲットの私的な文書、調査、通信に不正にアクセスすることで、地政学的な出来事、敵対国の外交政策戦略、北朝鮮の利益に影響するあらゆる情報に関する情報を収集している。 
This Joint Cybersecurity Advisory (CSA) includes indicators of North Korean social engineering (page 4) for potential victims receiving spearphishing emails as well as mitigation measures (page 9) for organizations who could be victims of North Korean impersonation. For additional information on state-sponsored North Korean malicious cyber activity, see the June 2023 Kimsuky CSA, “North Korea using Social Engineering to Enable Hacking of Think Tanks, Academia, and Media.”  この共同サイバーセキュリティ勧告(CSA)には、スピアフィッシング・メールを受信する潜在的な被害者のための北朝鮮のソーシャル・エンジニアリングの指標(4ページ)、および北朝鮮になりすます被害に遭う可能性のある組織のための緩和策(9ページ)が含まれている。国家が支援する北朝鮮の悪意あるサイバー活動に関する追加情報については、2023年6月のKimsuky CSA、"North Korea using Social Engineering to Enable Hacking of Think Tanks, Academia, and Media "を参照のこと。

 

 


 

参考

報告書で参照されている過去の発表について...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.03 米国 韓国 北朝鮮のサイバー部隊がシンクタンク、学術機関、ニュースメディア部門を標的にした攻撃をしていると注意喚起

 



 

| | Comments (0)

2024.04.19

欧州 Europolがフィッシング・アズ・ア・サービス・プラットフォームのLabHostを破壊

こんにちは、丸山満彦です。

Europolがフィッシング・アズ・ア・サービス・プラットフォームのLabHostを破壊したと発表していますね...

19カ国の捜査機関が協力してインフラを破壊して、四人を逮捕したようです...しばらくしたらまた、復活するのかもしれませんが、大きな成果ですね...

生成的AIが手軽に使えるようになり、フィッシングメールの多言語対応が簡単になってきたこともあってか、日本でもこの数年、フィッシングメール等が増加傾向にありますよね...

 

Europol

・2024.04.18 International investigation disrupts phishing-as-a-service platform LabHost

1_20240419002901

International investigation disrupts phishing-as-a-service platform LabHost 国際的な調査により、フィッシング・アズ・ア・サービス・プラットフォームのLabHostを破壊
LabHost facilitated the phishing of users of hundreds of financial institutions worldwide for monthly subscription fee LabHostは月額利用料で世界中の数百の金融機関のユーザーをフィッシングしていた。
This week, law enforcement from 19 countries severely disrupted one of the world’s largest phishing-as-a-service platform, known as LabHost. This year-long operation, coordinated at the international level by Europol, resulted in the compromise of LabHost’s infrastructure. 今週、19カ国の法執行機関が、LabHostとして知られる世界最大級のフィッシング・アズ・ア・サービス・プラットフォームを著しく妨害した。欧州刑事警察機構によって国際レベルで調整されたこの1年にわたる作戦は、LabHostのインフラを危険にさらす結果となった。
Between Sunday 14 April and Wednesday 17 April a total of 70 addresses were searched across the world, resulting in the arrest of 37 suspects. This includes the arrest of 4 individuals in the United Kingdom linked to the running of the site, including the original developer of the service. 4月14日(日)から4月17日(水)にかけて、世界中で合計70のアドレスが捜索され、37人の容疑者が逮捕された。これには、同サービスのオリジナル開発者を含む、同サイトの運営に関連する英国内の4人の逮捕も含まれる。
The LabHost platform, previously available on the open web, has been shut down. これまでオープンなウェブ上で利用可能だったLabHostプラットフォームは閉鎖された。
This international investigation was led by the UK’s London Metropolitan Police, with the support of Europol’s European Cybercrime Centre (EC3) and the Joint Cybercrime Action Taskforce (J-CAT) hosted at its headquarters. この国際的な捜査は、欧州刑事警察機構(Europol)の欧州サイバー犯罪センター(EC3)および同本部に設置された合同サイバー犯罪行動タスクフォース(J-CAT)の支援を受けて、英国のロンドン警視庁が主導した。
Europol has supported this case since September 2023. An operational sprint was organised at its headquarters with all the countries involved so that the national investigators could identify and develop intelligence on the users and victims in their own countries. During the action phase, a Europol specialist supported the Dutch National Police with their enforcement actions. 欧州刑事警察機構は、2023年9月からこの事件を支援している。各国の捜査当局が自国のユーザーと被害者を識別し、情報を開発できるように、関係するすべての国との作戦スプリントがユーロポール本部で組織された。活動段階では、欧州刑事警察機構のスペシャリストがオランダ国家警察の取締りをサポートした。
Commoditising phishing attacks フィッシング攻撃の商品化
Cybercrime-as-a-service has become a rapidly growing business model in the criminal landscape whereby threat actors rent or sell tools, expertise, or services to other cybercriminals to commit their attacks. While this model is well established with ransomware groups, it has also been adopted in other aspects of cybercrime, such as phishing attacks. サイバー犯罪-アズ-ア-サービスは、脅威行為者が他のサイバー犯罪者にツール、専門知識、またはサービスをレンタルまたは販売し、攻撃を行うというもので、犯罪の現場において急速に成長しているビジネスモデルである。このモデルはランサムウェアグループで確立されているが、フィッシング攻撃などサイバー犯罪の他の側面でも採用されている。
LabHost had become a significant tool for cybercriminals around the world. For a monthly subscription, the platform provided phishing kits, infrastructure for hosting pages, interactive functionality for directly engaging with victims, and campaign overview services. LabHostは世界中のサイバー犯罪者にとって重要なツールとなっていた。このプラットフォームは、フィッシング・キット、ページをホスティングするためのインフラ、被害者と直接関わるためのインタラクティブ機能、キャンペーン概要サービスを月額で提供していた。
The investigation uncovered at least 40 000 phishing domains linked to LabHost, which had some 10 000 users worldwide. 調査の結果、LabHostにリンクしているフィッシング・ドメインは少なくとも40,000にのぼり、世界中に約10,000人のユーザーがいたことが判明した。
With a monthly fee averaging $249, LabHost would offer a range of illicit services which were customisable and could be deployed with a few clicks. Depending on the subscription, criminals were provided an escalating scope of targets from financial institutions, postal delivery services and telecommunication services providers, among others. Labhost offered a menu of over 170 fake websites providing convincing phishing pages for its users to choose from. 平均249ドルの月額料金で、LabHostはカスタマイズ可能で、数回のクリックで展開できるさまざまな不正サービスを提供していた。サブスクリプションに応じて、犯罪者は金融機関、郵便配達サービス、電気通信サービスプロバイダなど、エスカレートするターゲットの範囲を提供された。Labhostは、170以上の偽ウェブサイトのメニューを提供し、ユーザーが選択できるように説得力のあるフィッシング・ページを提供していた。
What made LabHost particularly destructive was its integrated campaign management tool named LabRat. This feature allowed cybercriminals deploying the attacks to monitor and control those attacks in real time. LabRat was designed to capture two-factor authentication codes and credentials, allowing the criminals to bypass enhanced security measures. LabHostが特に破壊的だったのは、LabRatと名付けられた統合キャンペーン管理ツールだった。この機能により、攻撃を展開するサイバー犯罪者はリアルタイムで攻撃を監視し、制御することができた。LabRatは、二要素認証コードと本人認証をキャプチャするように設計されており、犯罪者は強化されたセキュリティ対策をバイパスすることができる。
Easily accessible, yet still a crime 簡単にアクセスできるが、それでも犯罪
Platforms such as LabHost make cybercrime more easily accessible for unskilled hackers, significantly expanding the pool of threat actors. LabHostのようなプラットフォームは、熟練していないハッカーにとってサイバー犯罪へのアクセスを容易にし、脅威行為者のプールを大幅に拡大する。
Yet, however user-friendly the service portrays itself to be, its malicious use constitutes an illegal activity – and the penalties can be severe. しかし、どんなにユーザーフレンドリーなサービスであっても、悪意のある利用は違法行為であり、その罰則は厳しいものとなる。
A vast amount of data gathered throughout the investigation is now in the possession of law enforcement. This data will be used to support ongoing international operational activities focused on targeting the malicious users of this phishing platform. 捜査を通じて収集された膨大なデータは、現在法執行機関が所有している。このデータは、このフィッシング・プラットフォームの悪質なユーザーをターゲットとした、現在進行中の国際的な作戦活動を支援するために使用される。
The following authorities have taken part in the investigation: 以下の認可当局が捜査に参加している:
・Australia: Australian Federal Police-led Joint Policing Cybercrime Coordination Centre; ・オーストラリア オーストラリア連邦警察主導の合同警察サイバー犯罪調整センター;
・Austria: Criminal Intelligence Service (Bundeskriminalamt); ・オーストリア オーストリア:犯罪情報局
・Belgium: Federal Judicial Police Brussels (Police judiciaire fédérale Bruxelles/ Federale gerechtelijke politie Brussel); ・ベルギー:ブリュッセル連邦司法警察;
・Finland: National Police (Poliisi); ・フィンランド:国家警察;
・Ireland: An Garda Siochana; ・アイルランド:アン・ガルダ・シオチャナ
・Netherlands: Central Netherlands Police (Politie Midden-Nederland); ・オランダ :オランダ中央警察
・New Zealand: New Zealand Police; ・ニュージーランド:ニュージーランド警察
・Lithuania: Lithuania Police; ・リトアニア:リトアニア警察
・Malta: Malta Police Force (Il-Korp tal-Pulizija ta’ Malta); ・マルタ:マルタ警察
・Poland: Central Office for Combating Cybercrime (Centralne Biuro Zwalczania Cyberprzestępczości); ・ポーランド:サイバー犯罪対策中央事務所;
・Portugal: Judicial Police (Polícia Judiciária); ・ポルトガル:司法警察;
・Romania: Romanian Police (Poliția Română); ・ルーマニア:ルーマニア警察;
・Spain: National Police (Policía Nacional); ・スペイン:国家警察;
・Sweden: Swedish Police Authority (Polisen); ・スウェーデン:スウェーデン警察認可;
・United Kingdom: London Metropolitan Police; ・英国:ロンドン警視庁
・United States: United States Secret Service (USSS) and Federal Bureau of Investigation (FBI); ・米国:米国シークレットサービス(USSS)および連邦捜査局(FBI);
・Czechia: Bureau of Criminal Police and Investigation Service; ・チェコ:刑事警察捜査局
・Estonia: Estonian Police and Border Guard Board; ・エストニア:エストニア警察・国境警備隊
・Canada: Royal Canadian Mounted Police. ・カナダ:カナダ騎馬警察

 

 

日本のフィッシング情報といえば、フィッシング対策協議会

フィッシング対策協議会

最近は東京電力を語るフィッシングが多いみたいですよ...

ここからデータがとれます...

最近のフィッシング報告件数とフィッシングサイトのURL件数をグラフにしていみると...

 

1_20240419011801

 

対数目盛りにすると...

 

1_20240419054401

[ELSX] Phishing Data 201604-202403

 

 

 

| | Comments (0)

2024.04.02

ENISA 2030年のサイバーセキュリティ脅威の展望- 2024年更新版のエグゼクティブサマリー

こんにちは、丸山満彦です。

2030年のサイバーセキュリティ脅威の展望- 2024年更新版のエグゼクティブサマリーです...

この前のバージョンは、1年前の公表されていて、このブログでも紹介しています...

1年前に比べて、

4. 膨大なクロスセクターの技術エコシステムにおけるパッチ未適用・時代遅れのシステムの悪用

10. 重要なデジタル・インフラに対する自然/環境破壊の物理的影響

が新たにトップ10入りしていますね...

 

ENISA

 ・2024.03.27 Foresight Cybersecurity Threats For 2030 - Update 2024: Executive Summary

 

Foresight Cybersecurity Threats For 2030 - Update 2024: Executive Summary 2030年のサイバーセキュリティ脅威の展望- 2024年最新版: エグゼクティブサマリー
This is the executive summary of the second iteration of The “ENISA Foresight Cybersecurity Threats for 2030” study that represents a comprehensive analysis and assessment of emerging cybersecurity threats projected for the year 2030. The report reassesses the previously identified top ten threats and respective trends whilst exploring the developments over the course of a year. 本書は、2030年に予測される新たなサイバーセキュリティの脅威を包括的に分析・評価した「ENISA Foresight Cybersecurity Threats for 2030」調査の第2回目のエグゼクティブサマリーである。本報告書では、1年間の動向を探りつつ、前回特定した脅威のトップ10とそれぞれの傾向を再評価している。

 

・[PDF]

20240402-50322

 

・[DOCX] 仮訳

 

 

ことしのトップ21

  THREAT 
1 Supply Chain Compromise of Software Dependencies   ソフトウェア依存のサプライチェーンの侵害  
2 Skill Shortage   スキル不足  
3 Human Error and Exploited Legacy Systems within Cyber-Physical Ecosystems   サイバー・フィジカル・エコシステムにおけるヒューマンエラーと悪用されたレガシーシステム  
4 Exploitation of Unpatched and Out-of-date Systems within the Overwhelmed Crosssector Tech Ecosystem [Optional]   膨大なクロスセクターの技術エコシステムにおけるパッチ未適用・時代遅れのシステムの悪用【新規】  
5 Rise of Digital Surveillance Authoritarianism / Loss of Privacy   デジタル監視の台頭 権威主義/プライバシーの喪失  
6 Cross-border ICT Service Providers as Single Point of Failure   単一障害点としての国境を越えたICTサービスプロバイダ  
7 Advanced Disinformation / Influence Operations (IO) Campaigns   高度な偽情報/影響力作戦(IO)キャンペーン  
8 Rise of Advanced Hybrid Threats   高度なハイブリッド型脅威の台頭  
9 Abuse of AI   AIの乱用  
10 Physical Impact of Natural/Environmental Disruptions on Critical Digital Infrastructure [Optional]   重要なデジタル・インフラに対する自然/環境破壊の物理的影響【新規】
11 Lack of Analysis and Control of Space-based Infrastructure and Objects   宇宙を拠点とするインフラと物体の分析と管理の欠如  
12 Targeted Attacks (e.g. Ransomware) Enhanced by Smart Device Data   スマートデバイスのデータによって強化される標的型攻撃(ランサムウェアなど  
13 Increased Digital Currency-enabled Cybercrime [Optional]   デジタル通貨を利用したサイバー犯罪の増加【新規】
14 Manipulation of Systems Necessary for Emergency Response [Optional]   緊急対応に必要なシステムの操作【新規】
15 Tampering with Deepfake Verification Software Supply Chain [Optional]   Deepfake検証ソフトウェアのサプライチェーンを改ざんする【新規】
16 AI Disrupting/Enhancing Cyber Attacks [Optional]   サイバー攻撃を妨害/強化するAI【新規】
17 Malware Insertion to Disrupt Food Production Supply Chain [Optional]   食品製造のサプライチェーンを混乱させるマルウェアの挿入【新規】
18 Exploitation of E-health (and Genetic) Data [Optional]   Eヘルス(および遺伝子)データの活用【新規】
19 Attacks Using Quantum Computing [Optional]   量子コンピューティングを利用した攻撃【新規】
20 Disruptions in Public Blockchains [Optional]   パブリック・ブロックチェーンの混乱【新規】
21 Technological Incompatibility of Blockchain Technologies [Optional]   ブロックチェーン技術の技術的非互換性【新規】

 

2023年当時のトップ21

1. SUPPLY CHAIN COMPROMISE OF SOFTWARE DEPENDENCIES 1. ソフトウェア依存のサプライチェーン侵害
2. ADVANCED DISINFORMATION CAMPAIGNS  2. 高度な偽情報キャンペーン 
3. RISE OF DIGITAL SURVEILLANCE AUTHORITARIANISM / LOSS OF PRIVACY 3. デジタル監視の権威主義の台頭/プライバシーの喪失
4. HUMAN ERROR AND EXPLOITED LEGACY SYSTEMS WITHIN CYBER PHYSICAL ECOSYSTEMS  4. サイバーフィジカル・エコシステム内のヒューマンエラーと悪用されたレガシーシステム 
5. TARGETED ATTACKS (E.G. RANSOMWARE) ENHANCED BY SMART DEVICE DATA 5. スマートデバイスのデータによって強化される標的型攻撃(ランサムウェアなど)
6. LACK OF ANALYSIS AND CONTROL OF SPACEBASED INFRASTRUCTURE AND OBJECTS 6. 宇宙を拠点とするインフラや物体の分析と制御の欠如
7. RISE OF ADVANCED HYBRID THREATS 7. 高度なハイブリッド型脅威の台頭
8. SKILL SHORTAGES 8. スキル不足
9. CROSS-BORDER ICT SERVICE PROVIDERS AS A SINGLE POINT OF FAILURE  9. 単一障害点としての国境を越えたICTサービスプロバイダ 
10. ARTIFICIAL INTELLIGENCE ABUSE 10. AIの悪用
11. INCREASED DIGITAL CURRENCY-ENABLED CYBERCRIME 11. デジタル通貨を利用したサイバー犯罪の増加
12. EXPLOITATION OF E-HEALTH (AND GENETIC) DATA 12. eヘルス(および遺伝子)データの悪用
13. TAMPERING WITH DEEPFAKE VERIFICATION SOFTWARE SUPPLY CHAIN 13. ディープフェイク検証ソフトウェアのサプライチェーンの改ざん
14. ATTACKS USING QUANTUM COMPUTING 14. 量子コンピューティングを利用した攻撃
15. EXPLOITATION OF UNPATCHED AND OUT-OFDATE SYSTEMS WITHIN THE OVERWHELMED CROSSSECTOR TECH ECOSYSTEM  15. 圧倒的なクロスセクター技術エコシステムの中での、パッチ未適用や最新でないシステムの悪用
16. AI DISRUPTING / ENHANCING CYBER ATTACKS 16. AIによるサイバー攻撃の撹乱・強化 
17. MALWARE INSERTION TO DISRUPT FOOD PRODUCTION SUPPLY CHAINE 17. 食品製造のサプライチェーンを混乱させるマルウェアの挿入 
18. TECHNOLOGICAL INCOMPATIBILITY OF BLOCKCHAIN TECHNOLOGIES 18. ブロックチェーン技術の技術的非互換性
19. DISRUPTIONS IN PUBLIC BLOCKCHAINS 19. パブリック・ブロックチェーンにおける混乱
20. PHYSICAL IMPACT OF NATURAL / ENVIRONMENTAL DISRUPTIONS ON CRITICAL DIGITAL INFRASTRUCTURE 20. 自然/環境破壊が重要なデジタルインフラに与える物理的影響
21. MANIPULATION OF SYSTEMS NECESSARY FOR EMERGENCY RESPONSE 21. 緊急対応に必要なシステムの操作

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.20 ENISA 2030の脅威の展望 (2023.09.13)

・2023.04.04 ENISA 先見の明 2030年に向けたサイバーセキュリティの脅威 (2023.03.29)



 

 

| | Comments (0)

2024.03.24

ドイツ BSI デジタル消費者保護:BSI年次レビュー2023年版 (2024.03.14)

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) が世界消費者デー(3月15日)を記念して、デジタル消費者保護の分野における2023年の年次レビューを発表していますね。。。

脅威としては、AIを利用した詐欺等の脅威、パスワードマネジャーを狙う、フィッシング等が挙げられていますね...

ここでも、レジリエンスが強調されているように思います。

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.03.14 Digitaler Verbraucherschutz: BSI-Jahresrückblick 2023 erschienen

Digitaler Verbraucherschutz: BSI-Jahresrückblick 2023 erschienen デジタル消費者保護:BSI年次レビュー2023年版が発表される
Anlässlich des Weltverbrauchertages (15. März) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Jahresrückblick 2023 im Bereich des Digitalen Verbraucherschutzes veröffentlicht. Darin werden unter anderem IT-Sicherheitsvorfälle und Trendthemen mit Bedrohungspotenzial des vergangenen Jahres 2023 näher beleuchtet. So zählten Datenleaks bei Unternehmen und öffentlichen Einrichtungen sowie Phishing-Angriffe auf Verbraucherinnen und Verbraucher zu den häufigsten Bedrohungen. Gleichzeitig sorgen neue Trends wie die Verbreitung von künstlicher Intelligenz für eine hohe Dynamik am digitalen Verbrauchermarkt, die sich unmittelbar auf das Bedrohungspotenzial auswirken. 世界消費者デー(3月15日)を記念して、ドイツ連邦情報セキュリティ局(BSI)は、デジタル消費者保護の分野における2023年の年次レビューを発表した。特に、2023年のITセキュリティ・インシデントや脅威の可能性があるトレンド・トピックを詳しく取り上げている。例えば、企業や公共機関におけるデータ漏洩や消費者に対するフィッシング攻撃は、最も一般的な脅威の一つであった。同時に、人工知能の普及などの新たなトレンドが、非常にダイナミックなデジタル・コンシューマー市場を形成しており、これが脅威の可能性に直接的な影響を与えている。
So verdeutlichen die aufgeführten IT-Sicherheitsvorfälle am digitalen Verbrauchermarkt, dass der Schutz und die Resilienz der Menschen bei ihren Aktivitäten im Netz dringend verbessert werden müssen. Der thematische Schwerpunkt des Jahresrückblicks widmet sich daher der "Digitalen Verbraucherresilienz". Im Mittelpunkt steht die Frage, was widerstandsfähige (resiliente) Verbraucherinnen und Verbraucher ausmacht, die dadurch besser in der Lage sind, sich vor Bedrohungen zu schützen, im Notfall schnell zu reagieren sowie Schäden zu minimieren. Darüber hinaus kommen mit Expertinnen und Experten der Verbraucherzentrale Nordrhein-Westfalen e. V., des eco - Verbandes der Internetwirtschaft e. V. sowie der Hochschule Bonn-Rhein-Sieg auch Praxispartner des BSI zu Wort, um entsprechende Handlungsfelder zur Stärkung der digitalen Verbraucherresilienz für Akteure aus den Bereichen Staat, Wirtschaft und Gesellschaft aufzuzeigen. 上記のデジタル消費者市場におけるITセキュリティ事件は、人々のオンライン活動の保護と回復力を向上させる緊急の必要性を示している。そこで、年次レビューのテーマ別焦点は「デジタル消費者のレジリエンス(回復力)」とした。脅威から身を守り、緊急事態に迅速に対応し、被害を最小限に抑えることができるレジリエンス(回復力)のある消費者とは何かという問題に焦点を当てている。さらに、ノルトライン・ウェストファーレン州、エコ・インターネット産業連盟、ボン・ライン・ジーク応用科学大学の専門家もBSIのプラクティス・パートナーとして発言し、国家、企業、社会の利害関係者がデジタル消費者のレジリエンスを強化するための対応分野に焦点を当てる。
Der Jahresrückblick zeigt, dass die fortschreitende Digitalisierung eine kontinuierliche Stärkung der IT-Sicherheit erfordert. Neben der Informations-, Sensibilisierungs- und Aufklärungsarbeit wird sich das BSI zukünftig verstärkt dem aktiven Schutz der Nutzerinnen und Nutzer vor den Gefahren im Umgang mit ihrer IT und dem Internet widmen. Ziel ist es, dass Verbraucherinnen und Verbraucher auch in Zukunft selbstbestimmt, einfacher und sicherer in der digital vernetzten Welt agieren können. この年次レビューは、デジタル化の進展にはITセキュリティの継続的な強化が必要であることを示している。情報、啓発、教育活動に加え、BSIは今後ますます、ITやインターネットに関連する危険からユーザーを積極的に保護することに注力していく。その目的は、デジタル・ネットワーク化された世界において、消費者が今後も自立して、より簡単に、より安全に行動できるようにすることである。

 

・[PDF]

20240324-05242

 

目次...

Vorwort 序文
1 Verbraucherinnen und Verbraucher in der vernetzten Welt besser schützen! 1 コネクテッド・ワールドにおける消費者保護を強化する
2 Jahresübersicht 2023: Relevante Bedrohungen auf dem digitalen Verbrauchermarkt 2 2023年の年次概況 デジタル消費者市場における関連脅威
3 Bessere digitale Verbraucherresilienz – aber wie? 3 デジタル消費者のレジリエンスを高める - しかし、どうやって?
4 Cybersicherheit für Unternehmen und Institutionen nützt allen 4 企業や機関のサイバーセキュリティはすべての人に利益をもたらす
5 Wissen, wo ich Hilfe finde – BSI-Angebote für Verbraucherinnen und Verbraucher 5 どこに助けを求めればよいかを知る - BSIの消費者向けサービス
6 Literaturverzeichnis/Quellen 6 参考文献/情報源

 

AIを利用した犯罪手口の種類に対する消費者の認知率

Abbildung 1 :Verbraucherkenntnisse zu Arten krimineller Methoden mittels KI in % (n=3.012, Mehrfachnennung möglich) 図1:AIを利用した犯罪手口の種類に対する消費者の認知率(%)(n=3,012、複数回答可)  
Schockanrufe oder Enkeltrick mit von der KI nachgeahmten Stimme AIが音声を模倣したショックコールや孫騙し 52%
Künstlich erstellte bzw. manipulierte Videos oder Bilder 人工的に作成・加工された動画や画像 48%
Nutzung von Profildaten aus Social Media für Betrugsversuche ソーシャルメディア上のプロフィールデータを利用した詐欺の手口 46%
Phishing-Nachrichten, die von KI-Sprachmodellen verfasst wurden AIの言語モデルによって書かれたフィッシング・メッセージ 36%
Suchen nach persönlichen Daten von anderen Nutzern über gezielte Fragen 的を絞った質問によって他のユーザーの個人データを検索する 27%
Aufdecken und Ausnutzen von Schwachstellen in Computerprogrammen コンピュータプログラムの脆弱性を検出し、悪用する。 22%
das gezielte Versuchen, die eingebauten Regeln der KI zu umgehen kenne AIに組み込まれたルールを回避するための標的型攻撃 14%
keine der genannten Methoden いずれの方法も知らない 12%
weiß nicht/ keine Angabe わからない・無回答 7%

 

 

| | Comments (0)

2024.02.18

ドイツ BSI TR-03182 電子メール認証:電子メールによるID詐欺への対応

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik; BSI) が、電子メールによるID詐欺への対応にも繋がる、電子メール認証の技術文書、BSI TR-03182 電子メール認証を公表していますね。。。

Bundesamt für Sicherheit in der Informationstechnik; BSI

プレス...

・2024.02.16 Neue TR des BSI: Identitätsmissbrauch in E-Mail bekämpfen

Neue TR des BSI: Identitätsmissbrauch in E-Mail bekämpfen 新しいBSI TR:電子メールにおけるID詐欺に対抗する
Cyberangriffe mit Hilfe von E-Mails sind weiterhin eine große Bedrohung für Unternehmen, Organisationen und Bürgerinnen und Bürger. Insbesondere Phishing-Mails, mit denen Zugangsdaten oder ganze Identitäten gestohlen werden sollen, sind ein weithin genutztes Angriffsmittel. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun die Technische Richtlinie E-Mail-Authentifizierung (TR-03182) veröffentlicht, die E-Mail-Service-Providern eine Richtschnur im Vorgehen gegen Phishing und Spoofing, also das Fälschen des Absendernamens, zur Verfügung stellt. Die Maßnahmen müssen ausschließlich durch die jeweiligen Diensteanbieter umgesetzt werden, die ihre Kundinnen und Kunden damit aktiv schützen können. 電子メールを使ったサイバー攻撃は、企業、組織、市民にとって大きな脅威であり続けている。特にフィッシングメールは、アクセスデータやID全体を盗むことを目的としており、攻撃の手段として広く使われている。ドイツ連邦情報セキュリティ局(BSI)はこのたび、電子メール認証に関する技術ガイドライン(TR-03182)を発表し、電子メール・サービス・プロバイダーに対し、フィッシングやなりすまし(送信者名の改ざん)対策のガイドラインを提供した。この対策は、各サービス・プロバイダーが独占的に実施する必要があり、プロバイダーはこれを利用して顧客を積極的に保護することができる。
BSI-Präsidentin Claudia Plattner: "Wir müssen Cybersicherheit pragmatisch gestalten und im Rahmen des digitalen Verbraucherschutzes die Anwenderinnen und Anwender, wann immer es geht, aktiv schützen. Die Technische Richtlinie zur E-Mail-Authentifizierung setzt genau hier an." BSIのクラウディア・プラットナー会長は、「サイバーセキュリティに対して現実的なアプローチをとり、デジタル消費者保護の一環として可能な限りユーザーを積極的に保護しなければならない。電子メール認証に関するテクニカルガイドラインは、まさにここにある。
Die TR-03182 formuliert Maßnahmen, mit denen Inhalt und Absender einer E-Mail authentifiziert werden können. So wird mit Hilfe des Standards SPF (Sender Policy Framework) die grundsätzliche Berechtigung zum Senden von E-Mails im Auftrag einer bestimmten Domain geprüft. Der ebenfalls in der Technischen Richtlinie geforderte Standard DKIMDomain Key Identified Mail (Domain Key Identified Mail) bindet jede gesendete E-Mail kryptographisch an die Domain. Damit wird die bereits etablierte TR-03108 (Sicherer E-Mail-Transport), die sich auf den sicheren E-Mail-Transport von Punkt zu Punkt bezieht, fachlich und technisch ergänzt. So können Mail-Anbieter ihre Kundinnen und Kunden vor Identitätsmissbrauch (Spoofing und Phishing) und unberechtigtem Mitlesen und Manipulation (Man-in-the-middle-Angriffen) schützen. Selbst neu entdeckte Angriffsmethoden wie das SMTP-Smuggling werden durch das Umsetzen der Maßnahmen erschwert. TR-03182は、電子メールの内容と送信者を認証するために使用できる手段を策定している。たとえば、SPF(Sender Policy Framework)標準は、特定のドメインに代わって電子メールを送信するための基本的な権限をチェックするために使用される。DKIM(Domain Key Identified Mail)規格は、技術ガイドラインでも要求されているもので、送信されるすべての電子メールをドメインに暗号的に結びつける。これは、すでに確立されているTR-03108(セキュア電子メール・トランスポート)を補完するもので、専門的にも技術的にも、ポイントからポイントへのセキュアな電子メール・トランスポートに関するものである。これにより、メールプロバイダはID詐欺(なりすましやフィッシング)および無許可の読み取りや操作(中間者攻撃)から顧客を保護することができる。SMTP密輸のような新たに発見された攻撃手法も、対策を実施することでより困難になる。
Große Mail-Anbieter haben bereits angekündigt, für das massenhafte Zustellen von E-Mails künftig Mechanismen zur E-Mail-Authentifizierung zu fordern. Die TR-03182 berücksichtigt diese geforderten Technologien bereits. 主要なメールプロバイダは、今後電子メールの大量配信に電子メール認証メカニズムを要求することをすでに発表している。TR-03182はすでにこれらの要求技術を考慮している。

 

技術文書...

・2024.02.16 BSI TR-03182 E-Mail-Authentifizierung

BSI TR-03182 E-Mail-Authentifizierung BSI TR-03182 電子メール認証
Ein Großteil unserer Kommunikation findet heutzutage digital statt. Die E-Mail ist dabei nach wie vor ein weit verbreitetes Medium. E-Mail-Authentifizierung schützt vor Angriffen, bei denen die Identität vertrauenswürdiger Sender vorgegaukelt wird (z.B. Spoofing und Phishing). 現在、コミュニケーションの大部分はデジタルで行われている。電子メールは今でも広く使われているメディアである。電子メール認証は、信頼できる送信者の身元を偽る攻撃(スプーフィングやフィッシ ングなど)から保護するものである。
Die Technische Richtlinie "E-Mail-Authentifizierung" (BSI TR-03182) definiert prüfbare Anforderungen an E-Mail-Diensteanbieter. Ziel der Technischen Richtlinie (TR) ist die Erhöhung der Vergleichbarkeit und Verbreitung authentischer E-Mail-Kommunikation. 技術ガイドライン「電子メール認証」(BSI TR-03182)は、電子メール・サービス・ プロバイダのための検証可能な要件を定義している。技術ガイドライ ン(TR)の目的は、真正な電子メール・コミュニケーションの比較可能性と普及を高めること である。
Ein "E-Mail-Diensteanbieter" oder "Betreiber eines E-Mail-Dienstes in seiner Organisation" kann mit der Konformität zur TR auch einen unabhängigen Nachweis über die Sicherheitsleistung seines E-Mail-Dienstes erbringen. 電子メール・サービス・プロバイダ」または「組織内の電子メール・サービス運営者」は、 TR に準拠することによって、電子メール・サービスのセキュリティ性能の独立した証明を提 供することもできる。
Idealerweise werden die Maßnahmen für E-Mail-Authentifizierung durch Maßnahmen für Sicheren E-Mail-Transport ergänzt. Hierzu wurde die Technische Richtlinie BSI TR-03108 Sicherer E-Mail-Transport veröffentlicht. 理想的には、電子メール認証対策は、安全な電子メール伝送対策によって補完される。技術ガイドライン BSI TR-03108 Secure e-mail transport は、この目的のために発行された。
Konzeptionelle Übersicht von BSI TR-03108 und BSI TR-03182: BSI TR-03108 および BSI TR-03182 の概念概要:

1_20240218012701

 

技術文書

本文...

・2024.01.14 BSI TR-03182 Email Authentication, Version 1.0

20240218-13317

Table of Contents  目次 
1  Introduction 1 序文
2  Email Authentication 2 電子メール本人認証
3  Objectives 3 目的
4  Requirements 4 要件
4.1  Functional Requirements 4.1 機能要件
4.1.1  (TR-03182-01-M) SPF Record 4.1.1 (TR-03182-01-M) SPFレコード
4.1.2  (TR-03182-02-M) SPF Verification 4.1.2 (TR-03182-02-M) SPF検証
4.1.3  (TR-03182-03-M) DKIM Key Material 4.1.3 (TR-03182-03-M) DKIM 鍵材料
4.1.4  (TR-03182-04-M) Signing DKIM 4.1.4 (TR-03182-04-M) DKIMへの署名
4.1.5  (TR-03182-05-M) DKIM Verification 4.1.5 (TR-03182-05-M) DKIM 検証
4.1.6  (TR-03182-06-M) DMARC Policy 4.1.6 (TR-03182-06-M) DMARCポリシー
4.1.7  (TR-03182-07-M) Verifying DMARC 4.1.7 (TR-03182-07-M) DMARCの検証
4.1.8  (TR-03182-08-M) Sending DMARC Reports 4.1.8 (TR-03182-08-M) DMARCレポートの送信
4.1.9  (TR-03182-09-M) Receiving DMARC Reports 4.1.9 (TR-03182-09-M) DMARC報告の受信
4.1.10  (TR-03182-10-M) Evaluating DMARC Reports 4.1.10 (TR-03182-10-M) DMARC報告の評価
4.1.11  (TR-03182-11-M) Unused Domains 4.1.11 (TR-03182-11-M) 未使用ドメイン
4.2  Non-Functional Requirements 4.2 非機能要件
4.2.1  (TR-03182-12-M) Security Concept 4.2.1 (TR-03182-12-M) セキュリティ概念
4.2.2  (TR-03182-13-M) Data Protection 4.2.2 (TR-03182-13-M) データ防御
4.2.3  (TR-03182-14-M) Mandatory Reporting 4.2.3 (TR-03182-14-M) 報告の義務付け
4.2.4  (TR-03182-15-M) Transparency 4.2.4 (TR-03182-15-M) 透明性
5  Proof of Compliance 5 コンプライアンスの証明
5.1  IT Security Labels 5.1 ITセキュリティラベル
5.2  Certification to Technical Guidelines 5.2 技術ガイドラインに対する認証
6  Key Words for Requirement Levels 6 要求レベルのキーワード
7  Glossary 7 用語集
Bibliography 参考文献

 

・2024.01.24 BSI TR-03182-P Testspecification, Version 1.0


20240218-13334

目次...

1  Introduction 1 序文
2  Testing 2 テスト
2.1   Interfaces 2.1 インターフェース
2.2  Target of Evaluation (TOE) 2.2 評価対象(TOE)
2.3  Conformity Email Test Infrastructure (CETI) 2.3 適合性電子メールテスト基盤(CETI)
2.4  Test Tools 2.4 テストツール
2.5  Test Messages 2.5 テストメッセージ
2.6  DNS-Resolution 2.6 DNS解決
2.7  Authoritative DNSSEC 2.7 権威あるDNSSEC
2.8  Test Operator 2.8 テストオペレーター
3  Profiles 3 プロファイル
4  Implementation Conformance Statement 4 実装適合性宣言
4.1  User Information Source 4.1 ユーザー情報ソース
4.2  Unused Domains 4.2 未使用ドメイン
4.3  Online Interfaces 4.3 オンラインインターフェース
4.4  Operational Information 4.4 運用情報
4.5  DMARC Evaluation 4.5 DMARCの評価
4.6  DMARC Quarantine 4.6 DMARCの検疫
4.7  Profiles 4.7 プロファイル
4.8  DNS Resource Records 4.8 DNSリソースレコード
4.9  Location 4.9 所在地
4.10  Certificate Information 4.10 証明書情報
5  Configuration 5 設定
5.1  Test Setup 5.1 テスト設定
5.2  DNS Zone and Record Specification 5.2 DNSゾーンとレコードの仕様
6  Test Cases 6 テストケース
6.1  Module A – User Interface 6.1 モジュール A - ユーザーインターフェース
6.2  Module B – DNSSEC 6.2 モジュール B - DNSSEC
6.3  Module C – Inbound SPF 6.3 モジュール C - インバウンド SPF
6.4  Module D – Outbound SPF 6.4 モジュール D - 送信 SPF
6.5  Module E – Inbound DKIM 6.5 モジュール E - インバウンド DKIM
6.6  Module F – Outbound DKIM 6.6 モジュール F - アウトバウンド DKIM
6.7  Module G – Inbound DMARC 6.7 モジュール G - インバウンド DMARC
6.8  Module H – Outbound DMARC 6.8 モジュール H - アウトバウンド DMARC
6.9  Module I – Inbound DMARC Reports 6.9 モジュール I - インバウンド DMARC レポート
6.10  Module J – Outbound DMARC Reports 6.10 モジュール J - アウトバウンド DMARC レポート
6.11 Module K – DMARC Monitoring 6.11 モジュール K - DMARC 監視
6.12 Module L – Unused Domains 6.12 モジュール L - 未使用ドメイン
6.13 Security Concept 6.13 セキュリティコンセプト
7   Test Case Notation 7 テストケースの表記
8   Keywords 8 キーワード
Bibliography 参考文献

 

 

 

| | Comments (0)

2024.01.25

IPA 「情報セキュリティ10大脅威 2024」を公開

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2024」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。

ランサムウェアの脅威はこの4年間トップですね。。。サプライチェーン攻撃もこのところ上位で、この3年間で上昇していますね。。。標的型攻撃による情報漏洩については、4−7年前は連続トップでしたが、このところは2, 3位となっていましたが、今年は4位。

個人については、今年から順序付けせずに、あいうえお順...

ちなみに、組織にとっての情報セキュリティなので、サイバー空間を利用した脅威である、「偽情報等による〜」みたいなものは入っていないのかもしれませんね。。。ただ、個人の脅威にはいっている「偽警告によるインターネット詐欺」は、「偽情報による〜」ということのような気もする。。。

 

● IPA

プレス発表

・2024.01.24 プレス発表 「情報セキュリティ10大脅威 2024」を決定

・2024.01.24 情報セキュリティ10大脅威 2024

 

個人(五十音順) 2024 組織 2023
インターネット上のサービスからの個人情報の窃取 1位 ランサムウェアによる被害 1位
インターネット上のサービスへの不正ログイン 2位 サプライチェーンの弱点を悪用した攻撃 2位
クレジットカード情報の不正利用 3位 内部不正による情報漏えい等の被害 4位
スマホ決済の不正利用 4位 標的型攻撃による機密情報の窃取 3位
偽警告によるインターネット詐欺 5位 修正前の公開前を狙う攻撃(ゼロデイ攻撃) 6位
ネット上の誹謗・中傷・デマ 6位 不注意による情報漏えい等の被害 9位
フィッシングによる個人情報等の詐取 7位 脆弱性対策情報の公開に伴う悪用増加 8位
不正アプリによるスマートフォン利用者への被害 8位 ビジネスメール詐欺による金銭被害 7位
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 9位 テレワーク等のニューノーマルな働き方を狙った攻撃 5位
ワンクリック請求等の不当請求による金銭被害 10位 犯罪のビジネス化(アンダーグラウンドサービス) 10位

 

過去から(組織向け)...

20240125-04344

 

 

2022 個人 2023 組織 2022
1位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪用した攻撃 3位
3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利用 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利用 5位 テレワーク等のニューノーマルな働き方を狙った攻撃 4位
7位 不正アプリによるスマートフォン利用者への被害 6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による金銭被害 8位
8位 インターネット上のサービスからの個人情報の窃取 8位 脆弱性対策情報の公開に伴う悪用増加 6位
10位 インターネット上のサービスへの不正ログイン 9位 不注意による情報漏えい等の被害 10位
New ワンクリック請求等の不当請求による金銭被害 10位 犯罪のビジネス化(アンダーグラウンドサービス) New

 

2021 個人 2022 組織 2021
2位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
3位 ネット上の誹謗・中傷・デマ 2位 標的型攻撃による機密情報の窃取 2位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 サプライチェーンの弱点を悪用した攻撃 4位
5位 クレジットカード情報の不正利用 4位 テレワーク等のニューノーマルな働き方を狙った攻撃 3位
1位 スマホ決済の不正利用 5位 内部不正による情報漏えい 6位
8位 偽警告によるインターネット詐欺 6位 脆弱性対策情報の公開に伴う悪用増加 10位
9位 不正アプリによるスマートフォン利用者への被害 7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) New
7位 インターネット上のサービスからの個人情報の窃取 8位 ビジネスメール詐欺による金銭被害 5位
6位 インターネットバンキングの不正利用 9位 予期せぬIT基盤の障害に伴う業務停止 7位
10位 インターネット上のサービスへの不正ログイン 10位 不注意による情報漏えい等の被害 9位

 

2020 個人 2021 組織 2020
1位 スマホ決済の不正利用 1位 ランサムウェアによる被害 5位
2位 フィッシングによる個人情報等の詐取 2位 標的型攻撃による機密情報の窃取 1位
7位 ネット上の誹謗・中傷・デマ 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃 4位
3位 クレジットカード情報の不正利用 5位 ビジネスメール詐欺による金銭被害 3位
4位 インターネットバンキングの不正利用 6位 内部不正による情報漏えい 2位
10位 インターネット上のサービスからの個人情報の窃取 7位 予期せぬIT基盤の障害に伴う業務停止 6位
9位 偽警告によるインターネット詐欺 8位 インターネット上のサービスへの不正ログイン 16位
6位 不正アプリによるスマートフォン利用者への被害 9位 不注意による情報漏えい等の被害 7位
8位 インターネット上のサービスへの不正ログイン 10位 脆弱性対策情報の公開に伴う悪用増加 14位
         
2019 個人 2020 組織 2019
NEW スマホ決済の不正利用 1位 標的型攻撃による機密情報の窃取 1位
2位 フィッシングによる個人情報の詐取 2位 内部不正による情報漏えい 5位
1位 クレジットカード情報の不正利用 3位 ビジネスメール詐欺による金銭被害 2位
7位 インターネットバンキングの不正利用 4位 サプライチェーンの弱点を悪用した攻撃 4位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位 ランサムウェアによる被害 3位
3位 不正アプリによるスマートフォン利用者への被害 6位 予期せぬIT基盤の障害に伴う業務停止 16位
5位 ネット上の誹謗・中傷・デマ 7位 不注意による情報漏えい(規則は遵守) 10位
8位 インターネット上のサービスへの不正ログイン 8位 インターネット上のサービスからの個人情報の窃取 7位
6位 偽警告によるインターネット詐欺 9位 IoT機器の不正利用 8位
12位 インターネット上のサービスからの個人情報の窃取 10位 サービス妨害攻撃によるサービスの停止 6位
         
2018 個人 2019 組織 2018
1位 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位
1位 フィッシングによる個人情報等の詐取 2位 ビジネスメール詐欺による被害 3位
4位 不正アプリによるスマートフォン利用者への被害 3位 ランサムウェアによる被害 2位
NEW メール等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
3位 ネット上の誹謗・中傷・デマ 5位 内部不正による情報漏えい 8位
10位 偽警告によるインターネット詐欺 6位 サービス妨害攻撃によるサービスの停止 9位
1位 インターネットバンキングの不正利用 7位 インターネットサービスからの個人情報の窃取 6位
5位 インターネットサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 7位
2位 ランサムウェアによる被害 9位 脆弱性対策情報の公開に伴う悪用増加 4位
9位 IoT 機器の不適切な管理 10位 不注意による情報漏えい 12位
         
2017 個人 2018 組織 2017
1位 インターネットバンキングやクレジットカード情報等の不正利用 1位 標的型攻撃による被害 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 2位
7位 ネット上の誹謗・中傷 3位 ビジネスメール詐欺による被害 NEW
3位 スマートフォンやスマートフォンアプリを狙った攻撃 4位 脆弱性対策情報の公開に伴う悪用増加 NEW
4位 ウェブサービスへの不正ログイン 5位 脅威に対応するためのセキュリティ人材の不足 NEW
6位 ウェブサービスからの個人情報の窃取 6位 ウェブサービスからの個人情報の窃取 3位
8位 情報モラル欠如に伴う犯罪の低年齢化 7位 IoT機器の脆弱性の顕在化 8位
5位 ワンクリック請求等の不当請求 8位 内部不正による情報漏えい 5位
10位 IoT機器の不適切な管理 9位 サービス妨害攻撃によるサービスの停止 4位
NEW 偽警告によるインターネット詐欺 10位 犯罪のビジネス化(アンダーグラウンドサービス) 9位
         
2016 個人 2017 組織 2016
1位 インターネットバンキングやクレジットカード情報の不正利用 1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位 スマートフォンやスマートフォンアプリを狙った攻撃 3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求等の不当請求 5位 内部不正による情報漏えいとそれに伴う業務停止 2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 ネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル欠如に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 NEW
10位 インターネット上のサービスを悪用した攻撃 9位 攻撃のビジネス化(アンダーグラウンドサービス) NEW
NEW IoT機器の不適切な管理 10位 インターネットバンキングやクレジットカード情報の不正利用 8位

 

個人(カッコ内は総合順位) 2016 組織(カッコ内は総合順位)
インターネットバンキングやクレジットカード情報の不正利用(1位) 1位 標的型攻撃による情報流出(2位)
ランサムウェアを使った詐欺・恐喝(3位) 2位 内部不正による情報漏えいとそれに伴う業務停止(8位)
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) 3位 ウェブサービスからの個人情報の窃取(4位)
巧妙・悪質化するワンクリック請求(9位) 4位 サービス妨害攻撃によるサービスの停止(-)
ウェブサービスへの不正ログイン(5位) 5位 ウェブサイトの改ざん(6位)
匿名によるネット上の誹謗・中傷(-) 6位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(10位)
ウェブサービスからの個人情報の窃取(4位) 7位 ランサムウェアを使った詐欺・恐喝(3位)
情報モラル不足に伴う犯罪の低年齢化(-) 8位 インターネットバンキングやクレジットカード情報の不正利用(1位)
職業倫理欠如による不適切な情報公開(-) 9位 ウェブサービスへの不正ログイン(5位)
インターネットの広告機能を悪用した攻撃(-) 10位 過失による情報漏えい(-)

 

  2015  
1 インターネットバンキングやクレジットカード情報の不正利用 ~個人口座だけではなく法人口座もターゲットに~
2 内部不正による情報漏えい ~内部不正が事業に多大な悪影響を及ぼす~
3 標的型攻撃による諜報活動 ~標的組織への侵入手口が巧妙化~
4 ウェブサービスへの不正ログイン ~利用者は適切なパスワード管理を~
5 ウェブサービスからの顧客情報の窃取 ~脆弱性や設定の不備を突かれ顧客情報が盗まれる~
6 ハッカー集団によるサイバーテロ ~破壊活動や内部情報の暴露を目的としたサイバー攻撃~
7 ウェブサイトの改ざん ~知らぬ間に、ウイルス感染サイトに仕立てられる~
8 インターネット基盤技術を悪用した攻撃 ~インターネット事業者は厳重な警戒を~
9 脆弱性公表に伴う攻撃 ~求められる迅速な脆弱性対策~
10 悪意のあるスマートフォンアプリ ~アプリのインストールで友人に被害が及ぶことも~
   
  2014
1 標的型メールを用いた組織へのスパイ・諜報活動 サイバー空間(領域)問題
2 不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃
3 ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃
4 ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃
5 オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃
6 悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃
7 SNS への軽率な情報公開 インターネットモラル
8 紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント
9 ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃
10 サービス妨害 ウイルス・ハッキングによるサイバー攻撃
   
  2013
1 クライアントソフトの脆弱性を突いた攻撃
2 標的型諜報攻撃
3 スマートデバイスを狙った悪意あるアプリの横行
4 ウイルスを使った遠隔操作
5 金銭窃取を目的としたウイルスの横行
6 予期せぬ業務停止
7 ウェブサイトを狙った攻撃
8 パスワード流出の脅威
9 内部犯行
10 フィッシング詐欺
   
  2012  
1 機密情報が盗まれる!?新しいタイプの攻撃 ~情報窃取を目的とする標的型の諜報攻撃(APT)~
2 予測不能の災害発生!引き起こされた業務停止 ~自然災害や人為的災害による IT システムの故障、業務データの消失~
3 特定できぬ、共通思想集団による攻撃 ~社会変革をめざす共通的な思想を持つ集団による暴露・妨害攻撃~
4 今もどこかで…更新忘れのクライアントソフトを狙った攻撃 ~標的型攻撃にも悪用されるクライアントソフトの脆弱性~
5 止まらない!ウェブサイトを狙った攻撃 ~狙われ続けるウェブサイトの脆弱性~
6 続々発覚、スマートフォンやタブレットを狙った攻撃 ~狙われる小さなパソコン-スマートデバイス~
7 大丈夫!?電子証明書に思わぬ落し穴 ~電子証明書の管理不備により、引き起こされた問題~
8 身近に潜む魔の手・・・あなたの職場は大丈夫? ~組織内部・関係者による業務妨害や情報漏えい~
9 危ない!アカウントの使いまわしが被害を拡大! ~アカウント情報の管理不備が原因で発生するなりすまし被害~
10 利用者情報の不適切な取扱いによる信用失墜 ~利用者との結びつきが強い情報(利用者情報)の取扱いに関する問題~
   
  2011
1 「人」が起こしてしまう情報漏えい
2 止まらない!ウェブサイトを経由した攻撃
3 定番ソフトウェアの脆弱性を狙った攻撃
4 狙われだしたスマートフォン
5 複数の攻撃を組み合わせた新しいタイプの攻撃
6 セキュリティ対策丌備がもたらすトラブル
7 携帯電話向けウェブサイトのセキュリティ
8 攻撃に気づけない標的型攻撃
9 クラウド・コンピューティングのセキュリティ
10 ミニブログサービスや SNS の利用者を狙った攻撃
   
  2010
1 変化を続けるウェブサイト改ざんの手口
2 アップデートしていないクライアントソフト
3 悪質なウイルスやボットの多目的化
4 対策をしていないサーバ製品の脆弱性
5 あわせて事後対応を!情報漏えい事件
6 被害に気づけない標的型攻撃
7 深刻なDDoS攻撃
8 正規のアカウントを悪用される脅威
9 クラウド・コンピューティングのセキュリティ問題
10 インターネットインフラを支えるプロトコルの脆弱性
   
  2009
  ■組織への脅威
1 DNS キャッシュポイズニングの脅威
2 巧妙化する標的型攻撃
3 恒常化する情報漏えい
   ■利用者への脅威
1 多様化するウイルスやボットの感染経路
2 脆弱な無線 LAN 暗号方式における脅威
3 減らないスパムメール
4 ユーザ ID とパスワードの使いまわしによる危険性
   ■システム管理者・開発者への脅威
1 正規のウェブサイトを経由した攻撃の猛威
2 誘導型攻撃の顕在化
3 組込み製品に潜む脆弱性 
   
  2008
1 高まる「誘導型」攻撃の脅威
2 ウェブサイトを狙った攻撃の広まり
3 恒常化する情報漏えい
4 巧妙化する標的型攻撃
5 信用できなくなった正規サイト
6 検知されにくいボット、潜在化するコンピュータウイルス
7 検索エンジンからマルウェア配信サイトに誘導
8  国内製品の脆弱性が頻発
9 減らないスパムメール
10 組み込み製品の脆弱性の増加 
   
  2007
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2006
1 事件化するSQLインジェクション
2 Winnyを通じたウイルス感染による情報漏えいの多発
3 音楽CDに格納された「ルートキットに類似した機能」の事件化
4 悪質化するフィッシング詐欺
5 巧妙化するスパイウェア
6 流行が続くボット
7 ウェブサイトを狙うCSRFの流行
8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9 セキュリティ製品の持つ脆弱性
10 ゼロデイ攻撃
   
  2004
1 ボット(botnet)の脅威
2 変化し続けるコンピュータウイルスの脅威
3 フィッシング詐欺の脅威
4 サーバからの情報漏えいの脅威
5 複数製品にまたがる脅威の増加
6 ウェブサイトの改ざんの脅威

 

Ipa_20230126142601

 


 

まるちゃんの情報セキュリティ気まぐれ日記

| | Comments (0)

2023.11.27

NIST TN 2276 NIST Phish Scale ユーザーガイド

こんにちは、丸山満彦です。

米国国立標準技術研究所(NIST)の人間中心のサイバーセキュリティ・プログラムが、NIST Phish Scaleユーザーガイドを発表していますね。。

フィッシングメールから、いろいろな事案につながることが多いので、ここである程度防げると、すこしばかり被害が減らせることもありますかね。。。

このガイドは実務者向けに作成されたもので、フィッシングに関する意識向上トレーニング・プログラムにおけるPhish Scaleの適用方法について、説明しているもので、

  • 背景
  • 構成要素
  • 詳細なキューの説明
  • Phish Scaleの結果の解釈
  • フィッシングメールにPhish Scaleを適用するためのインタラクティブなNIST Phish Scaleワークシート

が記載されていますね。。。

Phish Scaleは、メールのフィッシング検知の難易度を評価するために考案された手法とのことで、フィッシングの認知度を高めるためのトレーニング・プログラムに追加的な指標を提供するために、世界中の組織で採用されているとのことです。

フィッシング・トレーニングの実施者は、このPhish Scaleを使って、クリック率やフィッシング演習の結果を報告するようです。

 

NIST - ITL

プレス

・2023.11.20 The NIST Phish Scale User Guide is Now Available!

文書

・2023.11.20 NIST TN 2276 NIST Phish Scale User Guide

NIST TN 2276 NIST Phish Scale User Guide NIST TN 2276 NIST Phish Scale ユーザーガイド
Abstract 概要
Phishing cyber threats impact private and public sectors both in the United States and internationally. Embedded phishing awareness training programs, in which simulated phishing emails are sent to employees, are designed to prepare employees in these organizations to combat real-world phishing scenarios. Cybersecurity and phishing awareness training implementers and practitioners use the results of these programs, in part, to assess the security risk of their organization. The NIST Phish Scale is a method created for these implementers to rate an email’s human phishing detection difficulty as part of their cybersecurity awareness and phishing training programs. This User Guide outlines the Phish Scale in its entirety while providing instructional steps on how to apply it to phishing emails. Further, appendices include 1) worksheets to assist training implementers in applying the Phish Scale and 2) detailed information regarding email properties and associated research in the literature. フィッシングのサイバー脅威は、米国内外の民間企業や公的機関に影響を与えている。模擬フィッシングメールが従業員に送信される組み込み型フィッシング認識トレーニングプログラムは、これらの組織の従業員が実際のフィッシングシナリオに対抗できるように準備するために設計されている。サイバーセキュリティとフィッシング・アウェアネス・トレーニングの実施者や実務者は、組織のセキュリティ・リスクを評価するために、これらのプログラムの結果を一部利用している。NIST Phish Scale はこのような実施者がサイバーセキュリティ意識向上やフィッシングトレーニングプログラムの一環として、電子メールの人間によるフィッシング検知の難易度を評価するために作成された方法である。このユーザーガイドでは、Phish Scale の概要を説明し、フィッシング・メールに適用する方法を解説している。さらに、附属書として、1) Phish Scaleの適用に関するトレーニング実施者を支援するワークシート、2) 電子メールの特性に関する詳細な情報および文献における関連研究が含まれている。

 

・[PDF] NIST.TN.2276

20231126-140521

・[DOCX] 仮訳

 

 

 

 

| | Comments (0)

2023.11.05

NATO CCDCOE 国際サイバー法の実践;インタラクティブ・ツールキットの新規募集 (2023.10.23)

こんにちは、丸山満彦です。

NATO CCDCOEでは、国際サイバー法の実践;インタラクティブ・ツールキットとして、28の仮想シナリオを公開していますが、新規のシナリオの募集をしていますね。。。

 

ツールキットのウェブページ

NATO CCECOE - International Cyber Law in Practice: Interactive Toolkit

28のシナリオ

S01 Election interference 選挙妨害
S02 Political espionage 政治スパイ
S03 Power grid 送電網
S04 International organization 国際機関
S05 Criminal investigation 犯罪捜査
S06 Enabling State 国家を動かす
S07 Hacking tools ハッキング・ツール
S08 Certificate authority 認可機関
S09 Economic espionage 経済スパイ
S10 Cyber weapons サイバー兵器
S11 Surveillance tools 監視ツール
S12 Computer data コンピューター・データ
S13 Armed conflict 武力紛争
S14 Ransomware campaign ランサムウェアキャンペーン
S15 Cyber deception サイバー詐欺
S16 High seas 公海
S17 Collective responses 集団的対応
S18 Cyber operators サイバー工作員
S19 Hate speech ヘイトスピーチ
S20 Medical facilities 医療施設
S21 Misattribution  誤爆 
S22 Methods of warfare 戦争の方法
S23 Vaccine research ワクチン研究
S24 Internet blockage インターネット遮断
S25 Humanitarian assistance 人道支援
S26 Export licensing 輸出許可
S27 Redirecting attacks リダイレクト攻撃
S28 Incidental harm 偶発的被害

1_20231105202601

 

 

新しいシナリオの募集...

・2023.10.23 Cyber Law Toolkit 2024

募集文

・[PDF] Cyber Law Toolkit: Call for Submissions for the 2024 Annual Update

| | Comments (0)

2023.10.26

世界経済フォーラム (WEF) データの公平性 生成的AIのための基礎概念

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が「データの公平性 生成的AIのための基礎概念」という報告書を公表していますね。。。

公平性を主に4つの視点で考えていますね。。。

・表現上の公平性

・特徴上の公平性

・アクセス上の公平性

・結果の公平性

 

 

World Economic Forum - Report

・2023.10.17 Data Equity: Foundational Concepts for Generative AI

 

Data Equity: Foundational Concepts for Generative AI データの公平性 生成的AIのための基礎概念
This briefing paper focuses on data equity within foundation models, both in terms of the impact of Generative AI (genAI) on society and on the further development of genAI tools. 本ブリーフィングペーパーは、生成的AI(genAI)が社会に与える影響と、genAIツールのさらなる開発の両面から、基礎モデルにおけるデータの公平性に焦点を当てる。
This white paper sheds light on recent advances in the field of generative AI, its potential and its application areas in manufacturing, and presents a new guidebook for harnessing the AI revolution in industrial operations. The guidebook describes the main considerations and steps of the journey – from defining the overarching objectives to identifying, building and scaling the relevant applications and required foundations, and staying at the forefront of AI innovations. 本ホワイトペーパーは、生成的AI分野における最近の進歩、その可能性、製造業における応用分野に光を当て、産業オペレーションにおけるAI革命を活用するための新しいガイドブックを提示する。本ガイドブックでは、包括的な目標の定義から、関連するアプリケーションや必要な基盤の特定、構築、拡張、AIイノベーションの最前線にとどまることまで、その道のりにおける主な検討事項とステップについて説明している。

 

・[PDF]

20231025-55728

 

目次...

Introduction  序文 
1   Classes of data equity 1 データ公平性の分類
2   Data equity across the data lifecycle  2 データライフサイクル全体におけるデータの公平性 
3   Data equity challenges in foundation models  3 基礎モデルにおけるデータ公平性の課題 
4   Focus areas for key stakeholders 4 主要関係者の重点分野
5   Discussion 5 議論
Conclusion 結論
Contributors 協力者
Endnotes   注  

 

序文...

Introduction  序文 
Over the past several months, a series of technological advances have emerged as a result of generative artificial intelligence (genAI) tools, including ChatGPT, Bard, Midjourney, and Stable Diffusion. The use of these tools has gained significant attention and captured the imagination of public and industry stakeholders due to its capabilities, wide range of applications and ease of use.  過去数ヶ月の間に、ChatGPT、Bard、Midjourney、Stable Diffusionなどの生成的人工知能(genAI)ツールの結果として、一連の技術的進歩が現れた。これらのツールの使用は大きな注目を集め、その機能、幅広い応用範囲、使いやすさにより、世間や業界の関係者の想像力をかきたてた。
Given its potential to challenge established business practices and operational paradigms, and the promise of rapid innovation coupled with the likelihood of significant disruption, genAI is sparking global conversations. These anticipated, far-reaching consequences have a societal dimension and will require comprehensive engagement from key stakeholders such as industry, government,  academia and civil society.  既成のビジネス慣行やオペレーションのパラダイムに挑戦する可能性があり、急速なイノベーションが約束され、大きな破壊が起こる可能性があることから、genAIは世界的な議論を巻き起こしている。これらの予想される遠大な影響には社会的な側面があり、産業界、政府、学界、市民社会といった主要な利害関係者の包括的な関与が必要となる。
At the heart of these discussions lies the concept of “data equity” – a core notion within data governance centred on the impact of data on the equity of technical systems for individuals, groups, enterprises and ecosystems.1 It includes concepts of data fairness, bias, access, control and accountability, all underpinned by principles of justice, non-discrimination, transparency and inclusive participation.  これらの議論の中心には「データ公平性」という概念がある。データの公平性とは、個人、グループ、エ ンタープライズ、エコシステムにとっての技術システムの公平性にデータが与える影響を中心とした、データガバナンス の中核をなす概念であり、正義、非差別、透明性、包括的参加の原則に裏打ちされたデータの公平性、バイアス、アクセ ス、管理、説明責任といった概念を含む。
Data equity is not a new concept; it is grounded in human rights and part of ongoing work on data privacy, protection, ethics, Indigenous data sovereignty and responsibility. The intersection of data equity and genAI, however, is new and presents unique challenges. The datasets used to train AI models are prone to biases that reinforce existing inequities. This requires proactively auditing data and algorithms and intervening at every step of the AI process, from data collection to model training to implementation, to ensure
that the resulting genAI tools fairly represent all communities. With the advent of genAI significantly increasing the rate at which AI is deployed and developed, exploring frameworks for data equity is more urgent than ever.
データ公平性は新しい概念ではなく、人権に根ざしており、データ・プライバシー、防御、倫理、先住民のデータ主権と責任に関する現在進行中の作業の一部である。しかし、データ公平性とGenAIの交差は新しく、独自の課題を提示している。AIモデルの訓練に使われるデータセットには、既存の不公平を強化するバイアスがかかりやすい。そのため、データとアルゴリズムを積極的に監査し、データの収集からモデルのトレーニング、実装に至るまで、AIプロセスのあらゆる段階で介入する必要がある。
その結果、genAIツールはすべてのコミュニティを公平に代表することになる。genAIの登場により、AIの導入・開発速度が大幅に向上する中、データの公平性を確保するための枠組みを模索することは、これまで以上に急務となっている。
This briefing paper delves into these issues, with a particular focus on data equity within foundation models, both in terms of the impact of genAI on society and on the further development of genAI tools. Our goals are threefold: to establish a shared vocabulary to facilitate collaboration and dialogue; to scope initial concerns to establish a framework for inquiry on which stakeholders can focus; and to shape future development of promising technologies proactively and positively.  本ブリーフィング・ペーパーは、GENAIが社会に与える影響とGENAIツールのさらなる開発の両面から、基盤モデルにおけるデータの公平性に特に焦点を当て、これらの問題を掘り下げている。我々の目標は3つある:コラボレーションと対話を促進するための共通の語彙を確立すること、利害関係者が焦点を当てることができる調査の枠組みを確立するために初期の懸念事項を範囲化すること、そして有望な技術の将来の開発を積極的かつ前向きに形成することである。
The World Economic Forum’s Global Future Council (GFC) on Data Equity2 envisions this as a first step in a broader conversation, recognizing the need for further exploration and discussion to be comprehensively understood, scrutinised, and addressed. The issues are complex and interconnected. Tackling them now creates a unique opportunity to positively shape the future of these exciting, promising tools.  世界経済フォーラムのデータ公平性に関するグローバル・フューチャー・カウンシル(GFC)2 は、これをより広範な対話の第一歩として想定しており、包括的に理解し、精査し、対処するためには、さらなる探求と議論が必要であることを認識している。問題は複雑で、相互に関連している。今、この問題に取り組むことは、エキサイティングで有望なツールの未来を前向きに形作るまたとない機会を生み出す。
BOX 1: : Definitions of key concepts BOX 1: : 主要概念の定義
To provide context and clarity, the following key concepts are highlighted:  文脈を明らかにし、明確にするために、以下の主要概念を強調する: 
–  Artificial intelligence is a broad field that encompasses the ability of a machine or computer to emulate certain aspects of human intelligence for diverse tasks based on predetermined objectives.3  ・人工知能は、あらかじめ決められた目的に基づき、多様なタスクに対して人間の知能のある側面をエミュレートする機械やコンピュータの能力を包含する幅広い分野である3。
–  Machine learning is a subset of artificial intelligence which utilizes algorithms to enable machines to identify and learn from patterns found in datasets.4  ・機械学習は人工知能のサブセットであり、機械がデータセットに見られるパターンを識別し、そこから学習できるようにするためのアルゴリズムを利用する4。
–  Generative AI is a branch of machine learning that is capable of producing new text, images and other media, replicating patterns and relationships found in the training data.5  ・生成的AIは機械学習の一分野であり、学習データから発見されたパターンや関係を再現し、新しいテキストや画像、その他のメディアを生成することができる5。
– Foundation models are a type of large-scale, machine-learning model that is trained on diverse multi-modal data at scale and can be adapted to many downstream tasks.6  ・ファウンデーションモデルは、大規模な機械学習モデルの一種であり、多様なマルチモーダルデータに対して大規模に学習され、多くの下流タスクに適応させることができる6。
– Large language models represent a subset of foundation models specializing in comprehending and generating human language, often employed for text-related functions. The latest iteration of LLMs facilitates natural conversations through advanced chatbot mechanisms.7  ・大規模言語モデルは、人間の言語を理解し、生成することに特化した基礎モデルのサブセットであり、テキスト関連の機能に採用されることが多い。LLMの最新の反復は、高度なチャットボット機構を通じて自然な会話を促進する7。

 

データ公平性

Classes of data equity データ公平性の分類
Effectively addressing the complexities of data equity mandates an appreciation of the diverse viewpoints held by various stakeholders regarding data. The academic literature has identified four distinct classes of data equity, which are closely interrelated:8  データ衡平性の複雑性に効果的に対処するには、データに関して様々な利害関係者が持つ多様な視点を 理解することが必要である。学術文献はデータ衡平性の4つの分類を明らかにしているが、これらは相互に密接に関連している。
–  Representation equity seeks to enhance the visibility of historically marginalized groups within datasets while also accounting for data relevancy for the target populations. The development of models primarily within the Global North introduces disparities in representation, potentially leading to systemic biases in subsequent decisions rooted in such data. A proactive approach is indispensable to ensure that AI training data and models authentically reflect all stakeholders without encoding biases.  表現上の公平性は、対象集団にとってのデータの妥当性を考慮しつつ、データセット内で歴史的に疎外されてきた集団の可視性を高めようとするものである。北半球を中心にモデルが開発されることで、表現上の格差が生じ、そのようなデータに根ざしたその後の意思決定において、体系的なバイアスにつながる可能性がある。AIのトレーニングデータとモデルが、バイアスを内包することなく、すべてのステークホルダーを正確に反映するためには、積極的なアプローチが不可欠である。
 Feature equity seeks to ensure the accurate portrayal of individuals, groups and communities represented by data, necessitating the inclusion of attributes such as race, gender, location and income alongside other data. Without these attributes, it is often difficult to identify and address latent biases and inequalities.  特徴上の公平性は、データによって代表される個人、グループ、コミュニティの正確な描写を確保しようとするものであり、他のデータとともに人種、性別、場所、収入などの属性を含める必要がある。これらの属性がなければ、潜在的なバイアスや不平等を特定し、対処することはしばしば困難である。
–  Access equity focuses on the equitable accessibility of data and tools across varying levels of expertise. Addressing transparency and visibility issues related to model construction and data sources is critical. Additionally, access equity also encompasses disparities in terms of AI literacy and the digital divide.  アクセス上の公平性は、様々な専門知識レベルにおいて、データやツールに公平にアクセスできることに焦点を当てる。モデル構築やデータソースに関連する透明性や可視性の問題に対処することが重要である。さらに、アクセスの公平性には、AIリテラシーやデジタルデバイドの観点からの格差も含まれる。
Outcome equity pertains to impartiality and fairness in results. Beyond developing unbiased models, maintaining vigilance over unintended consequences that impact individuals or groups is necessary. Transparency, disclosure and shared responsibility are crucial to achieve fairness.  結果の公平性は、結果の公平性と公正さに関係する。偏りのないモデルを開発するだけでなく、個人や集団に影響を与える意図しない結果に対する警戒を維持することが必要である。公平性を達成するためには、透明性、情報開示、責任の共有が極めて重要である。
These four classes of data equity are particularly relevant to genAI, but not exhaustive. Two other prominent types of equity broadly applicable to technology that need to be considered are procedural and decision-making equity. These procedural elements underscore broad equity concerns and include transparent decision-making, fair treatment of workers who develop and deploy technology, and inclusive development and deployment practices.9  データの公平性に関するこれら4つの分類は、特にgenAIに関連しているが、網羅的なものではない。テクノロジーに広く適用される衡平性のうち、他に考慮すべき顕著な2つのタイプは、手続き上の衡平性と意思決定上の衡平性である。これらの手続き的要素は、広範な衡平性への懸念を強調するものであり、透明性のある意思決定、技術を開発・展開する労働者の公正な待遇、包括的な開発・展開慣行などが含まれる9。
Going further, consideration must also be given to issues of temporal equity (sustainability and long-term impacts) and relational equity (fostering equitable stakeholder relationships). These latter issues are not unique to genAI or technology broadly and, as such, are beyond the scope of this paper. Nonetheless, they are acknowledged here as integral components of the overarching fabric of technology equity.  さらに踏み込めば、時間的衡平性(持続可能性と長期的影響)と関係的衡平 性(公平なステークホルダー関係の醸成)の問題も考慮しなければならない。後者の問題は、genAIやテクノロジーに特有なものではないため、本稿の範囲外である。しかし、テクノロジーの公平性という包括的な枠組みを構成する不可欠な要素として、本稿で取り上げることにする。

 

 

| | Comments (0)

より以前の記事一覧