ウイルス

2024.02.12

Five Eyes 中華人民共和国の支援を受けたサイバーアクターが米国の重要インフラに潜伏し、攻撃できる体制を整えていると判断... (2024.02.07)

こんにちは、丸山満彦です。

Five Eyesのサイバーセキュリティ機関(オーストラリアACSCカナダCCCSニュージーランドNCSC英国NCSC米国CISA)等が、共同で、中華人民共和国の支援を受けたサイバーアクター (Volt Typhoon) が米国の重要インフラに潜伏し、攻撃できる体制を整えていると判断し、警告と対策を公表していますね。。。

このブログでも紹介しましたが、2024.01.31 に米国司法省が、民間と協力してVolt Typhoonのボットネットを破壊したと公表していましたが(このブログ)、その関係ですかね。。。昨年2023.05.24にVolt TyphoonについてのアラートをFive Eyesで公表していますね(このブログ)。。。米国はVolt Typhoonの動きは相当気にしているようですね...

‘living off the land; LOTL’ という用語がキーワードなんですが、訳語が難しいですね。。。私は「現地調達」としたのですが、「自給自足」、「環境寄生型」と訳しているケースもありますね。。。自給自足が近いですかね。。。

 

まずは、米国から...その後はアルファベット順に...

CISA

・2024.02.07 CISA and Partners Release Advisory on PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance

CISA and Partners Release Advisory on PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance CISAとパートナーは、中国が支援するボルト台風の活動に関する勧告と現地調達手法の識別と低減のためのガイドラインの補足を発表した。
Today, CISA, the National Security Agency (NSA), and the Federal Bureau of Investigation (FBI) released a joint Cybersecurity Advisory (CSA), PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure alongside supplemental Joint Guidance: Identifying and Mitigating Living off the Land Techniques. 本日、CISA、国家安全保障局(NSA)、連邦捜査局(FBI)は、共同サイバーセキュリティ・アドバイザリ(CSA)「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」を、補足的な共同ガイダンスとともに発表した: 現地調達手法の識別と低減」と併せて発表した。
The following federal agencies and international organizations are additional co-authors on the joint advisory and guidance: 以下の連邦政府機関および国際機関は、共同勧告およびガイダンスの追加共著者である:
・U.S. Department of Energy (DOE) ・米国エネルギー省(DOE)
・U.S. Environmental Protection Agency (EPA) ・米国環境保護庁(EPA)
・U.S. Transportation Security Administration (TSA) ・米国運輸保安局(TSA)
・Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC) ・オーストラリア信号総局(ASD)のオーストラリア・サイバー・セキュリティ・センター(ACSC)
・Canadian Centre for Cyber Security (CCCS) a part of the Communications Security Establishment (CSE) ・カナダ・サイバーセキュリティセンター(CCCS)(コミュニケーション・セキュリティ・エスタブリッシュメント(CSE)の一部
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国家サイバーセキュリティセンター(NCSC-UK)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
Volt Typhoon actors are seeking to pre-position themselves—using living off the land (LOTL) techniques—on IT networks for disruptive or destructive cyber activity against U.S. critical infrastructure in the event of a major crisis or conflict with the United States. The advisory provides actionable information from U.S. incident response activity that can help all organizations: ボルト・タイフーンの行動主体は、米国との重大な危機または紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー活動のために、現地調達(LOTL)技術を用いてITネットワーク上に事前に配置しようとしている。この勧告は、米国のインシデント対応活動から、すべての組織に役立つ実用的な情報を提供する:
1. Recognize Volt Typhoon techniques, 1. ボルト・タイフーンのテクニックを認識する、
2. Assess whether Volt Typhoon techniques have compromised your organization, 2. ボルト・タイフーンのテクニックがあなたの組織を危険にさらしているかどうかを評価する、
3. Secure your networks from these adversarial techniques by implementing recommended mitigations. 3. 推奨される低減策を実施することにより、これらの敵対的手法からネットワークを保護する。
To supplement the advisory, the Joint Guidance provides threat detection information and mitigations applicable to LOTL activity, regardless of threat actor. Additionally, CISA has published Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers, which provides technology manufactures guidance on protecting their products from Volt Typhoon compromises
.
この勧告を補足するために、共同ガイダンスは、脅威行為者に関係なく、LOTL の活動に適用可能な脅威検知情報と低減策を提供している。さらに、CISA は「Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers(設計による安全確保:SOHO 機器製造者のためのセキュリティ設計改善)」を発表し、Volt Typhoon による侵害から自社製品を保護するための技術製造者向けガイダンスを提供している。
CISA and its partners strongly urge critical infrastructure organizations and technology manufacturers to read the joint advisory and guidance to defend against this threat. For more information on People’s Republic of China (PRC) state-sponsored actors, visit People's Republic of China Cyber Threat. To learn more about secure by design principles and practices, visit Secure by Design. CISAとそのパートナーは、重要インフラ組織と技術製造者がこの脅威から身を守るために共同勧告とガイダンスを読むよう強く求めている。中華人民共和国(PRC)の国家支援行為者の詳細については、中華人民共和国のサイバー脅威を参照のこと。セキュア・バイ・デザインの原則と実践の詳細については、セキュア・バイ・デザインを参照のこと。

 

アドバイザリー...

・2024.02.07 PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure

AA24-038A

PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure 中華人民共和国の国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する
ACTIONS TO TAKE TODAY TO MITIGATE VOLT TYPHOON ACTIVITY: 台風の活動を軽減するために、今すぐ取るべき行動
1. Apply patches for internet-facing systems. Prioritize patching critical vulnerabilities in appliances known to be frequently exploited by Volt Typhoon. 1. インターネットに接続するシステムにパッチを適用する。ボルト・タイフーンに頻繁に悪用されることが知られているアプライアンスの重要な脆弱性に優先的にパッチを適用する。
2. Implement phishing-resistant MFA. 2. フィッシングに強いMFAを導入する。
3. Ensure logging is turned on for application, access, and security logs and store logs in a central system. 3. アプリケーション・ログ、アクセス・ログ、セキュリティ・ログを確実に記録し、中央システムに保存する。
SUMMARY 概要
The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), and Federal Bureau of Investigation (FBI) assess that People’s Republic of China (PRC) state-sponsored cyber actors are seeking to pre-position themselves on IT networks for disruptive or destructive cyberattacks against U.S. critical infrastructure in the event of a major crisis or conflict with the United States. サイバーセキュリティ・インフラ・セキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)は、中華人民共和国(PRC)の国家に支援されたサイバー・アクターが、米国との間で重大な危機や紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー攻撃のために、ITネットワーク上に事前に配置しようとしていると評価している。
CISA, NSA, FBI and the following partners are releasing this advisory to warn critical infrastructure organizations about this assessment, which is based on observations from the U.S. authoring agencies’ incident response activities at critical infrastructure organizations compromised by the PRC state-sponsored cyber group known as Volt Typhoon (also known as Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite, and Insidious Taurus): CISA、NSA、FBI、および以下のパートナーは、ボルト・タイフーン(別名Vanguard Panda、BRONZE SILHOUETTE、Dev-0391、UNC3236、Voltzite、およびInsidious Taurus)として知られるPRC国家支援サイバー・グループによって侵害された重要インフラ組織における米国認可機関のインシデント対応活動からの観察に基づくこの評価について、重要インフラ組織に警告するためにこの勧告を発表する:
・U.S. Department of Energy (DOE) ・米国エネルギー省(DOE)
・U.S. Environmental Protection Agency (EPA) ・米国環境保護庁(EPA)
・U.S. Transportation Security Administration (TSA) ・米国運輸保安局(TSA)
・Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC) ・オーストラリア信号総局(ASD)のオーストラリア・サイバー・セキュリティ・センター(ACSC)
・Canadian Centre for Cyber Security (CCCS), a part of the Communications Security Establishment (CSE) ・コミュニケーション・セキュリティ・エスタブリッシュメント(CSE)の一部であるカナダ・サイバーセキュリティセンター(CCCS)
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国家サイバーセキュリティセンター(NCSC-UK)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
The U.S. authoring agencies have confirmed that Volt Typhoon has compromised the IT environments of multiple critical infrastructure organizations—primarily in CommunicationsEnergyTransportation Systems, and Water and Wastewater Systems Sectors—in the continental and non-continental United States and its territories, including Guam. Volt Typhoon’s choice of targets and pattern of behavior is not consistent with traditional cyber espionage or intelligence gathering operations, and the U.S. authoring agencies assess with high confidence that Volt Typhoon actors are pre-positioning themselves on IT networks to enable lateral movement to OT assets to disrupt functions. The U.S. authoring agencies are concerned about the potential for these actors to use their network access for disruptive effects in the event of potential geopolitical tensions and/or military conflicts. CCCS assesses that the direct threat to Canada’s critical infrastructure from PRC state-sponsored actors is likely lower than that to U.S. infrastructure, but should U.S. infrastructure be disrupted, Canada would likely be affected as well, due to cross-border integration. ASD’s ACSC and NCSC-NZ assess Australian and New Zealand critical infrastructure, respectively, could be vulnerable to similar activity from PRC state-sponsored actors. 米国の認可機関は、ボルト・タイフーンが米国本土および非大陸、グアムを含むその領土にある、主にコミュニケーション、エネルギー、輸送システム、上下水道システム部門の複数の重要インフラ組織のIT環境を侵害したことを確認した。ヴォルト・タイフーンの標的の選択と行動パターンは、伝統的なサイバースパイ活動や情報収集活動とは一致せず、米国の認可機関は、ボルト・タイフーンの行為者は、機能を混乱させるためにOT資産への横方向の移動を可能にするために、ITネットワーク上にあらかじめ配置されていると高い確信をもって評価している。米国の認可機関は、潜在的な地政学的緊張や軍事衝突が発生した場合に、これらの行為者がネットワークアクセスを破壊的効果のために利用する可能性を懸念している。CCCSは、カナダの重要インフラに対するPRCの国家支援行為者の直接的脅威は、米国のインフラに対する脅威より低い可能性が高いが、米国のインフラが中断された場合、国境を越えた統合により、カナダも影響を受ける可能性が高いと評価している。ASDのACSCとNCSC-NZは、それぞれオーストラリアとニュージーランドの重要インフラを評価しているが、PRCの国家支援者による同様の活動に対して脆弱性を持つ可能性がある。
As the authoring agencies have previously highlighted, the use of living off the land (LOTL) techniques is a hallmark of Volt Typhoon actors’ malicious cyber activity when targeting critical infrastructure. The group also relies on valid accounts and leverage strong operational security, which combined, allows for long-term undiscovered persistence. In fact, the U.S. authoring agencies have recently observed indications of Volt Typhoon actors maintaining access and footholds within some victim IT environments for at least five years. Volt Typhoon actors conduct extensive pre-exploitation reconnaissance to learn about the target organization and its environment; tailor their tactics, techniques, and procedures (TTPs) to the victim’s environment; and dedicate ongoing resources to maintaining persistence and understanding the target environment over time, even after initial compromise. 認可機関が以前に強調したように、現地調達(LOTL)テクニックの使用は、重要インフラを標的にしたときのVolt Typhoon行為者の悪意あるサイバー活動の特徴である。このグループはまた、有効なアカウントに依存し、強力な運用セキュリティを活用することで、発見されずに長期的に存続することを可能にしている。実際、米国の認可機関は最近、ヴォルト・タイフーン活動家が少なくとも5年間は被害者のIT環境にアクセスし、その足場を維持している兆候を観察している。Volt Typhoonの行為者は、標的の組織とその環境について知るために、大規模な事前偵察を行い、被害者の環境に合わせて戦術、技術、手順(TTP)を調整し、最初の侵害後でさえ、長期にわたって標的の環境を理解し、持続性を維持するために継続的なリソースを費やしている。
The authoring agencies urge critical infrastructure organizations to apply the mitigations in this advisory and to hunt for similar malicious activity using the guidance herein provided, along with the recommendations found in joint guide Identifying and Mitigating Living Off the Land Techniques. These mitigations are primarily intended for IT and OT administrators in critical infrastructure organizations. Following the mitigations for prevention of or in response to an incident will help disrupt Volt Typhoon’s accesses and reduce the threat to critical infrastructure entities. 認可機関は、重要インフラ組織が本勧告の軽減策を適用し、共同ガイド「現地調達手法の特定と軽減」に記載されている推奨事項とともに、本指針に記載されているガイダンスを使用して同様の悪意ある活動を狩ることを強く推奨する。これらの低減は、主に重要インフラ組織の IT および OT 管理者を対象としている。インシデントの発生を防止するため、あるいはインシデントに対応するための低減策に従うことは、ボルト・タイフーン のアクセスを妨害し、重要インフラ事業体への脅威を低減するのに役立つ。
If activity is identified, the authoring agencies strongly recommend that critical infrastructure organizations apply the incident response recommendations in this advisory and report the incident to the relevant agency (see Contact Information section). 活動が確認された場合、重要インフラ組織は、本勧告のインシデント対応に関する推奨事項を適用し、関連機関(「連絡先情報」セクションを参照)にインシデントを報告することを強く推奨する。
For additional information, see joint advisory People’s Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection and U.S. Department of Justice (DOJ) press release U.S. Government Disrupts Botnet People’s Republic of China Used to Conceal Hacking of Critical Infrastructure. For more information on PRC state-sponsored malicious cyber activity, see CISA’s China Cyber Threat Overview and Advisories webpage. 追加情報については、共同勧告「中華人民共和国が現地調達して検知を逃れるサイバー行為者」および米国司法省(DOJ)のプレスリリース「米国政府、重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊」を参照のこと。中華人民共和国が国家をスポンサーとする悪質なサイバー活動の詳細については、CISAの中国サイバー脅威の概要と勧告のウェブページを参照のこと。

 

・[PDF

20240211-175420

 

ボルト・タイフーンの活動例

1_20240211183201

 

 

・2023.02.07 MAR-10448362-1.v1 Volt Typhoon

MAR-10448362-1.v1 Volt Typhoon MAR-10448362-1.v1 ボルト・タイフーン
Summary 概要
Description 説明
CISA received three files for analysis obtained from a critical infrastructure compromised by the People’s Republic of China (PRC) state-sponsored cyber group known as Volt Typhoon. CISAは、ボルト・タイフーンとして知られる中華人民共和国(PRC)国家支援サイバー・グループによって侵害された重要インフラから入手した3つの分析用ファイルを受け取った。
The submitted files enable discovery and command-and-control (C2): (1) An open source Fast Reverse Proxy Client (FRPC) tool used to open a reverse proxy between the compromised system and a Volt Typhoon C2 server; (2) a Fast Reverse Proxy (FRP) that can be used to reveal servers situated behind a network firewall or obscured through Network Address Translation (NAT); and (3) a publicly available port scanner called ScanLine. (1)侵害されたシステムとボルト・タイフーンのC2サーバーとの間にリバース・プロキシを開くために使用されるオープン・ソースのFast Reverse Proxy Client (FRPC)ツール、(2)ネットワーク・ファイアウォールの背後にある、またはネットワーク・アドレス変換(NAT)によって隠されているサーバーを明らかにするために使用できるFast Reverse Proxy (FRP)、(3)ScanLineと呼ばれる一般に入手可能なポート・スキャナー。
For more information on Volt Typhoon see, joint Cybersecurity Advisory PRC State-Sponsored Actors Compromise, and Maintain Persistent Access to, U.S. Critical Infrastructure. For more information on PRC state-sponsored malicious cyber activity, see CISA’s China Cyber Threat Overview and Advisories, webpage. ボルト・タイフーンの詳細については、共同サイバーセキュリティ・アドバイザリー「PRC State-Sponsored Actors Compromise, and Maintain Persistent Access to, U.S. Critical Infrastructure」を参照のこと。中国国家が支援する悪質なサイバー活動の詳細については、CISAの「中国サイバー脅威の概要と勧告」ウェブページを参照のこと。

 

・[PDF]

20240211-182507

 


 

オーストラリア

Australian Signal Directorete - Cyber Security Centre

・2024.02.08 Identifying and Mitigating Living Off the Land Techniques

Identifying and Mitigating Living Off the Land Techniques 現地調達手法の識別と低減
Summary 概要
Introduction 序文
Living off the Land 現地調達
Network Defense Weaknesses ネットワーク防御の弱点
Best Practice Recommendations ベストプラクティスの推奨
Detection and Hunting Recommendations 検知とハンティングのすすめ
Remediation 修復
Secure by Design: Recommendations for Software Manufacturers セキュア・バイ・デザイン ソフトウェア製造事業者への提言
Resources リソース
References 参考文献
Disclaimer 免責事項
Acknowledgements 謝辞
Appendix A: LOTL in WIndows, Linux, MacOS, and Hybrid Environments 附属書 A: Windows、Linux、MacOS、およびハイブリッド環境における LOTL
Appendix B: Third-Party Tools for LOTL 附属書 B: LOTL 用サードパーティ製ツール
Appendix C: Known Lolbins Used Maliciously 附属書C:悪意を持って使用されている既知のLolbins
Summary 概要
This Guide, authored by the U.S. Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), and the following agencies (hereafter referred to as the authoring agencies), provides information on common living off the land (LOTL) techniques and common gaps in cyber defense capabilities. 本ガイドは、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査 局(FBI)、及び以下の機関(以下、認可機関と呼ぶ)によって作成され、現地調達(LOTL)の一般的な手 法及びサイバー防御能力における一般的なギャップに関する情報を提供する。
・U.S. Department of Energy (DOE) ・米国エネルギー省(DOE)
・U.S. Environmental Protection Agency (EPA) ・米国環境保護庁(EPA)
・U.S. Transportation Security Agency (TSA) ・米国運輸保安庁(TSA)
・Australian Signals Directorate’s Australian Cyber Security Centre (ASD's ACSC) ・オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター(ASD's ACSC)
・Canadian Centre for Cyber Security (CCCS) ・カナダ・サイバーセキュリティセンター(CCCS)
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国家サイバーセキュリティセンター(NCSC-UK)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
The joint guide for network defenders focuses on how to mitigate identified gaps and to detect and hunt for LOTL activity. The information in this joint guide is derived from a previously published joint advisory; incident response engagements undertaken by several of the authoring agencies; red team assessments by several of the authoring agencies using LOTL for undetected, persistent access; and collaborative efforts with industry. ネットワーク防衛者のための共同ガイドは、識別されたギャップを軽減し、LOTL の活動を検知し、ハントする方法に重点を置いている。この共同ガイドの情報は、以前に発表された共同アドバイザリ、認可機関のいくつかによって実施されたインシデント対応業務、未検出の持続的アクセスに LOTL を使用する認可機関のいくつかによるレッドチーム評価、および産業界との共同作業から得られたものである。
The authoring agencies have observed cyber threat actors, including the People’s Republic of China (PRC) [1],[2] and Russian Federation [3] state-sponsored actors, leveraging LOTL techniques to compromise and maintain persistent access to critical infrastructure organizations. The authoring agencies are releasing this joint guide for network defenders (including threat hunters) as the malicious use of LOTL techniques is increasingly emerging in the broader cyber threat environment. 認可機関は、中華人民共和国(PRC)[1]、[2]、ロシア連邦[3]などの国家に支援されたサイバー脅威行為者が、LOTL 技術を活用し て重要インフラ組織を侵害し、持続的なアクセスを維持していることを確認している。認可機関は、ネットワーク防御者(脅威ハンターを含む)のために、LOTL 手法の悪意ある利用が広範なサイ バー脅威環境においてますます顕在化していることから、この共同ガイドを公開する。
Cyber threat actors leveraging LOTL abuse native tools and processes on systems, often using “living off the land binaries” (LOLBins). They use LOTL in multiple IT environments, including on-premises, cloud, hybrid, Windows, Linux, and macOS environments. LOTL enables cyber threat actors to conduct their operations discreetly as they can camouflage activity with typical system and network behavior, potentially circumventing basic endpoint security capabilities. LOTL を活用するサイバー脅威行為者は、システム上のネイティブなツールやプロセスを悪用し、多くの場合「現地調達バイナリ」(LOLBin)を使用する。彼らは、オンプレミス、クラウド、ハイブリッド、Windows、Linux、macOS 環境など、複数の IT 環境で LOTL を使用する。LOTL は、典型的なシステムやネットワークの動作で活動をカモフラージュできるため、サイバー脅威行為者が目立たないように活動を行うことを可能にし、基本的なエンドポイントセキュリティ機能を回避できる可能性がある。
LOTL is particularly effective because: LOTL が特に効果的な理由は以下の通りである:
・Many organizations lack effective security and network management practices (such as established baselines) that support detection of malicious LOTL activity—this makes it difficult for network defenders to discern legitimate behavior from malicious behavior and conduct behavioral analytics, anomaly detection, and proactive hunting. ・多くの組織では、悪意のある LOTL アクティビティの検知をサポートする効果的なセキュリティおよびネットワーク管理の実践(確立されたベースラインなど)が欠如しているため、ネットワーク防御者が正当な挙動と悪意のある挙動を識別し、行動分析、異常検知、プロアクティブ・ハンティングを実施することが困難である。
・There is a general lack of conventional indicators of compromise (IOCs) associated with the activity, complicating network defenders’ efforts to identify, track, and categorize malicious behavior. ・一般的に、この活動に関連する従来の侵害指標(IOC)が欠如しているため、悪意のある行動を識別、追跡、分類するネットワーク防御者の取り組みが複雑になっている。
・It enables cyber threat actors to avoid investing in developing and deploying custom tools. ・これにより、サイバー脅威行為者はカスタムツールの開発・導入への投資を避けることができる。
Even for organizations adopting best practices, distinguishing malicious LOTL activity from legitimate behavior is challenging because network defenders often: ベスト・プラクティスを採用している組織であっても、悪意のある LOTL アクティビティと正当なアクティビティを区別することは困難である:
・Operate in silos separate from IT teams and their operational workflows; ・IT チームやその運用ワークフローから切り離されたサイロの中で運用されている;
・Rely predominantly on untuned endpoint detection and response (EDR) systems, which may not alert to LOTL activity, and discrete IOCs that attackers can alter or obfuscate to avoid detection; ・LOTL アクティビティに警告を発しない可能性のある、チューニングされていないエンドポイント検知・対 応(EDR)システムや、攻撃者が検知を回避するために変更または難読化できる個別の IOC に主に依存している;
・Maintain default logging configurations, which do not comprehensively log indicators of LOTL techniques or sufficiently detailed information to differentiate malicious activity from legitimate IT administrative activity; and ・LOTL 手法の指標や、悪意のある活動と正当な IT 管理活動を区別するための十分詳細な情報を包括的に記録しない、デフォルトのロギング設定を維持している。
・Have difficulty in identifying a relatively small volume of malicious activity within large volumes of log data. ・大量のログデータの中から比較的少量の悪意のある活動を識別することが困難である。
The authoring agencies strongly urge critical infrastructure organizations to apply the following prioritized best practices and detection guidance to hunt for potential LOTL activity. These recommendations are part of a multifaceted cybersecurity strategy that enables effective data correlation and analysis. There is no foolproof solution to fully prevent or detect LOTL activity, but by applying these best practices organizations can best position themselves for more effective detection and mitigation. 認可機関は、重要なインフラストラクチャ組織に対し、以下の優先順位の高いベストプラクティスと検 出ガイダンスを適用し、潜在的な LOTL 活動を探索するよう強く要請する。これらの推奨事項は、効果的なデータ相関と分析を可能にする多面的なサイバーセキュリティ戦略の一部である。LOTL 活動を完全に防止または検知するための確実な解決策は存在しないが、これらのベストプラクティスを適用することで、組織はより効果的な検知と低減のための最適なポジションを確保することができる。
Detection Best Practices: 検知のベストプラクティス:
1. Implement detailed logging and aggregate logs in an out-of-band, centralized location that is write-once, read-many to avoid the risk of attackers modifying or erasing logs. 1. 攻撃者がログを変更または消去するリスクを回避するため、詳細なロギングを実施し、ログを帯域外の一元化された場所に集約する。
2. Establish and continuously maintain baselines of network, user, administrative, and application activity and least privilege restrictions. 2. ネットワーク、ユーザー、管理者、アプリケーションのアクティビティと最小権限制限のベースラインを確立し、継続的に維持する。
3. Build or acquire automation (such as machine learning models) to continually review all logs to compare current activities against established behavioral baselines and alert on specified anomalies. 3. 機械学習モデルなどの)自動化を構築または導入し、すべてのログを継続的にレビューして、確立された行動ベースラインと現在のアクティビティを比較し、指定された異常についてアラートを発する。
4. Reduce alert noise by fine-tuning via priority (urgency and severity) and continuously review detections based on trending activity. 4. 優先度(緊急度と重要度)を微調整してアラートのノイズを減らし、傾向のあるアクティビティに基づいて検知を継続的にレビューする。
5. Leverage user and entity behavior analytics (UEBA). 5. ユーザーと事業体の行動分析(UEBA)を活用する。
Hardening Best Practices: ハードニングのベストプラクティス
1. Apply and consult vendor-recommended guidance for security hardening. 1. ベンダが推奨するセキュリティ堅牢化ガイダンスを適用し、参照する。
2. Implement application allowlisting and monitor use of common LOLBins. 2. アプリケーションの許可リストを実装し、一般的な LOLBIN の使用を監視する。
3. Enhance IT and OT network segmentation and monitoring. 3. IT および OT ネットワークのセグメンテーションと監視を強化する。
4. Implement authentication and authorization controls for all human-to-software and software-to-software interactions regardless of network location. 4. ネットワークの場所に関係なく、本人からソフトウエア、ソフトウエアからソフトウエアへのすべてのインタラクションに対して認証と認可の管理を実施する。
For details and additional recommendations, see the Best Practice Recommendations and Detection and Hunting Recommendations sections. If LOTL activity is identified, defenders should report the activity to the relevant agencies, as applicable, and apply the remediation guidance in this guide. 詳細とその他の推奨事項については、「ベスト・プラクティスの推奨事項」と「検知とハンティングの 推奨事項」のセクションを参照のこと。LOTL の活動が確認された場合、識別は、該当する場合、その活動を関連機関に報告し、本ガイドの修正ガイダンスを適用する。
Additionally, this guide provides recommendations for software manufacturers to reduce the prevalence of exploitable flaws in software that enable LOTL. In many cases, software defects or unsecure default configurations allow cyber threat actors to carry out malicious cyber activity using LOTL techniques. The authoring agencies strongly encourage software manufacturers to take ownership of their customers’ security outcomes by applying the secure by design recommendations in this guide and in CISA’s joint secure by design guide Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software. さらに、本ガイドは、LOTL を可能にするソフトウェアの悪用可能な欠陥の蔓延を減少させるために、ソフ トウェア製造事業者に対する勧告を提供する。多くの場合、ソフトウェアの欠陥や安全でない初期設定により、サイバー脅威行為者は LOTL の技法を用いて悪意あるサイバー活動を行うことができる。認可機関は、ソフトウェア製造事業者に対し、本ガイド及び CISA の共同セキュア・バイ・デザイン・ガイド「サイバーセキュリティ・リスクのバランスをシフトする:セキュア・バイ・デザイン・ソフトウェアの原則とアプローチ」のセキュア・バイ・デザインの推奨事項を適用することで、顧客のセキュリティ成果にオーナーシップを持つことを強く推奨する。
Technology manufacturers can reduce the effectiveness of LOTL techniques by producing products that are secure by design, including by: 技術製造事業者は、以下のようなセキュア・バイ・デザインの製品を製造することで、LOTL 手法の有効性を低減することができる:
・Disabling or removing unnecessary protocols by default. ・不要なプロトコルをデフォルトで無効化または削除する。
・Limiting network reachability to the extent feasible. ・実現可能な範囲でネットワークへの到達性を制限する。
・Limiting processes and programs running with elevated privileges. ・昇格した権限で実行されるプロセスやプログラムを制限する。
・Enabling phishing-resistant MFA as a default feature. ・フィッシングに強いMFAをデフォルトの機能として有効にする。
・Providing high-quality secure logging at no additional charge beyond processing and storage costs. ・高品質で安全なロギングを、処理コストや保管コスト以上の追加料金なしでプロバイダが提供する。
・Eliminating default passwords and credentials when installing software. ・ソフトウェアをインストールする際のデフォルトのパスワードや認証情報をなくす。
・Limiting or removing dynamic code execution. ・動的なコード実行を制限または削除する。

 

・2024.02.08 Identifying and Mitigating Living Off the Land Techniques

 

・2024.02.08 PRC state-sponsored actors compromise and maintain persistent access to U.S. critical infrastructure

 

 


 

カナダ...

・2024.02.07 Joint advisory on PRC state-sponsored actors compromising and maintaining persistent access to U.S. critical infrastructure and joint guidance on identifying and mitigating living off the land

Joint advisory on PRC state-sponsored actors compromising and maintaining persistent access to U.S. critical infrastructure and joint guidance on identifying and mitigating living off the land 米国の重要インフラを侵害し、持続的なアクセスを維持する中国国家支援行為者に関する共同勧告、および現地調達の特定と低減に関する共同ガイダンス
The Canadian Centre for Cyber Security  (the Cyber Centre) has joined the Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA) and the following international partners in releasing a cyber security advisory on PRC state-sponsored actors malicious cyber activity targeting critical infrastructure  using living off the land (LOTL) techniques: カナダ・サイバーセキュリティセンター(以下、サイバーセンター)は、サイバーセキュリティ・インフラセキュリティ庁(以下、CISA)、国家安全保障局(以下、NSA)、および以下の国際的パートナーとともに、LOTL(Living Off the Land:現地調達)技術を使用して重要インフラを標的とするPRC国家支援行為者の悪質なサイバー活動に関するサイバーセキュリティ勧告を発表した:
・Australian Cyber Security Centre (ACSC) ・オーストラリア・サイバーセキュリティセンター(ACSC)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
・United Kingdom (UK) National Cyber Security Centre (NCSC-UK) ・英国(UK)国家サイバーセキュリティセンター(NCSC-UK)
This joint cyber security advisory, PRC State-Sponsored Actors Compromise  and Maintain Persistent Access to U.S. Critical Infrastructure, warns that PRC state-sponsored cyber actors are seeking to pre-position for disruptive or destructive cyber attacks against U.S. critical infrastructure in the event of a major crisis or conflict with the United States. CISA and the Cyber Centre have released this guidance alongside the ASCS and the NCSC-UK. この共同サイバーセキュリティ勧告「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」は、PRCの国家支援を受けているサイバー・アクターが、米国との重大な危機または紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー攻撃のための事前準備を行おうとしていることを警告している。CISAとサイバーセンターは、ASCSとNCSC-UKとともにこのガイダンスを発表した。
The Cyber Centre assesses that the direct threat to Canada's critical infrastructure from PRC state-sponsored actors is likely lower than that to U.S. infrastructure, but should U.S. infrastructure be disrupted, Canada would likely be affected as well, due to cross-border integration. サイバーセンターは、中国の国家支援行為者がカナダの重要インフラに与える直接的脅威は、米国のインフラに与える脅威よりも低い可能性が高いが、米国のインフラが破壊された場合、国境を越えた統合により、カナダも影響を受ける可能性が高いと評価している。
Accompanying guidance has also been released by CISA, NSA, ACSC, and NCSC-UK. Identifying and Mitigating Living Off the Land provides insight into techniques and common gaps in network defence capabilities. CISA、NSA、ACSC、NCSC-UKからも付随するガイダンスが発表されている。現地調達手法の識別と低減」は、ネットワーク防御能力におけるテクニックと一般的なギャップについての洞察を提供する。
Cyber threat  actors leveraging LOTL abuse native tools and processes on systems. They use LOTL in multiple IT environments, including on-premises, cloud and hybrid. LOTL enables cyber threat actors to conduct their operations discreetly as they can camouflage activity with typical system and network behaviour, potentially circumventing basic endpoint security capabilities. LOTL を活用するサイバー脅威行為者は、システム上のネイティブ・ツールやプロセスを悪用する。彼らは、オンプレミス、クラウド、ハイブリッドを含む複数の IT 環境で LOTL を使用する。LOTL は、典型的なシステムやネットワークの動作で活動をカモフラージュできるため、サイバー脅威行為者が目立たないように活動を行うことを可能にし、基本的なエンドポイントセキュリティ機能を回避する可能性がある。
We are releasing this joint guidance for network defenders (including threat hunters) due to the identification of cyber threat actors, including the People’s Republic of China (PRC) and Russian Federation state-sponsored actors, using LOTL in compromised critical infrastructure organizations. 中華人民共和国(PRC)やロシア連邦の国家支援行為を含むサイバー脅威行為者が、侵害された重要インフラ組織で LOTL を使用していることが確認されたため、我々はネットワーク防御者(脅威ハンターを含む)向けにこの共同ガイダンスを発表する。
Read the joint guidance and advisory: 共同ガイダンスと勧告を読む:
・Identifying and Mitigating Living Off the Land ・現地調達手法の識別と低減」を読む。
・PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure ・中華人民共和国の国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する

 

 


 

ニュージーランド...

National Cyber Security Centre; NCSC

・2024.02.08  Joint Advisory: PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance

 

Joint Advisory: PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance 共同勧告 PRCが支援するボルト台風の活動と現地調達手法の識別と低減のためのガイドラインの補足
Today, the National Cyber Security Centre (NCSC) has joined international partners in publishing joint guidance titled, ‘Identifying and Mitigating Living Off the Land' and a cyber security advisory titled, ‘PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure’.  本日、米国サイバーセキュリティセンター(NCSC)は、国際的なパートナーとともに、「現地調達手法の識別と低減」と題する共同ガイダンスと、「PRC国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持」と題するサイバーセキュリティ勧告を発表した。
The joint guidance, ‘Identifying and Mitigating Living Off the Land’ (LOTL) provides information on common LOTL techniques and gaps in cyber defense capabilities. It also provides guidance for network defenders to mitigate identified gaps and to detect and hunt for LOTL activity. The authoring agencies are releasing this joint advisory for network defenders (including threat hunters) due to the identification of cyber threat actors, including the People’s Republic of China (PRC) and Russian Federation state-sponsored actors, using LOTL in compromised critical infrastructure organisations. The authoring agencies strongly urge critical infrastructure organisations to apply the prioritised security best practices and detection guidance to hunt for potential LOTL activity. These recommendations are part of a multifaceted cybersecurity strategy that enables effective data correlation and analysis. 共同ガイダンスの「現地調達(LOTL)手法の識別と低減」は、一般的なLOTLテクニックとサイバー防衛能力のギャップに関する情報を提供している。また、識別されたギャップを軽減し、LOTL 活動を検知し、狩猟するためのネットワーク防衛者向けのガイダンスも提供している。認可機関は、中華人民共和国(PRC)やロシア連邦の国家支援行為を含むサイバー脅威行為者が、侵害された重要インフラ組織で LOTL を使用していることが確認されたため、ネットワーク防御者(脅威ハンターを含む)向けにこの共同勧告を発表する。認可機関は、重要インフラ組織に対し、優先順位の高いセキュリティのベストプラクティスと検知ガイダ ンスを適用し、潜在的な LOTL 活動を探索するよう強く要請する。これらの勧告は、効果的なデータ相関と分析を可能にする多面的なサイバーセキュリティ戦略の一部である。
The joint advisory, ‘PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure’ urges critical infrastructure organisations to apply the mitigations and hunt for similar malicious activity using the guidance within this advisory in parallel to the Identifying and Mitigating Living Off the Land guidance. These mitigations are intended for IT and OT administrators in critical infrastructure organisations to reduce risk and impact of future compromise or detect and mitigate if malicious activity is discovered. Following the mitigations for prevention or in response to an incident will help disrupt Volt Typhoon’s accesses and reduce the threat to critical infrastructure entities. 共同勧告「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」は、重要インフラ組織に対し、現地調達手法の識別と低減のためのガイドラインと並行して、本勧告内のガイダンスを使用して、低減策を適用し、同様の悪意ある活動を探すよう促している。これらの低減策は、重要インフラ組織のITおよびOT管理者が、将来の侵害のリスクと影響を低減すること、または悪意のある活動が発見された場合にそれを検知し低減することを目的としている。予防のため、あるいはインシデントに対応するために、これらの軽減策に従うことで、ボルト・タイフーンのアクセスを妨害し、重要インフラ事業体への脅威を軽減することができる。
If activity is identified, we strongly recommend that critical infrastructure organisations apply the incident response recommendations in this advisory and report the incident to [mail] 活動が確認された場合、重要インフラ組織はこの勧告にあるインシデント対応の推奨事項を適用し、インシデントを [mail]
に報告することを強く推奨する。

 


 

最後はUK...

National Cyber Security Centre

・2024.02.07 NCSC and partners issue warning about state-sponsored cyber attackers hiding on critical infrastructure networks

 

NCSC and partners issue warning about state-sponsored cyber attackers hiding on critical infrastructure networks NCSCとパートナーは、重要インフラネットワークに潜伏する国家支援のサイバー攻撃者について警告を発している。
GCHQ’s National Cyber Security Centre and partners share details of how threat actors are using built-in tools to camouflage themselves on victims’ systems. GCHQのナショナル・サイバー・セキュリティ・センターとパートナーは、脅威行為者が被害者のシステム上でカモフラージュするために内蔵ツールを使用している方法の詳細を共有する。
・New joint advisory and guidance reveal state-sponsored actors are among attackers using ‘living off the land’ techniques to persist on critical infrastructure networks ・新たな共同勧告とガイダンスにより、重要インフラ・ネットワークに潜伏する「現地調達」テクニックを使用する攻撃者の中に、国家の支援を受けた行為者が含まれていることが明らかになった。
・UK critical infrastructure operators urged to follow advice to help detect and mitigate malicious activity ・英国の重要インフラ事業者は、悪意のある活動を検知・軽減するための助言に従うよう要請された。
The UK and allies have issued a fresh warning to critical infrastructure operators today (Wednesday) about the threat from cyber attackers using sophisticated techniques to camouflage their activity on victims’ networks. 英国と同盟国は本日(水曜日)、重要インフラ事業者に対し、被害者のネットワーク上での活動をカモフラージュする高度なテクニックを使用するサイバー攻撃者の脅威について、新たな警告を発した。
The National Cyber Security Centre – a part of GCHQ – and agencies in the US, Australia, Canada and New Zealand have detailed how threat actors have been exploiting native tools and processes built into computer systems to gain persistent access and avoid detection. GCHQの一部である国家サイバーセキュリティセンターと米国、オーストラリア、カナダ、ニュージーランドの国家安全保障局は、脅威行為者がコンピュータシステムに組み込まれたネイティブツールやプロセスを悪用して、持続的なアクセスを獲得し、検知を回避していることを詳述した。
This kind of tradecraft, known as ‘living off the land’, allows attackers to operate discreetly, with malicious activity blending in with legitimate system and network behaviour making it difficult to differentiate – even by organisations with more mature security postures. このような手口は「現地調達」と呼ばれ、攻撃者が目立たないように活動することを可能にし、悪意のある活動が正当なシステムやネットワークの動作に紛れ込むことで、より成熟したセキュリティ体制を持つ組織であっても区別が難しくなる。
The NCSC assesses it is likely this type of activity poses a threat to UK critical national infrastructure and so all providers are urged to follow the recommended actions to help detect compromises and mitigate vulnerabilities. NCSCは、この種の活動が英国の重要な国家インフラに脅威を与えている可能性が高いと評価しており、すべてのプロバイダに対して、侵害を検知し脆弱性を軽減するために推奨されるアクションに従うよう求めている。
The new ‘Identifying and Mitigating Living Off The Land’ guidance warns that China state-sponsored and Russia state-sponsored actors are among the attackers that have been observed living off the land on compromised critical infrastructure networks . 新しい「現地調達手法の識別と低減」ガイダンスは、侵害された重要インフラ・ネットワーク上で現地調達していることが確認されている攻撃者の中には、中国国家とロシア国家に支援された行為者が含まれていると警告している。
Meanwhile, a separate advisory shares specific details about China state-sponsored actor Volt Typhoon which has been observed using living off the land techniques to compromise US critical infrastructure systems. 一方、別の勧告では、米国の重要インフラシステムを侵害するために現地調達のテクニックを使用していることが確認されている中国国家支援行為者ボルト・タイフーンについて、具体的な詳細を共有している。
The Deputy Prime Minister Oliver Dowden said: オリバー・ダウデン副首相は次のように述べた:
“In this new dangerous and volatile world where the frontline is increasingly online, we must protect and future proof our systems. 「この危険で不安定な新しい世界では、最前線はますますオンライン化されており、我々はシステムを保護し、将来に備えなければならない。
“Earlier this week, I announced an independent review to look at cyber security as an enabler to build trust, resilience and unleash growth across the UK economy.” 「今週初め、私は、信頼とレジリエンスを構築し、英国経済全体の成長を解き放つための手段として、サイバーセキュリティを検討する独立したレビューを発表した。
By driving up the resilience of our critical infrastructure across the UK we will defend ourselves from cyber attackers that would do us harm.” 英国全体の重要インフラのレジリエンスを向上させることで、我々に危害を加えるサイバー攻撃者から身を守ることができる。
Paul Chichester, NCSC Director of Operations, said: NCSCのディレクターであるポール・チチェスター氏は、次のように述べた:
“It is vital that operators of UK critical infrastructure heed this warning about cyber attackers using sophisticated techniques to hide on victims’ systems. 「英国の重要インフラの運営者は、被害者のシステムに隠れるために洗練されたテクニックを使うサイバー攻撃者に関するこの警告に耳を傾けることが不可欠である。
“Threat actors left to carry out their operations undetected present a persistent and potentially very serious threat to the provision of essential services. 「脅威行為者が発見されないまま作戦を遂行することは、重要なサービスの提供に対する持続的かつ潜在的に非常に深刻な脅威となる。
“Organisations should apply the protections set out in the latest guidance to help hunt down and mitigate any malicious activity found on their networks.” 「組織は、最新のガイダンスに示された防御を適用し、ネットワーク上で発見された悪意のある活動を追跡し、軽減するのに役立てるべきである。
The new advisory and joint guidance provide an update to a warning issued last May about China state-sponsored activity seen against critical infrastructure networks in the US that could be used against networks worldwide. この新しい勧告と共同ガイダンスは、昨年5月に発表された、米国内の重要インフラ・ネットワークに対する中国の国家支援活動に関する警告を更新したもので、世界中のネットワークに対して使用される可能性がある。
They include the latest advice to help network defenders identify living off the land activity and to mitigate and remediate if a compromise is detected. これらのガイダンスには、ネットワーク防御者が現地調達の活動を特定し、侵害が検知された場合に低減と修復を行うのに役立つ最新のアドバイスが含まれている。
While organisations should ensure they adopt a defence-in-depth approach as part of cyber security best practice, the 'Identifying and Mitigating Living Off The Land' guidance provides priority recommendations, which include: 組織は、サイバーセキュリティのベストプラクティスの一環として、徹底的な防御アプローチを確実に採用すべきであるが、「現地調達の識別と低減」ガイダンスは、以下を含む優先順位の高い推奨事項を提供している:
・Implementing logging and aggregate logs in an out-of-band, centralised location ・ロギングを実施し、帯域外の一元化された場所にログを集約する。
・Establishing a baseline of network, user and application activity and use automation to continually review all logs and compare activity ・ネットワーク、ユーザー、アプリケーションのアクティビティのベースラインを確立し、自動化を使用してすべてのログを継続的にレビューし、アクティビティを比較する。
・Reducing alert noise ・アラートノイズを減らす
・Implementing application allow listing ・アプリケーションの許可リストを実装する
・Enhancing network segmentation and monitoring ・ネットワークのセグメンテーションと監視を強化する
・Implementing authentication controls ・本人認証の導入
・Leveraging user and entity behaviour analytics (UEBA) ・ユーザーと事業体の行動分析(UEBA)の活用
Both products can be read on the CISA website: どちらの製品もCISAのウェブサイトで読むことができる:
Identifying and Mitigating Living Off The Land ・現地調達の識別と低減
PRC State-Sponsored Actors Compromise and Maintain Persistent Access to US Critical Infrastructure ・中国国家支援機関が米国の重要インフラを侵害し、持続的なアクセスを維持する

 


 

 ● まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.03 米国 司法省 重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊(だから、IoT認証が重要...)

・2023.08.20 CISA 官民サイバー防衛共同体 (JCDC) による「遠隔監視・管理 (RMM) システムのサイバー防衛計画」

・2023.06.11 Five Eyes 中華人民共和国の国家支援サイバー攻撃者は検知を逃れるために現地調達型対応をする (2023.05.24)

 

 

 

| | Comments (0)

2024.02.11

JNSA インシデント損害額調査レポート 第2版

こんにちは、丸山満彦です。

JNSA(調査研究部会インシデント被害調査ワーキンググループ)が2021年夏に初版を公表した「インシデント損害額調査レポート」の第2版が公表されていますね。。。

10月に速報版が公表されていたものです...

 

経営者やシステム担当者にインシデントが発生すると、お金がかかることを理解してもらうことが目的の一部のようです。。。

 

JNSA

・2024.02.09 インシデント損害額調査レポート 第2版

 

報告書

インシデント損害額調査レポート第2版

20240211-53414

目次...

 

 

 
エグゼクティブサマリー  

I はじめに

II インシデントの概要 
1.インシデントとは
2.インシデント発生時の対応の流れ
(1)初動対応および調査
(2)対外的対応(外向きの対応)
(3)復旧および再発防止(内向きの対応) 

3.インシデント発生時において生じる損害
The 座談会「インシデントレスポンス事業者」編~

III インシデント発生時の対応およびそのコスト
1
.費用損害(事故対応損害)
(1)初動対応および調査
セキュリティコラム「インシデント報告会について思うこと」
(2)対外的対応(外向きの対応)
(3)復旧および再発防止(内向きの対応)

セキュリティコラム「再発防止策の現場」
セキュリティコラムCSIRT担当が思うこと」
2
.賠償損害
セキュリティコラム「リスクコミュニケーションの重要性」
The 座談会「弁護士」編~
3
.利益損害
セキュリティコラム「ランサムウェア被害で倒産した中小企業のハナシ」
セキュリティコラム「サイバー保険」
4
.金銭損害
5
.行政損害
6
.無形損害
The 座談会「マスコミ」編~

IV モデルケース(フィクション)
1.サポート詐欺
2.軽微なマルウェア感染(エモテット)
3.ECサイトからのクレジットカード情報等の漏えい
4.ランサムウェア感染

V あとがき

VI 用語集

VII 参考文献・資料

変更履歴


参考...

20240211-55643

 

別紙 被害組織調査

20240211-53508

被害組織のデータは興味深いですね。。。

おそらく B to C の企業(飲食等)は規模が小さい企業も多いので、かなり小さな企業の場合、システムの利用の程度が少ないのと、個人情報の漏えいがないと公表もしていないという理由もあるのかもしれないですね。。。

1_20240211061401

 

サイバー攻撃の公表件数が個人情報保護法の改正の影響もあって?上昇していますね。。。

20240211-61704

 

 

公表されるインシデントは、ランサムウェア感染が増えていますね。。。二重脅迫の影響ですかね。。。

20240211-61941

 

 

インシデント公表企業全体と、ランサムウェア公表企業の比較...(色は関係ないです...(^^))

1_20240211062601

 

ランサムウェアを商売にしている組織への販売目的?の情報収集のエモテットは...

 

1_20240211064001

 

 

いろいろと興味深い...

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.31 JNSA サイバー攻撃被害組織アンケート調査(速報版) (2023.10.24)

 

| | Comments (0)

2024.02.09

米国 GAO 重要インフラ保護:各行政機関はランサムウェア対策の監視を強化し、連邦政府の支援を評価する必要がある (2024.01.30)

こんにちは、丸山満彦です。

GAOが、連邦政府のランサムウェア対応についての報告書をだしていますね。。。製造業、エネルギー、医療・公衆衛生、輸送システムの4つの重要セクターのリスク管理を主導する連邦政府機関(エネルギー省、保険保証省、国土安全保障省、運輸省)に対して確認をし、11の勧告を出していますね。。。すべてを「そうだね」といったわけではないようですが...

  製造業 エネルギー 医療・公衆衛生 輸送システム
  国土安全保障省 エネルギー省 保険福祉省 国土安全保障省 運輸省
ランサムウェアのリスクの評価        
リスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかの判断
リスク低減の有効性を測定する評価手順の開発と実施

 

U.S. Government Accountability Office

・2024.01.30 Critical Infrastructure Protection:Agencies Need to Enhance Oversight of Ransomware Practices and Assess Federal Support

Critical Infrastructure Protection:Agencies Need to Enhance Oversight of Ransomware Practices and Assess Federal Support 重要インフラ保護:各行政機関はランサムウェア対策の監視を強化し、連邦政府の支援を評価する必要がある。
GAO-24-106221 GAO-24-106221
Fast Facts 事実
Ransomware—software that makes data and systems unusable unless ransom is paid—can severely impact government operations and critical infrastructure. Such attacks have led to significant financial losses, health care disruptions, and more. ランサムウェア(身代金を支払わない限りデータやシステムを使用不能にするソフトウェア)は、政府の業務や重要インフラに深刻な影響を与える可能性がある。このような攻撃は、多額の金銭的損失、医療の混乱などにつながっている。
Most federal agencies that lead and manage risk for 4 critical sectors—manufacturing, energy, healthcare and public health, and transportation systems—have assessed or plan to assess risks associated with ransomware. But agencies haven't fully gauged the use of leading cybersecurity practices or whether federal support has mitigated risks effectively in the sectors. 製造業、エネルギー、医療・公衆衛生、輸送システムの4つの重要セクターのリスク管理を主導する連邦政府機関のほとんどは、ランサムウェアに関連するリスクをアセスメントしているか、またはアセスメントする予定である。しかし、各機関は、サイバーセキュリティの先進的な手法の利用状況や、連邦政府の支援がセクターにおけるリスクを効果的に低減しているかどうかを十分に把握していない。
Our recommendations address these issues. 我々の勧告は、これらの問題に対処するものである。
Highlights ハイライト
What GAO Found GAOが発見したこと
Ransomware—software that makes data and systems unusable unless ransom payments are made—is having increasingly devastating impacts. For example, the Department of the Treasury reported that the total value of U.S. ransomware-related incidents reached $886 million in 2021, a 68 percent increase compared to 2020 (see figure). ランサムウェア(身代金を支払わない限りデータやシステムを使用不能にするソフトウェア)は、ますます壊滅的な影響を及ぼしている。例えば、財務省は、2021年に米国で発生したランサムウェア関連のインシデントの総額は8億8600万ドルに達し、2020年と比較して68%増加したと報告している(図参照)。
Treasury Reported Dollar Value of U.S. Ransomware-Related Incidents 財務省が報告した米国のランサムウェア関連インシデントの金額
1_20240208183401
In addition to monetary losses, ransomware has led to other impacts, such as the inability to provide emergency care when hospital IT systems are unusable. The FBI reported that 870 critical infrastructure organizations were victims of ransomware in 2022, affecting 14 of the 16 critical infrastructure sectors. Among those incidents, almost half were from four sectors—critical manufacturing, energy, healthcare and public health, and transportation systems. The full impact of ransomware is likely not known because reporting is generally voluntary. The Department of Homeland Security is planning to issue new reporting rules by March 2024 that could provide a more complete picture of ransomware's impact. ランサムウェアは金銭的な損失だけでなく、病院のITシステムが使えなくなると救急医療が提供できなくなるなど、他の影響にもつながっている。FBIの報告によると、2022年には870の重要インフラ組織がランサムウェアの被害に遭い、16の重要インフラセクターのうち14のセクターが影響を受けた。これらのインシデントのうち、ほぼ半数は、重要な製造事業者、エネルギー、医療・公衆衛生、輸送システムの4部門によるものだった。ランサムウェアの被害報告は一般的に任意であるため、その影響の全容はわかっていない。国土安全保障省は2024年3月までに、ランサムウェアの影響をより詳細に把握できる新たな報告規則を発表する予定だ。
The four selected sectors' adoption of leading practices to address ransomware is largely unknown. None of the federal agencies designated as the lead for risk management for selected sectors have determined the extent of adoption of the National Institute of Standards and Technology's recommended practices for addressing ransomware. Doing so would help the lead federal agencies be a more effective partner in national efforts to combat ransomware. ランサムウェアに対処するための先進的プラクティスの採用状況については、4つのセクターがほぼ不明である。選定されたセクターのリスクマネジメントの主導者に指定された連邦機関はいずれも、ランサムウェアに対処するための国立標準技術研究所の推奨プラクティスの採用の程度を決定していない。そうすることで、主導的な連邦機関がランサムウェアに対抗する国家的な取り組みにおいて、より効果的なパートナーとなることができるだろう。
Most of the six selected lead federal agencies have assessed or plan to assess risks of cybersecurity threats including ransomware for their respective sectors, as required by law. Regarding lead agencies assessing their support of sector efforts to address ransomware, half of the agencies have evaluated aspects of their support. For example, agencies have received and assessed feedback on their ransomware guidance and briefings. However, none have fully assessed the effectiveness of their support to sectors, as recommended by the National Infrastructure Protection Plan. Fully assessing effectiveness could help address sector concerns about agency communication, coordination, and timely sharing of threat and incident information. 選定された6つの主導的連邦機関のほとんどは、法律で義務付けられているとおり、それぞれの部門についてランサムウェアを含むサイバーセキュリティの脅威のリスクをアセスメントしているか、またはアセスメントする予定である。ランサムウェアに対処するための各部門の取り組みに対する支援を評価する主導機関については、半数の機関が支援の側面を評価している。例えば、各行政機関はランサムウェアのガイダンスや説明会に関するフィードバックを受け、評価している。しかし、国家インフラ保護計画で推奨されているように、セクターへの支援の有効性を完全に評価している機関はない。有効性を完全に評価することは、行政機関のコミュニケーション、調整、脅威やインシデント情報のタイムリーな共有に関するセクターの懸念に対処するのに役立つ可能性がある。
Why GAO Did This Study GAOがこの調査を行った理由
The nation's 16 critical infrastructure sectors provide essential services such as electricity, healthcare, and gas and oil distribution. However, cyber threats to critical infrastructure, such as ransomware, represent a significant national security challenge. 全米の16の重要インフラ部門は、電力、医療、ガス・石油配給などの重要サービスをプロバイダとして提供している。しかし、ランサムウェアのような重要インフラに対するサイバー脅威は、国家安全保障上の重要な課題である。
This report (1) describes the reported impact of ransomware attacks on the nation's critical infrastructure, (2) assesses federal agency efforts to oversee sector adoption of leading federal practices, and (3) evaluates federal agency efforts to assess ransomware risks and the effectiveness of related support. 本報告書では、(1)報告されているランサムウェア攻撃が国家の重要インフラに与える影響について説明し、(2)連邦政府の主導的なプラクティスの部門採用を監督する連邦政府の取り組みをアセスメントし、(3)ランサムウェアのリスクと関連する支援の有効性を評価する連邦政府の取り組みを評価する。
To do so, GAO selected four critical infrastructure sectors—critical manufacturing, energy, healthcare and public health, and transportation systems. For each sector, GAO analyzed documentation, such as incident reporting and risk analysis, and compared efforts to leading cybersecurity guidance. GAO also interviewed sector and federal agency officials to obtain information on ransomware-related impacts, practices, and support. そのためにGAOは、重要製造業、エネルギー、医療・公衆衛生、輸送システムの4つの重要インフラ部門を選択した。各セクターについて、GAOはインシデント報告やリスク分析などの文書を分析し、主要なサイバーセキュリティ・ガイダンスと取り組みを比較した。GAOはまた、ランサムウェア関連の影響、慣行、サポートに関する情報を得るため、セクターおよび連邦政府機関の担当者にインタビューを行った。
Recommendations 勧告
GAO is making 11 recommendations to four agencies to, among other things, determine selected sectors' adoption of cybersecurity practices. DHS and HHS agreed with their recommendations. DOE partially agreed with one recommendation and disagreed with another. DOT agreed with one recommendation, partially agreed with one, and disagreed with a third. GAO continues to believe that the recommendations are valid. GAOは4つの機関に対し、特に特定のセクターのサイバーセキュリティ慣行の採用を調査するため、11の勧告を行っている。DHSとHHSは勧告に同意した。DOEは1つの勧告に部分的に同意し、もう1つの勧告には同意しなかった。DOTは1つの勧告に同意し、1つに部分的に同意し、3つ目には同意しなかった。GAOは引き続き、勧告は有効であると考えている。
Recommendations for Executive Action 行政措置に関する勧告
Agency Affected/Recommendation 影響を受ける行政機関/勧告
Department of Energy エネルギー省
The Secretary of Energy should, in coordination with CISA and sector entities, determine the extent to which the energy sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 1) エネルギー省長官は、CISAおよび事業体と連携して、エネルギー部門がランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告1)
The Secretary of Energy should, in coordination with CISA and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the energy sector. (Recommendation 2) エネルギー省長官は、CISAおよび事業体と連携して、エネルギー部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する日常的な評価手順を策定し、実施すべきである。(勧告2)
Department of Health and Human Services 保健福祉省
The Secretary of Health and Human Services should, in coordination with CISA and sector entities, determine the extent to which the healthcare and public health sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 3) 保健福祉省長官は、CISAおよび事業体と連携して、医療・公衆衛生部門が、同部門のランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告3)
The Secretary of Health and Human Services should, in coordination with CISA and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the healthcare and public health sector. (Recommendation 4) 保健福祉省長官は、CISAおよび事業体と連携して、医療・公衆衛生部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する日常的な評価手順を策定し、実施すべきである。(勧告4)
Department of Homeland Security 国土安全保障省
The Secretary of Homeland Security should, in coordination with CISA and sector entities, determine the extent to which the critical manufacturing sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 5) 国土安全保障省長官は、CISAおよび事業体と連携して、重要な製造部門がランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告5)
The Secretary of Homeland Security should, in coordination with CISA and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the critical manufacturing sector. (Recommendation 6) 国土安全保障省長官は、CISAおよび事業体と連携して、重要な製造部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する日常的な評価手順を策定し、実施すべきである。(勧告6)
The Secretary of Homeland Security should, in coordination with CISA, co-SRMAs, and sector entities, determine the extent to which the transportation systems sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 7) 国土安全保障省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門がランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告7)
The Secretary of Homeland Security should, in coordination with CISA, co-SRMAs, and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the transportation systems sector. (Recommendation 8) 国土安全保障省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する定期的な評価手順を策定し、実施すべきである。(勧告8)
Department of Transportation 運輸省
The Secretary of Transportation should, in coordination with CISA, co-SRMAs, and sector entities, assess ransomware risks to the transportation systems sector. (Recommendation 9) 運輸省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門に対するランサムウェアのリスクを評価すべきである。(勧告9)
The Secretary of Transportation should, in coordination with CISA, co-SRMAs, and sector entities, determine the extent to which the transportation systems sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 10) 運輸省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門が、同部門のランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告10)
The Secretary of Transportation should, in coordination with CISA, co-SRMAs, and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the transportation systems sector. (Recommendation 11) 運輸省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する定期的な評価手順を策定し、実施すべきである。(勧告11)

 

 

・[PDF] Full Report

20240208-183033

 

・[DOCX] 仮訳

 

 

 

 

| | Comments (0)

2024.01.31

セキュリティ監査人協会 監査人の警鐘- 2024年 情報セキュリティ十大トレンド (2024.01.09)

こんにちは、丸山満彦です。

JASA(特定非営利活動法人日本セキュリティ監査協会 )が情報セキュリティ監査人が選ぶ2023年の情報セキュリティ十大トレンドを発表していますね。。。

AIの脅威...がトップなんですが、具体的な脅威がそれなりの確度で起こるということよりも、新しい脅威に対する漠然とした不安的な要素が強いのかもしれませんね。。。

 

● JASA

・2024.01.09 監査人の警鐘 – 2024年 情報セキュリティ十大トレンド

 

ちなみに過去分は2018年からあります。。。

情報セキュリティ十大トレンド

 

傾向としてはこんな感じ?

1_20240131091301

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.07 JASA  監査人の警鐘- 2023年 情報セキュリティ十大トレンド

・2022.01.07 JASA 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド

Continue reading "セキュリティ監査人協会 監査人の警鐘- 2024年 情報セキュリティ十大トレンド (2024.01.09)"

| | Comments (0)

2024.01.25

IPA 「情報セキュリティ10大脅威 2024」を公開

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2024」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。

ランサムウェアの脅威はこの4年間トップですね。。。サプライチェーン攻撃もこのところ上位で、この3年間で上昇していますね。。。標的型攻撃による情報漏洩については、4−7年前は連続トップでしたが、このところは2, 3位となっていましたが、今年は4位。

個人については、今年から順序付けせずに、あいうえお順...

ちなみに、組織にとっての情報セキュリティなので、サイバー空間を利用した脅威である、「偽情報等による〜」みたいなものは入っていないのかもしれませんね。。。ただ、個人の脅威にはいっている「偽警告によるインターネット詐欺」は、「偽情報による〜」ということのような気もする。。。

 

● IPA

プレス発表

・2024.01.24 プレス発表 「情報セキュリティ10大脅威 2024」を決定

・2024.01.24 情報セキュリティ10大脅威 2024

 

個人(五十音順) 2024 組織 2023
インターネット上のサービスからの個人情報の窃取 1位 ランサムウェアによる被害 1位
インターネット上のサービスへの不正ログイン 2位 サプライチェーンの弱点を悪用した攻撃 2位
クレジットカード情報の不正利用 3位 内部不正による情報漏えい等の被害 4位
スマホ決済の不正利用 4位 標的型攻撃による機密情報の窃取 3位
偽警告によるインターネット詐欺 5位 修正前の公開前を狙う攻撃(ゼロデイ攻撃) 6位
ネット上の誹謗・中傷・デマ 6位 不注意による情報漏えい等の被害 9位
フィッシングによる個人情報等の詐取 7位 脆弱性対策情報の公開に伴う悪用増加 8位
不正アプリによるスマートフォン利用者への被害 8位 ビジネスメール詐欺による金銭被害 7位
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 9位 テレワーク等のニューノーマルな働き方を狙った攻撃 5位
ワンクリック請求等の不当請求による金銭被害 10位 犯罪のビジネス化(アンダーグラウンドサービス) 10位

 

過去から(組織向け)...

20240125-04344

 

 

2022 個人 2023 組織 2022
1位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪用した攻撃 3位
3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利用 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利用 5位 テレワーク等のニューノーマルな働き方を狙った攻撃 4位
7位 不正アプリによるスマートフォン利用者への被害 6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による金銭被害 8位
8位 インターネット上のサービスからの個人情報の窃取 8位 脆弱性対策情報の公開に伴う悪用増加 6位
10位 インターネット上のサービスへの不正ログイン 9位 不注意による情報漏えい等の被害 10位
New ワンクリック請求等の不当請求による金銭被害 10位 犯罪のビジネス化(アンダーグラウンドサービス) New

 

2021 個人 2022 組織 2021
2位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
3位 ネット上の誹謗・中傷・デマ 2位 標的型攻撃による機密情報の窃取 2位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 サプライチェーンの弱点を悪用した攻撃 4位
5位 クレジットカード情報の不正利用 4位 テレワーク等のニューノーマルな働き方を狙った攻撃 3位
1位 スマホ決済の不正利用 5位 内部不正による情報漏えい 6位
8位 偽警告によるインターネット詐欺 6位 脆弱性対策情報の公開に伴う悪用増加 10位
9位 不正アプリによるスマートフォン利用者への被害 7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) New
7位 インターネット上のサービスからの個人情報の窃取 8位 ビジネスメール詐欺による金銭被害 5位
6位 インターネットバンキングの不正利用 9位 予期せぬIT基盤の障害に伴う業務停止 7位
10位 インターネット上のサービスへの不正ログイン 10位 不注意による情報漏えい等の被害 9位

 

2020 個人 2021 組織 2020
1位 スマホ決済の不正利用 1位 ランサムウェアによる被害 5位
2位 フィッシングによる個人情報等の詐取 2位 標的型攻撃による機密情報の窃取 1位
7位 ネット上の誹謗・中傷・デマ 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃 4位
3位 クレジットカード情報の不正利用 5位 ビジネスメール詐欺による金銭被害 3位
4位 インターネットバンキングの不正利用 6位 内部不正による情報漏えい 2位
10位 インターネット上のサービスからの個人情報の窃取 7位 予期せぬIT基盤の障害に伴う業務停止 6位
9位 偽警告によるインターネット詐欺 8位 インターネット上のサービスへの不正ログイン 16位
6位 不正アプリによるスマートフォン利用者への被害 9位 不注意による情報漏えい等の被害 7位
8位 インターネット上のサービスへの不正ログイン 10位 脆弱性対策情報の公開に伴う悪用増加 14位
         
2019 個人 2020 組織 2019
NEW スマホ決済の不正利用 1位 標的型攻撃による機密情報の窃取 1位
2位 フィッシングによる個人情報の詐取 2位 内部不正による情報漏えい 5位
1位 クレジットカード情報の不正利用 3位 ビジネスメール詐欺による金銭被害 2位
7位 インターネットバンキングの不正利用 4位 サプライチェーンの弱点を悪用した攻撃 4位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位 ランサムウェアによる被害 3位
3位 不正アプリによるスマートフォン利用者への被害 6位 予期せぬIT基盤の障害に伴う業務停止 16位
5位 ネット上の誹謗・中傷・デマ 7位 不注意による情報漏えい(規則は遵守) 10位
8位 インターネット上のサービスへの不正ログイン 8位 インターネット上のサービスからの個人情報の窃取 7位
6位 偽警告によるインターネット詐欺 9位 IoT機器の不正利用 8位
12位 インターネット上のサービスからの個人情報の窃取 10位 サービス妨害攻撃によるサービスの停止 6位
         
2018 個人 2019 組織 2018
1位 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位
1位 フィッシングによる個人情報等の詐取 2位 ビジネスメール詐欺による被害 3位
4位 不正アプリによるスマートフォン利用者への被害 3位 ランサムウェアによる被害 2位
NEW メール等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
3位 ネット上の誹謗・中傷・デマ 5位 内部不正による情報漏えい 8位
10位 偽警告によるインターネット詐欺 6位 サービス妨害攻撃によるサービスの停止 9位
1位 インターネットバンキングの不正利用 7位 インターネットサービスからの個人情報の窃取 6位
5位 インターネットサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 7位
2位 ランサムウェアによる被害 9位 脆弱性対策情報の公開に伴う悪用増加 4位
9位 IoT 機器の不適切な管理 10位 不注意による情報漏えい 12位
         
2017 個人 2018 組織 2017
1位 インターネットバンキングやクレジットカード情報等の不正利用 1位 標的型攻撃による被害 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 2位
7位 ネット上の誹謗・中傷 3位 ビジネスメール詐欺による被害 NEW
3位 スマートフォンやスマートフォンアプリを狙った攻撃 4位 脆弱性対策情報の公開に伴う悪用増加 NEW
4位 ウェブサービスへの不正ログイン 5位 脅威に対応するためのセキュリティ人材の不足 NEW
6位 ウェブサービスからの個人情報の窃取 6位 ウェブサービスからの個人情報の窃取 3位
8位 情報モラル欠如に伴う犯罪の低年齢化 7位 IoT機器の脆弱性の顕在化 8位
5位 ワンクリック請求等の不当請求 8位 内部不正による情報漏えい 5位
10位 IoT機器の不適切な管理 9位 サービス妨害攻撃によるサービスの停止 4位
NEW 偽警告によるインターネット詐欺 10位 犯罪のビジネス化(アンダーグラウンドサービス) 9位
         
2016 個人 2017 組織 2016
1位 インターネットバンキングやクレジットカード情報の不正利用 1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位 スマートフォンやスマートフォンアプリを狙った攻撃 3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求等の不当請求 5位 内部不正による情報漏えいとそれに伴う業務停止 2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 ネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル欠如に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 NEW
10位 インターネット上のサービスを悪用した攻撃 9位 攻撃のビジネス化(アンダーグラウンドサービス) NEW
NEW IoT機器の不適切な管理 10位 インターネットバンキングやクレジットカード情報の不正利用 8位

 

個人(カッコ内は総合順位) 2016 組織(カッコ内は総合順位)
インターネットバンキングやクレジットカード情報の不正利用(1位) 1位 標的型攻撃による情報流出(2位)
ランサムウェアを使った詐欺・恐喝(3位) 2位 内部不正による情報漏えいとそれに伴う業務停止(8位)
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) 3位 ウェブサービスからの個人情報の窃取(4位)
巧妙・悪質化するワンクリック請求(9位) 4位 サービス妨害攻撃によるサービスの停止(-)
ウェブサービスへの不正ログイン(5位) 5位 ウェブサイトの改ざん(6位)
匿名によるネット上の誹謗・中傷(-) 6位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(10位)
ウェブサービスからの個人情報の窃取(4位) 7位 ランサムウェアを使った詐欺・恐喝(3位)
情報モラル不足に伴う犯罪の低年齢化(-) 8位 インターネットバンキングやクレジットカード情報の不正利用(1位)
職業倫理欠如による不適切な情報公開(-) 9位 ウェブサービスへの不正ログイン(5位)
インターネットの広告機能を悪用した攻撃(-) 10位 過失による情報漏えい(-)

 

  2015  
1 インターネットバンキングやクレジットカード情報の不正利用 ~個人口座だけではなく法人口座もターゲットに~
2 内部不正による情報漏えい ~内部不正が事業に多大な悪影響を及ぼす~
3 標的型攻撃による諜報活動 ~標的組織への侵入手口が巧妙化~
4 ウェブサービスへの不正ログイン ~利用者は適切なパスワード管理を~
5 ウェブサービスからの顧客情報の窃取 ~脆弱性や設定の不備を突かれ顧客情報が盗まれる~
6 ハッカー集団によるサイバーテロ ~破壊活動や内部情報の暴露を目的としたサイバー攻撃~
7 ウェブサイトの改ざん ~知らぬ間に、ウイルス感染サイトに仕立てられる~
8 インターネット基盤技術を悪用した攻撃 ~インターネット事業者は厳重な警戒を~
9 脆弱性公表に伴う攻撃 ~求められる迅速な脆弱性対策~
10 悪意のあるスマートフォンアプリ ~アプリのインストールで友人に被害が及ぶことも~
   
  2014
1 標的型メールを用いた組織へのスパイ・諜報活動 サイバー空間(領域)問題
2 不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃
3 ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃
4 ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃
5 オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃
6 悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃
7 SNS への軽率な情報公開 インターネットモラル
8 紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント
9 ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃
10 サービス妨害 ウイルス・ハッキングによるサイバー攻撃
   
  2013
1 クライアントソフトの脆弱性を突いた攻撃
2 標的型諜報攻撃
3 スマートデバイスを狙った悪意あるアプリの横行
4 ウイルスを使った遠隔操作
5 金銭窃取を目的としたウイルスの横行
6 予期せぬ業務停止
7 ウェブサイトを狙った攻撃
8 パスワード流出の脅威
9 内部犯行
10 フィッシング詐欺
   
  2012  
1 機密情報が盗まれる!?新しいタイプの攻撃 ~情報窃取を目的とする標的型の諜報攻撃(APT)~
2 予測不能の災害発生!引き起こされた業務停止 ~自然災害や人為的災害による IT システムの故障、業務データの消失~
3 特定できぬ、共通思想集団による攻撃 ~社会変革をめざす共通的な思想を持つ集団による暴露・妨害攻撃~
4 今もどこかで…更新忘れのクライアントソフトを狙った攻撃 ~標的型攻撃にも悪用されるクライアントソフトの脆弱性~
5 止まらない!ウェブサイトを狙った攻撃 ~狙われ続けるウェブサイトの脆弱性~
6 続々発覚、スマートフォンやタブレットを狙った攻撃 ~狙われる小さなパソコン-スマートデバイス~
7 大丈夫!?電子証明書に思わぬ落し穴 ~電子証明書の管理不備により、引き起こされた問題~
8 身近に潜む魔の手・・・あなたの職場は大丈夫? ~組織内部・関係者による業務妨害や情報漏えい~
9 危ない!アカウントの使いまわしが被害を拡大! ~アカウント情報の管理不備が原因で発生するなりすまし被害~
10 利用者情報の不適切な取扱いによる信用失墜 ~利用者との結びつきが強い情報(利用者情報)の取扱いに関する問題~
   
  2011
1 「人」が起こしてしまう情報漏えい
2 止まらない!ウェブサイトを経由した攻撃
3 定番ソフトウェアの脆弱性を狙った攻撃
4 狙われだしたスマートフォン
5 複数の攻撃を組み合わせた新しいタイプの攻撃
6 セキュリティ対策丌備がもたらすトラブル
7 携帯電話向けウェブサイトのセキュリティ
8 攻撃に気づけない標的型攻撃
9 クラウド・コンピューティングのセキュリティ
10 ミニブログサービスや SNS の利用者を狙った攻撃
   
  2010
1 変化を続けるウェブサイト改ざんの手口
2 アップデートしていないクライアントソフト
3 悪質なウイルスやボットの多目的化
4 対策をしていないサーバ製品の脆弱性
5 あわせて事後対応を!情報漏えい事件
6 被害に気づけない標的型攻撃
7 深刻なDDoS攻撃
8 正規のアカウントを悪用される脅威
9 クラウド・コンピューティングのセキュリティ問題
10 インターネットインフラを支えるプロトコルの脆弱性
   
  2009
  ■組織への脅威
1 DNS キャッシュポイズニングの脅威
2 巧妙化する標的型攻撃
3 恒常化する情報漏えい
   ■利用者への脅威
1 多様化するウイルスやボットの感染経路
2 脆弱な無線 LAN 暗号方式における脅威
3 減らないスパムメール
4 ユーザ ID とパスワードの使いまわしによる危険性
   ■システム管理者・開発者への脅威
1 正規のウェブサイトを経由した攻撃の猛威
2 誘導型攻撃の顕在化
3 組込み製品に潜む脆弱性 
   
  2008
1 高まる「誘導型」攻撃の脅威
2 ウェブサイトを狙った攻撃の広まり
3 恒常化する情報漏えい
4 巧妙化する標的型攻撃
5 信用できなくなった正規サイト
6 検知されにくいボット、潜在化するコンピュータウイルス
7 検索エンジンからマルウェア配信サイトに誘導
8  国内製品の脆弱性が頻発
9 減らないスパムメール
10 組み込み製品の脆弱性の増加 
   
  2007
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2006
1 事件化するSQLインジェクション
2 Winnyを通じたウイルス感染による情報漏えいの多発
3 音楽CDに格納された「ルートキットに類似した機能」の事件化
4 悪質化するフィッシング詐欺
5 巧妙化するスパイウェア
6 流行が続くボット
7 ウェブサイトを狙うCSRFの流行
8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9 セキュリティ製品の持つ脆弱性
10 ゼロデイ攻撃
   
  2004
1 ボット(botnet)の脅威
2 変化し続けるコンピュータウイルスの脅威
3 フィッシング詐欺の脅威
4 サーバからの情報漏えいの脅威
5 複数製品にまたがる脅威の増加
6 ウェブサイトの改ざんの脅威

 

Ipa_20230126142601

 


 

まるちゃんの情報セキュリティ気まぐれ日記

| | Comments (0)

2023.12.02

ランサムウェアグループが被害者のデータ漏洩に関する情報開示義務を怠ったとしてSECを提訴

こんにちは、丸山満彦です。

復号鍵が欲しければ、個人情報等の秘密データを漏洩されたくなければ、、、と脅し、そして今度は、「SECに提訴するぞ」と脅す...

なるほどですね。。。

今年の7月に発表されたSECの新しいルールでは、

重要であると判断したサイバーセキュリティインシデントをForm 8-Kの新しいItem1.05に開示し、インシデントの性質、範囲、時期、および登録企業に対する重要な影響または合理的に起こりうる重要な影響の重要な側面を説明する

ことが義務付けられていますね。。。そのForm 8-Kは

サイバーセキュリティインシデントが重要であると登録者が判断してから4営業日以内に提出

しなければなりませんね。ただし、

米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面で委員会に通知した場合は、開示を延期する

ことができますね。。。

ちなみに、ランサムウェアグループがSECに報告した画面ショットも合わせて記事にのっていますね。。。

ランサムウェアグループもあの手、この手で。。。ただ、今回のこの発表が本当なら、開示がより進むかもしれませんね(^^;;

 

・ランサムウェアグループ:Alhpv

・被害企業といわれているのは:MeridianLink

 

DataBreaches.net

・2023.11.15 AlphV files an SEC complaint against MeridianLink for not disclosing a breach to the SEC (2)

 

Security Week

・2023.11.30 Ransomware Group Files SEC Complaint Over Victim’s Failure to Disclose Data Breach

 

1_20231202061301

 


 

SECの新ルールについて...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

 

案をだしている段階...

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

 

その他...

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

 

| | Comments (0)

2023.11.18

EDPB 意見募集 Privacy指令の対象となるトラッキング技術を明確にするためのガイドライン(案)(2023.11.16)

こんにちは、丸山満彦です。

EDPB、ePrivacy指令の対象となるトラッキング技術を明確にするガイドライン案を公表し、意見募集をしていますね。。。

ガイドライ名は、Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive (ePrivacy指令第5条(3)の技術的範囲に関するガイドライン 2/2023)

 

European Data Protection Board; EDPB

・2023.11.16 EDPB provides clarity on tracking techniques covered by the ePrivacy Directive 15 November 2023 EDPB

・2023.11.16 Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive

・[PDF

20231118-14503

 

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive  ePrivacy指令第5条(3)の技術的範囲に関するガイドライン 2/2023
Adopted on 14 November 2023 2023年11月14日採択
Executive summary 要旨
In these Guidelines, the EDPB addresses the applicability of Article 5(3) of the ePrivacy Directive to different technical solutions. These Guidelines expand upon the Opinion 9/2014 of the Article 29 Working Party on the application of ePrivacy Directive to device fingerprinting and aim to provide a clear understanding of the technical operations covered by Article 5(3) of the ePrivacy Directive. 本ガイドラインにおいて、EDPB は ePrivacy 指令第 5 条(3)の様々な技術的ソリューションへの適用可能性を取り上げる。本ガイドラインは、デバイスのフィンガープリンティングへの ePrivacy 指令の適用に関する Article 29 Working Party の意見 9/2014 を発展させ、ePrivacy 指令の Article 5(3)の対象となる技術的操作の明確な理解を提供することを目的とする。
The emergence of new tracking methods to both replace existing tracking tools (for example, cookies, due to discontinued support for third-party cookies) and create new business models has become a critical data protection concern. While the applicability of Article 5(3) of the ePrivacy Directive is well established and implemented for some tracking technologies such as cookies, there is a need to remove ambiguities related to the application of the said provision to emerging tracking tools. 既存の追跡ツール(例えば、サードパーティ製クッキーのサポートが打ち切られたことによるクッキー)に取って代わり、また新たなビジネスモデルを生み出す新たな追跡方法の出現は、データ保護の重大な関心事となっている。eプライバシー指令の第5条3項の適用可能性は、クッキーのようないくつかのトラッキング技術については十分に確立され、実施されているが、新たなトラッキングツールへの同規定の適用に関する曖昧さを取り除く必要がある。
The Guidelines identify four key elements for the applicability of Article 5(3) of the ePrivacy Directive (section 2.1), namely ‘information’, ‘terminal equipment of a subscriber or user’, ‘gaining access and ‘stored information and storage’. The Guidelines further provide a detailed analysis of each element (section 2.2-2.6).  本ガイドラインは、eプライバシー指令第5条3項(2.1項)の適用可能性に関する4つの重要な要素、すなわち「情報」、「加入者またはユーザーの端末機器」、「アクセスの獲得」、「保存された情報および保存」を特定している。ガイドラインはさらに、各要素の詳細な分析を提供している(2.2-2.6項)。
In section 3, that analysis is applied to a non-exhaustive list of use cases representing common techniques, namely: セクション3では、その分析が、一般的な技術を代表するユースケースの非網羅的なリストに適用されている:
- URL and pixel tracking ・URLとピクセルのトラッキング
- Local processing ・ローカル処理
- Tracking based on IP only ・IPのみに基づくトラッキング
- Intermittent and mediated Internet of Things (IoT) reporting ・断続的かつ媒介されたモノのインターネット(IoT)報告
- Unique Identifier                                                                ・一意識別子
TABLE OF CONTENTS 目次
1  Introduction  1 序文 
2  Analysis  2 分析 
2.1  Key elements for the applicability of Article 5(3) ePD  2.1 ePD第5条3項が適用されるための主な要素 
2.2  Notion of ‘information’  2.2 「情報」の概念 
2.3  Notion of ‘Terminal Equipment of a Subscriber or User’  2.3 「加入者または利用者の端末機器」の概念 
2.4  Notion of ‘electronic communications network’  2.4 「電子コミュニケーション・ネットワーク」の概念 
2.5  Notion of ‘gaining access’  2.5 「アクセスを得る」という概念 
2.6  Notions of ‘Stored Information’ and ‘Storage’  2.6 「蓄積情報」および「保管」の概念 
3  Use cases 3 ユースケース
3.1  URL and pixel tracking  3.1 URLとピクセルのトラッキング 
3.2  Local processing 3.2 ローカル処理
3.3  Tracking based on IP only  3.3 IPのみに基づくトラッキング 
3.4  Intermittent and mediated IoT reporting 3.4 断続的かつ媒介的なIoT報告
3.5  Unique Identifier 3.5 一意識別子
The European Data Protection Board 欧州データ保護委員会
Having regard to Article 70 (1)(e) of the Regulation 2016/679/EU of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, (hereinafter, ‘GDPR’), 個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会規則2016/679/EUの第70条(1)(e)を考慮し、指令95/46/ECを廃止する、
Having regard to the EEA Agreement and in particular to Annex XI and Protocol 37 thereof, as amended by the Decision of the EEA joint Committee No 154/2018 of 6 July 2018 , EEA協定、特に2018年7月6日付EEA合同委員会決定第154/2018号により改正された附属書XIおよびその第37議定書を考慮する、
Having regard to Article 15(3) of the Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector, as amended by Directive 2009/136/EC (hereinafter, ‘ePrivacy Directive’ or ‘ePD’), 指令2009/136/EC(以下、「eプライバシー指令」又は「ePD」)により改正された、電子コミュニケーション分野における個人データの処理及びプライバシーの保護に関する2002年7月12日の欧州議会及び理事会指令2002/58/ECの第15条3項を考慮する、
Having regard to Article 12 and Article 22 of its Rules of Procedure, その手続規則の第12条および第22条を考慮し、以下のガイドラインを採択した、
Has Adopted The Following Guidelines: 以下のガイドラインを採択した:
----- -----
1 INTRODUCTION  1 序文 
1. According to Article 5(3) ePD, ‘the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user’ is only allowed on the basis of consent or necessity for specific purposes set out in that Article. As reminded in Recital 24 of the ePD, the goal of that provision is to protect the users’ terminal equipment, as they are part of the private sphere of the users. It results from the wording of the Article and has been made clear (for example, in the Article 29 Working Party (hereinafter, ‘WP29’) Opinion 4/2012 on Cookie Consent Exemption ), that Article 5(3) ePD does not exclusively apply to cookies, but also to ‘similar technologies’. However, there is currently no comprehensive list of the technical operations covered by Article 5(3) ePD.  1. ePD第5条3項によると、「加入者または利用者の端末機器に情報を保存すること、またはすでに保存された情報にアクセスすること」は、同条に規定された特定の目的のための同意または必要性に基づいてのみ許可される。ePDのRecital 24にあるように、この規定の目的は、利用者の端末機器を保護することである。ePD第5条(3)がクッキーにのみ適用されるのではなく、「類似の技術」にも適用されることは、同条の文言から明らかであり、(例えば、クッキーに関する同意の免除に関する第29条作業部会(以下、「WP29」)の意見4/2012において)明らかにされている。しかし、現在のところ、第5条3項ePDの対象となる技術的操作の包括的なリストはない。
2. WP29 Opinion 9/2014 on the application of ePrivacy Directive to device fingerprinting (hereinafter, ‘WP29 Opinion 9/2014’) has already clarified that fingerprinting falls within the technical scope of Article 5(3) ePD, but due to the new advances in technologies further guidance is needed with respect to the tracking techniques currently observed. The technical landscape has been evolving during the last decade, with the increasing use of identifiers embedded in operating systems, as well as the creation of new tools allowing the storage of information in terminals. 2. デバイスのフィンガープリンティングへの ePrivacy 指令の適用に関する WP29 の意見 9/2014(以下、「WP29 の意見 9/2014」)は、フィンガープリンティングが第 5 条(3)ePD の技術的範囲に含まれることを既に明確にしているが、技術の新たな進歩により、現在観察されている追跡技術に関して更なるガイダンスが必要である。オペレーティングシステムに埋め込まれた識別子の使用が増加しているほか、端末に情報を保存できる新しいツールが開発されるなど、技術的な状況は過去10年間に進化している。
3. The ambiguities regarding the scope of application of Article 5(3) ePD have created incentives to implement alternative solutions for tracking internet users and lead to a tendency to circumvent the legal obligations provided by Article 5(3) ePD. All such situations raise concerns and require a supplementary analysis in order to complement the previous guidance from the EDPB. 3. ePD第5条3項の適用範囲に関する曖昧さは、インターネットユーザーを追跡するための代替ソリューションを導入する誘因を生み出し、ePD第5条3項が提供する法的義務を回避する傾向につながっている。このような状況はすべて懸念を生じさせるものであり、EDPBによるこれまでのガイダンスを補完するために補足的な分析が必要である。
4. The aim of these Guidelines is to conduct a technical analysis on the scope of application of Article 5(3) ePD, namely to clarify what is covered by the phrase ‘to store information or to gain access to information stored in the terminal equipment of a subscriber or user’. These Guidelines do not intend to address the circumstances under which a processing operation may fall within the exemptions from the consent requirement provided for by the ePD.  4. 本ガイドラインの目的は、第5条(3)ePDの適用範囲に関する技術的分析を行うこと、すなわち、「情報を保存するため、または加入者もしくはユーザーの端末機器に保存された情報にアクセスするため」という表現によって何がカバーされるのかを明確にすることである。本ガイドラインは、処理操作がePDが規定する同意要件の適用除外に該当する可能性がある状況を取り上げる意図はない。
5. A non-exhaustive list of specific use-cases will be analysed in the final part of these Guidelines.  5. 具体的なユースケースの非網羅的なリストは、本ガイドラインの最終部分で分析される。
2 ANALYSIS 2 分析
2.1 Key elements for the applicability of Article 5(3) ePD 2.1 ePD第5条(3)の適用可能性に関する重要な要素
6.  Article 5(3) ePD applies if:  6.  第5条(3)ePDは以下の場合に適用される: 
a. CRITERION A:  the operations carried out relate to ‘information’. It should be noted that the term used is not ’personal data’, but ‘information’. a. 判断基準 A:実施される業務が「情報」に関するものである。ここで使用されている用語は「個人データ」ではなく「情報」であることに留意すべきである。
b. CRITERION B: the operations carried out involve a ‘terminal equipment’ of a subscriber or user.  b. 判断基準 B:実施される業務が、加入者または利用者の「端末機器」に関係する。
c. CRITERION C: the operations carried out are made in the context of the ‘provision of publicly available electronic communications services in public communications networks’.  c. 判断基準 C:実施される業務が、「公衆通信網における公に利用可能な電子通信サービスの提供」という文脈で行われる。
d. CRITERION D: the operations carried out indeed constitute a ‘gaining of access’ or ‘storage’.  Those two notions can be studied independently, as reminded in WP29 Opinion 9/2014: ‘Use of the words “stored or accessed” indicates that the storage and access do not need to occur within the same communication and do not need to be performed by the same party. d. 判断基準 D:実施された操作は、確かに「アクセスの獲得」または「保存」を構成する。 これら二つの概念は、WP29 意見書 9/2014 で想起されたように、独立して検討することができる: 保管又はアクセスされる」という文言の使用は、保管とアクセスが同一のコミュニケーション 内で行われる必要はなく、同一の当事者によって行われる必要もないことを示している。
For the sake of readability, the entity gaining access to information stored in the user’s terminal equipment will be hereafter referred to as an ‘accessing entity’. 読みやすくするため、ユーザの端末機器に保存された情報にアクセスする事業体を、以後「アクセスする事業体」と呼ぶ。
2.2 Notion of ‘information’ 2.2 「情報」の概念
7. As expressed in CRITERION A, this section details what is covered by the notion of ‘information’. The choice of the term, much broader than the notion of personal data, is related to the scope of the ePrivacy Directive.  7. 基準Aで示したように、本節では「情報」の概念でカバーされる内容を詳述する。個人データの概念よりはるかに広いこの用語の選択は、ePrivacy 指令の範囲に関連している。
8. The goal of Article 5(3) ePD is to protect the private sphere of the users, as stated in its Recital 24: ‘Terminal equipment of users of electronic communications networks and any information stored on such equipment are part of the private sphere of the users requiring protection under the European Convention for the Protection of Human Rights and Fundamental Freedoms’. Consequently, it is also protected by Article 7 of the EU Charter of Fundamental Rights. 8. ePD第5条3項の目的は、そのリサイタル24に記載されているように、利用者の私的領域を保護することである。「電子コミュニケーションネットワークの利用者の端末機器および当該機器に保存された情報は、人権および基本的自由の保護に関する欧州条約に基づく保護を必要とする利用者の私的領域の一部である」。その結果、EU基本権憲章第7条によっても保護される。
9. In fact, scenarios that do intrude into this private sphere even without involving any personal data are explicitly covered by the wording of the Article 5(3) ePD and by Recital 24, for example the storage of viruses on the user’s terminal. This shows that the definition of the term ‘information’ should not be limited the property of being related to an identified or identifiable natural person. 9. 実際、個人データに関係なくとも、この私的領域に侵入するシナリオは、ePD第5条3項の文言と前文24によって明確にカバーされている。このことは、「情報」という用語の定義が、個人を特定できる自然人に関連するという性質に限定されるべきではないことを示している。
10. This has been confirmed by the Court of Justice of the EU: ‘That protection applies to any information stored in such terminal equipment, regardless of whether or not it is personal data, and is intended, in particular, as is clear from that recital, to protect users from the risk that hidden identifiers and other similar devices enter those users’ terminal equipment without their knowledge’ . 10. この保護は、個人データであるか否かにかかわらず、そのような端末機器に保存されているあらゆる情報に適用され、特に、同議定書から明らかなように、隠れた識別子やその他類似のデバイスがユーザーの知らないうちにユーザーの端末機器に入り込むリスクからユーザーを保護することを意図している」。
11. Whether the origin of this information and the reasons why it is stored in the terminal equipment should be considered when assessing the applicability of Article 5(3) ePD have been previously clarified, for example in the WP29 Opinion 9/2014: ‘It is not correct to interpret this as meaning that the third-party does not require consent to access this information simply because he did not store it. The consent requirement also applies when a read-only value is accessed (e.g. requesting the MAC address of a network interface via the OS API)’. 11. ePD 第 5 条(3)の適用可能性を評価する際に、この情報の出所と端末機器に保存される理由を考慮すべきかどうか は、例えば WP29 の意見書 9/2014 で以前に明確にされている: サードパーティがこの情報を保存していないという理由だけで、サードパーティがこの情報にアクセスするための同意を必要としないという意味に解釈するのは正しくない。同意の要件は、読み取り専用の値にアクセスする場合にも適用される(例えば、OS API 経由でネッ トワークインターフェースの MAC アドレスを要求する)。
12. In conclusion, the notion of information includes both non-personal data and personal data, regardless of how this data was stored and by whom, i.e. whether by an external entity (also including other entities than the one having access), by the user, by a manufacturer, or any other scenario. 12. 結論として、情報の概念には、非個人データと個人データの両方が含まれ、このデー タがどのように保存され、誰によって保存されたかに関係なく、すなわち、外部事業体 (アクセス権を有する事業体以外の事業体も含む)、ユーザー、製造者、またはその他の シナリオによるものであるかどうかに関係なく、非個人データと個人データの両方が 含まれる。
2.3 Notion of ‘Terminal Equipment of a Subscriber or User’ 2.3 「加入者またはユーザーの端末機器」の概念
13. This section builds on the definition used in Directive 2008/63/EC, where ‘terminal equipment’ is defined as: ‘equipment directly or indirectly connected to the interface of a public telecommunications network to send, process or receive information; in either case (direct or indirect), the connection may be made by wire, optical fibre or electromagnetically; a connection is indirect if equipment is placed between the terminal equipment and the interface of the network’ .  13. このセクションは、指令2008/63/ECで使用されている定義に基づいており、「端末機器」は以下のように定義されている: 直接的または間接的に公衆電気通信網のインターフェースに接続され、情報の送信、処理、受信を行う機器。いずれの場合(直接的または間接的)でも、接続は有線、光ファイバー、または電磁気的に行われる。
14. Recital 24 ePD provides a clear understanding of the role of the terminal equipment for the protection offered by Article 5(3) ePD. The ePD protects users’ privacy not only in relation to the confidentiality of their information but also by safeguarding the integrity of the user’s terminal equipment. This understanding will guide the interpretation of the notion of the terminal equipment throughout these Guidelines. 14. ePDの説明24は、ePD第5条3項が提供する保護における端末機器の役割について明確な理解を示している。ePDは、利用者のプライバシーを、利用者の情報の機密性だけでなく、利用者の端末機器の完全性を保護することによっても保護している。この理解は、本ガイドライン全体を通して、端末機器の概念の解釈の指針となる。
15. Whenever a device is not an endpoint of a communication and only conveys information without performing any modifications to that information, it would not be considered as the terminal equipment in that context. Hence, if a device solely acts as a communication relay, it should not be considered a terminal equipment under Article 5(3) ePD. 15. デバイスがコミュニケーションのエンドポイントでなく、情報に変更を加えることなく情報を伝達す るだけである場合、そのデバイスは端末機器とはみなされない。従って、デバイスが通信の中継としてのみ機能する場合、それは第 5 条(3)ePD に基づく端末機器とみなされるべきではない。
16. A terminal equipment may be comprised of any number of individual pieces of hardware, which together form the terminal equipment. This may or may not take the form of a physically enclosed device hosting all the display, processing, storage and peripheral hardware (for example, smartphones, laptops, connected cars or connected TVs, smart glasses).  16. 端末機器は、端末機器を形成する任意の数の個々のハードウェアから構成される場合がある。これは、すべての表示、処理、記憶、および周辺ハードウェア(例えば、スマートフォン、ラップトップ、コネクティッドカーまたはコネクティッドテレビ、スマートグラス)をホストする物理的に密閉されたデバイスの形態をとる場合もとらない場合もある。
17. The ePD acknowledges that the protection of the confidentiality of the information stored on a user’s terminal equipment and integrity of the user’s terminal equipment is not limited to the protection of the private sphere of natural persons but also concerns the right to respect for their correspondence or the legitimate interests of legal persons. As such, a terminal equipment that allows for this correspondence and the legitimate interests of the legal persons to be carried out is protected under Article 5(3) ePD.   17. ePDは、ユーザーの端末機器に保存された情報の機密性とユーザーの端末機器の完全性の保護は、自然人の私的領域の保護に限定されるものではなく、その通信または法人の正当な利益を尊重する権利にも関係することを認めている。そのため、このような通信や法人の正当な利益の遂行を可能にする端末機器は、ePD第5条第3項により保護される。 
18. The user or subscriber may own or rent or otherwise be provided with the terminal equipment. Multiple users or subscribers may share the same terminal equipment in the context of multiple communications (for example, in the case of a connected car) and a single communication may involve more than one terminal equipment.  18. ユーザーまたは加入者は、端末機器を所有するか、レンタルするか、またはその他の方法で提供されることができる。複数のユーザーまたは加入者は、複数のコミュニケーション(例えば、コネクティッドカーの場合)において同じ端末機器を共有することができ、1 つのコミュニケーションに複数の端末機器が関与することがある。
19. The protection is guaranteed by the ePD to the terminal equipment associated to the user or subscriber involved in the communication, and it is not dependant on whether the electronic communication was initiated by the user or even on whether the user is aware of the said communication.  19. 保護は、通信に関与するユーザーまたは加入者に関連する端末機器に対して ePD によって保証され、電子通信がユーザーによって開始されたかどうか、またはユーザーが当該通信を認識しているかどうかにさえ依存しない。
2.4 Notion of ‘electronic communications network’ 2.4 「電子通信ネットワーク」の概念
20. Another element to consider in order to assess the applicability of Article 5(3) ePD is the notion of ‘electronic communications network’. In fact, the situation regulated by the ePD is the one related to ‘the provision of publicly available electronic communications services in public communications networks in the Community’. It is therefore crucial to delimit the electronic communications network context in which Article 5(3) ePD applies. 20. ePD 第 5 条(3)の適用可能性を評価するために考慮すべきもう一つの要素は、「電子コミュニケーション・ ネットワーク」の概念である。実際、ePDが規制する状況は、「共同体内の公衆通信網における公に利用可能な電子通信サービスの提供」に関するものである。したがって、ePD第5条3項が適用される電子通信ネットワークの文脈を限定することは極めて重要である。
21. The notion of electronic communications network is not defined within the ePD itself. That concept was referred to originally in Directive 2002/21/EC (the Framework Directive) on a common regulatory framework for electronic communications networks and services , subsequently replaced by Directive 2018/1972 (the European Electronic Communications Code). It now reads: 21. 電子通信ネットワークの概念は、ePD自体では定義されていない。この概念はもともと、電子通信ネットワークおよびサービスの共通規制枠組みに関する指令2002/21/EC(枠組み指令)で言及され、その後、指令2018/1972(欧州電子通信規約)で置き換えられた。現在はこうなっている:
‘”electronic communications network” means transmission systems, whether or not based on a permanent infrastructure or centralised administration capacity, and, where applicable, switching or routing equipment and other resources, including network elements which are not active, which permit the conveyance of signals by wire, radio, optical or other electromagnetic means, including satellite networks, fixed (circuit- and packet-switched, including internet) and mobile networks, electricity cable systems, to the extent that they are used for the purpose of transmitting signals, networks used for radio and television broadcasting, and cable television networks, irrespective of the type of information conveyed’.   電子通信ネットワーク」とは、恒久的なインフラまたは集中管理能力に基づくか否かを問わず、伝送システム、および該当する場合、有線、無線、光またはその他の電磁的手段による信号の伝達を可能にする、能動的でないネットワーク要素を含む交換またはルーティング装置およびその他のリソースを意味する、 伝達される情報の種類に関係なく、衛星ネットワーク、固定(回線交換およびパケット交換、インターネットを含む)およびモバイルネットワーク、電力ケーブルシステム、ラジオおよびテレビ放送に使用されるネットワーク、ケーブルテレビネットワークを含む。 
22. This definition is neutral with respect to the transmission technologies. An electronic communications network, according to this definition, is any network system that allows transmission of electronic signals between its nodes, regardless of the equipment and protocols used. 22. この定義は、伝送技術に関しては中立である。この定義によれば、電子コミュニケーション・ネットワークとは、使用される機器やプロトコルに関係なく、ノード間で電子信号の伝送を可能にするあらゆるネットワーク・システムを指す。
23. The notion of electronic communications network under Directive 2018/1972 does not depend on the public or private nature of the infrastructure, nor on the way the network is deployed or managed (‘whether or not based on a permanent infrastructure or centralised administration capacity’ .) As a result, the definition of electronic communications network, under Article 2 of Directive 2018/1972, is broad enough to cover any type of infrastructure. It includes networks managed or not by an operator, networks co-managed by a group of operators, or even ad-hoc networks in which a terminal equipment may dynamically join or leave a mesh of other terminal equipment using short range transmission protocols. 23. 指令 2018/1972 に基づく電子通信網の概念は、インフラの公衆・私有の性質、ネットワークの配備・ 管理方法(「恒久的なインフラまたは集中管理能力に基づくか否か」)には依存しない。その結果、指令2018/1972の第2条に基づく電子コミュニケーションネットワークの定義は、あらゆるタイプのインフラをカバーするのに十分な広さとなっている。これには、事業者によって管理されるか否かにかかわらず、事業者グループによって共同管理されるネットワーク、あるいは、端末機器が短距離伝送プロトコルを使用して他の端末機器のメッシュに動的に参加または離脱するアドホックネットワークも含まれる。
24. This definition of network does not give any limitation with regards to the number of terminal equipment present in the network at any time. Some networking schemes rely on asynchronous information propagation to present peers in the network and can at some point in time have as little as two peers communicating. Article 5(3) ePD would still apply in such cases, as long as the network protocol allows for further inclusion of peers.  24. このネットワークの定義は、ネットワークに存在する端末機器の数に関して、いかなる制限も与えない。一部のネットワーキング方式は、ネットワーク内のピアを提示するための非同期情報伝播に依存しており、ある時点で通信しているピアがわずか2台になることがある。このような場合でも、ネットワーク・プロトコルがピアの追加を許容する限り、ePD第5条3項が適用される。
25. The public availability of the communication service over the communication network is necessary for the applicability of Article 5(3) ePD . It should be noted that the fact that the network is made available to a limited subset of the public (for example, subscribers, whether paying or not, subject to eligibility conditions) does not make such a network private.  25. 通信ネットワーク上でコミュニケーション・サービスが公に利用可能であることは、第5条3項ePDが適用されるために必要である。ネットワークが公衆の限定されたサブセット(例えば、有料か有料でないかを問わず、加入資格条件に従う加入者)に利用可能であるという事実は、そのようなネットワークを私的なものとするものではないことに留意すべきである。
2.5 Notion of ‘gaining access’ 2.5 「アクセスを得る」という概念
26. To correctly frame the notion of ‘gaining access’, it is important to consider the scope of the ePD, stated in its Article 1: ‘to ensure an equivalent level of protection of fundamental rights and freedoms, and in particular the right to privacy, with respect to the processing of personal data in the electronic communication sector and to ensure the free movement of such data and of electronic communication equipment and services in the Community’. 26. すなわち、「電子通信分野における個人データの処理に関し、基本的権利及び自由、特にプライバシ ーに対する権利の同等レベルの保護を確保し、かつ、共同体内における当該データ並びに電子通信機器及 びサービスの自由な移動を確保すること」である。
27. In a nutshell, the ePD is a privacy preserving legal instrument aiming to protect the confidentiality of communications and the integrity of devices. In Recital 24 ePD, it is clarified that, in the case of natural persons, the user’s terminal equipment is part of their private sphere and that accessing information stored on it without their knowledge may seriously intrude upon their privacy.  27. 一言で言えば、ePDは、コミュニケーションの機密性と機器の完全性を保護することを目的としたプライバシー保護の法的文書である。ePDのリサイタル24では、自然人の場合、ユーザーの端末機器はプライベートな領域の一部であり、本人が知らないうちに端末機器に保存された情報にアクセスすることは、プライバシーを著しく侵害する可能性があることが明確にされている。
28. Legal persons are also safeguarded by the ePD . In consequence, the notion of ‘gaining access’ under Article 5(3) ePD, has to be interpreted in a way that safeguards those rights against violation by third parties.  28. 法人もePDによって保護されている。その結果、ePD第5条3項の「アクセスを得る」という概念は、第三者による侵害からこれらの権利を保護するように解釈されなければならない。
29. Storage and access do not need to be cumulatively present for Article 5(3) ePD to apply. The notion of ’gaining access’ is independent from the notion of ‘storing information’. Moreover, the two operations do not need to be carried out by the same entity.  29. ePD 第 5 条(3)項が適用されるためには、保管とアクセスが累積的に存在する必要はない。アクセスを得る」という概念は、「情報を保管する」という概念から独立している。さらに、この2つの操作は同一の事業体によって行われる必要はない。
30. As noted in the WP29 Opinion 9/2014 on the application of Directive 2002/58/EC to device fingerprinting: ‘Use of the words “stored or accessed” indicates that the storage and access do not need to occur within the same communication and do not need to be performed by the same party. Information that is stored by one party (including information stored by the user or device manufacturer) which is later accessed by another party is therefore within the scope of Art. 5(3)’. Consequently, there are no restrictions placed on the origin of information on the terminal equipment for the notion of access to apply. 30. デバイスのフィンガープリンティングへの指令 2002/58/EC の適用に関する WP29 意見書 9/2014 で指摘されているように、「保存またはアクセスされる」という言葉の使用は、保存とアクセスが同一のコミュニケー ション内で行われる必要はなく、同一の当事者によって実行される必要もないことを示している。従って、ある当事者によって保存された情報(ユーザーまたはデバイス製造者によって保存された情報を含む)であって、後に別の当事者によってアクセスされるものは、第 5 条(3)の範囲内である。5(3)'. したがって、アクセスという概念が適用されるためには、端末機器上の情報の出所に制限はない。
31. Whenever the accessing entity wishes to gain access to information stored in the terminal equipment and actively takes steps towards that end, Article 5(3) ePD would apply. Usually this entails the accessing entity to proactively send specific instructions to the terminal equipment in order to receive back the targeted information. For example, this is the case for cookies, where the accessing entity instructs the terminal equipment to proactively send information on each subsequent HTTP (Hypertext Transfer Protocol) call.  31. アクセスする事業体が端末機器に保存された情報へのアクセスを希望し、積極的にそのための措置を講じる場合は常に、ePD第5条第3項が適用される。通常、これには、アクセス事業体が、対象となる情報を受信するために、端末機器に特定の指示を積極的に送信することが必要となる。例えば、これはクッキーの場合であり、アクセス事業体は、後続の各 HTTP(ハイパーテキスト転送プロトコル)呼 び出しで情報を積極的に送信するよう端末機器に指示する。
32. That is equally the case when the accessing entity distributes software on the terminal of the user that will then proactively call an API (application programming interface) endpoint over the network. Additional examples would include JavaScript code, where the accessing entity instructs the browser of the user to send asynchronous requests with the targeted content.  Such access clearly falls within the scope of Article 5(3) ePD, as the accessing entity explicitly instructs the terminal equipment to send the information.  32. アクセスする事業体がユーザーの端末にソフトウェアを配布し、そのソフトウェアがネットワークを介し てAPI(アプリケーション・プログラミング・インターフェース)エンドポイントを主体的に呼び出す場合も、 同様である。その他の例としては、アクセス事業体がユーザーのブラウザーに対して、対象となるコンテンツを含む非同期リクエストの送信を指示するJavaScriptコードがある。 このようなアクセスは、アクセス主体が端末機器に情報を送信するよう明示的に指示するため、明らかに ePD 第 5 条(3)項の適用範囲に入る。
33. In some cases, the entity instructing the terminal to send back the targeted data and the entity receiving information might not be the same. This may result from the provision and/or use of a common mechanism between the two entities. For example, one entity may have used protocols that imply the proactive sending of information by the terminal equipment which may be processed by the receiving entity. In these circumstances, Article 5(3) ePD may still apply.  33. 場合によっては、端末に対象データの送り返しを指示する事業体と、情報を受信する事業 体が同一でないことがある。これは、2つの事業体間で共通のメカニズムが提供および/または使用されていることに起因する可能性がある。例えば、一方の事業体が、受信側事業体によって処理される可能性のある端末機器による積極的な情報送信を意味するプロトコルを使用している可能性がある。このような状況でも、ePD 第 5 条(3)が適用される可能性がある。
2.6 Notions of ‘Stored Information’ and ‘Storage’  2.6 「保存情報」と「保管」の概念 
34. Storage of information in the sense of Article 5(3) ePD refers to placing information on a physical electronic storage medium that is part of a user or subscriber’s terminal equipment.  34. 第 5 条(3)ePD の意味での情報の保管とは、ユーザーまたは加入者の端末機器の一部である 物理的な電子記憶媒体に情報を置くことを指す。
35. Typically, information is not stored in the terminal equipment of a user or subscriber through direct access by another party, but rather by instructing software on the terminal equipment to generate specific information. Storage taking place through such instructions is considered to be initiated directly by the other party. This includes making use of established protocols such as browser cookie storage as well as customized software, regardless of who created or installed the protocols or software on the terminal equipment. 35. 通常、情報は、他者による直接アクセスによってユーザーまたは加入者の端末機器に保存されるのではなく、端末機器上のソフトウェアに特定の情報を生成するよう指示することによって保存される。このような指示によって行われる保存は、相手によって直接開始されたものとみなされる。これには、ブラウザクッキーストレージのような確立されたプロトコルの利用や、カスタマイズされたソフトウェアが含まれ、誰がそのプロトコルやソフトウェアを端末機器に作成またはインストールしたかは問わない。
36. The ePD does not place any upper or lower limit on the length of time that information must persist on a storage medium to be counted as stored, nor is there an upper or lower limit on the amount of information to be stored. 36. ePD は、保存されたものとしてカウントされるために情報が記憶媒体上に存続しなければならな い時間の長さに上限または下限を設けず、保存される情報量に上限または下限を設けない。
37. Similarly, the notion of storage does not depend on the type of medium on which the information is stored. Typical examples would include hard disc drives (HDD), solid state drives (SSD), flash drives and random-access memory (RAM), but less typical scenarios involving a medium such as magnetic tape or central processing unit (CPU) cache are not excluded from the scope of application. The storage medium may be connected internally (e.g. through a SATA connection), externally (e.g. through a USB connection) or through a network protocol (e.g. a network-attached-storage device).  37. 同様に、保存という概念は、情報が保存される媒体の種類に依存しない。典型的な例としては、ハードディスクドライブ(HDD)、ソリッドステートドライブ(SSD)、フラッシュドライブ、ランダムアクセスメモリ(RAM)などが挙げられるが、磁気テープや中央処理装置(CPU)キャッシュなどの媒体を含む、あまり典型的でないシナリオも適用範囲から除外されない。記憶媒体は、内部(SATA接続など)、外部(USB接続など)、またはネットワークプロトコル(ネットワーク接続記憶装置など)を介して接続することができる。
38. As long as the networked storage medium constitutes a functional equivalent of a local storage medium (including the fact that its only purpose is for the user of the terminal equipment to store information that will be processed on the terminal equipment itself), that storage medium will be considered part of the terminal equipment. 38. ネットワーク接続された記憶媒体がローカル記憶媒体と機能的に同等である限り(その唯一の目的が、端末機器のユーザーが端末機器自体で処理される情報を記憶することであることを含む)、その記憶媒体は端末機器の一部とみなされる。
39. Finally, ‘stored information’ may not just result from information storage in the sense of Article 5(3) ePD as described above (either by the same party that would later gain access or by another third party). It may also be stored by the user or subscriber, or by a hardware manufacturer, or any other entity; be the result of sensors integrated into the terminal; or be produced through processes and programs executed on the terminal equipment, which may or may not produce information that is dependent on or derived from stored information. 39. 最後に、「保存された情報」は、上述の第 5 条(3)ePD の意味での情報保存(後にアクセスする同じパーテ ィ又は別のサードパーティによる)により生じるだけではない。また、利用者または加入者、ハードウェア製造者、またはその他の事業体によって保存される場合、端末に統合されたセンサーの結果である場合、端末装置上で実行されるプロセスおよびプログラムを通じて生成される場合もあり、これらのプロセスおよびプログラムは、保存された情報に依存または派生する情報を生成する場合も、生成しない場合もある。
3 USE CASES 3 利用事例
40. Without prejudice of the specific context in which those technical categories can be used which are necessary to qualify whether Article 5(3) ePD is applicable, it is possible to identify, in a non-exhaustive manner, broad categories of identifiers and information that are widely used and can be subject to the applicability of Article 5(3) ePD.  40. 第 5 条(3)ePD が適用されるかどうかを判断するために必要な技術仕様のカテゴリーが使用され得る 具体的な状況を害することなく、広く使用され、第 5 条(3)ePD の適用可能性の対象となり得る識別 子および情報の大まかなカテゴリーを、非網羅的な方法で特定することが可能である。
41. Network communication usually relies on a layered model that necessitates the use of identifiers to allow for a proper establishment and carrying out of the communication. The communication of those identifiers to remote actors is instructed through software following agreed upon communication protocols. As outlined above, the fact that the receiving entity might not be the entity instructing the sending of information does not preclude the application of Article 5(3) ePD. This might concern routing identifiers such as the MAC or IP address of the terminal equipment, but also session identifiers (SSRC, Websocket identifier), or authentication tokens.  41. ネットワーク・コミュニケーションは、通常、通信の適切な確立と実行を可能にする識別子の使用を必 要とするレイヤ・モデルに依存している。これらの識別子を遠隔地にいる行為者に伝達することは、合意された通信プロトコルに従ったソフトウェアを通じて指示される。上述したように、受信事業体が情報の送信を指示する事業体でない可能性があるという事実は、ePD第5条3項の適用を妨げるものではない。これは、端末機器の MAC アドレスや IP アドレスのようなルーティング識別子だけでなく、セッション識別子(SSRC、Websocket 識別子)、または認証トークンに関する場合もある。
42. In the same manner, the application protocol can include several mechanisms to provide context data (such as HTTP header including ‘accept’ field or user agent), caching mechanism (such as ETag or HSTS) or other functionalities (cookies being one of them). Once again, the abuse of those mechanisms (for example in the context of fingerprinting or the tracking of resource identifiers) can lead to the application of Article 5(3) ePD. 42. 同じように、アプリケーションプロトコルは、コンテキストデータ(「accept」フィールドやユーザエージェントを含むHTTPヘッダなど)、キャッシュメカニズム(ETagやHSTSなど)、または他の機能(クッキーはその一つ)を提供するためのいくつかのメカニズムを含むことができる。繰り返しになるが、(例えばフィンガープリンティングやリソース識別子の追跡の文脈で)これらのメカニズムを悪用すると、ePD 第 5 条(3)項が適用される可能性がある。
43. On the other hand, there are some contexts in which local applications installed in the terminal uses some information strictly inside the terminal, as it might be the case for smartphone system APIs (access to camera, microphone, GPS sensor, accelerator chip, radio chip, local file access, contact list, identifiers access, etc.). This might also be the case for web browsers that process information stored or generated information inside the device (such as cookies, local storage, WebSQL, or even information provided by the users themselves). The use of such information by an application would not be subject to Article 5(3) ePD as long as the information does not leave the device, but when this information or any derivation of this information is accessed through the communication network, Article 5(3) ePD may apply. 43. 一方、スマートフォンのシステム API(カメラ、マイク、GPS センサ、アクセラレータチッ プ、無線チップ、ローカルファイルアクセス、コンタクトリスト、識別子のアクセスなど)のように、端末にインストー ルされたローカルアプリケーションが端末内部で厳密に情報を使用するコンテキストもある。また、デバイス内部に保存された情報や生成された情報(クッキー、ローカルストレージ、WebSQL、あるいはユーザー自身によって提供された情報など)を処理するウェブブラウザの場合もそうかもしれない。アプリケーションによるこのような情報の使用は、情報がデバイスから出ない限り、第5条3項ePDの対象とはならないが、この情報またはこの情報の派生物がコミュニケーション・ネットワークを通じてアクセスされる場合、第5条3項ePDが適用される可能性がある。
44. Finally, in some cases malicious software elements are distributed over a network by actors, for example crypto mining software or more generally malware, exploiting the processing abilities of the terminal for the benefit of the distributing actor. While that software may only establish a network connection that would trigger the application of Article 5(3) ePD at a later stage (for example to retrieve a computed result), the sole fact that the software instructing the nefarious processing has been distributed over a network would imply the application of Article 5(3) ePD.   44. 最後に、悪意のあるソフトウェア要素が、例えば暗号マイニングソフトウェアやより一般的なマルウェアのように、配布行為者の利益のために端末の処理能力を悪用する行為者によってネットワーク上で配布される場合がある。そのソフトウェアは、後の段階(例えば、計算された結果を取得するため)で第 5 条(3)項 ePD の適用を引き起こすネットワーク接続を確立するだけかもしれないが、不正な処理を指示するソフトウェアがネットワーク上で配布されたという事実だけで、第 5 条(3)項 ePD の適用を意味する。 
45. For a subset of these categories that present a specific interest, either because of their widespread usage or because a specific study is warranted with regards to the circumstances of their use, a specific analysis is provided below.  45. これらのカテゴリのうち、広く使用されているため、またはその使用状況に関して特定の調査が正当化されるため、特定の関心を示すサブセットについては、以下に具体的な分析を示す。
3.1 URL and pixel tracking 3.1 URLとピクセルのトラッキング
46. A tracking pixel is a hyperlink to a resource, usually an image file, embedded into a piece of content like a website or an email. This pixel usually fulfils no purpose related to the content itself; its sole purpose is to establish a communication by the client to the host of the pixel, which would otherwise not have occurred. Establishment of a communication transmits various information to the host of the pixel, depending on the specific use case.  46. トラッキングピクセルとは、ウェブサイトや電子メールなどのコンテンツに埋め込まれたリソース(通常は画像ファイル)へのハイパーリンクのことである。このピクセルは通常、コンテンツ自体とは無関係の目的を果たす。その唯一の目的は、クライアントがピクセルのホストとコミュニケーションを確立することであり、それ以外の方法では発生しない。コミュニケーションの確立により、特定のユースケースに応じて、様々な情報がピクセルのホストに送信される。
47. In the case of an email, the sender may include a tracking pixel to detect when the receiver reads the email. Tracking pixels on websites may link to an entity aggregating many such requests and thus being able to track users’ behaviour. Such tracking pixels may also contain additional identifiers as part of the link. These identifiers may be added by the owner of the website, possibly related to the user’s activity on that website. They may also be dynamically generated through client-side applicative logic. In some cases, links to legitimate images may also be used for the same purpose by adding additional information to the link. 47. 電子メールの場合、送信者は、受信者がいつ電子メールを読んだかを検知するために、トラッキングピクセルを含めることができる。ウェブサイト上のトラッキングピクセルは、そのような多数のリクエストを集約する事業体にリンクし、ユーザーの行動を追跡できる場合がある。このようなトラッキングピクセルは、リンクの一部として追加の識別子を含むこともある。これらの識別子は、ウェブサイトの所有者によって追加される場合があり、そのウェブサイトでのユーザーの行動に関連する場合がある。また、クライアント側のアプリケーションロジックによって動的に生成される場合もある。場合によっては、正当な画像へのリンクも、リンクに追加情報を追加することで、同じ目的で使用されることがある。
48. Tracking links are functioning in the same way, but the identifier is appended to the website address. When the URL (Uniform Resource Locator) is visited by the user, the targeted website loads the requested resource but also collects an identifier which is not relevant in terms of resource identification. They are very commonly used by websites to identify the origin of their inbound source of traffic. For example, e-commerce websites can provide tracked links to partners to use on their domain so that the e-commerce website knows which of their partners is responsible for a sale and pay a commission, a practice known as affiliate marketing. 48. トラッキングリンクも同様に機能するが、識別子はウェブサイトのアドレスに付加される。URL(Uniform Resource Locator)がユーザーによって訪問されると、対象となるウェブサイトは要求されたリソースをロードするが、リソースの識別という点では関係のない識別子も収集する。これらは、ウェブサイトがインバウンドのトラフィック・ソースの発信元を特定するために、非常に一般的に使用されている。例えば、電子商取引ウェブサイトは、そのドメインで使用するために、追跡リンクをパートナーに提供することができ、電子商取引ウェブサイトは、どのパートナーが販売に責任があり、手数料を支払うかを知ることができる。
49. Both tracking links and tracking pixels can be distributed through a wide variety of channels, for example through emails, websites, or even, in the case of tracking links, through any kind of text messaging systems. 49. トラッキングリンクとトラッキングピクセルは、電子メール、ウェブサイト、あるいはトラッキングリンクの場合、あらゆる種類のテキストメッセージングシステムなど、多種多様なチャネルを通じて配布することができる。
50. Under the condition that said pixel or tracked URL have been distributed over a public communication network, it is clear that it constitutes storage on the communication network user’s terminal equipment, at the very least through the caching mechanism of the client-side software. As such, Article 5(3) ePD is applicable. 50. 当該ピクセルやトラッキングURLが公衆通信網を通じて配布されたという条件下では、少なくともクライアント側ソフトウェアのキャッシュメカニズムを通じて、通信網利用者の端末機器に保存されることは明らかである。そのため、ePD第5条3項が適用される。
51. The inclusion of such tracking pixels or tracked links in the content sent to the user constitutes an instruction to the terminal equipment to send back the targeted information (the specified identifier). In the case of dynamically constructed tracking pixels, it is the distribution of the applicative logic (usually a JavaScript code) that constitutes the instruction. As a consequence, it can be considered that the collection of the identifiers provided by tracking pixels and tracked URL do constitute a ‘gaining of access’ in the meaning of Article 5(3) ePD and thus the latter is applicable to that step as well. 51. ユーザーに送信されるコンテンツにこのようなトラッキングピクセルまたはトラッキングリンクが含まれることは、端末機器に対し、対象となる情報(識別)を返送するよう指示することになる。動的に構築されたトラッキングピクセルの場合、指示を構成するのはアプリケーションロジック(通常はJavaScriptコード)の配布である。結果として、トラッキングピクセル及びトラッキングされたURLによって提供される識別子の収集は、ePD第5条(3)の意味における「アクセスの獲得」を構成し、従って後者はそのステップにも適用されると考えることができる。
3.2 Local processing 3.2 ローカル処理
52. Some technologies rely on local processing instructed by software distributed on users’ terminal, where the information produced by the local processing is then made available to selected actors through client-side API. This may for example be the case for an API provided by the web browser, where locally generated results may be accessed remotely. 52. 一部の技術は、利用者の端末に分散されたソフトウェアによって指示されるローカル処理に依存し、ローカル処理によって生成された情報は、クライアント側のAPIを通じて選択された関係者が利用できるようになる。これは例えば、ウェブブラウザによって提供されるAPIの場合であり、ローカルで生成された結果にリモートでアクセスすることができる。
53. If at any point and for example in the client-side code, the processed information made available is being sent back over the network, for example to a server, such an operation (instructed by the entity producing the client-side code distributed on the user terminal) would constitute a ‘gaining of access to information already stored’. The fact that this information is being produced locally does not preclude the application of Article 5(3) ePD. 53. どの時点でも、例えばクライアント側のコードにおいて、利用可能にされた処理された情報がネットワークを介して、例えばサーバーに送り返される場合、そのような操作(ユーザー端末に配布されるクライアント側のコードを生成する事業体によって指示される)は、「既に保存された情報へのアクセスの獲得」を構成する。この情報がローカルで作成されているという事実は、ePD第5条3項の適用を妨げるものではない。
3.3 Tracking based on IP only  3.3 IPのみに基づく追跡 
54. Some providers are developing advertising solutions that only rely on the collection of one component, namely the IP address, in order to track the navigation of the user, in some case across multiple domains. In that context Article 5(3) ePD could apply even though the instruction to make the IP available has been made by a different entity than the receiving one. 54. プロバイダの中には、ユーザーのナビゲーションを追跡するために、1つの要素、すなわちIPアドレスの収集にのみ依存する広告ソリューションを、場合によっては複数のドメインにわたって開発しているところもある。このような場合、IP を利用可能にする指示が、受信側とは異なる事業体によって行われたとしても、 ePD 第 5 条(3)項が適用される可能性がある。
55. However, gaining access to IP addresses would only trigger the application of Article 5(3) ePD in cases where this information originates from the terminal equipment of a subscriber or user. While it is not systematically the case (for example when CGNAT  is activated), the static outbound IPv4 originating from a user’s router would fall within that case, as well as IPV6 addresses since they are partly defined by the host. Unless the entity can ensure that the IP address does not originate from the terminal equipment of a user or subscriber, it has to take all the steps pursuant to the Article 5(3) ePD. 55. しかしながら、IPアドレスにアクセスできるようになるのは、この情報が加入者またはユー ザーの端末機器から発信された場合に限り、第5条3項ePDの適用を引き起こす。システム的にそうなっているわけではないが(例えば、CGNAT が有効化されている場合)、ユ ーザのルータから発信される静的なアウトバウンド IPv4 は、IPV6 アドレスと同様に、ホストに よって部分的に定義されるため、このケースに該当するであろう。事業体は、IP アドレスがユーザまたは加入者の端末機器から発信されたものでないことを確 認できない限り、ePD 第 5 条(3)に従ったすべての措置を講じなければならない。
3.4 Intermittent and mediated IoT reporting 3.4 断続的かつ媒介的な IoT 報告
56. IoT (Internet of Things) devices produce information continuously over time, for example through sensors embedded in the device, which may or may not be locally pre-processed. In many cases, information is made available to a remote server, but the modalities for that collection varies.  56. IoT(Internet of Things)機器は、例えば機器に組み込まれたセンサーなどを通じて、時 間にわたって継続的に情報を生成する。多くの場合、情報はリモートサーバーに提供されるが、その収集方法は様々である。
57. Some IoT devices have a direct connection to a public communication network, for example through the use of WIFI or a cellular SIM card. IoT devices might be instructed by the manufacturer to always stream the collected information, yet still locally cache the information first, for example until a connection is available.  57. IoTデバイスの中には、例えばWIFIや携帯電話SIMカードの使用を通じて、公衆通信網に直接接続するものもある。IoTデバイスは、収集された情報を常にストリーミングするよう製造業者によって指示されるかもしれないが、それでもなお、例えば接続が利用可能になるまで、情報をまずローカルにキャッシュする。
58. Other IoT devices do not have a direct connection to a public communication network and might be instructed to relay the information to another device through a point-to-point connection (for example, through Bluetooth). The other device is generally a smartphone which may or may not preprocess the information before sending it to the server.  58. 他のIoTデバイスは、公衆通信網への直接接続を持たず、ポイント・ツー・ポイント接続を通じて(例えばブルートゥースを通じて)他のデバイスに情報を中継するよう指示される場合がある。他のデバイスは一般的にスマートフォンであり、サーバーに送信する前に情報を前処理してもしなくてもよい。
59. In the first case the IoT device, where it is connected to a public communications network, would itself be considered a terminal. The fact that the information is streamed or cached for intermittent reporting does not change the nature of that information. In both situations Article 5(3) ePD would apply as it is, through the instruction of the IoT device to send the dynamically stored data to the remote server, there is ‘gaining of access’. 59. 最初のケースでは、IoTデバイスは公衆通信網に接続されており、それ自体が端末とみなされる。情報が断続的な報告のためにストリーミングまたはキャッシュされるという事実は、その情報の性質を変えるものではない。いずれの状況においても、動的に保存されたデータをリモートサーバーに送信するよう IoT デバイスが指示することで、「アクセスの獲得」が行われるため、ePD 第 5 条 3 項がそのまま適用される。
60. In the case of IoT devices connected to the network via a relay device (a smartphone, a dedicated hub, etc.) with a purely point to point connection between the IoT device and the relay device, the transmission of data to the relay could fall outside of the Article 5(3) ePD as the communication does not take place on a public communication network.  However, the information received by the relay device would be considered stored by a terminal and Article 5(3) ePD would apply as soon as this relay is instructed to send that information to a remote server.  60. 中継機器(スマートフォン、専用ハブ等)を介してネットワークに接続され、IoT 機器と中継 機器が純粋に point to point で接続されている IoT 機器の場合、中継機器へのデータ送信は公衆通信網上 で行われないため、第5条第3項ePDの適用外となる可能性がある。 しかし、中継装置によって受信された情報は端末によって保存されたものとみなされ、この中継装置がその情報をリモートサーバーに送信するよう指示された時点で、第5条3項ePDが適用されることになる。
3.5 Unique Identifier  3.5 一意識別子 
61. A common tool used by advertising companies is the notion of ’unique identifiers‘ or ’persistent identifiers‘. Such identifiers are usually derived from persistent personal data (name and surname, email, phone number, etc.), that is hashed on the user’s device, collected and shared amongst several controllers to uniquely identify a person over different datasets (usage data collected through the use of website or application, customer relation management (CRM) data related to online or offline purchase or subscription, etc.). On websites, the persistent personal data is generally obtained in the context of authentication or the subscription to newsletters.  61. 広告会社が使用する一般的な手段は、「一意識別子」または「永続識別子」という概念である。このような識別子は通常、永続的な個人データ(氏名、姓、電子メール、電話番号など)から導出され、異なるデータセット(ウェブサイトやアプリケーションの使用を通じて収集される使用データ、オンラインまたはオフラインの購入や購読に関連する顧客関係管理(CRM)データなど)上で個人を一意に識別するために、ユーザーのデバイス上でハッシュ化され、収集され、複数のデータ管理者の間で共有される。ウェブサイト上では、永続的個人データは一般的に本人認証やニュースレターの購読に関連して取得される。
62. As outlined before, the fact that the information is being inputted by the user would not preclude the application of Article 5(3) ePD with regards to storage, as this information is stored temporarily on the terminal before being collected.  62. 前述のとおり、この情報は収集される前に端末に一時的に保存されるため、情報がユーザーによって入力されるという事実は、保存に関して ePD 第 5 条(3)項の適用を妨げるものではない。
63. In the context of ‘unique identifier’ collection on websites or mobile applications, the entity collecting is instructing the browser (through the distribution of client-side code) to send that information. As such a ’gaining of access’ is taking place and Article 5(3) ePD applies.  63. ウェブサイトやモバイルアプリケーションでの「一意識別子」収集の文脈では、収集する事業 体は、(クライアント側コードの配布を通じて)ブラウザにその情報を送信するよう指示する。そのため、「アクセス権の獲得」が行われ、ePD第5条3項が適用される。

 

[1] References to ‘Member States’ made throughout this document should be understood as references to ‘EEA Member States’.  [1] 本文書全体を通じて「加盟国」とあるのは、「EEA 加盟国」を指すものと理解すること。
[2] WP29 Opinion 4/2012 on Cookie Consent Exemption, WP 194, p. 2.  [2] クッキーによる同意の例外に関する意見書4/2012 WP 194, p. 2. 
[3] WP29 Opinion 9/2014 on the application of Directive 2002/58/EC to device fingerprinting.  [3] デバイスのフィンガープリンティングへの指令 2002/58/EC の適用に関する WP29 意見 9/2014. 
[4] Judgement of the Court of Justice of 1 October 2019, Planet 49, Case C‑673/17, ECLI:EU:C:2019:801, paragraph 70.   [4] 2019年10月1日の司法裁判所の判決、プラネット49、ケースC-673/17、ECLI:EU:C:2019:801、パラグラフ70。 
[5] Commission Directive 2008/63/EC of 20 June 2008 on competition in the markets in telecommunications terminal equipment (Codified version), Article 1(1).   [5] 電気通信端末機器市場における競争に関する2008年6月20日の欧州委員会指令2008/63/EC(成文化版)、第1条(1)。 
[6] Directive 2002/21/EC of the European Parliament and of the Council of 7 March 2002 on a common regulatory framework for electronic communications networks and services (Framework Directive)   [6] 電子通信ネットワークおよびサービスの共通規制枠組みに関する2002年3月7日の欧州議会および理事会指令2002/21/EC(枠組み指令)。 
[7] Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code (Recast), Text with EEA relevance, Article 2(1).  [7] 2018年12月11日の欧州議会及び理事会指令(EU)2018/1972は、欧州電子コミュニケーションコード(Recast)を制定し、EEAに関連するテキスト、第2条(1)。
[8] Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code (Recast), Text with EEA relevance, Article 2(1).  [8] 2018年12月11日付欧州議会及び理事会指令(EU)2018/1972は、欧州電子コミュニケーションコード(Recast)、EEA関連テキスト、第2条1項を制定した。
[9] Article 2 ePD defines the user as ‘any natural person using a publicly available electronic communications service, for private or business purposes, without necessarily having subscribed to this service’. In addition, Article 3 ePD states that it should apply in the context of ‘the provision of publicly available electronic communications services in public communications networks’. Finally, the terminal equipment itself as defined in the Directive 2008/63/EC is described as ‘equipment directly or indirectly connected to the interface of a public telecommunications network’.  [9] ePD第2条は、ユーザーを「必ずしもこのサービスに加入していなくても、私的または事業目的で、公に利用可能な電子通信サービスを利用する自然人」と定義している。さらに、ePD第3条は、「公衆通信網における公衆利用可能な電子通信サービスの提供」という文脈で適用されるべきであると述べている。最後に、指令2008/63/ECで定義されている端末機器自体は、「公衆通信網のインターフェースに直接または間接的に接続されている機器」と説明されている。
[10] Recital 26 ePD, see paragraph 17 above.  [10] ePDのリサイタル26、上記パラグラフ17を参照のこと。
[11] As defined in section 2.3 of these Guidelines.  [11] 本ガイドラインのセクション2.3で定義されている。
[12] Carrier-grade NAT or CGNAT is used by Internet service providers to maximise the use of limited IP address space. It groups a number of subscribers under the same public IP address.   [12] キャリアグレードNATまたはCGNATは、限られたIPアドレス空間を最大限に利用するためにインターネットサービスプロバイダによって使用される。これは、多数の加入者を同一のパブリックIPアドレスの下にグループ化する。 

| | Comments (0)

2023.11.13

世界経済フォーラム (WEF) ランサムウェアの警告サインに注意しよう (2023.11.08)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、11月13日〜15日で開催される年次総会の一部として、サイバー犯罪と凶悪犯罪は融合しつつある:どのように対策するか?、という記事をのせていますね。。。

Infostealer malware(情報窃取マルウェア)に感染していることをまずは見つけよう!てきな話ですかね。。。

 

World Economic Forum - Report

・2023.11.08 The ransomware warning sign we should all have on our radar

The ransomware warning sign we should all have on our radar ランサムウェアの警告サインに注意しよう
・In 2023, over 80% of companies were affected by ransomware in the preceding 12 months. ・2023年には、80%以上の企業が過去12ヶ月間にランサムウェアの被害を受けている。
・By looking more closely at how ransomware attacks happen, we can spot warning signs sooner and act on them to prevent future attacks. ・ランサムウェア攻撃がどのように起こるかをより詳細に調べることで、警告の兆候をより早く発見し、今後の攻撃を防ぐために行動することができる。
・In the fight against ransomware, the best defence is one built on data and aligned properly to the threats a company faces. ・ランサムウェアとの戦いにおいて、最善の防御策は、データを基に構築され、企業が直面する脅威に適切に対応することである。
The cybersecurity community talks a lot about ransomware attacks: who the latest ransomware gangs are, common attack vectors, how much companies are shelling out in ransom payments and what the proper incident response protocols are for security teams. サイバーセキュリティのコミュニティでは、ランサムウェア攻撃について多くのことが語られている。最新のランサムウェアのギャングが誰なのか、一般的な攻撃ベクトル、企業が身代金の支払いに支払っている金額、セキュリティチームにとって適切なインシデント対応プロトコルとは何かなどだ。
That all matters, of course. By and large though, security teams are already aware of the threat ransomware poses due to firsthand experience. In 2023, 81% of companies were affected by ransomware in the preceding 12 months. Reported effects vary widely, from needing to purchase a solution to combat ransomware attacks, to being actively targeted, to actually paying a ransom. Regardless, the rate of companies affected by ransomware has remained consistently high since 2021. もちろん、それはすべて重要だ。しかし、概してセキュリティ・チームは、ランサムウェアがもたらす脅威を実体験としてすでに認識している。2023年には、81%の企業が過去12カ月間にランサムウェアの被害に遭っている。ランサムウェア攻撃に対抗するためのソリューションを購入する必要があったり、積極的に標的にされたり、実際に身代金を支払ったりと、報告された影響はさまざまだ。いずれにせよ、ランサムウェアの被害を受けた企業の割合は、2021年以降一貫して高い水準を維持している。
The far-reaching impacts of ransomware, combined with the fact that we’re on track for the second costliest year for ransomware in history, means it’s time to take another look at the ransomware problem and think about tackling it from a new angle. By looking more closely at how ransomware attacks happen in the first place – through means that may not be on security teams’ radars yet – we can spot warning signs sooner and act on them to defend against attacks altogether. ランサムウェアの広範囲に及ぶ影響に加え、ランサムウェアの被害額が史上2番目に大きい年になりそうだという事実は、ランサムウェアの問題をもう一度見直し、新たな角度から取り組むことを考える時期に来ていることを意味する。そもそもランサムウェア攻撃がどのようにして発生するのか、セキュリティ・チームのレーダーにはまだ映っていないような手段で発生するのかをより詳しく調べることで、警告の兆候をより早く発見し、それに基づいて行動することで、攻撃を完全に防御することができる。
Have you read? 既に読んだ?
・How we can use AI and organization to harness diversity and inclusion in cybersecurity ・サイバーセキュリティにおける多様性と包括性を活用するためにAIと組織をどのように活用できるか
・Cybercrime and violent crime are converging: here’s how to deal with it ・サイバー犯罪と暴力犯罪は融合しつつある。
・How closing the cyber skills gap can help organizations build resilience ・サイバースキルギャップを解消することが、組織のレジリエンス構築にいかに役立つか
How ransomware usually starts ランサムウェアは通常どのように始まるか
Let’s start with one of the most common entry points for a ransomware attack: compromised credentials. ランサムウェア攻撃の最も一般的な侵入経路の1つである、漏洩した認証情報から始めよう。
Criminals love authentication credentials because they are a reliable lever for gaining access to systems and information that allow them to perpetrate crimes. Threat actors often get their hands on credentials by using infostealer malware, which is typically deployed through malicious websites, botnets or phishing emails. 犯罪者が認証情報を好むのは、認証情報が犯罪を実行するためのシステムや情報にアクセスするための信頼できる手段だからだ。脅威者は、通常、悪意のあるウェブサイト、ボットネット、またはフィッシングEメールを通じて展開される情報窃取マルウェア(Infostealer malware) を使用して認証情報を入手することが多い。
With one click, a user can become infected, allowing the malware to steal a wide variety of information stored on the user’s machine – from private data, such as credit card numbers, to usernames and passwords and even web session cookies that open doors to corporate resources. このマルウェアは通常、悪意のあるウェブサイトやボットネット、フィッシングEメールを通じて展開される。ワンクリックでユーザーは感染し、マルウェアはユーザーのマシンに保存されている様々な情報(クレジットカード番号などの個人データから、ユーザー名やパスワード、さらには企業リソースへの扉を開くウェブセッションクッキーまで)を盗むことができる。
And, when one door opens many others often do, too. SpyCloud research shows that 72% of users whose data was exposed in two or more breaches in 2022 reused their passwords across applications. That means that nearly three in four people were actively using a compromised password, making it pretty easy for threat actors to take one exposed credential pair and gain access to their information and files across multiple accounts, including work applications. そして、1つのドアが開くと、他の多くのドアも開くことが多い。SpyCloudの調査によると、2022年に2件以上の情報漏えいでデータが流出したユーザーの72%が、アプリケーション間でパスワードを再利用していた。つまり、4人に3人近くが漏洩したパスワードを積極的に使用していたことになり、脅威行為者は1組の漏洩したクレデンシャルを手に入れるだけで、仕事用のアプリケーションを含む複数のアカウントにまたがる情報やファイルに簡単にアクセスできるようになる。
DISCOVER 発見事項
How is the World Economic Forum addressing rising cybersecurity challenges? 世界経済フォーラムはサイバーセキュリティの課題にどのように取り組んでいるか?
The Global Security Outlook 2023 revealed that 43% of leaders polled believe that a cyberattack will materially affect their organization in the next two years. Global Security Outlook 2023」では、世論調査を行ったリーダーの43%が、今後2年間にサイバー攻撃が組織に重大な影響を及ぼすと考えていることが明らかになった。
The World Economic Forum’s Centre for Cybersecurity drives global action to address systemic cybersecurity challenges. It is an independent and impartial platform fostering collaboration on cybersecurity in the public and private sectors. 世界経済フォーラムのサイバーセキュリティ・センターは、体系的なサイバーセキュリティの課題に対処するためのグローバルな行動を推進している。同センターは、官民のサイバーセキュリティに関する協力を促進する独立した公平なプラットフォームである。
Learn more about our impact: 私たちの影響についてもっと知る:
Cybersecurity training: In collaboration with Salesforce, Fortinet and the Global Cyber Alliance, we are providing free training to the next generation of cybersecurity experts. To date, we have trained more than 122,000 people worldwide. ・サイバーセキュリティのトレーニング セールスフォース、フォーティネット、グローバル・サイバー・アライアンスと協力して、次世代のサイバーセキュリティ専門家に無料のトレーニングを提供している。現在までに、世界中で122,000人以上にトレーニングを提供している。

Cyber resilience: Working with more than 170 partners, our centre is playing a pivotal role in enhancing cyber resilience across multiple industries: oil and gaselectricitymanufacturing and aviation. ・サイバー・レジリエンス 当センターは170以上のパートナーと協力し、石油・ガス、電力、製造、航空など、さまざまな業界のサイバー耐性を強化する上で極めて重要な役割を果たしている。

What new research says about the infostealer malware 情報窃取マルウェアに関する新たな研究結果
Here’s where it gets interesting. With access credentials gained via infostealer malware, threat actors can connect dots to then steal, encrypt and ransom sensitive or proprietary data across an enterprise system – launching a full-blown ransomware attack. For the first time, cutting-edge research confirms this is what (at least some) threat actors are doing. The presence of an infostealer infection is indeed an early warning signal of the potential for ransomware. ここからが興味深いところだ。脅威者は、情報窃取マルウェアを介して得たアクセス認証情報を使って、企業システム全体の機密データや専有データを盗み、暗号化し、身代金を要求することができる。今回初めて、最先端の調査によって、これが(少なくとも一部の)脅威行為者の行動であることが確認された。情報窃取マルウェア感染の存在は、まさにランサムウェアの可能性を示す早期警告シグナルである。
1_20231113060701
Image: SpyCloud 画像 SpyCloud
In a sample of North American and European companies that experienced a ransomware attack in 2023, nearly one in three were infected with infostealer malware in the months leading up to the attack (2023 SpyCloud Ransomware Defence Report). 2023年にランサムウェア攻撃を経験した北米とヨーロッパの企業のサンプルでは、3社に1社近くが攻撃までの数ヶ月間に情報窃取マルウェアに感染していた(2023 SpyCloud Ransomware Defence Report)。
What does this mean for security teams? これはセキュリティチームにとって何を意味するのだろうか?
As a risk signal, an infostealer malware presence should trigger companies’ ransomware radar and motivate a comprehensive malware remediation response. リスクシグナルとして、情報窃取マルウェアの存在は、企業のランサムウェアレーダーを起動させ、包括的なマルウェア修復対応の動機付けとなるはずだ。
We can’t say with certainty that a ransomware attack follows an infostealer malware infection every time. Only threat actors themselves know how they intend to use the information they steal. But, infostealer malware presence is a good starting point for better defence and prevention. しかし、情報窃取マルウェアの感染後に必ずランサムウェア攻撃が発生するとは断言できない。窃取した情報をどのように利用するつもりなのかは、脅威行為者自身にしか分からないからだ。しかし、インフォステア・マルウェアの存在は、より良い防御と予防のための良い出発点となる。
We can use this starting point to build out a broader picture to understand the role that infostealers play in a ransomware attack. This will improve awareness of potential threats and better inform security defence priorities and tactics. この出発点を利用して、ランサムウェア攻撃においてインフォステーラーが果たす役割を理解するための、より広範なイメージを構築することができる。そうすることで、潜在的な脅威に対する認識が向上し、セキュリティ防御の優先順位や戦術をより的確に伝えることができる。
So, how do we build upon the role of infostealer infections in a ransomware kill chain? では、ランサムウェアのキルチェーンにおける情報窃取マルウェア感染の役割をどのように構築すればよいのだろうか?
First, we broaden our perspective. We assess the circumstances that preceded the infection. Patching priorities that focus on exploitable vulnerabilities, for example, may make it more difficult for a threat actor to gain entry in the first place. Security awareness training that keeps up with modern attacker techniques could have a similar mitigating effect on the risk of infostealer malware. まず、視野を広げる。感染前の状況を評価する。例えば、悪用可能な脆弱性に焦点を当てたパッチ適用の優先順位は、脅威行為者が最初に侵入することをより困難にするかもしれない。最新の攻撃者テクニックに対応したセキュリティ意識向上トレーニングも、同様に情報窃取マルウェアのリスクを軽減する効果がある。
We also consider the steps an attacker is likely to take after infection and the data to which they have access. Perhaps single sign-on credentials and additional application access are the actor’s targets. Or, perhaps malicious actors are after crypto wallets. また、攻撃者が感染後に取る可能性の高い手順や、アクセス可能なデータについても検討する。シングル・サインオンの認証情報や追加アプリケーション・アクセスが攻撃者のターゲットかもしれない。あるいは、悪意のある行為者は暗号ウォレットを狙っているのかもしれない。
Collecting and evaluating signals around infostealer malware can shed light on a company’s status and circumstances and help to locate infostealer malware appropriately in a ransomware kill chain. These additional signals will add context and nuance to our understanding of infostealer malware and might even serve as additional early warning signals themselves. 情報窃取マルウェアに関するシグナルを収集し評価することで、企業のステータスや状況を明らかにし、ランサムウェアのキルチェーンにおいて情報窃取マルウェアの位置を適切に特定することができる。これらの追加的なシグナルは、情報窃取マルウェアに対する私たちの理解に文脈とニュアンスを加え、それ自体がさらなる早期警戒シグナルとして機能する可能性さえある。
Second, we act on what we know – and keep watching. We get to work monitoring for, and remediating, infostealer malware infections and take steps to limit the potential damage that could result from data exfiltration. 第二に、私たちは知っていることを行動に移し、監視を続ける。私たちは、情報搾取マルウェア感染の監視と修復に取り掛かり、データ流出による潜在的な損害を抑えるための措置を講じる。
Then we continue to collect and evaluate data and signals as companies either fall victim to or evade ransomware attackers. Over time, these signals will reveal patterns that will further contextualize the infostealer-ransomware connection. They will allow researchers to leverage large-scale analytics and machine-learning algorithms to understand it, learn from it and use it to support defensive tactics. そして、企業がランサムウェア攻撃者の被害に遭ったり、攻撃を回避したりする際のデータやシグナルを収集し、評価し続ける。時間の経過とともに、これらのシグナルは、情報窃盗犯とランサムウェアの関連性をさらに文脈化するパターンを明らかにするだろう。これにより、研究者は大規模な分析と機械学習アルゴリズムを活用して、ランサムウェアを理解し、そこから学び、防御戦術をサポートするために利用することができるようになる。
In the fight against ransomware, the best defence is one built on data and aligned appropriately to the threats a company faces. An organization’s vulnerability to ransomware attacks will rely in part on its unique environment, characteristics and needs. Our research at SpyCloud indicates, however, that the connection between infostealer infections and ransomware attacks persists regardless of company shape or size. ランサムウェアとの戦いにおいて、最良の防御策は、データに基づいて構築され、企業が直面する脅威に対して適切に調整されたものである。ランサムウェア攻撃に対する組織の脆弱性は、その組織独自の環境、特性、ニーズに依存する部分がある。しかし、SpyCloudの調査によると、情報窃取者の感染とランサムウェア攻撃の関係は、企業の形態や規模に関係なく続いている。
If that is the case, a ransomware prevention plan can only be considered comprehensive if it includes monitoring for and remediating infostealer malware exposure. もしそうであれば、ランサムウェア対策は、情報窃取マルウェアに感染していないか監視し、修復することを含んで初めて包括的な対策と言える。

 

| | Comments (0)

2023.11.05

NATO CCDCOE 国際サイバー法の実践;インタラクティブ・ツールキットの新規募集 (2023.10.23)

こんにちは、丸山満彦です。

NATO CCDCOEでは、国際サイバー法の実践;インタラクティブ・ツールキットとして、28の仮想シナリオを公開していますが、新規のシナリオの募集をしていますね。。。

 

ツールキットのウェブページ

NATO CCECOE - International Cyber Law in Practice: Interactive Toolkit

28のシナリオ

S01 Election interference 選挙妨害
S02 Political espionage 政治スパイ
S03 Power grid 送電網
S04 International organization 国際機関
S05 Criminal investigation 犯罪捜査
S06 Enabling State 国家を動かす
S07 Hacking tools ハッキング・ツール
S08 Certificate authority 認可機関
S09 Economic espionage 経済スパイ
S10 Cyber weapons サイバー兵器
S11 Surveillance tools 監視ツール
S12 Computer data コンピューター・データ
S13 Armed conflict 武力紛争
S14 Ransomware campaign ランサムウェアキャンペーン
S15 Cyber deception サイバー詐欺
S16 High seas 公海
S17 Collective responses 集団的対応
S18 Cyber operators サイバー工作員
S19 Hate speech ヘイトスピーチ
S20 Medical facilities 医療施設
S21 Misattribution  誤爆 
S22 Methods of warfare 戦争の方法
S23 Vaccine research ワクチン研究
S24 Internet blockage インターネット遮断
S25 Humanitarian assistance 人道支援
S26 Export licensing 輸出許可
S27 Redirecting attacks リダイレクト攻撃
S28 Incidental harm 偶発的被害

1_20231105202601

 

 

新しいシナリオの募集...

・2023.10.23 Cyber Law Toolkit 2024

募集文

・[PDF] Cyber Law Toolkit: Call for Submissions for the 2024 Annual Update

| | Comments (0)

2023.10.30

欧州 Ragnar Locker の主犯格を逮捕した件 (2023.10.20)

こんにちは、丸山満彦です。

ランサムウェアのRagnar Locker の開発、主犯格を逮捕した件。。。今更ですが...

 

まずは、欧州司法機構 [wikipedia]

European Union Agency for Criminal Justice Cooperation (Eurojust)

・2023.10.20 Major international operation against the Ragnar Locker ransomware group with Eurojust suppor

Major international operation against the Ragnar Locker ransomware group with Eurojust support 欧州司法機構の支援を受けたRagnar Lockerランサムウェア・グループに対する大規模な国際作戦
An international operation coordinated by France, with the support of Eurojust and Europol, has dealt an important blow to the Ragnar Locker ransomware group. In an action carried out between 16 and 20 October, searches were conducted in three different countries and in total six suspects were heard in the Czech Republic, Spain, Latvia and France. Furthermore, nine servers were taken down; five in the Netherlands, two in Germany and two in Sweden. The organised crime group is suspected of having committed attacks against 168 international companies worldwide since 2020. 欧州司法機構(Eurojust)と欧州刑事警察機構(Europol)の支援を受けてフランスが調整した国際的な作戦は、ランサムウェア集団「Ragnar Locker」に重要な打撃を与えた。10月16日から20日にかけて、3カ国で捜査が行われ、チェコ共和国、スペイン、ラトビア、フランスで合計6人の容疑者が聴取された。さらに、オランダで5台、ドイツで2台、スウェーデンで2台の計9台のサーバーがダウンさせられた。この組織犯罪グループは、2020年以降、世界中の168の国際企業に対して攻撃を行った疑いがある。
At the end of the action week, the main perpetrator, suspected of being a developer of the Ragnar group, has been brought in front of the examining magistrates of the Paris Judicial Court. 行動週間の終わりに、ラグナー・グループの開発者であると疑われる主犯がパリ司法裁判所の審査判事の前に引き出された。
The criminals would use malware and steal sensitive data from companies before encrypting their files. They would then offer a decryption key in return for a ransom payment ranging from 5 to 70 million dollars, threatening to leak the stolen data on the dark web if their demands were not met. 犯人はマルウェアを使い、企業から機密データを盗んだ後、ファイルを暗号化する。そして、500万ドルから7000万ドルの身代金の支払いと引き換えに復号鍵を提供し、要求が満たされない場合は盗んだデータをダークウェブに流出させると脅していた。
This major international operation follows two previous actions conducted against the same ransomware group. In September 2021, a coordinated strike between the French, Ukrainian and the United States' authorities led to the arrest of two suspects in Ukraine. In October 2022, another suspect was arrested in Canada in a joint action carried out by the French, Canadian and US authorities. この大規模な国際作戦は、同じランサムウェアグループに対して過去に行われた2つの行動に続くものだ。2021年9月、フランス、ウクライナ、米国当局の連携攻撃により、ウクライナで2人の容疑者が逮捕された。2022年10月には、フランス、カナダ、米国の当局が共同で実施した行動で、カナダで別の容疑者が逮捕された。
The current operation focused on identifying and shutting down some of the servers used by the hacker group, particularly those used for the exfiltration and publication of data. During the action days, simultaneous searches and hearings of suspects took place in France, Spain, Latvia and the Czech Republic. Also, the seizure of various crypto currencies took place. 今回の作戦では、ハッカー集団が使用しているサーバーの一部、特にデータの流出や公開に使用されているサーバーを特定し、停止させることに重点が置かれた。この作戦期間中、フランス、スペイン、ラトビア、チェコ共和国で容疑者の一斉捜索と事情聴取が行われた。また、さまざまな暗号通貨の押収も行われた。
The case was opened by Eurojust in May 2021 at the request of the French authorities. Five coordination meetings were hosted by the Agency to facilitate judicial cooperation between the authorities of the countries supporting the investigation. Eurojust set up a coordination centre during the action week to enable rapid cooperation between the judicial authorities involved. この事件は、欧州司法機構がフランス当局の要請を受けて2021年5月に開始した。捜査を支援する各国当局間の司法協力を促進するため、5回の調整会議がユーロジャストによって開催された。欧州司法機構は、関係司法当局間の迅速な協力を可能にするため、行動週間中に調整センターを設置した。
Europol’s European Cybercrime Centre supported the investigation from the outset, bringing together all the involved countries to establish a joint strategy. Its cybercrime specialists organised 15 coordination meetings and two week-long sprints to prepare for the latest actions, as well as providing analytical, malware, forensic and crypto-tracing support. A virtual command post was set up this week by Europol to ensure seamless coordination between all the authorities involved. 欧州刑事警察機構(Europol)の欧州サイバー犯罪センター(European Cybercrime Centre)は、当初から捜査を支援し、すべての関係国を集めて共同戦略を確立した。同センターのサイバー犯罪スペシャリストは、15回の調整会議と2回の1週間スプリントを開催し、最新のアクションに備えるとともに、分析、マルウェア、フォレンジック、暗号追跡のサポートを提供した。欧州刑事警察機構は今週、バーチャル・コマンド・ポストを設置し、関係するすべての当局間のシームレスな連携を確保した。
The following authorities took part in this investigation: この捜査には以下の当局が参加した:
・Czech Republic: Metropolitan Public Prosecutor´s Office Prague; National Counterterrorism and Cybercrime Agency, Prague ・チェコ共和国 プラハ首都圏検察庁、プラハ国家テロ・サイバー犯罪対策庁
・France: JUNALCO (French National Public Prosecutor’s Office against organised crime), Cybercrime Unit ; French Gendarmerie ・フランス JUNALCO(組織犯罪対策フランス国家検察庁)、サイバー犯罪ユニット、フランス国家憲兵隊
・Germany: Public Prosecutor’s Office Leipzig (Staatsanwaltschaft Leipzig); Saxon State Office of Criminal Investigation (Landeskriminalamt Sachsen); Federal Criminal Police Office (Bundeskriminalamt) ・ドイツ ライプツィヒ検察庁(Staatsanwaltschaft Leipzig)、ザクセン州刑事局(Landeskriminalamt Sachsen)、連邦刑事警察庁(Bundeskriminalamt)
I・taly: Milan Public Prosecutor’s Office and Milan Polizia di Stato – Polizia Postale e delle Comunicazioni ・イタリア ミラノ検察庁、ミラノ国家警察-郵便・通信警察局
・Japan: National Police Agency (NPA) ・日本 警察庁
・Latvia: State Police of Latvia, International Cooperation Department and Cybercrime Enforcement Department ・ラトビア ラトビア国家警察国際協力部およびサイバー犯罪取締部
・The Netherlands: East Netherlands Public Prosecutor’s Office; Cybercrime Team Police region East Netherlands ・オランダ 東オランダ検察庁、東オランダ地域サイバー犯罪チーム警察
・Sweden: Swedish Public Prosecutor’s Office; National Unit against Organised Crime; Swedish Police ・スウェーデン スウェーデン検察庁、全国組織犯罪対策ユニット、スウェーデン警察
・Spain: Investigative Court number 1 Torrevieja (Alicante); International Cooperation Section Public Prosecutor’s Office Alicante; Guardia Civil, Attached Unit Alicante supported by Team EDITE ・スペイン トレビエハ第1捜査裁判所(アリカンテ)、アリカンテ検察庁国際協力課、Guardia Civil, Attached Unit Alicante supported by Team EDITE
・Ukraine: Kyiv City Prosecutor’s Office; Cyber Police Department of the National Police of Ukraine; Main Department of the National Police in Kyiv City ・ウクライナ キエフ市検察庁、ウクライナ国家警察サイバー警察局、キエフ市国家警察本局

 

次にユーロポール。。。

Europol

・2023.10.21 Ragnar Locker ransomware gang taken down by international police swoop

Ragnar Locker ransomware gang taken down by international police swoop Ragnar Lockerランサムウェアギャングが国際警察の急襲により逮捕される
This week, law enforcement and judicial authorities from eleven countries delivered a major blow to one of the most dangerous ransomware operations of recent years.  今週、11カ国の法執行機関と司法当局が、近年で最も危険なランサムウェア作戦のひとつに大打撃を与えた。
This action, coordinated at international level by Europol and Eurojust, targeted the Ragnar Locker ransomware group. The group were responsible for numerous high-profile attacks against critical infrastructure across the world. 欧州刑事警察機構(Europol)と欧州司法機構(Eurojust)によって国際レベルで調整されたこの行動は、Ragnar Lockerランサムウェア・グループを標的にした。このグループは、世界中の重要なインフラに対する数多くの有名な攻撃を行なっていた。
In an action carried out between 16 and 20 October, searches were conducted in Czechia, Spain and Latvia. The “key target” of this malicious ransomware strain was arrested in Paris, France, on 16 October, and his home in Czechia was searched. Five suspects were interviewed in Spain and Latvia in the following days. At the end of the action week, the main perpetrator, suspected of being a developer of the Ragnar group, has been brought in front of the examining magistrates of the Paris Judicial Court. 10月16日から20日にかけて、チェコ、スペイン、ラトビアで捜査が行われた。この悪質なランサムウェアの「主要ターゲット」は、10月16日にフランスのパリで逮捕され、チェコの自宅が捜索された。その後、スペインとラトビアで5人の容疑者が事情聴取を受けた。行動週の終わりには、Ragnarグループの開発者であると疑われる主犯格が、パリ司法裁判所の審査判事の前に引き出された。
The ransomware’s infrastructure was also seized in the Netherlands, Germany and Sweden and the associated data leak website on Tor was taken down in Sweden.    このランサムウェアのインフラはオランダ、ドイツ、スウェーデンでも押収され、関連するTor上のデータ流出ウェブサイトはスウェーデンで閉鎖された。  
This international sweep follows a complex investigation led by the French National Gendarmerie, together with law enforcement authorities from the Czechia, Germany, Italy, Japan, Latvia, the Netherlands, Spain, Sweden, Ukraine and the United States of America.  この国際的な掃討作戦は、フランス国家憲兵隊がチェコ、ドイツ、イタリア、日本、ラトビア、オランダ、スペイン、スウェーデン、ウクライナ、米国の法執行当局とともに主導した複雑な捜査に続くものである。
In the framework on this investigation, a first round of arrests were carried out in Ukraine in October 2021 with Europol’s support. この捜査の枠組みで、欧州刑事警察機構の支援のもと、2021年10月にウクライナで第一陣の逮捕が行われた。
What kind of malware is Ragnar Locker? Ragnar Lockerはどのようなマルウェアなのか?
Active since December 2019, Ragnar Locker is the name of a ransomware strain and of the criminal group which developed and operated it. 2019年12月から活動しているRagnar Lockerは、ランサムウェアの系統の名前であり、それを開発・運営していた犯罪グループの名前でもある。
This malicious actor made a name for itself by attacking critical infrastructure across the world, having most recently claimed the attacks against the Portuguese national carrier and a hospital in Israel.  この悪意ある行為者は、世界中の重要なインフラを攻撃することでその名を知られるようになり、最近ではポルトガルの国営航空会社やイスラエルの病院に対する攻撃を主張した。
This strain of ransomware targeted devices running Microsoft Windows operating systems and would typically exploit exposed services like Remote Desktop Protocol to gain access to the system.  この系統のランサムウェアは、マイクロソフト・ウィンドウズ・オペレーティング・システムを実行しているデバイスを標的とし、通常、システムにアクセスするためにリモート・デスクトップ・プロトコルなどの公開されたサービスを悪用する。
The Ragnar Locker group was known to employ a double extortion tactic, demanding extortionate payments for decryption tools as well as for the non-release of the sensitive data stolen.  Ragnar Lockerグループは、二重の恐喝戦術を採用することで知られており、復号化ツールに対する恐喝的な支払いを要求するだけでなく、盗まれた機密データの非開放も要求した。
The threat level of Ragnar Locker was considered as high, given the group’s inclination to attack critical infrastructure.  重要なインフラを攻撃する傾向があることから、ラグナー・ロッカーの脅威レベルは高いと考えられていた。
Don’t call the cops  警察を呼ぶな 
Ragnar Locker explicitly warned their victims against contacting law enforcement, threatening to publish all the stolen data of victimised organisations seeking help on its dark web ‘Wall of Shame’ leak site.  ラグナー・ロッカーは、被害者が法執行機関に連絡しないよう明確に警告し、助けを求めている被害組織の盗まれたデータをすべて、ダークウェブの「恥の壁」リークサイトで公開すると脅した。
“All that the FBI/ransomware negotiators/investigators do is muck things up, so we’re going to publish your stuff if you call for help”, the Ragnar Locker ransomware gang announced on its hidden website.  「FBI/ランサムウェアの交渉人/捜査官がすることは、物事を混乱させることだ。だから、助けを求めたら、我々はあなたのものを公開するつもりだ」と、Ragnar Lockerランサムウェア一味は、その隠されたウェブサイトで発表した。
Little did they know that law enforcement was closing in on them.  彼らは、法執行機関が彼らに迫っていることを知らなかった。
Back in October 2021, investigators from the French Gendarmerie and the US FBI, together with specialists from Europol and INTERPOL were deployed to Ukraine to conduct investigative measures with the Ukrainian National Police, leading to the arrest of two prominent Ragnar Locker operators.  2021年10月、フランス国家憲兵隊と米国FBIの捜査官が欧州刑事警察機構と国際刑事警察機構の専門家とともにウクライナに派遣され、ウクライナ国家警察とともに捜査に乗り出し、Ragnar Lockerの著名な運営者2人の逮捕につながった。
The investigation continued ever since, leading to the arrests and disruption actions this week. Europol’s European Cybercrime Centre Europol supported the investigation from the onset, bringing together all the involved countries to establish a joint strategy. 捜査はその後も継続され、今週の逮捕と破壊措置につながった。欧州刑事警察機構(Europol)の欧州サイバー犯罪センター(Europol's European Cybercrime Centre Europol)は、捜査開始当初からこの捜査を支援し、すべての関係国を集めて共同戦略を確立した。
Its cybercrime specialists organised 15 coordination meetings and two week-long sprints to prepare for the latest actions, alongside providing analytical, malware, forensic and crypto-tracing support. A virtual command post was set up this week by Europol to ensure seamless coordination between all the authorities involved. 同センターのサイバー犯罪スペシャリストは、分析、マルウェア、フォレンジック、暗号追跡のサポートをプロバイダとして提供するとともに、15回の調整会議と2回の1週間にわたるスプリントを開催し、最新の行動に備えた。欧州刑事警察機構は今週、関係当局間のシームレスな連携を確保するため、バーチャルな司令塔を設置した。
Eurojust support: 欧州司法機構のサポート
The case was opened by Eurojust in May 2021 at the request of the French authorities. Five coordination meetings were hosted by the Agency to facilitate judicial cooperation between the authorities of the countries that supported the investigation. Eurojust set up a coordination centre during the action week to enable rapid cooperation between the judicial authorities involved.   この事件は2021年5月、欧州司法機構(Eurojust)がフランス当局の要請を受けて開始した。捜査に協力した各国当局間の司法協力を促進するため、ユーロジャストは5回の調整会議を主催した。欧州司法機構は、関係司法当局間の迅速な協力を可能にするため、行動週間中に調整センターを設置した。 
The Head of Europol’s European Cybercrime Centre, Edvardas Šileris, said: 欧州刑事警察機構欧州サイバー犯罪センターのエドヴァルダス・シレリス所長は、次のように述べた:
This investigation shows that once again international cooperation is the key to taking ransomware groups down. Prevention and security are improving, however ransomware operators continue to innovate and find new victims. Europol will play its role in supporting EU Member States as they target these groups, and each case is helping us improve our modes of investigation and our understanding of these groups. I hope this round of arrests sends a strong message to ransomware operators who think they can continue their attacks without consequence. 今回の捜査は、ランサムウェアグループを潰すには国際協力が重要であることを示している。予防とセキュリティは改善されつつあるが、ランサムウェアの運営者は革新を続け、新たな被害者を見つけている。欧州刑事警察機構は、EU加盟国がランサムウェア・グループを標的にするのを支援する役割を果たす。今回の一連の逮捕が、結果なしに攻撃を続けられると考えているランサムウェアの運営者たちに強いメッセージを送ることを願っている。
Close cooperation between the involved law enforcement authorities was also supported by Europol’s Joint Cybercrime Action Taskforce (J-CAT), composed of cybercrime liaison officers posted to Europol’s headquarters. 関係法執行当局間の緊密な協力は、欧州刑事警察機構本部に配属されたサイバー犯罪リエゾン・オフィサーで構成される欧州刑事警察機構(Joint Cybercrime Action Taskforce:J-CAT)によっても支援された。
The following authorities took part in the investigation:  捜査には以下の当局が参加した: 
・Czechia: National Counter-Terrorism, Extremism and Cybercrime Agency of Police of the Czech Republic ・チェコ:チェコ共和国警察国家テロ・過激派・サイバー犯罪対策局
・France: National Cybercrime Centre of the French Gendarmerie (Gendarmerie Nationale – C3N) ・フランス フランス国家憲兵隊サイバー犯罪センター(Gendarmerie Nationale - C3N)
・Germany: State Criminal Police Office Sachsen (Landeskriminalamt Sachsen), Federal Criminal Police Office (Bundeskriminalamt) ・ドイツ ザクセン州刑事警察(Landeskriminalamt Sachsen)、連邦刑事警察(Bundeskriminalamt)
・Italy: State Police (Polizia di Stato), Postal and Communication Police (Polizia Postale e delle Comunicazioni) ・イタリア 国家警察(Polizia di Stato)、郵便・コミュニケーション警察(Polizia Postale e delle Comunicazioni)
・Japan: National Police Agency (NPA) ・日本 警察庁
・Latvia: State Police (Latvijas Valsts Policija) ・ラトビア 国家警察(Latvijas Valsts Policija)
・Netherlands: Police of East Netherlands (Politie Oost-Nederland) ・オランダ 東オランダ警察(Politie Oost-Nederland)
・Spain: Civil Guard (Guardia Civil) ・スペイン 市民警備隊(Guardia Civil)
・Sweden: Swedish Cybercrime Centre (SC3) ・スウェーデン スウェーデン・サイバー犯罪センター(SC3)
・Ukraine: Cyberpolice Department of the the National Police of Ukraine (Національна поліція України) ・ウクライナ ウクライナ国家警察サイバーポリス局 (Національна поліція України)
・United States: Atlanta Field Office of the Federal Bureau of Investigation ・米国 連邦捜査局アトランタ支局
The investigation was carried out in the framework of the European Multidisciplinary Platform Against Criminal Threats (EMPACT).  捜査は、犯罪の脅威に対する欧州学際的プラットフォーム(EMPACT)の枠組みで実施された。

 

1_20231030171201

 

カプコンに対する実行犯と言われていますね。。。

 

 

 

| | Comments (0)

より以前の記事一覧