法律 / 犯罪

2025.06.15

インターポール 20,000以上のIPとドメインの削除、41のサーバーと100GB以上のデータの押収、違法なサイバー活動に関連する32人の容疑者の逮捕 (2025.06.11)

こんにちは、丸山満彦です。

Interpolが、20,000以上のIPとドメインを削除し、41のサーバーと100GB以上のデータの押収し、違法なサイバー活動に関連する32人の容疑者を逮捕したと発表していますね...

これに合わせて警察庁も、「国際刑事警察機構主導の情報窃取型マルウェアのテイクダウンについて」報道発表をしていますね...

経済的な犯罪者に対しては、イデオロギーに関わらず協力できるところは協力して、犯罪を減少することに協力できるよいですね...

今回の特徴的なポイントは、

・アジア・南太平洋合同対サイバー犯罪作戦(ASPJOC)プロジェクトの下で組織された地域的イニシアティブである「オペレーション・セキュア」による活動である。

・ということもあって?参加国は中国、インド、韓国、シンガポール、日本を含むアジア、太平洋諸国であるが、オーストラリア、ニュージーランドは含まない

・民間パートナーは、日本のトレンドマイクロの他、今はシンガポールの企業となったGroup-IB[wikipedia]、ロシアのセキュリティ企業の老舗であるカスペルスキー[wikipedia]である

 

まずは、Intepolの発表から

Interpol

・2025.06.11 20,000 malicious IPs and domains taken down in INTERPOL infostealer crackdown

 

20,000 malicious IPs and domains taken down in INTERPOL infostealer crackdown インターポールの情報窃盗団取り締まりで20,000の悪質なIPとドメインが削除される
41 servers seized and 32 suspects arrested during Operation Secure 41台のサーバーを押収し、32人の容疑者を逮捕した。
SINGAPORE – More than 20,000 malicious IP addresses or domains linked to information stealers have been taken down in an INTERPOL-coordinated operation against cybercriminal infrastructure. シンガポール発-サイバー犯罪インフラに対する国際刑事警察機構(INTERPOL)の連携作戦で、情報窃盗犯に関連する2万以上の悪質なIPアドレスをドメインが取り締まった。
During Operation Secure (January – April 2025) law enforcement agencies from 26 countries worked to locate servers, map physical networks and execute targeted takedowns. 「オペレーション・セキュア」(2025年1月~4月)の期間中、26カ国の法執行機関がサーバーの位置を特定し、物理的なネットワークをマッピングし、標的を絞ったテイクダウンを実行した。
Ahead of the operation, INTERPOL cooperated with private-sector partners Group-IB, Kaspersky and Trend Micro to produce Cyber Activity Reports, sharing critical intelligence with cyber teams across Asia. These coordinated efforts resulted in the takedown of 79 per cent of identified suspicious IP addresses. 作戦に先立ち、インターポールは民間セクターのパートナーであるGroup-IB、カスペルスキー、トレンドマイクロと協力してサイバー活動レポートを作成し、アジア全域のサイバーチームと重要な情報活動を共有した。このような協調的な努力の結果、特定された疑わしいIPアドレスの79%が摘発された。
Participating countries reported the seizure of 41 servers and over 100 GB of data, as well as the arrest of 32 suspects linked to illegal cyber activities. 参加国は、41のサーバーと100GB以上のデータの押収、および違法なサイバー活動に関連する32人の容疑者の逮捕を報告した。
What are infostealers? インフォステーラーとは何か?
Infostealer malware is a primary tool for gaining unauthorized access to organizational networks. This type of malicious software extracts sensitive data from infected devices, often referred to as bots. The stolen information typically includes browser credentials, passwords, cookies, credit card details and cryptocurrency wallet data. インフォステーラー・マルウェアは、組織のネットワークに不正アクセスするための主要なツールである。この種の悪意のあるソフトウェアは、感染したデバイス(しばしばボットと呼ばれる)から機密データを抽出する。盗まれる情報には通常、ブラウザの認証情報、パスワード、クッキー、クレジットカード情報、暗号通貨ウォレットのデータなどが含まれる。
Additionally, logs harvested by infostealers are increasingly traded on the cybercriminal underground and are frequently used as a gateway for further attacks. These logs often enable initial access for ransomware deployments, data breaches, and cyber-enabled fraud schemes such as Business Email Compromise (BEC). さらに、情報窃取者によって取得されたログは、サイバー犯罪のアンダーグラウンドでますます取引されるようになり、さらなる攻撃のゲートウェイとして頻繁に使用されている。これらのログは、ランサムウェアの展開、データ侵害、ビジネスメール詐欺(BEC)のようなサイバー詐欺のスキームへの最初のアクセスを可能にすることが多い。
Following the operation, authorities notified over 216,000 victims and potential victims so they could take immediate action - such as changing passwords, freezing accounts, or removing unauthorized access. この作戦の後、認定機関は216,000人以上の被害者と潜在的な被害者に通知し、被害者はパスワードの変更、アカウントの凍結、不正アクセスの削除など、直ちに行動を起こせるようにした。
Operational highlights 作戦のハイライト
Vietnamese police arrested 18 suspects, seizing devices from their homes and workplaces. The group's leader was found with over VND 300 million (USD 11,500) in cash, SIM cards and business registration documents, pointing to a scheme to open and sell corporate accounts. ベトナム警察は18人の容疑者を逮捕し、自宅や職場から機器を押収した。グループのリーダーは、現金、SIMカード、企業登録書類から3億ドン(1万1,500米ドル)以上を発見され、企業口座の開設・販売スキームを指摘された。
As part of their respective enforcement efforts under Operation Secure, house raids were carried out by authorities in Sri Lanka and Nauru. These actions led to the arrest of 14 individuals - 12 in Sri Lanka and two in Nauru - as well as the identification of 40 victims. 「セキュア・オペレーション」に基づくそれぞれの取締りの一環として、スリランカとナウルの当局が家宅捜索を実施した。これらの行動により、スリランカで12人、ナウルで2人の計14人が逮捕され、40人の被害者が確認された。
The Hong Kong Police analysed over 1,700 pieces of intelligence provided by INTERPOL and identified 117 command-and-control servers hosted across 89 internet service providers. These servers were used by cybercriminals as central hubs to launch and manage malicious campaigns, including phishing, online fraud and social media scams. 香港警察は、INTERPOLから提供された1,700以上の情報を分析し、89のインターネット・サービス・プロバイダにホスティングされた117のコマンド・アンド・コントロール・サーバーを特定した。これらのサーバーは、サイバー犯罪者がフィッシング、オンライン詐欺、ソーシャルメディア詐欺などの悪質なキャンペーンを立ち上げ、管理する中心的なハブとして使用されていた。
Neal Jetton, INTERPOL’s Director of Cybercrime, said: INTERPOLのサイバー犯罪担当ディレクター、ニール・ジェットン氏は次のように述べた:
“INTERPOL continues to support practical, collaborative action against global cyber threats. Operation Secure has once again shown the power of intelligence sharing in disrupting malicious infrastructure and preventing large-scale harm to both individuals and businesses.” 「INTERPOLは、世界的なサイバー脅威に対する実践的で協力的な行動を支援し続けている。セキュア作戦は、悪意のあるインフラを破壊し、個人と企業の両方に対する大規模な被害を防ぐ上で、情報共有の力を改めて示した。
Notes to editors 編集後記
Operation Secure is a regional initiative organized under the Asia and South Pacific Joint Operations Against Cybercrime (ASPJOC) Project. 「オペレーション・セキュア」は、アジア・南太平洋合同対サイバー犯罪作戦(ASPJOC)プロジェクトの下で組織された地域的イニシアティブである。
Participating countries: Brunei, Cambodia, Fiji, Hong Kong (China), India, Indonesia, Japan, Kazakhstan, Kiribati, Korea (Rep of), Laos, Macau (China), Malaysia, Maldives, Nauru, Nepal, Papua New Guinea, Philippines, Samoa, Singapore, Solomon Islands, Sri Lanka, Thailand, Timor-Leste, Tonga, Vanuatu, Vietnam. 参加国 ブルネイ、カンボジア、フィジー、香港(中国)、インド、インドネシア、日本、カザフスタン、キリバス、韓国、ラオス、マカオ(中国)、マレーシア、モルディブ、ナウル、ネパール、パプアニューギニア、フィリピン、サモア、シンガポール、ソロモン諸島、スリランカ、タイ、東ティモール、トンガ、バヌアツ、ベトナム。

 

Interpol

 


警察庁の発表

警察庁

・2025.06.12 国際刑事警察機構主導の情報窃取型マルウェアのテイクダウンに係るプレスリリースについて


報道発表資料の概要

 国際刑事警察機構は、アジア・南太平洋地域における情報窃取型マルウェアの対策を行うため、民間事業者とも連携しながら、世界各国が協力して捜査を行い、関係サーバーのテイクダウン等を行うことで犯行抑止、被害防止を実施した旨をプレスリリースしました。
   同プレスリリースにおいては、今回のテイクダウンに向けた取組に関して、日本警察の協力についても言及されています。

   警察庁は、国際刑事警察機構から日本国内で被害をもたらしているおそれのある情報窃取型マルウェア(インフォスティーラー)に関するサーバ情報(IPアドレス等)を受け、サイバー特別捜査部及び18都府県警察が連携し、これを管理する事業者に順次働きかけを行っており、既に一部については、当該事業者によってテイクダウンの措置が講じられております。


 

・[PDF


広 報 資 料
令 和 7 年 6 月
警 察 庁

国際刑事警察機構主導の情報窃取型マルウェアのテイクダウンに係るプレスリリースについて

1 プレスリリースの概要

国際刑事警察機構は、アジア・南太平洋地域における情報窃取型マルウェアの対策を行うため、民間事業者とも連携しながら世界各国が協力して捜査を行い、関係サーバーのテイクダウン等を行うことで犯行抑止、被害防止を実施した旨をプレスリリースした。
同プレスリリースにおいては、今回のテイクダウンに向けた取組に関し、日本警察の協力についても言及されている。

2 日本警察及び関係事業者の協力

警察庁は国際刑事警察機構から日本国内で被害をもたらしているおそれのある情報窃取型マルウェア(インフォスティーラー)に関するサーバ情報(IPアドレス等)を受け、サイバー特別捜査部及び18都府県警察が連携してこれを管理する事業者に順次働きかけを行っており、既に一部については、当該事業者によってテイクダウンの措置が講じられている。
引き続き、サイバー空間における一層の安全・安心の確保を図るため、サイバー事案の厳正な取締りや実態解明、国内外の関係機関との連携を推進する。


 

| | Comments (0)

2025.06.14

米国 大統領令14306 国家のサイバーセキュリティを強化するための厳選された取り組みを維持し、大統領令13694と大統領令14144を改正する (2025.06.06)

こんにちは、丸山満彦です。

何か、忘れていると思っていたらこれでした...

大統領令13694 重大な悪意あるサイバー活動を行う特定の人物の財産のブロックは一部で”any person ”を”any foreign person”と対象を外国人に限定するという変更です。

主な変更は、大統領令14144 サイバーセキュリティの強化とイノベーションの促進ですね...

ランプさんの大統領令の数はすごいかもです...(バイデン元大統領が4年かけて162ですが、トランプ大統領は6ヶ月未満ですが、すでに161...)

U.S. White House

・2025.06.06 SUSTAINING SELECT EFFORTS TO STRENGTHEN THE NATION’S CYBERSECURITY AND AMENDING EXECUTIVE ORDER 13694 AND EXECUTIVE ORDER 14144

 

SUSTAINING SELECT EFFORTS TO STRENGTHEN THE NATION’S CYBERSECURITY AND AMENDING EXECUTIVE ORDER 13694 AND EXECUTIVE ORDER 14144 国家のサイバーセキュリティを強化するための厳選された取り組みを継続し、大統領令13694および大統領令14144を改正する。
By the authority vested in me as President by the Constitution and the laws of the United States of America, including the International Emergency Economic Powers Act (50 U.S.C. 1701 et seq.), the National Emergencies Act (50 U.S.C. 1601 et seq.), section 212(f) of the Immigration and Nationality Act of 1952 (8 U.S.C. 1182(f)), and section 301 of title 3, United States Code, it is hereby ordered: 国際緊急経済権限法(50 U.S.C. 1701 et seq.)、国家緊急事態法(50 U.S.C. 1601 et seq.)、1952 年移民国籍法第 212 条(f)(8 U.S.C. 1182(f))および米国法典第 3 編第 301 条を含む、憲法および米国法によって大統領として私に与えられた認可により、ここに命令する:
Section 1.  Amendments to Executive Order 14144.  Executive Order 14144 of January 16, 2025 (Strengthening and Promoting Innovation in the Nation’s Cybersecurity), is hereby amended by: 第1項 大統領令14144の改正。 2025年1月16日の大統領令14144(国家のサイバーセキュリティにおけるイノベーションの強化と促進)は、以下の通り改正される:
(a)  striking subsections 2(a)-(b) and redesignating subsections 2(c), 2(d), and 2(e) as subsections 2(a), 2(b), and 2(c), respectively; (a) 第2(a)~(b)を削除し、第2(c)項、第2(d)項、第2(e)項をそれぞれ第2(a)項、第2(b)項、第2(c)項とする;
(b)  striking the first sentence of subsection 2(e); (b) 第2(e)項の前段を削除する;
(c)  striking subsections 3(a)-(b) and redesignating subsections 3(c), 3(d), and 3(e) as subsections 3(a), 3(b), and 3(c), respectively; (c) 第3(a)~(b)項を削除し、第3(c)項、第3(d)項、第3(e)項をそれぞれ第3(a)項、第3(b)項、第3(c)項とする;
(d)  striking from subsection 3(c) the phrase “In Executive Order 14028, I directed the Secretary of Defense and the Secretary of Homeland Security to establish procedures to immediately share threat information to strengthen the collective defense of Department of Defense and civilian networks.”; (d) 第3項(c)から、「大統領令14028において、私は国防省長官と国土安全保障省長官に対し、国防省と民間ネットワークの集団的防衛を強化するため、脅威情報を直ちに共有する手順を確立するよう指示した」という文言を削除する;
(e)  striking from subsection 3(c)(i)(A) the word “novel”; (e) 第3項(c)(i)(A)から「新たな」という語を削除する;
(f)  striking subsection 4(b)(iv); (f) 第4(b)(iv)項を削除する;
(g)  striking subsections 4(d)(ii)-(iii); (g) 第4(d)(ii)~(iii)項を削除する;
(h)  striking section 5 and redesignating sections 6, 7, 8, 9, 10, and 11 as sections 5, 6, 7, 8, 9, and 10, respectively; and (h) 第5項を削除し、第6項、第7項、第8項、第9項、第10項、および第11項をそれぞれ第5項、第6項、第7項、第8項、第9項、および第10項と再指定する。
(i)  striking from subsection 8(c) the phrase “in the areas of intrusion detection, use of hardware roots of trust for secure booting, and development and deployment of security patches.”. (i)第8項(c)から、「侵入検知、セキュアブートのためのハードウェアルートオブトラストの使用、セキュリティパッチの開発および展開の分野において」という文言を削除する。
Sec. 2.  Further Amendments to Executive Order 14144.  Executive Order 14144 is hereby amended by: 第2項 大統領令14144のさらなる改正。 大統領令 14144 は、以下のように改正される:
(a)  striking section 1 and inserting, in lieu thereof, the following: (a) 第 1 項を削除し、その代わりに以下を挿入する:
“Section 1.  Policy.  Foreign nations and criminals continue to conduct cyber campaigns targeting the United States and Americans.  The People’s Republic of China presents the most active and persistent cyber threat to United States Government, private sector, and critical infrastructure networks, but significant threats also emanate from Russia, Iran, North Korea, and others who undermine United States cybersecurity.  These campaigns disrupt the delivery of critical services across the Nation, cost billions of dollars, and undermine Americans’ security and privacy.  More must be done to improve the Nation’s cybersecurity against these threats.  I am ordering additional actions to improve our Nation’s cybersecurity, focusing on defending our digital infrastructure, securing the services and capabilities most vital to the digital domain, and building our capability to address key threats.”; 「第1項 方針。 外国および犯罪行為は、米国および米国人を標的としたサイバーキャンペーンを継続的に行っている。 中華人民共和国は、米国政府、民間部門、および重要インフラ・ネットワークに対する最も活発かつ持続的なサイバー脅威を提示しているが、重要な脅威は、ロシア、イラン、北朝鮮、および米国のサイバーセキュリティを弱体化させるその他の国々からも発せられている。 これらのキャンペーンは、全米の重要なサービスの提供を妨害し、何十億ドルものコストをかけ、米国人のセキュリティとプライバシーを損なっている。 このような脅威に対する国家のサイバーセキュリティを改善するために、もっと多くのことをしなければならない。 私は、国家のサイバーセキュリティを改善するため、デジタル・インフラの防衛、デジタル領域で最も重要なサービスと能力の確保、主要な脅威に対処する能力の強化に重点を置いた追加措置を指示する;
(b)  striking subsection 2(c) and inserting, in lieu thereof, the following: (b) 第2項(c)を削除し、代わりに以下を挿入する:
“(c)  Relevant executive departments and agencies (agencies) shall take the following actions: 「(c)関係省庁は以下の措置を講じる:
(i)    By August 1, 2025, the Secretary of Commerce, acting through the Director of NIST, shall establish a consortium with industry at the National Cybersecurity Center of Excellence to develop guidance, informed by the consortium as appropriate, that demonstrates the implementation of secure software development, security, and operations practices based on NIST Special Publication 800–218 (Secure Software Development Framework (SSDF)). (i)2025年8月1日までに、商務長官は、NIST長官を通じて、国立サイバーセキュリティ・センター・オブ・エクセレンスに産業界とのコンソーシアムを設立し、NIST特別刊行物800-218(セキュアソフトウェア開発フレームワーク(SSDF))に基づくセキュアソフトウェアの開発、セキュリティ、運用の実践を実証するガイダンスを、適宜コンソーシアムから情報を得て策定する。
(ii)   By September 2, 2025, the Secretary of Commerce, acting through the Director of NIST, shall update NIST Special Publication 800–53 (Security and Privacy Controls for Information Systems and Organizations) to provide guidance on how to securely and reliably deploy patches and updates. (ii) 2025年9月2日までに、商務長官は、NIST長官を通じて、NIST特別刊行物800-53(情報システム及び組織のセキュリティ及びプライバシー管理)を更新し、パッチ及び更新を安全かつ確実に展開する方法に関する指針を提供する。
(iii)  By December 1, 2025, the Secretary of Commerce, acting through the Director of NIST, in consultation with the heads of such agencies as the Director of NIST deems appropriate, shall develop and publish a preliminary update to the SSDF.  This preliminary update shall include practices, procedures, controls, and implementation examples regarding the secure and reliable development and delivery of software as well as the security of the software itself.  Within 120 days of publishing the preliminary update, the Secretary of Commerce, acting through the Director of NIST, shall publish a final version of the updated SSDF.”; (iii) 2025 年 12 月 1 日までに、商務長官は、NIST 長官を通じて、NIST 長官が適切と考える省庁の長と協議の上、SSDF の暫定的な更新を策定し、公表するものとする。 この暫定更新版には、ソフトウェアの安全で信頼性の高い開発および提供、ならびにソフトウェア自体のセキュリティに関する実践、手順、管理、および実装例を含めるものとする。 暫定的な更新版の公表から 120 日以内に、商務長官は NIST 長官を通 じて、更新された SSDF の最終版を公表するものとする;
(c)  striking from subsection 4(b) the phrase “The security of Internet traffic depends on data being correctly routed and delivered to the intended recipient network.  Routing information originated and propagated across the Internet, utilizing the Border Gateway Protocol (BGP), is vulnerable to attack and misconfiguration.” and inserting, in lieu thereof, the following: (c)第4項(b)から「インターネット・トラフィックのセキュリティは、データが正しくルーティングされ、意図された取得者ネットワークに配信されることに依存する。 ボーダーゲートウェイプロトコル(BGP)を利用してインターネット上で生成され、伝播されるルーティング情報は、攻撃や誤設定に対して脆弱である:
“Relevant agencies shall take the following actions:”; 「関係機関は、以下の措置を講じなければならない;
(d)  striking subsection 4(f) and inserting, in lieu thereof, the following: (d) 第4項(f)を削除し、代わりに以下を挿入する:
“(f)  A quantum computer of sufficient size and sophistication —  also known as a cryptanalytically relevant quantum computer (CRQC) —  will be capable of breaking much of the public-key cryptography used on digital systems across the United States and around the world.  National Security Memorandum 10 of May 4, 2022 (Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems), directed the Federal Government to prepare for a transition to cryptographic algorithms that would not be vulnerable to a CRQC. 「(f)十分な規模と精巧さを備えた量子コンピュータ(暗号解読関連量子コンピュータ(CRQC)とも呼ばれる)は、米国および世界中のデジタルシステムで使用されている公開鍵暗号の多くを解読することができる。 2022年5月4日の国家安全保障覚書10(脆弱な暗号システムに対するリスクを緩和しつつ、量子コンピューティングにおける米国のリーダーシップを促進する)は、連邦政府に対し、CRQCに対して脆弱でない暗号アルゴリズムへの移行に備えるよう指示した。
(i)   By December 1, 2025, the Secretary of Homeland Security, acting through the Director of the Cybersecurity and Infrastructure Security Agency (CISA), and in consultation with the Director of the National Security Agency, shall release and thereafter regularly update a list of product categories in which products that support post-quantum cryptography (PQC) are widely available. (i) 2025 年 12 月 1 日までに、国土安全保障長官は、サイバーセキュリティ・インフラセキュリティ庁(CISA)長官を 通じて、国家安全保障局長官と協議の上、ポスト量子暗号(PQC)をサポートする製品が広く利用可能な製品カテゴリの リストを公表し、その後定期的に更新する。
(ii)  By December 1, 2025, to prepare for transition to PQC, the Director of the National Security Agency with respect to National Security Systems (NSS), and the Director of OMB with respect to non-NSS, shall each issue requirements for agencies to support, as soon as practicable, but not later than January 2, 2030, Transport Layer Security protocol version 1.3 or a successor version.”; (ii) 2025 年 12 月 1 日までに、PQC への移行を準備するため、国家安全保障シス テム(NSS)に関しては国家安全保障局長官が、NSS 以外に関しては OMB 長官が、それぞれ、 できるだけ早く、遅くとも 2030 年 1 月 2 日までに、トランスポート・レイヤー・セキュリ ティ・プロトコル バージョン 1.3 またはその後継バージョンをサポートするよう、各省庁に対す る要件を発行するものとする;
(e)  striking former section 6 (newly designated section 5) and inserting, in lieu thereof, the following: (e) 旧第6項(新たに第5項とする)を削除し、その代わりに以下を挿入する:
“Sec. 5.  Promoting Security with and in Artificial Intelligence.  Artificial intelligence (AI) has the potential to transform cyber defense by rapidly identifying vulnerabilities, increasing the scale of threat detection techniques, and automating cyber defense. 「第5項 人工知能を用いた、および人工知能におけるセキュリティの推進。 人工知能(AI)は、脆弱性を迅速に特定し、脅威検知技術の規模を拡大し、サイバー脅威防御を自動化することで、サイバー防御を変革する可能性を秘めている。
(a)  By November 1, 2025, the Secretary of Commerce, acting through the Director of NIST; the Secretary of Energy; the Secretary of Homeland Security, acting through the Under Secretary for Science and Technology; and the Director of the National Science Foundation shall ensure that existing datasets for cyber defense research have been made accessible to the broader academic research community (either securely or publicly) to the maximum extent feasible, in consideration of business confidentiality and national security. (a)2025年11月1日までに、商務長官(NIST長官を通じて)、エネルギー省長官、国土安全保障省長官(科学技術次官を通じて)、および全米科学財団長官は、サイバー防衛研究のための既存のデータセットが、ビジネスの機密性と国家安全保障に配慮して、実行可能な最大限の範囲で、より広範な学術研究コミュニティが(安全にまたは公に)アクセスできるようにする。
(b)  By November 1, 2025, the Secretary of Defense, the Secretary of Homeland Security, and the Director of National Intelligence, in coordination with appropriate officials within the Executive Office of the President, to include officials within the Office of Science and Technology Policy, the Office of the National Cyber Director, and the Director of OMB, shall incorporate management of AI software vulnerabilities and compromises into their respective agencies’ existing processes and interagency coordination mechanisms for vulnerability management, including through incident tracking, response, and reporting, and by sharing indicators of compromise for AI systems.”; (b) 2025年11月1日までに、国防長官、国土安全保障長官、国家情報長官は、大統領府内の適切な職員(米国科学技術政策局、国家サイバー長官室、OMB長官を含む)と連携して、AIソフトウェアの脆弱性と侵害の管理を、インシデントの追跡、対応、報告、AIシステムの侵害の指標の共有を含む、脆弱性管理のためのそれぞれの省庁の既存のプロセスおよび省庁間の調整メカニズムに組み込むものとする;
(f)  striking section 7 and inserting, in lieu thereof, the following: (f) 第7項を削除し、その代わりに以下を挿入する:
“Sec. 7.  Aligning Policy to Practice.  Agencies’ policies must align investments and priorities to improve network visibility and security controls to reduce cyber risks.  In consultation with the National Cyber Director, agencies shall take the following actions: 「第7項。政策と実務の整合。 各省庁の政策は、サイバー・リスクを削減するために、ネットワークの可視性とセキュリティ管理を改善するための投資と優先順位を一致させなければならない。 国家サイバー局長と協議の上、各省庁は以下の行動を取らなければならない:
(a)  Within 3 years of the date of this order, the Director of OMB shall issue guidance, including any necessary revision to OMB Circular A–130, to address critical risks and adapt modern practices and architectures across Federal information systems and networks. (a) 本命令の日付から3年以内に、OMB長官は、OMB Circular A-130の必要な改訂を含むガイダンスを発行し、重要なリスクに対処し、連邦情報システムとネットワーク全体に最新の慣行とアーキテクチャを適応させる。
(b)  Within 1 year of the date of this order, the Secretary of Commerce, acting through the Director of NIST; the Secretary of Homeland Security, acting through the Director of CISA; and the Director of OMB shall establish a pilot program of a rules-as- code approach for machine-readable versions of policy and guidance that OMB, NIST, and CISA publish and manage regarding cybersecurity. (b) 本命令の日付から 1 年以内に、商務長官は NIST 長官を通じ、国土安全保障長官は CISA 長官を通じ、OMB 長官は OMB、NIST、CISA がサイバーセキュリティに関して発行・管理する政策・指針の機械可読版について、ルール・アズ・コード・アプローチのパイロット・プログラムを確立する。
(c)  Within 1 year of the date of this order, agency members of the FAR Council shall, as appropriate and consistent with applicable law, jointly take steps to amend the FAR to adopt requirements for agencies to, by January 4, 2027, require vendors to the Federal Government of consumer Internet-of-Things products, as defined by 47 CFR 8.203(b), to carry United States Cyber Trust Mark labeling for those products.”; and (c) 本命令の日付から 1 年以内に、FAR 評議会の加盟国は、適切かつ適用法と一致するように、2027 年 1 月 4 日までに、47CFR 8.203(b)で定義されているように、消費者向け Internet-of-Things 製品の米国政府向けベンダーに対し、当該製品に米国サイバートラストマークの表示を義務付ける要件を採用するために、FAR を改正するための措置を共同で講じるものとする。
(g)  striking subsection 8(a) and inserting, in lieu thereof, the following: (g) 第 8 項(a)を削除し、その代わりに以下を挿入する:
“(a)  Except as specifically provided for in subsection 4(f) of this order, sections 1 through 7 of this order shall not apply to Federal information systems that are NSS or are otherwise identified by the Department of Defense or the Intelligence Community as debilitating impact systems.”. 「(a)本命令の第 4 項(f)に具体的に規定されている場合を除き、本命令の第 1 項から第 7 項は、NSS であるか、または国防総省もしくはインテリジェンス・コミュニティが衰弱的な影響 を与えるシステムであると識別した連邦情報システムには適用されないものとする。
Sec. 3.  Amendments to Executive Order 13694.  Executive Order 13694 of April 1, 2015 (Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities), as amended by Executive Order 13757 of December 28, 2016 (Taking Additional Steps to Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities), Executive Order 13984 of January 19, 2021 (Taking Additional Steps to Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities), and Executive Order 14144, is hereby further amended by: 第3項 大統領令13694の改正。 2015年4月1日の大統領令13694(重大な悪意のあるサイバーイネーブルド活動に従事する特定の者の財産を封鎖する)は、2016年12月28日の大統領令13757(重大な悪意のあるサイバーイネーブルド活動に関して国家緊急事態に対処するための追加的措置を講じる)、2021年1月19日の大統領令13984(重大な悪意のあるサイバーイネーブルド活動に関して国家緊急事態に対処するための追加的措置を講じる)、および大統領令14144によって改正されたものであるが、さらに以下のように改正する:
(a)  striking from subsection 1(a)(ii) the phrase “any person” and inserting in lieu thereof “any foreign person”; and (a) 第1項(a)(ii)から「あらゆる人」という語句を削除し、その代わりに「あらゆる外国人」を挿入する。
(b)  striking from subsection 1(a)(iii) the phrase “any person” and inserting in lieu thereof “any foreign person.”. (b) 第1款(a)(iii)から「あらゆる人」という語句を削除し、その代わりに「あらゆる外国人」と挿入する。
Sec. 4.  General Provisions.  (a)  Nothing in this order shall be construed to impair or otherwise affect: 第4項 一般規定。 (a) 本命令のいかなる規定も、これを損なったり、その他の影響を及ぼすものと解釈されてはならない:
(i)   the authority granted by law to an executive department or agency, or the head thereof; or (i) 行政部、行政機関、またはその長に法律で認められた認可。
(ii)  the functions of the Director of OMB relating to budgetary, administrative, or legislative proposals. (ii) 予算案、行政案、立法案に関するOMB長官の機能。
(b)  This order shall be implemented in a manner consistent with applicable law and subject to the availability of appropriations. (b) 本命令は、適用法に合致した方法で、かつ充当可能な予算に応じて実施されるものとする。
(c)  This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. (c) 本命令は、米国、その省庁、事業体、その役員、職員、代理人、その他いかなる者に対しても、法律上または衡平法上執行可能な、実質的または手続き上の権利または利益を創出することを意図したものではなく、また創出するものでもない。
(d)  The costs for publication of this order shall be borne by the Department of Homeland Security. (d) 本命令の公布にかかる費用は、国土安全保障省が負担するものとする。
                             DONALD J. TRUMP ドナルド・J・トランプ
THE WHITE HOUSE, ホワイトハウス
    June 6, 2025. 2025年6月6日

 

 

20250121-105054


 

官報

Federal Register

・2025.06.11 Exective Order 14306 Sustaining Select Efforts To Strengthen the Nation's Cybersecurity and Amending Executive Order 13694 and Executive Order 14144

 

改正するもの...

・2025.01.17 Exective Order 14144 Strengthening and Promoting Innovation in the Nation's Cybersecurity

・2015.04.01 Exective Order 13694 Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities

 

参考 1933年以降の大統領令の数(2025.06.13現在)...

Presidential Documents

下線は4年超

32 1933–1945 フランクリン・ルーズベルト 民主党 3,721
33 1945–1953 ハリー・S・トルーマン 民主党 906
34 1953–1961 ドワイト・D・アイゼンハワー 共和党 484
35 1961–1963 ジョン・F・ケネディ 民主党 214
36 1963–1969 リンドン・B・ジョンソン 民主党 325
37 1969–1974 リチャード・ニクソン 共和党 346
38 1974–1977 ジェラルド・フォード 共和党 169
39 1977–1981 ジミー・カーター 民主党 320
40 1981–1989 ロナルド・レーガン 共和党 381
41 1989–1993 ジョージ・H・W・ブッシュ 共和党 166
42 1993–2001 ビル・クリントン 民主党 364
43 2001–2009 ジョージ・W・ブッシュ 共和党 291
44 2009–2017 バラク・オバマ 民主党 277
45 2017–2021 ドナルド・トランプ 共和党 220
46 2021–2025 ジョー・バイデン 民主党 162
47 2025- ドナルド・トランプ 共和党 161
        8,507



 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.18 米国 ホワイトハウス 大統領令14144 サイバーセキュリティの強化とイノベーションの促進 (2025.01.16)

 

 

 


見え消し版 ↓↓↓↓↓

Continue reading "米国 大統領令14306 国家のサイバーセキュリティを強化するための厳選された取り組みを維持し、大統領令13694と大統領令14144を改正する (2025.06.06)"

| | Comments (0)

2025.06.09

ENISA EU諸国の国家サイバーセキュリティ戦略をマップから見れる... (2025.06.04)

こんにちは、丸山満彦です。

ENISAが、国家サイバーセキュリティ戦略を地図から見れるようなウェブをつくったようですね...

これは素晴らしい...

ENISA

・2025.06.04 National Cyber Security Strategies Interactive map


20250608-141428

国については、EU加盟国、EFTA加盟国になっています。

記載内容は、

  • 重点分野
  • 戦略に含まれる目標
  • 戦略文書
  • 国のサイバーセキュリティ組織
  • 国内ISAC
  • 官民パートナーシップ
  • 研究・開発イノベーション

 

サイバーセキュリティ戦略文書の一覧...

  EU加盟国     戦略文書
1 Austria オーストリア 2021.12 Austrian Strategy for Cybersecurity 2021
2024.09 Austrian Security Strategy
2 Belgium ベルギー 2021.05 CYBERSECURITY STRATEGY BELGIUM 2.0 2021-2025
2024.06 ACTIVE CYBER PROTECTION (ACP)
3 Bulgaria ブルガリア 2021.04 National Cybersecurity Strategy "CYBER-RESISTANT BULGARIA 2023"
2011.02 National Security Strategy of the Republic of Bulgaria
4 Croatia クロアチア 2015.07 THE NATIONAL CYBER SECURITY STRATEGY OF THE REPUBLIC OF CROATIA
2017 THE REPUBLIC OF CROATIA NATIONAL SECURITY STRATEGY
5 Cyprus キプロス 2020.06 Cybersecurity Strategy of the Republic of Cyprus 2020 
6 Czechia チェコ 2021.03 National CYbersecurity Strategy of the Czech Republic
2021 2021 REPORT ON CYBER SECURITY IN THE CZECH REPUBLIC
7 Denmark デンマーク 2021.12 The Danish National Strategy for Cyber and Information Security
8 Estonia エストニア 2024.07 CYBERSECURITY STRATEGY 2024–2030 ‘CYBER-CONSCIOUS ESTONIA’
2024.07 CYBER SECURITY IN ESTONIA 2024
9 Finland フィンランド 2024.10 Finland’s Cyber Security Strategy 2024–2035
10 France フランス 2025.03 Au cœur d’un collectif, pour une Nation cyber-résiliente
2023.11 National Cybersecurity Strate
2022 National strategic review 2022
11 Germany ドイツ 2021.08 Cyber Security Strategy for Germany 2021 
12 Greece ギリシャ 2020.12 NATIONAL CYBERSECURITY STRATEGY 2020 - 2025
2021.06 CYBERSECURITY HANDBOOK
13 Hungary ハンガリー 2025.04 Magyarország Kiberbiztonsági Stratégiájáról
2024 2024. évi LXIX. törvény  - Magyarország kiberbiztonságáról
14 Ireland アイルランド 2019.12 National Cyber Security Strategy 2019-2024
2023.05 National Cyber Security Strategy 2019-2024 Mid-Term Review 
15 Italy イタリア 2022 NATIONAL CYBERSECURITY STRATEGY 2022 – 2026
2022 IMPLEMENTATION PLAN NATIONAL CYBERSECURITY STRATEGY 2022 – 2026
16 Latvia ラトビア 2023 The Cybersecurity Strategy of Latvia 2023-2026
17 Lithuania リトアニア 2018.08 NATIONAL CYBER SECURITY STRATEGY
18 Luxembourg ルクセンブルク 2021.04 NATIONAL CYBERSECURITY STRATEGY IV
19 Malta マルタ 2023.10 NATIONAL CYBER SECURITY STRATEGY 2023-2026
20 Netherlands オランダ 2022 Netherlands Cybersecurity Strategy 2022-2028
2024 Cybersecurity Assessment Netherlands 2024
21 Poland ポーランド 2019.10 CYBERSECURITY STRATEGY OF THE REPUBLIC OF POLAND FOR 2019 – 2024
2020 National Security Strategy Of The Republic Of Poland 2020
22 Portugal ポルトガル 2019.05 NATIONAL STRATEGY FOR CYBERSPACE SECURITY 2019-2023
23 Romania ルーマニア 2022.01 privind aprobarea Strategiei de securitate cibernetică a României, pentru perioada 2022—2027, precum și a Planului de acțiune pentru implementarea Strategiei de securitate cibernetică a României, pentru perioada 2022—2027*)
24 Slovakia スロバキア 2021 THE NATIONAL CYBERSECURITY STRATEGY 2021- 2025
2021 SECURITY STRATEGY OF THE SLOVAK REPUBLIC
25 Slovenia スロベニア 2024.09  
2016.02 CYBERSECURITY STRATEGY
26 Spain スペイン 2019.04 NATIONAL CYBER SECURITY STRATEGY
27 Sweden スウェーデン 2025.03 En ny era av cybersäkerhet Nationell strategi för cybersäkerhet 2025-2029
  Bilaga 2: Organisationer med roller och ansvarsområden inom cybersäkerhet Nationell strategi för cybersäkerhet 2025–2029
  EFTA加盟国     戦略文書
1 Iceland アイスランド 2022.02 Icelandic National Cybersecurity Strategy 2022–2037
2 Liechtenstein リヒテンシュタイン 2025.02 National Strategy For Protection Against Cyber Risks
2025.01 Cyber-Sicherheitsgesetz (CSG)
2025.01 Cyber Security Ordinance (CSV)
3 Norway ノルウェー 2019 National Cyber Security Strategy for Norway
2019 List of measures – National Cyber Security Strategy for Norway
4 Switzerland スイス 2023.04 National Cyberstrategy (NCS)

 

 

世界のサイバーセキュリティ戦略の一覧は、ITUでも作っていますね。。。データ自体は最新でない場合もあるのですが...

National Cybersecurity Strategies Repository

1_20250608191101

 

AFRICA AMERICAS ARAB STATES Asia-Pacific CIS EUROPE

Benin

Botswana (Approved)

Burkina Faso

Côte d'Ivoire

Eswatini

Gambia

Ghana (Draft)

Kenya

Malawi

Mauritius

Mozambique (Draft)

Nigeria

Rwanda

Senegal (en, fr)

Sierra Leone

South Africa

Tanzania

Uganda

Zambia (Draft)


Argentina

Brazil (1, 2, 3, 4, 5)

Canada

Chile

Colombia

Costa Rica

Cuba

Dominican Republic (Decree 1, 2)

Guatemala

Jamaica

Mexico

Panama (Decree 1, 2)

Paraguay

Peru (In Progress)

Suriname (In Progress)

Trinidad and Tobago

United States of America (1, 2, 3)

Uruguay


Bahrain

Egypt (English, Arabic)

Iraq

Jordan

Libya

Mauritania

Morocco

Oman

Qatar

Saudi Arabia

Syria

Tunisia (Draft)

United Arab Emirates


Afghanistan

Australia (1, 2)

Bangladesh

Brunei Darrussalam

China

Fiji (In Progress)

India

Indonesia

Iran

Japan

Korea (Republic of) (1, 2)

Malaysia

Nepal (Draft)

New Zealand (1, 2, 3, 4, 5)

Philippines

Samoa

Singapore (1, 2)

Sri Lanka

Thailand

Vanuatu

Vietnam (Draft)


Armenia (In Progress)

Azerbaijan

Belarus

Kazakhstan

Russian Federation (1, 2)

Uzbekistan (In Progress)


Albania (1, 2)

Austria

Belgium (1, 2)

Bulgaria (1, 2) (In Progress)

Croatia (1, 2)

Cyprus

Czech Republic (1, 2)

Denmark (1, 2, 3)

Estonia

Finland

France (1, 2)

Georgia

Germany

Greece

Hungary

Iceland

Ireland

Israel

Italy

Latvia

Lithuania

Luxembourg (1, 2, 3)

Malta (1, 2)

Moldova

Monaco

Montenegro

Netherlands (1, 2, 3)

North Macedonia (en)

Norway

Poland

Portugal

Romania

Serbia

Slovakia (1, 2)

Slovenia

Spain

Sweden (1, 2)

Switzerland

Turkey (1, 2, 3)

Ukraine

United Kingdom

 


 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

 

国家安全保障戦略

・2023.06.07 [PDF] 국가안보전략

20240307-204752

 


[2024.04.02追記]

参考

● 防衛省防衛研究所 - NIDSコメンタリー

・ 2023.03.28 [PDF] 韓国の「戦略文書」——「 国家安保戦略書 」 を 中心 に


 

2019年の国家サイバーセキュリティ戦略

・韓国語 [PDF] 국가사이버안보전략

20240307-194050


・英語 [PDF] National Cyberseuciry Strategy

20240307-194144

 

 


 

 

参考 各国のサイバーセキュリティ戦略

■ EUの場合

 European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

20250108-182710

 

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

 Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ オランダの場合

・2022.10.10 Kabinet presenteert nieuwe cybersecuritystrategie

● 戦略

・2022.10.10 Nederlandse Cybersecuritystrategie 2022 - 2028

・[PDF

20221016-52157

 

● 活動計画 2022-2023

・2022.10.10 Actieplan Nederlandse Cybersecuritystrategie 2022 - 2023

・[PDF

20221016-52520

 

■ UKの場合

 National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

日本語訳 [Downloded]

20230221-170849

 

■ U.S. の場合

・2023.03.02 FACT SHEET: Biden-⁠Harris Administration Announces National Cybersecurity Strategy

・[PDF] National Cybersecurity Strategy 

20230304-72820

 

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

 内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.28 [PDF] サイバーセキュリティ戦略

20230820-153236

・2023.07.04 サイバーセキュリティ戦略本部 第36回会合

・2022.06.17 サイバーセキュリティ戦略本部 第34回会合

・2021.09.27 第31回会合

 

 

🔳オーストラリアの場合

 AU - Department of Home Affairs - Cyber security - Strategy

・2023.11.22 [PDF] 

20241130-23843

実行計画

・2023.11.22 [PDF] 

20241130-24959

 

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

20230520-150216

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy

20230520-150443

 

■ 中国の場合

  中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

 Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 

◾️ 韓国の場合...

・2024.02.01

・[PDF]

20240307-182652

 

2019年の国家サイバーセキュリティ戦略

・韓国語 [PDF] 국가사이버안보전략

20240307-194050


・英語 [PDF] National Cyberseuciry Strategy

20240307-194144

 

 

 

 

 

 

 

・2024.03.08 韓国 国家安全保障室、ユン・ソクヨル政府の「国家サイバー安全保障戦略」 (2024.02.01)


・2023.03.03 ENISA 国家サイバーセキュリティ戦略の実施に向けた効果的なガバナンスフレームワークの構築

・2022.10.16 オランダ サイバーセキュリティ戦略2022-2028 デジタル・セキュリティー社会の実現に向けた渇望と行動 (2022.10.10)

・2022.06.21 内閣官房 サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17)

・2022.02.22 NATO CCDCOE 「国家サイバーセキュリティ戦略策定のためのガイド」第2版 (2021.11)

・2021.12.17 英国 国家サイバー戦略

・2021.10.11 シンガポール サイバーセキュリティ戦略2021

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.07 NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

・2020.12.08 ENISA 自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク(NCAF)」を発行

・2020.08.11 オーストラリア政府 内務省がサイバーセキュリティ戦略2020を公表していましたね。。。

 

| | Comments (0)

2025.06.08

内閣官房 NISC イバーセキュリティ戦略本部第43回会合 - サイバー空間を巡る脅威に対応するため喫緊に取り組むべき事項 (2025.05.29)

こんにちは、丸山満彦です。

いろいろと後手後手になっていますが... ちょうどこの会議の後に会議があったんで、会議中にも少し話題にでました...

 

NISC

・2025.05.29 第43回会合

決定文書は次の3つ。。。

・[PDF] サイバー空間を巡る脅威に対応するため喫緊に取り組むべき事項

20250607-151831

・[PDF] デジタル社会の実現に向けた重点計画案に対するサイバーセキュリティ戦略本部の意見

・[PDF] 「サイバーセキュリティ対策を強化するための監査に係る基本方針」の一部改正について

 

 

まず3つ目の監査。これは監査の実施内容に「レッドチームテスト」を加えるというもの。もともと統一基準を作った時に監査にも技術的な確認という項目はあったので、その文脈ではレッドチームテストもできるという想定でした(当時、ちょうどRed Team Testingという用語が使われ出した頃でした...)。ということで、その時から20年たって、義務化という感じですね...

 

次に2つ目の「デジタル社会実現に向けた重点計画案」に対する意見。依存なしとのこと(^^)


... 今次のデジタル社会の実現に向けた重点計画案(以下「重点計画案」という。)においては、サイバーセキュリティの確保に関し、新たな司令塔組織を中心とした情報収集・分析に係る体制等の整備、官民双方向の情報共有の推進、GSOCの機能強化、政府機関等のセキュリティ対策の推進、 中小企業を含めた我が国全体のサプライチェーンのセキュリティ対策強化、官民共有の「人材フレームワーク」の策定等、新たな法整備や「喫緊に取り組むべき事項」に盛り込まれている取組が明記されており、時宜を得た内容となっている。

デジタル庁におかれては、サイバー空間がグローバルな空間であるという認識のもと、サイバーセキュリティを盛り込み、こうした取組を進められ、安全・安心なデジタル社会の実現に向け、引き続きデジタル改革を推進していくことを期待する。

以上を踏まえ、 令和7年5月16日付で内閣総理大臣からデ戦第 1649 号により依頼があった重点計画案については、異存はない。


 

3つ目は、サイバー空間を巡る脅威に対応するため喫緊に取り組むべき事項

これは、現在の2021年「サイバーセキュリティ戦略 (2021.09.28)」(特に「サイバーセキュリティ2024」(2024.07.10) における「特に強力に取り組む施策」)及び「サイバー安全保障分野での対応能力の向上に向けた提言」(2024.11.29) 等を踏まえ、現行制度下において、喫緊に取り組むべき施策の方向性を取りまとめたものと位置付けですね...

章立てでいうとこんな感じ...

・サイバーセキュリティに係る新たな司令塔機能の確立

・巧妙化・高度化するサイバー攻撃に対する官民の対策・連携強化

  • 新たな官民連携エコシステムの実現
  • 政府機関等のセキュリティ対策水準の一層の向上及び実効性の確保
  • 地方公共団体・医療機関等のセキュリティ対策向上
  • 政府機関・重要インフラ等を通じた横断的な対策の強化
  • セキュアバイデザイン・セキュアバイデフォルト原則の実装推進
  • 中小企業を含めたサプライチェーン全体のレジリエンス強化

・サイバーセキュリティを支える人的・技術的基盤の強化

  • 官民を通じたサイバーセキュリティ人材の確保・育成
  • 我が国の対応能力を支える技術・産業育成及び先進技術への対応

・緊密な国際連携を通じた我が国のプレゼンス強化

 

官民連携、人材育成、政府・地方公共機関の対応の遅れ、セキュア・バイ・デザイン(開発段階からのセキュリティ)、国際協調、中小企業のセキュリティ対策の遅れ...

 

● 経済産業省

・2003.10.10 [PDF] 情報セキュリティ総合戦略 [downloaded]

20240603-163252

 

第1章 戦略の考え方
1.1. IT
の社会基盤化~社会の「神経系」を担う IT
1.2.
社会全体が直面する新次元のリスク
 1.2.1. リスクの拡大
 1.2.2. リスクの変質
 1.2.3. 新次元のリスクへの対応と安全保障の観点から見た問題認識
1.3.
総合的なセキュリティ対策の必要性
 1.3.1. これまでの情報セキュリティ対策の課題
 1.3.2. 「高信頼性社会」構築による競争力強化と総合的な安全保障の向上

第2章 情報セキュリティ強化のための3つの戦略
2.1.
情報セキュリティ強化のための3つの戦略
2.2.
戦略1:しなやかな「事故前提社会システム」の構築(高回復力・被害局限化の確保)
2.3.
戦略2:「高信頼性」を強みとするための公的対応の強化
2.4.
戦略3:内閣機能強化による統一的推進
2.5. e-Japan
戦略との関係

第3章 戦略実現のための具体的施策
3.1.
戦略実現のための具体的施策の構成
3.2.
「戦略1:しなやかな『事故前提社会システム』の構築(高回復力・被害局限化の確保)」を実現するための具体的施策(1)~事前予防策の強化
 3.2.1. 国・自治体・重要インフラにおける事前予防策
 3.2.2. 企業・個人における新たな事前予防策
 3.2.3. 技術とセキュリティマネジメントの両輪からなる既存の事前予防策の強化
3.3.
「戦略1:しなやかな『事故前提社会システム』の構築(高回復力・被害局限化の確保)」を実現するための具体的施策(2)~事故対応策の抜本的強化
 3.3.1. 国・自治体・重要インフラにおける事故対応策
 3.3.2. 企業・個人における事故対応策
3.4.
「戦略2:『高信頼性』を強みとするための公的対応の強化」を実現するための具体的施策~戦略1の実現及び国家的視点からの全体を支える基盤の強化
 3.4.1. 国の主権に関わるリスクへの対応
 3.4.2. 犯罪対策やプライバシー対策と国際協調
 3.4.3. 基礎技術基盤の確立

第4章 戦略の実現のための体制と進捗管理
4.1.
「戦略3:内閣機能強化による統一的推進」
4.2.
望ましい実現時期
4.3.
戦略の評価体制

おわりに

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.02 内閣官房 サイバー安全保障分野での対応能力の向上に向けた提言 (2024.11.29)

 

・2024.07.11 内閣官房 NISC サイバーセキュリティ2024、サイバーセキュリティ関係施策に関する令和7年度予算重点化方針

 

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

 

 

 

| | Comments (0)

内閣官房 NISC サイバーセキュリティ戦略本部第43回会合 - インシデント報告様式の統一 (2025.05.29)

こんにちは、丸山満彦です。

サイバーセキュリティインシデントについて、様々な政府機関から報告の要求がありますが、様式や提供する情報が異なると事業者にとって負担となることから、それを統一しようという取り組みです。

すでに金融機関においては、FSBが中心となって(日本では金融庁も加わって)、先行してインシデント情報の提供スキーム (FIRE) をグローバルで統一することになっていますね... 報告を受ける監督官庁側の処理の効率化を考えて、機械処理を前提としています...

さて、NISCが公表したものは、今現在はザ・様式ですね... 紙(PDF)で報告することを想定している感じ... 受け取った監督官庁は手作業?でデータベース化ですかね...

ただ、サイバー対処能力強化法が施行されるタイミングで、システム化をするようですね...

インシデントの種類によって様式を変えるわけですね...

NISC

・2025.05.29 第43回会合

・[PDF] 資料5 インシデント報告様式の統一について 

 

被害報告一元化の方針

20250607-161839

 

被害報告一元化の実現に向けたタイムライン

20250607-161848

 


1.目的

 我が国全体のサイバーセキュリティを強化するためには、官民双方向の情報共有を促すことが必要不可欠である一方、サイバー攻撃による被害報告件数は増加の一途を辿っており、また、報告先となる官公署も多いことから、サイバー攻撃を受けた被害組織に過度な報告負担がかかっている旨の指摘がされている。

 特に、DDoS攻撃事案及びランサムウェア事案については、サイバー攻撃であることがインシデント発生時から明白であることが多く、初動対応中の報告となり、その件数も多いことから、被害組織の報告負担が極めて大きいと考えられる。

 かかる状況を踏まえ、「サイバー安全保障分野での対処能力の向上に向けた提言」(令和6年11月29日付、サイバー安全保障分野での対応能力の向上に向けた有識者会議)では、「被害組織の負担軽減と政府の対応迅速化を図るため、報告先や様式の一元化、簡素化を進めるべき」との提言が行われるとともに、サイバーセキュリティ戦略本部第 42 回会合(令和7年2月5日)では、「現行制度下において喫緊に取り組むべき事項」の検討事項の一つとして、被害組織の負担軽減(報告様式一元化)が掲げられたところである。

このため、サイバー攻撃に係る被害組織の負担を軽減し、政府の対応迅速化を図るため、報告のあり方について、別添様式1及び別添様式2に掲げる共通様式に記載の手続を所管する関係省庁において次のとおり申し合わせる。

2.対象とする手続

(1) DDoS攻撃事案・ランサムウェア事案に係る報告

先行的な対応として、個人情報の保護に関する法律(平成 15 年法律第 57 号)第26条第1項の規定による個人データの漏えい等に係る報告等、都道府県警察への相談その他の共通様式に記載の手続に関する官公署への報告等に際して、被害組織が「DDоS攻撃事案共通様式(別添様式1)」又は「ランサムウェア事案共通様式(別添様式2)」を用い、又は別途法令等で定める様式に添付する形で報告等を行うことを可能とする。具体的な提出先及び提出方法については、各法令、ガイドラインや、各省庁が公表する方法に従うこととする。

その際、内閣官房内閣サイバーセキュリティセンターにおいて国内で発生しているこれら事案の情報集約を行うため、被害報告を行う者の同意がある場合は、各様式に基づいて報告を受けた官公署は、当該内容を内閣官房内閣サイバーセキュリティセンターに共有するものとする。

また、重要電子計算機に対する不正な行為による被害の防止に関する法律(令和7年法律第 42 号。以下「サイバー対処能力強化法」という。)第5条の施行に併せ、官民連携基盤の整備により、共通様式により報告が行われる場合における窓口を一元化するよう所要の調整を進める。

(2) サイバー対処能力強化法に基づく報告

特別社会基盤事業者は、特定侵害事象等の発生を認知した場合、サイバー対処能力強化法第5条の規定に基づき、特別社会基盤事業所管大臣及び内閣総理大臣に報告しなければならないとされているところ、当該規定に基づく報告及び(1)に掲げる報告等について、当該規定の施行に併せ、官公署への報告等に際して利用できる共通様式を整備し、さらに官民連携基盤の整備により、これらの報告の窓口を一元化するよう所要の調整を進める。

3.本申合せの適用開始時期及び見直し

本申合せのうち、「DDoS攻撃事案共通様式(別添様式1)」又は「ランサムウェア事案共通様式(別添様式2)」を用いた報告等については、所要の制度改正やパブリックコメント等を経て、令和7年10月1日から適用する。

また、本申合せは、各省庁等の適用状況や、サイバー攻撃の傾向を随時検証し、2(1)に定める様式の適用開始から1年後を目途に必要な見直しを行う。


 

[PDF] DDoS攻撃事案共通様式

20250607-165908

 

・[PDF] ランサムウェア事案共通様式

20250607-170201

 


 

FIRE関係...

まるちゃんの情報セキュリティ気まぐれ日記

・2025.05.02 金融安定理事会 (FSB) インシデント報告交換フォーマット(FIRE)を公表 (2025.04.15)

・2024.11.01 金融安定理事会 (FSB) 市中協議文書「インシデント報告交換フォーマット(FIRE)」の公表 (2024.10.17)

・2023.04.17 金融安定理事会 (FSB) サイバーインシデント報告におけるより大きな収束を実現するための提言

・2022.10.23 金融安定理事会 サイバーインシデント報告における収斂を高めるための提言

 

 

| | Comments (0)

2025.06.07

防衛省 装備品等の研究開発における責任あるAI適用ガイドライン (2025.06.06)

こんにちは、丸山満彦です。

防衛省防衛装備庁が、装備品等の研究開発における責任あるAI適用ガイドラインを公表しましたね...

現場でAIが暴走すると、場合によっては現場の人(敵も味方も)の生命に影響が及ぶこともあるしね...

 

防衛装備庁

・2025.06.06 [PDF] 装備品等の研究開発における責任あるAI適用ガイドラインの策定について


装備品等の研究開発における責任あるAI適用ガイドラインの策定について

防衛省は、装備品等の研究開発における防衛省・自衛隊独自のガイドラインとして、「装備品等の研究開発における責任あるAI適用ガイドライン」を策定いたしましたので、お知らせいたします。

本ガイドラインは、令和6年7月に策定・公表した「防衛省AI活用推進基本方針」を受け、防衛省の装備品等の研究開発における責任あるAI適用のコンセプトを示すものとして、策定したものです。


 

装備品等の研究開発における責任あるAI適用ガイドライン


・[PDF] 装備品等の研究開発における責任あるAI適用ガイドライン 概要

20250607-62039

 

・[PDF] 装備品等の研究開発における責任あるAI適用ガイドライン本文(第1版)

 20250607-62212

目次...

1 本ガイドライン策定の背景
(1) 諸外国の軍事領域におけるAIの責任ある利用に関する取組状況
(2) AIの軍事利用に関する国際的な議論及び我が国の見解

2 本ガイドラインの位置付け

3 AI装備品等の研究開発における確認事項
(1) 準拠すべき要件の設定

4 AI装備品等の研究開発における実施事項
(1) AI装備品等の分類
(2) 法的・政策的審査
(3) 技術的審査
(4) その他

5 まとめ

 

 


 

表1 AI政治宣言において参加国が実施すべき措置として定められている事項

A  国家は、自国の軍事組織が、AI能力の責任ある開発、配備、使用のために、これらの原則を採用し、実施することを確保すべきである。 
B  国家は、軍事用AI能力が国際法、特に国際人道法の下でのそれぞれの義務に合致して使用されることを確保するために、法的審査などの適切な措置をとるべきである。国家はまた、国際人道法の履行を促進し、武力紛争における文民及び民用物の保護を改善するために、軍事用AI能力をどのように使用するかを検討すべきである。 
C  国家は、高官が、このような兵器システムを含むがこれに限定されない、重大な影響を及ぼす活用を伴う軍事用AI能力の開発と配備を効果的かつ適切に監督することを確保すべきである。 
D  国家は、軍事用AI能力における意図せざるバイアスを最小化するための積極的な措置をとるべきである。 
E  国家は、軍事用AI能力を組み込んだ兵器システムを含め、軍事用AI能力の開発、配備、使用において、関係者が適切な注意を払うことを確保すべきである。 
F  国家は、軍事用AI能力が、関連する防衛要員にとり透明で、また、かかる要員により監査可能な方法論、データソース、設計手順及び文書作成により開発されることを確保すべきである。 
G  国家は、軍事用AI能力を使用する、又は使用を承認する要員が、それらのシステムの使用について状況に応じた適切な判断を下し、自動化バイアスのリスクを軽減するために、それらのシステムの能力と限界を十分に理解するよう訓練されることを確保すべきである。 
H  国家は、軍事用AI能力が明確かつ十分に定義された用途を有し、それらの意図された機能を果たすようにデザイン及び設計されていることを確保すべきである。 
I  国家は、軍事用AI能力の安全性、セキュリティ、有効性が、その明確に定義された用途の範囲内で、そのライフサイクル全体にわたって、適切かつ厳格なテストと保証の対象となることを確保すべきである。自己学習または継続的に更新される軍事用AI能力については、国家は、モニタリングなどのプロセスを通じて、重要な安全機能が低下していないことを確保すべきである。 
J  国家は、軍事用AI能力における失敗のリスクを軽減するために、意図しない結果を検出し回避する能力、及び、そのようなシステムが意図しない挙動を示した場合に、例えば、配備されたシステムによる交戦を停止させる、又はその作動を停止させることによって対応する能力などの適切な保護措置を実施すべきである。 

 

図1 本ガイドラインの対象範囲

1_20250607062901

 

 

図2 諸外国の軍事領域におけるAI倫理原則

1_20250607063401

 

図3 研究開発事業における実施事項

1_20250607063501

 

図4 装備品等の分類と対応フロー

1_20250607063502

 

法的・政策的審査 表2 要件Aの審査項目(基準)

  確認項目 
A-1 
国際人道法を始めとする国際法及び国内法の遵守が確保できないものでないこと 
   
・ 当該装備品等を使用するにあたって軍事的必要性と人道的配慮のバランスを考慮し、過度の傷害又は無用の苦痛を与えることを防止する措置が含まれた構想になっているか。 
・ 軍事目標と非軍事目標(文民及び民用物)を区別し、軍事目標のみに攻撃を行うことが可能な装備品等の構想になっているか(区別原則)。 
・ 予測される具体的かつ直接的な軍事的利益との比較において、巻き添えによる文民の死亡、文民の傷害、民用物の損傷又はこれらの複合した事態を過度に引き起こすことが予測される攻撃を防止する措置が含まれた構想になっているか(比例性原則)。 
・ 攻撃に先立つ軍事目標の選定から攻撃の実施に至るまで、無差別攻撃を防止し文民と民用物への被害を最小限に抑えるための各種予防措置を実施し得る構想になっているか(予防原則)。 
・ 国際人道法のその他の要請や適用のある他の国際法及び国内法に従って使用することができないような装備品等の構想となっていないか。 
A-2 
人間の関与が及ばない完全自律型致死兵器でないこと 
・ 適切なレベルの人間の判断が介在し、人間による責任ある指揮命令系統の中での運用が確保できる構想となっているか。 
・ 人間の関与が及ばない完全自律型の致死性を有する兵器システムの開発ではないか。 

 

図5 法的・政策的審査体制イメージ

1_20250607063901

技術的審査 表3 要件Bの審査項目(基準)

  確認項目 
B-1 
人間の責任の明確化 
 
・ AIシステムの利用に際して適切なタイミングと程度において、運用者の関与や運用者による適切な制御が可能となるように設計されているか。 
・ AIシステムと運用者それぞれの役割が明確に定義されているか。 
・ 運用者が負うべき責任が明確に定義されているか。 
B-2 
運用者の適切な理解の醸成 
 
・ AIシステムの挙動、パフォーマンス範囲、操作等に運用者が習熟して当システムを適切に使用できるように設計されているか。 
・ AIシステムへの過度の依存を防ぐための対策が設計されているか。 
・ AIシステムのモニタリング時に、運用者が不具合を認めたときにそれを改善することを可能とする仕組みが設計されているか。 
B-3 
公平性の確保 
・ データセットの公平性要件が明確化されているか。 
・ AIモデルに関連するバイアスが許容レベルを超えないか確認するとともに、不具合が認められた場合の改善の仕組みが設計されているか。 
B-4 
検証可能性、透明性の確保 
・ AIシステムの構築に係る過程、使用した手法・データ・アルゴリズム等が明確化され、その妥当性を後に検証可能な仕組みが整備されているか。 
・ 研究開発体制(事業者含む。)において、説明責任を果たす責任者を明確化しているか。 
B-5 
信頼性、有効性の確保 
   
・ AIシステムの信頼性を確保するために、多様な指標を用いた試験評価を実施しているか。 
・ 開発初期から研究開発終了までの全ての期間において、運用を想定したデータセットを使用することが検討されているか。 
・ 運用を想定して、AIに連接する装備品等の信頼性を損なうことなく、AIを適用できることを設計において担保されているか。 
・ AIシステムが容易に維持管理できる設計となっているか。 
・ AIシステムに対してセキュリティ管理策の実施が検討されているか。 
B-6 
安全性の確保 
・ AIシステムの誤作動や深刻な失敗・事故の発生を低減する安全機構が設計されているか。 
B-7 
国際法及び国内法の遵守が確保できないものでないこと 
・ 装備品等の運用に際して適用される国際法や国内法令、各種内部規則等から逸脱しないよう対策が検討されているか。 

 

図6 技術的審査体制イメージ

20250607-64325

 

図7 高リスクAI装備品等の標準的なリスク管理イメージ

1_20250607064401

 

図8 低リスクAI装備品等の標準的なリスク管理イメージ

1_20250607064501

 

表  要件Bのチェック項目に活用し得るRAI Toolkitの例

# RAI Toolkit 該当するチェック項目
ツール名称 ツール説明
Trust in Autonomous Systems Test
(TOAST)
システムに対する信頼度の評価 人間がシステムをどの程度信頼しているかを測定するための9つの質問からなるテスト。(例:私はシステムが何をすべきか理解している。
私はシステムの限界を理解している。等) [web]

B-2
運用者の適切な理解の醸成
Human-Machine
Teaming Systems Engineering Guide
システムの設計支援 システム開発者が人間のオペレーターと協力して機能するAIを設計するのを支援するガイド。
[web]
FairML AIモデルの公平性の診断・改善 AIモデルの予測結果に対して、性別や人種などの属性との関係を分析し、公平性を診断し、要因の特定、改善方法の提供を行うためのツールキット。AIモデルの予測結果の公平性を改善するために用いられる。
[web]

B-3
公平性の確保
Tensor Flow Fairness Indicators AIモデルの公平性の評価・改善 AIモデルの公平性に関する懸念を評価、改善、比較するためのツールキット。「公平性」とは、AIモデルが特定の属性(人種、性別、年齢など)に基づいて不当な差別をしないことを意味する。
[web]
What-If Tool AIモデル性能と公平性の評価 What-Ifツール(WIT)は、機械学習(ML)モデル、特に分類や回帰タスクにおいてブラックボックスシステムとして機能するモデルの理解と分析を支援する可視化ツール。
[web]
Explainer Dashboard AIモデルの解釈性向上 AIモデルの解釈性を高めるためのツールを提供するライブラリ。モデルの予測結果を視覚的に分析したり、特徴量の重要度を確認したりすることが可能。
[web] [web]

B-4
検証可能性、透明性の確保
InterpretML AIモデルの解釈性向上 機械学習の解釈可能性のための最新技術を一元的に包含するオープンソースのツール。このツールは、解釈可能なモデルを作成し、ブラックボックスシステムを説明する機能を提供する。モデルの全体的な振る舞いを理解したり、個々の予測の背後にある理由を理解したりすることが可能。
[web] [web]
Hugging Face
Data Card Template
データセットの透明性確保 データセットカードの作成手順を示すもの。データセットの内容、データセットを利用する背景、データセットの作成方法、その他利用者が注意すべき点を理解するのに役立つ。責任ある利用を促し、データセットに潜在する偏りを利用者に知らせることができる。
[web]
Hugging Face
Model Card Template
AIモデルの透明性確保 AIモデルを理解し、共有し、改善するためのフレームワーク。各モデルについて、その技術と設計方法を記述し、透明性・監査可能性を実現するのに役立つ。また、技術の適切な理解を示すために、設計手順が透明で監査可能であることを測定し示すのにも役立つ。
[web]
10 Threat Modeling Resource 脅威や脆弱性の特定・評価および対策の計画 AIの脅威モデリングのためのフレームワーク。AI機能のセキュリティを実現するために、脅威モデリングによってセキュリティレビューを実施し、それに基づいて推奨されるリスク軽減策を取り入れる。
[web]

B-5
信頼性、有効性の確保
11 EQUI(NE2) ニューラルネットワークの不確実性を定量化 モデルの予測における不確実性を可視化するツール。各予測の「信頼スコア(confidence score)」と「外れ値スコア(outlier score)」を提示し、モデルが通常のデータ範囲を超えた状況においてどの程度リスクが高まるかを評価することができる。モデルの精度を評価することだけでなく、データの偏りに対するモデルの頑健性を評価し、AIの適用可能な範囲を明確化することができる。
[web]
12 IBM Adversarial Robustness 360Attacks AIのセキュリティ強化 敵対的な攻撃を生成し、AIの信頼性(AIのセキュリティ)を高めるための堅牢性を訓練したり、攻撃成功率を計算してAIの信頼性(AIのセキュリティ)を測定し、示したりすることができるAIのセキュリティを守るためのPythonライブラリ。ユーザーが機械学習モデルやアプリケーションを、回避、汚染、抽出、推論といった敵対的な脅威から守り、評価するためのツールを提供する。TensorFlow、Keras、 PyTorch、scikit-learn、XGBoostなどのAIフレームワークをサポートしており、画像、表、音声、ビデオなどあらゆるデータタイプや、分類、物体検出、音声認識、生成、認証などのAIタスクに対応。
[web] [web]
13 Drift Tools AI機能の信頼性とガバナンスの支援 Drift Tools のアルゴリズムを AI機能に組み込んで、AI機能のパフォーマンスが保証されていない分布外の入力を検出し、AIの信頼性(有効性)と意図しない結果を検出する能力の実現を支援するPythonライブラリ。
外れ値、敵対的攻撃の検出(Adversarial detection:機械学習モデルに対する攻撃を検出し、防御するプロセス)、及びドリフト検出(Drift detection:機械学習モデルの学習データの統計的分布と、実際に遭遇するデータの分布との間に生じる変化を検出するプロセス)に特化している。
[web] [web]
B-2
運用者の適切
な理解の醸成
B-5
信頼性、有効性の確保
14 Python Outlier Detection (PyOD) 多変量データにおける異常値の検出 PyOD(Python Outlier Detection)は、多変量データにおける異常値を検出するための包括的かつスケーラブルなPythonライブラリ。このライブラリは、小規模プロジェクトから大規模データセットまで、さまざまなニーズに対応するための幅広いアルゴリズムを提供する。
[web] [web]
B-6
安全性の確保

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.04.21 欧州議会 防衛とAI

・2025.04.07 米国 上院軍事委員会 AIのサイバー能力の活用に関する証言 (2025.03.25)

・2025.01.18 米国 商務省産業安全保障局 人工知能普及のための枠組み(特定のAIの輸出規制...)

・2024.09.22 中国 AI安全ガバナンスフレームワーク(V1.0) (2024.09.09)

・2024.08.09 米国 国防大学出版局 統合軍クオータリー 「認知戦」

・2023.09.20 米国 GAO 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする

・2023.09.10 カーネギーメロン大学ソフトウェア工学研究所 新たなテクノロジー:国防総省におけるソフトウェアの未来を変える7つのテーマ (2023.08.24)

・2023.08.16 Atlantic Council:現代の軍隊はどのようにAIを活用しているか

・2023.08.13 米国 国防総省 CDAOが国防総省の新しい生成的AIタスクフォース(タスクフォース・リマ)の指揮を執る

・2023.06.15 米国 GAO 科学技術スポットライト:生成的AI

・2020.08.10 AIと将来の軍事力についての中国の視点

・2020.06.07 米国国防省 人工知能が戦争をかえると予測

 

 

| | Comments (0)

2025.06.05

米国 FBI 政府高官になりすましたメールや電話に対する警告 (2025.05.15)

こんにちは、丸山満彦です。

FBIとインターネット犯罪苦情センター(IC3)(www.ic3.gov)が、米国 FBI 政府高官になりすましたメールや電話に対する警告を公表しています。

日本政府等においても、職員をかたる電話やメールによる詐欺行為が問題となっていますので、世界的に同じようなことが起こっているのだろうと思います。成功率が高いのですかね...

日本でも、内閣府、総務省、財務省、金融庁、厚生労働省等の職員を語った電話やメール、ショートメッセージがあることから警告をだしています。ただ、対処方法等についても併せて発表していおくのがよいのだろうと思います。その点、FBIの警告を見習うことは重要なことかもしれませんね。。。

 

Internet Crime Complaint Center; IC3

・2025.05.15 Senior US Officials Impersonated in Malicious Messaging Campaign

Alert Number: I-051525-PSA

20250605-54719

 

Senior US Officials Impersonated in Malicious Messaging Campaign 悪質メッセージキャンペーンで米国高官がなりすまされる
FBI is issuing this announcement to warn and provide mitigation tips to the public about an ongoing malicious text and voice messaging campaign. Since April 2025, malicious actors have impersonated senior US officials to target individuals, many of whom are current or former senior US federal or state government officials and their contacts. If you receive a message claiming to be from a senior US official, do not assume it is authentic. FBI は、現在進行中の悪質なテキストメッセージおよび音声メッセージのキャンペーンについて警告し、緩和のヒントを提供するため、この発表を行う。2025年4月以降、悪意ある行為者が米国の高官になりすまして個人を標的としており、その多くは米国の連邦政府または州政府の現職または元高官とその関係者である。米国の高官を名乗るメッセージを受け取った場合、それが認証されたものだと思わないこと。
Specific Campaign Details 具体的なキャンペーンの詳細
The malicious actors have sent text messages and AI-generated voice messages — techniques known as smishing and vishing, respectively — that claim to come from a senior US official in an effort to establish rapport before gaining access to personal accounts. One way the actors gain such access is by sending targeted individuals a malicious link under the guise of transitioning to a separate messaging platform. Access to personal or official accounts operated by US officials could be used to target other government officials, or their associates and contacts, by using trusted contact information they obtain. Contact information acquired through social engineering schemes could also be used to impersonate contacts to elicit information or funds. 悪意のある行為者は、個人アカウントにアクセスする前に信頼関係を築こうと、米国の高官を名乗るテキストメッセージやAI生成の音声メッセージ(それぞれsmishingやvishingと呼ばれる手法)を送信している。このようなアクセスを得る方法の1つは、別のメッセージング・プラットフォームへの移行を装って、標的となる個人に悪意のあるリンクを送ることだ。米国政府関係者が運営する個人アカウントまたは公式アカウントへのガバナンスは、入手した信頼できる連絡先情報を使用して、他の政府関係者、またはその関係者や連絡先を標的にするために使用される可能性がある。また、ソーシャル・エンジニアリング・スキームを通じて入手した連絡先情報は、情報や資金を引き出すために連絡先になりすますために使用される可能性もある。
"Smishing" is the malicious targeting of individuals using Short Message Service (SMS) or Multimedia Message Service (MMS) text messaging. "Vishing", which may incorporate AI-generated voices, is the malicious targeting of individuals using voice memos. Both smishing and vishing use tactics similar to spear phishing, which uses email to target specific individuals or groups. 「スミッシング」とは、ショート・メッセージ・サービス(SMS)またはマルチメディア・メッセージ・サービス(MMS)のテキスト・メッセージングを利用して個人を狙う悪意のある手口である。「ビッシング」は、AI生成的な音声を取り入れる可能性があり、ボイスメモを使って個人を狙う悪質なものである。スミッシングもビッシングも、特定の個人またはグループをターゲットに電子メールを使用するスピアフィッシングに似た手口を使用する。
Smishing, Vishing, and Spear Phishing Are Common Criminal Tactics 一般的な犯罪手口はスミッシング、ビッシング、スピアフィッシング
である
Traditionally, malicious actors have leveraged smishing, vishing, and spear phishing to transition to a secondary messaging platform where the actor may present malware or introduce hyperlinks that direct intended targets to an actor-controlled site that steals log-in information, like user names and passwords. For smishing, malicious actors typically use software to generate phone numbers that are not attributed to a specific mobile phone or subscriber to engage with a target by masquerading as an associate or family member. For vishing, malicious actors are more frequently exploiting AI-generated audio to impersonate well-known, public figures or personal relations to increase the believability of their schemes. 伝統的に、悪意のある行為者はスミッシング、ビッシング、スピアフィッシングを利用して、二次的なメッセージングプラットフォームに移行し、そこで行為者はマルウェアを提示したり、ハイパーリンクを導入して意図したターゲットを行為者が管理するサイトに誘導し、ユーザー名やパスワードなどのログイン情報を盗むことがある。スミッシングの場合、悪意のある行為者は通常、特定の携帯電話や加入者に起因しない電話番号を生成するソフトウェアを使用し、同僚や家族になりすましてターゲットに関与する。ビッシングの場合、悪意のある行為者はAI生成的な音声を悪用して、有名人や公的な人物、または個人的な関係者になりすまし、詐欺の信憑性を高めることが多くなっている。
Recommendations 推奨事項
The following guidance can be used to identify a suspicious message and help protect yourself from this campaign. 以下の防御策は、不審なメッセージを識別し、このキャンペーンから身を守るのに役立つ。
Spotting a Fake Message 偽メッセージを見分ける
・Verify the identity of the person calling you or sending text or voice messages. Before responding, research the originating number, organization, and/or person purporting to contact you. Then independently identify a phone number for the person and call to verify their authenticity. ・電話をかけてきたり、テキストや音声メッセージを送ってきたりする人物の身元を確認する。対応する前に、発信元の電話番号、組織、連絡先を調べる。そして、その人物の電話番号を独自に特定し、電話をかけて認証する。
・Carefully examine the email address; messaging contact information, including phone numbers; URLs; and spelling used in any correspondence or communications. Scammers often use slight differences to deceive you and gain your trust. For instance, actors can incorporate publicly available photographs in text messages, use minor alterations in names and contact information, or use AI-generated voices to masquerade as a known contact. ・Eメールアドレス、電話番号を含むメッセージの連絡先、URL、通信やコミュニケーションで使用されているスペルなどを注意深く調べる。詐欺師はしばしば、わずかな違いを利用してあなたを欺き、信頼を得ようとする。例えば、詐欺師は公開されている写真をテキストメッセージに取り入れたり、名前や連絡先情報を少し変えたり、AI生成的な音声を使って既知の連絡先になりすましたりする。
・Look for subtle imperfections in images and videos, such as distorted hands or feet, unrealistic facial features, indistinct or irregular faces, unrealistic accessories such as glasses or jewelry, inaccurate shadows, watermarks, voice call lag time, voice matching, and unnatural movements. ・手や足がゆがんでいる、顔の形が不自然、顔がはっきりしない、不規則、眼鏡や宝石などのアクセサリーが不自然、影が正確でない、電子透かしがある、音声通話のタイムラグがある、音声が一致しない、動きが不自然など、画像や動画の微妙な欠陥に注意する。
・Listen closely to the tone and word choice to distinguish between a legitimate phone call or voice message from a known contact and AI-generated voice cloning, as they can sound nearly identical. ・既知の連絡先からの正当な電話やボイス・メッセージと、AIが生成的 に作成したボイス・メッセージは、ほぼ同じに聞こえることがあるため、口調や言葉の選 択をよく聞いて区別すること。
・AI-generated content has advanced to the point that it is often difficult to identify. When in doubt about the authenticity of someone wishing to communicate with you, contact your relevant security officials or the FBI for help. ・AIが生成したコンテンツは、識別が困難なほど進化している。真偽が疑わしい場合は、セキュリティ当局やFBIに相談すること。
How to Protect Yourself from Potential Fraud or Loss of Sensitive Information 詐欺の可能性や機密情報の紛失から身を守るには
・Never share sensitive information or an associate’s contact information with people you have met only online or over the phone. If contacted by someone you know well via a new platform or phone number, verify the new contact information through a previously confirmed platform or trusted source. ・オンラインや電話でしか面識のない人に、機密情報や取引先の連絡先を教えない。新しいプラットフォームや電話番号を通じて、よく知っている人から連絡があった場合は、以前に確認したプラットフォームや信頼できる情報源を通じて、新しい連絡先情報を確認すること。
・Do not send money, gift cards, cryptocurrency, or other assets to people you do not know or have met only online or over the phone. If someone you know (or an associate of someone you know) requests that you send money or cryptocurrency, independently confirm contact information prior to taking action. Also, critically evaluate the context and plausibility of the request. ・金銭、ギフトカード、暗号通貨、その他の資産を、面識のない相手やオンラインや電話のみで知り合った相手に送らないこと。知人(または知人の関係者)から送金や暗号通貨を要求された場合、行動を起こす前に連絡先を独自に確認すること。また、依頼の背景や信憑性を批判的に評価すること。
・Do not click on any links in an email or text message until you independently confirm the sender's identity. ・メールやテキストメッセージのリンクは、送信者の身元を確認するまでクリックしないこと。
・Be careful what you download. Never open an email attachment, click on links in messages, or download applications at the request of or from someone you have not verified. ・ダウンロードには注意する。本人確認をしていない相手からの依頼で、メールの添付ファイルを開いたり、メッセージ内のリンクをクリックしたり、アプリケーションをダウンロードしたりしない。
・Set up two-factor (or multi-factor) authentication on any account that allows it, and never disable it. Actors may use social engineering techniques to convince you to disclose a two-factor authentication code, which allows the actor to compromise and take over accounts. Never provide a two-factor code to anyone over email, SMS/MMS text message or encrypted messaging application. ・二要素(または多要素)認証を許可しているアカウントでは、二要素(または多要素)認証を設定し、決して無効にしないこと。ソーシャル・エンジニアリングのテクニックを使って2ファクタ認証コードを開示させ、アカウントを乗っ取る。電子メール、SMS/MMSテキストメッセージ、または暗号化されたメッセージングアプリケーションを介して、2ファクタコードを誰にも提供しないこと。
・Create a secret word or phrase with your family members to verify their identities ・家族間で秘密の単語やフレーズを作り、本人確認を行う。
Victim Reporting and Additional Information 被害者の報告と追加情報
・For additional information, see FBI's guidance on Spoofing and Phishing as well as a previous Public Service Announcement about how "Criminals Use Generative Artificial Intelligence to Facilitate Financial Fraud." Cybersecurity and Infrastructure Security Agency (CISA) has published the following resources "Phishing Guidance: Stopping the Attack Cycle at Phase One | CISA" and "Teach Employees to Avoid Phishing | CISA." ・その他の情報については、なりすましとフィッシングに関するFBIのガイダンス、および「犯罪者が生成的人工知能を使用して金融詐欺を助長する」方法に関する以前の公共サービス広告を参照のこと。サイバーセキュリティ・インフラ・セキュリティ庁(CISA)は以下の資料を公表している: 攻撃サイクルを第一段階で止める|CISA「 および 」従業員にフィッシング回避を教える|CISA" を公表している。
If you believe you have been the victim of the campaign described above, contact your relevant security officials and the FBI. The FBI requests victims report any incident to your local FBI Field Office or the Internet Crime Complaint Center (IC3) at www.ic3.gov. Be sure to include as much detailed information as possible. 上記のキャンペーンの被害に遭ったと思われる場合は、関係するセキュリティ担当者及びFBIに連絡すること。FBIは、被害者がインシデントを受けた場合、最寄りのFBI支局またはインターネット犯罪苦情センター(IC3)(www.ic3.gov)に報告するよう要請している。可能な限り詳細な情報を記載すること。

 

 

 


 

参考...

 

内閣府

内閣府を騙った電子メールやサイトにご注意ください

金融庁

当庁を騙った電子メールや動画にご注意ください

デジタル庁

デジタル庁職員を名乗る不審電話にご注意ください

● 総務省

総務省職員を名乗る不審電話にご注意ください

外務省

外務省職員を発信元と詐称する不審メールにご注意ください

● 出入国在留管理庁

入管を名乗る不審な電話、メール等にご注意ください

財務省

財務省の名をかたる詐欺などにご注意!

● 国税庁

不審なメールや電話にご注意ください

厚生労働省

厚生労働省職員や機関を装った不審な電話・メールにご注意ください。

警察庁

警察官等をかたる詐欺

 

 

フィッシング対策については、警察庁

警察庁

フィッシング対策



 

| | Comments (0)

2025.06.03

公正取引委員会 ダークパターンを巡る競争政策及び独占禁止法上の論点 (2025.05.29)

こんにちは、丸山満彦です。

公正取引委員会の競争政策研究センターから、「ダークパターンを巡る競争政策及び独占禁止法上の論点」というペーパーが公表されています。

このペーパーは、


ウェブサイトやアプリの表示等により消費者等を意図しない選択に誘導する「ダークパターン」の具体的な方法及び国内外における規制等の状況を概観しつつ、ダークパターンに関する競争政策上の懸念点(セオリーオブハーム)や、ダークパターンとされる各種行為に対し、現行の独占禁止法で禁止されている各行為類型の適用が可能な範囲について整理を行う。


というもののようですね。。。

UI, UXもこういうのを考慮した上でという話ですよね...

 

ダークパターンの類型

[図表1-2]国際機関及び海外当局のレポート等におけるダークパターンの類型化

OECD
●7類型

1.
行為の強制(Forced Action
2.
インターフェース干渉(Interface Interference
3.
執ような繰り返 し(Nagging
4.
妨害(Obstruction
5.
こっそり(Sneaking
6.
社会的証明(Social Proof
7.
緊急性(Urgency

米国FTC
●8類型

1.
推薦 (別名「社会的証明」)Endorsements (aka “Social Proof”)
2.
希少性(Scarcity
3.
緊急性(Urgency
4.
妨害(Obstruction
5.
忍び寄り・情報隠 蔽(Sneaking or Information Hiding
6.
インターフェース干渉(Interface Interference
7.
強制された行為 (Coerced Action
8.
非対照的選択(Asymmetric Choice

欧州委員会(EC)
●「行動科学的分類」 として6類型

1-a
特性を複雑化し 予算制約に影響を及ぼす行為
1-b
特性を複雑化し 選好を形成する行為
2-a
コストを複雑化 し予算制約に影響を及ぼす行為
2-b
コストを複雑化 し選好を形成する行為
3-a
選択を複雑化し予算制約に影響を及ぼす行為
3-b
選択を複雑化し 選好を形成する行為

EDPB
●6類型

1.
過剰負荷(Overloading
2.
省略(Skipping
3.
煽り(Stirring
4.
妨害(Obstructing
5.
気まぐれ(Fickle
6.
暗闇に残される (Left in the dark

英国ICO・CMA
※類型化せず、潜在的に有害なオンライン選択アーキテ クチャとして次の5例を挙げる。

1.
有害なナッジとスラッジ(Harmful nudges and sludge
2.
羞恥心の植付け (Confirm shaming
3.
偏った枠組み(Biased framing
4.
一括同意(Bundled consent
5.
デフォルトの設定(Default settings

 

・[PDF]

20250603-55251

 

目次...

はじめに

第1 ダークパターンについて
1 ダークパターンとは
(1)
ダークパターンの定義
(2)
ユーザーを欺くなどの不公正な方法を使って」について
(3)
ユーザーが意図しない不利益な選択をさせる」について
(4)
オンライン上のインターフェース」について
(5)
小括
2 ダークパターンの類型・手法
(1)
ダークパターンの類型
(2)
ダークパターンの具体的な手法
3 ダークパターン出現について
(1)
小売業において用いられている欺瞞的な慣行
(2)
ナッジの概念の普及
(3)
グロースハックの普及
(4)
その他
4 ダークパターンの使用状況等
(1)
海外の機関等による調査
(2)
日本における調査
5 ダークパターンの効果
(1) EC
2022
(2)
シカゴ大学のStrahilevitzほか(2021
(3) OECD
2024

第2 国内におけるダークパターンを巡る動向
1 主な関係法令

2 消費者保護に関する規制
(1)
特定商取引法
(2)
景品表示法
(3)
消費者安全法
3 個人情報保護に関する規制
(1)
個人情報の適正な取得及び利用並びに個人情報の利用目的の特定
(2)
本人の同意
4 事業分野別の規制
(1)
電気通信事業法26条(提供条件の説明)
(2)
電気通信事業法施行規則22条の2の3(提供条件の説明)
(3)
電気通信事業法の消費者保護ルールに関するガイドライン
(4)
消費者保護ルールの在り方に関する検討会報告書2024
(5)
スマートフォン プライバシー イニシアティブ
5 民間における取組
(1)
ダークパターン対策協会
(2)
個社による取組例
6 小括

第3 米国、欧州及び韓国におけるダークパターン規制を巡る主な動向について
1 米国

(1)
関係法令等
(2)
最近の関連事件
2 欧州
(1)
一般データ保護規則等
(2)
デジタルサービス法
(3)
不公正取引行為指令
3 韓国
(1)
ダークパターン規制に係るこれまでの動き
(2)
電子商取引法の改正
4 米国、欧州及び韓国における規制アプローチの比較

第4 ダークパターンを巡る競争政策及び独占禁止法上の論点
1 ダークパターンと競争政策

(1)
代表的なダークパターンの手法
(2)
ダークパターンに関する競争政策上の懸念
(3)
ダークパターンに関する競争政策上の論点
2 ダークパターンに適用し得ると考えられる、独占禁止法で禁止されている行為類型
(1)
独占禁止法で禁止されている行為類型
(2)
行為の強制
(3)
インターフェース干渉
(4)
執ような繰り返し
(5)
妨害
(6)
こっそり
(7)
社会的証明
(8)
緊急性
(9)
まとめ

おわりに

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.19 英国 情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行

・2021.03.11 欧州消費者団体 「EU消費者保護2.0-デジタル消費者市場における構造的非対称性」を公表していますね。。。

 

 

| | Comments (0)

2025.06.02

内閣府 規制改革推進に関する答申 (2025.05.28)

こんにちは、丸山満彦です。

内閣府の規制改革推進会議が令和2年から毎年公表している「規制改革推進に関する答申」が公表されています...

諸般の事情で理解しておく必要があるわけですが、やはり将来の日本のあるべき像というのが、ぼんやりしているように思います。

そのぼんやりした将来像に対して、規制改革という話をしても、規制に関わっている人たちの不満解決のための議論のように見えてしまうように感じます。

計画経済の国ではないのですが、やはり日本国としてのあるべき将来というものを世界の中で見据えて、はっきりと示し、国民のある程度の同意をとってから進めないと、それぞれの個別分野で規制改革といってもなんかぼんやりするような気もしますね...

日本が抱えている課題というのはだいたいの合意がとれているように感じますので、その課題を踏まえた、これから10年後、20年後、30年後の希望する日本の姿について国民のおおまかな合意が必要なのではないかと感じています...

 

 

内閣府 - 規制改革推進に関する答申等

・2025.05.28 [PDF] 概要資料

20250602-92228

 

・2025.05.28 [PDF] 規制改革推進に関する答申

20250602-92337

目次...

Ⅰ 総論
1.はじめに
2.基本的な考え方
3.審議経過等

(1) 審議経過
(2) 規制改革実施計画のフォローアップ
(3) 規制改革・行政改革ホットラインにおける提案受付
4.本答申の実現に向けて
5.次のステップへ

Ⅱ 各個別分野における規制改革
Ⅰ.地方創生
1-1 地域活性化・人手不足対応(土地・農業関係)
ア 膨大な所有者不明土地等の有効活用(農地集約、工場建設等)
イ ロボット農機の公道走行制度化(圃場間移動等を通じた地域での活用)

1-2 地域活性化・人手不足対応(交通関係)
ウ 全国の移動の足不足の解消に向けたライドシェア(自家用車活用事業等)の推進
エ 自家用有償旅客運送制度の改善
オ 乗合タクシー等の参入円滑化
カ ICTを活用した運行管理業務の集約・高度化等による運行管理者不足等を踏まえた効率的な安全管理の実現
キ レベル4の自動運転タクシー等の実装加速

2 健康・医療・介護
ク 地域におけるオンライン診療の更なる普及及び円滑化
ケ 地域の病院機能の維持に資する医師の宿直体制の見直し
コ 在宅医療における円滑な薬物治療の提供
サ 救急救命処置の範囲の拡大
シ 利用者起点に立った一般用医薬品の適正な販売区分及び販売方法
ス 濫用等のおそれのある一般用医薬品の販売規制等の適正化
セ 要指導医薬品の販売区分、販売方法及び服薬指導方法の見直し
ソ 一般用検査薬への転用の促進
タ 認可保育所における付加的サービスの円滑化

3 デジタル・AI
チ 公金収納を行うコンビニエンスストア等における紙の領収控の保管廃止

Ⅱ.賃金向上、人手不足対応
1 健康・医療・介護
ア 地域の実情に応じた介護サービス提供体制等の見直し
イ 障害福祉分野における申請・届出等に関する手続負担の軽減

2 働き方・人への投資
ウ スタートアップの柔軟な働き方の推進
エ 副業・兼業の更なる円滑化に向けた環境整備
オ 時間単位の年次有給休暇制度の見直し
カ 職業紹介責任者の専任規制の見直し
キ 有料職業紹介事業における取扱職種等事項の明示に関する事務負担軽減
ク 職業紹介事業及び労働者派遣事業の事業報告に係る事務負担の軽減等
ケ 行政手続事務負担軽減及び生産性向上に資する外国人雇用状況の一括届出
コ 1号特定技能外国人とのオンラインによる面談の活用
サ 在留資格「特定技能」における在籍型出向の実現
シ 高卒就職者に対する求人情報の直接提供・公開時期の前倒し等
ス 外国語指導に従事する外国人材の更なる活躍促進
セ 実践的なデジタル人材育成を実現するための教育課程等に係る特例制度の審査基準の明確化

3
スタートアップ・イノベーション促進
ソ 組織再編等における公告事項への法人番号の追加
タ 水道スマートメーターの導入促進

4
デジタル・AI
チ デジタル・AI技術を活用した建設機械の安全義務及び技能要件の在り方について
ツ 不動産売買仲介におけるデジタル・AI活用促進
テ 建設工事請負契約における契約手続の簡素化及びデジタル化
ト 建設業における営業所技術者等の兼務について
ナ 地球温暖化対策報告の項目等に係る統一
ニ 自動車保有関係手続のDX
ヌ 超高齢社会に対応した親族間での信託の活用、法定後見制度等の円滑化
(ア)超高齢社会に対応した親族間での信託の活用による柔軟な財産管理の推進
(イ)法定後見制度の課題と見直し
ネ 戸籍電子証明書提供用識別符号の利用促進

Ⅲ.投資大国
1 健康・医療・介護

ア 公的データベース等における医療等データの利活用法制等の整備
イ 医療等データの包括的かつ横断的な利活用法制等の整備
ウ 治験に係る広告規制の見直し

2 スタートアップ・イノベーション促進
エ スタートアップの成長促進に向けたのれんの会計処理の在り方の検討
オ スタートアップへの資金供給手段の拡大
カ スタートアップを生み育てるエコシステムの健全な発展に向けたハラスメント防止及び救済のための環境整備
キ 株式対価M&Aの活性化に向けた会社法の見直し
ク 非上場株式の発行・流通の活性化
ケ バーチャルオンリー株主総会の活用に向けた環境整備
コ バーチャルオンリー社債権者集会の実現
サ 持続的な成長及び中長期的な企業価値向上に向けた株式会社と株主との建設的かつ実効的な対話の促進
シ 従業員等に対する株式報酬の無償交付を可能とする会社法の見直し
ス 賃金のデジタル払いの社会実装促進によるキャッシュレス決済の拡大
セ 無人航空機(ドローン)の更なる活用・普及に向けた環境整備
ソ 特定小型原動機付自転車(電動キックボード等)の安全性確保

3 GX・サステナビリティ
タ 水素社会の実現に向けた規制改革
(ア)大容量の水素ガス運搬トレーラの国内導入
(イ)可搬式水素ガス容器への圧縮水素の充填に係るルール整備
(ウ)造船所岸壁等に設置される船舶用水素スタンドに関する技術基準の策定
(エ)艀(はしけ)における船舶用水素スタンドに関する技術基準の策定
(オ)船舶の燃料用水素ガス容器に関する技術基準の策定
(カ)船舶の燃料用水素ガス容器の検査
(キ)水素を燃料とする可搬式発電機等に係る保安体制等の合理化
チ FIT・FIP制度によらない太陽光発電設備の導入量の正確な捕捉
ツ FIT制度からFIP制度に移行した太陽光発電設備の事後的な蓄電池併設時の価格算定ルールの見直し
テ 新築戸建住宅への太陽光発電設備設置の普及促進
ト 駐車場等の上部空間を活用した太陽光発電設備の建築基準法上の取扱いの明確化
ナ 洋上風力発電における物価高騰等に対する価格調整スキームの導入
ニ ニ 地熱開発に伴う試掘調査に当たっての保安林関連手続の明確化・簡素化等
ヌ 公共部門の再生可能エネルギー導入目標達成に向けた進捗点検
ネ 金属ケーブル窃盗の防止に係る立法措置
ノ 排出量取引制度の実効性向上のための法制度整備
ハ 市場の価格メカニズムの更なる活用による需給調整の高度化
ヒ バーチャルPPAの会計上の取扱いの明確化
フ 電力先物取引による電力ヘッジの会計処理
ヘ 再生可能エネルギーの立地地域等を踏まえた電力需要家の立地誘導
ホ 送配電用施設の設置等に係る農地転用の取扱いの明確化
マ 建築物の省エネルギー化に資する自然排煙口の不燃化要件の合理化
ミ 循環経済への移行に向けた食品残さ等のリサイクル促進
ム バイオ化学品製造に係る糖価調整制度

4 デジタル・AI
メ 政府が調達するクラウドサービスにおけるスタートアップ等の参入促進(セキュリティ評価制度(ISMAP)等の見直し)
モ AIの開発・提供・利用の促進に伴う法的リスク及び関係者の責任の在り方等について
ヤ 地方公共団体の調達関連手続のデジタル化

Ⅳ.防災・減災
1 地域活性化・人手不足対応

ア 未登記建物の解消(がれき撤去等の迅速化)
イ 迅速な復旧に向けた損壊家屋等の公費解体・撤去の促進
ウ 膨大な所有者不明土地等の有効活用(農地集約、工場建設等)(再掲)

2 健康・医療・介護
エ 地域におけるオンライン診療の更なる普及及び円滑化(再掲)
オ 救急救命処置の範囲の拡大(再掲)

3 スタートアップ・イノベーション促進
カ 災害時等におけるキッチンカーによる迅速なサービスの提供
キ 無人航空機(ドローン)の更なる活用・普及に向けた環境整備(再掲)
ク 水道スマートメーターの導入促進(再掲)

(参考資料1)規制改革推進会議 委員名簿(令和7年4月1日時点)
(参考資料2)規制改革推進会議 専門委員名簿(令和7年5月12日時点)
(参考資料3)ワーキング・グループ(WG)の構成員(令和7年1月31日時点)
(参考資料4)規制改革推進会議及びワーキング・グループの審議経過



 

 

| | Comments (0)

米国、ドイツ、フランス、英国他西側国 ロシアGRUが西側の物流事業体やテクノロジー企業を狙っていると警告 (2025.05.21)

こんにちは、丸山満彦です。

米国、ドイツ、フランス、英国他西側国が、ロシアGRU(ロシア連邦軍参謀本部情報総局 [wikipedia])が西側の物流事業体やテクノロジー企業を狙っていると警告を出していますね...

共同で警告をだしている国で言えば、

  • 米国
  • 英国
  • ドイツ
  • チェコ
  • ポーランド
  • オーストラリア
  • カナダ
  • デンマーク
  • エストニア
  • フランス
  • オランダ

です。日本、韓国等のアジア諸国ははいっていませんね...

 

● CISA

・2025.05.21 Russian GRU Targeting Western Logistics Entities and Technology Companies

Alert Code AA25-141

Russian GRU Targeting Western Logistics Entities and Technology Companies ロシアGRU、西側の物流事業体やテクノロジー企業を狙う
Executive Summary エグゼクティブサマリー
This joint cybersecurity advisory (CSA) highlights a Russian state-sponsored cyber campaign targeting Western logistics entities and technology companies. This includes those involved in the coordination, transport, and delivery of foreign assistance to Ukraine. Since 2022, Western logistics entities and IT companies have faced an elevated risk of targeting by the Russian General Staff Main Intelligence Directorate (GRU) 85th Main Special Service Center (85th GTsSS), military unit 26165—tracked in the cybersecurity community under several names (see “Cybersecurity Industry Tracking”). The actors’ cyber espionage-oriented campaign, targeting technology companies and logistics entities, uses a mix of previously disclosed tactics, techniques, and procedures (TTPs). The authoring agencies expect similar targeting and TTP use to continue. 本共同サイバーセキュリティ勧告(CSA)は、西側のロジスティクス事業体およびテクノロジー企業を標的としたロシア国家主催のサイバーキャンペーンに焦点を当てている。これには、ウクライナへの対外援助の調整、輸送、配送に関わるものも含まれる。2022年以降、西側の物流事業体やIT企業は、ロシア参謀本部情報総局(GRU)第85本部特殊サービスセンター(85th GTsSS)、軍事ユニット26165(サイバーセキュリティ・コミュニティでは複数の名称で追跡されている)による標的化のリスクの高まりに直面している(「サイバーセキュリティ業界の追跡」参照)。テクノロジー企業やロジスティクス事業体を標的にしたこの行為者のサイバースパイ指向のキャンペーンでは、これまでに公開された戦術、技術、手順(TTP)が混在して使用されている。作成機関は、同様の標的設定とTTPの使用が今後も続くと予想している。
Executives and network defenders at logistics entities and technology companies should recognize the elevated threat of unit 26165 targeting, increase monitoring and threat hunting for known TTPs and indicators of compromise (IOCs), and posture network defenses with a presumption of targeting. 物流事業体やテクノロジー企業の経営幹部やネットワーク防御者は、26165部隊の標的化の脅威が高まっていることを認識し、既知のTTPや侵害の指標(IOC)の監視と脅威の探索を強化し、標的化を想定したネットワーク防御態勢を整えるべきである。
This cyber espionage-oriented campaign targeting logistics entities and technology companies uses a mix of previously disclosed TTPs and is likely connected to these actors’ wide scale targeting of IP cameras in Ukraine and bordering NATO nations. 物流事業体やテクノロジー企業を標的としたこのサイバースパイ指向のキャンペーンは、これまでに公開された TTP を組み合わせて使用しており、これらの行為者がウクライナや国境を接する NATO 諸国の IP カメラを大規模に標的としていることと関連している可能性が高い。
The following authors and co-sealers are releasing this CSA: 本 CSA の認可者および共同シールは以下の通りである:
United States National Security Agency (NSA) 米国国家安全保障局(NSA)
United States Federal Bureau of Investigation (FBI) 米国連邦捜査局(FBI)
United Kingdom National Cyber Security Centre (NCSC-UK) 英国国家サイバー・セキュリティ・センター(NCSC-UK)
Germany Federal Intelligence Service (BND) Bundesnachrichtendienst ドイツ連邦情報局(BND)
Germany Federal Office for Information Security (BSI) Bundesamt für Sicherheit in der Informationstechnik ドイツ連邦情報セキュリティ局(BSI) 
Germany Federal Office for the Protection of the Constitution (BfV) Bundesamt für Verfassungsschutz ドイツ連邦憲法保護局(BfV) 
Czech Republic Military Intelligence (VZ)  Vojenské zpravodajství チェコ共和国 軍事情報局(VZ) 
Czech Republic National Cyber and Information Security Agency (NÚKIB) Národní úřad pro kybernetickou a informační bezpečnost チェコ国家サイバー・情報安全保障局(NÚKIB) 
Czech Republic Security Information Service (BIS) Bezpečnostní informační služba チェコ共和国安全保障情報局(BIS:
Poland Internal Security Agency (ABW) Agencja Bezpieczeństwa Wewnętrznego ポーランド国内安全保障局(ABW) 
Poland Military Counterintelligence Service (SKW) Służba Kontrwywiadu Wojskowego ポーランド軍事防諜局(SKW) 
United States Cybersecurity and Infrastructure Security Agency (CISA) 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)
United States Department of Defense Cyber Crime Center (DC3) 米国国防総省サイバー犯罪センター(DC3)
United States Cyber Command (USCYBERCOM) 米国サイバーコマンド(USCYBERCOM)
Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) オーストラリア信号総局オーストラリア・サイバー・セキュリティ・センター(ASD's ACSC)
Canadian Centre for Cyber Security (CCCS) カナダ・サイバーセキュリティセンター(CCCS)
Danish Defence Intelligence Service (DDIS) Forsvarets Efterretningstjeneste デンマーク国防情報局(DDIS) 
Estonian Foreign Intelligence Service (EFIS) Välisluureamet エストニア対外情報庁(EFIS) 
Estonian National Cyber Security Centre (NCSC-EE) Küberturvalisuse keskus エストニア国立サイバーセキュリティセンター (NCSC-EE)
French Cybersecurity Agency (ANSSI) Agence nationale de la sécurité des systèmes d'information フランスサイバーセキュリティ局(ANSSI) 
Netherlands Defence Intelligence and Security Service (MIVD) Militaire Inlichtingen- en Veiligheidsdienst オランダ国防情報セキュリティ局(MIVD) 

 

・[PDF]

20250601-70529

 

 

 

| | Comments (0)

より以前の記事一覧