U.S. CISA 偽情報・誤情報の脅威とその対応方法についての（いかにもアメリカンな）漫画

こんにちは、丸山満彦です。

米国の「サイバーセキュリティ・インフラセキュリティ庁」 (Cybersecurity & Infrastracture Security Agency: CISA) が偽情報・誤情報の脅威とその対応方法についての漫画を２つ公開しています。

漫画はいかにもアメリカンな感じですが、参考になると思います。。。

● CISA - RESILIENCE SERIES GRAPHIC NOVELS

2020年10月に公表された１作目です。

・GRAPHIC NOVEL: REAL FAKE 

Real Fake, the first graphic novel in CISA’s Resilience Series, communicates the dangers and risks associated with dis- and misinformation through fictional stories that are inspired by real-world events.	CISAのResilienceシリーズの最初のグラフィックノベル「Real Fake」は、現実の出来事から着想を得た架空の話を通して、偽情報や誤情報にまつわる危険性やリスクを伝えています。
Readers follow protagonists Rachel and Andre as they discover that a command center in Russia is using a network of troll farms to spread false narratives about elections to American voters. With the elections coming up, Rachel and Andre follow the trail of synthetic media and stop the cyber assailants from causing chaos, confusion, and division.	主人公のレイチェルとアンドレは、ロシアの司令部がトロールファーム [wikipedia] のネットワークを使って、アメリカの有権者に選挙に関する誤った情報を流していることを見つけます。選挙を間近に控えたレイチェルとアンドレは、合成メディア [wikipedia] の痕跡を追い、カオス、混乱、分裂を引き起こすサイバー攻撃者たちを阻止します。

・[PDF] Graphic Novel: 11.6 MB

・[PDF] Script

---

2021.04.28に公表された２作目です。

・GRAPHIC NOVEL: BUG BYTES

Bug Bytes, the second graphic novel in CISA’s Resilience Series, communicates the dangers and risks associated with threat actors using social media and other communication platforms to spread mis-, dis-, and malinformation (MDM) for the sole purpose of planting doubt in the minds of targeted audiences to steer their opinion.	CISAの「Resilience Series」の2作目となるグラフィックノベル「Bug Bytes」は、ソーシャルメディアやその他のコミュニケーションプラットフォームを利用して、標的となる人々の心に疑念を植え付け、意見を誘導することを唯一の目的として、誤情報、偽情報、悪意のある情報（MDM）を広める脅威にまつわる危険性とリスクを伝える作品です。
Readers follow protagonist Ava who uses her wits and journalism skills to uncover a disinformation campaign set to damage 5G critical communications infrastructure in the United States.	主人公のエヴァは、知恵とジャーナリズムスキルを駆使して、米国の5G重要通信インフラにダメージを与えるための偽情報キャンペーンを明らかにしていきます。

・[PDF] Graphic Novel: 15.2 MB

・[PDF] Script

 

デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

こんにちは、丸山満彦です。

AIによる画像認識については、欧米を中心に大変関心が高まっていますが、中国の中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)がデジタルチャイナの情報セキュリティ・プライバシーに対する記事（原典：经济日报）を紹介していますね。。。（2021.04.14）

基本はプライバシーをちゃんと確保しましょうということです。。。

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

・2021.04.14 经济日报：信息安全保护任重道远——建设数字中国系列述评之三

 

興味深いです。。。

NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

こんにちは、丸山満彦です。

NISTがSP 800-161 Rev. 1 (ドラフト) 「システムと組織のためのサイバー・サプライチェーン・リスク管理の実践」を公表し、意見募集をしておりますね。。。

6月14日に締め切った後、9月に第2次ドラフトを公開する予定ですね。。。ボストンコンサルティングの方がメンバーですね。。。

● NIST - ITL - Computer Security Resource Center

・2021.04.29 SP 800-161 Rev. 1 (Draft) Cyber Supply Chain Risk Management Practices for Systems and Organizations

 

パブコメの対象は、

Publication: 

・[PDF]  SP 800-161 Rev. 1 (Draft)

その他参考情報は

・Workshop (web)

・NIST’s Cyber Supply Chain Risk Management Program (other)

現在の文書

・SP 800-161 (web) 

 

Announcement	発表
More than ever, organizations are concerned about the risks associated with products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain. These risks can decrease an enterprise’s visibility into and understanding of how the technology that they acquire is developed, integrated, and deployed. They can also affect and be affected by the processes, procedures, and practices used to ensure the security, resilience, reliability, safety, integrity, and quality of products and services.	企業はこれまで以上に、悪意のある機能が含まれている可能性のある製品やサービス、偽造品、あるいはサイバーサプライチェーン内での不適切な製造・開発行為による脆弱性に関連するリスクを懸念しています。これらのリスクは、企業が取得したテクノロジーがどのように開発、統合、展開されているかについて、企業の可視性や理解を低下させる可能性があります。また、製品やサービスのセキュリティ、耐障害性、信頼性、安全性、完全性、品質を確保するために使用されるプロセス、手順、実践にも影響を与え、影響を受ける可能性があります。
That is why NIST is inviting comments on a major revision to Cyber Supply Chain Risk Management Practices for Systems and Organizations (SP 800-161). The updates are designed to better help organizations identify, assess, and respond to cyber supply chain risks while still aligning with other fundamental NIST cybersecurity risk management guidance.	そのため、NISTは、「システムと組織のためのサイバーサプライチェーンリスクマネジメントの実践」（SP 800-161）の大幅な改訂についてコメントを募集しています。今回の改訂は、NISTの他の基本的なサイバーセキュリティ・リスク管理ガイダンスとの整合性を保ちつつ、組織がサイバー・サプライチェーン・リスクを特定し、評価し、対応するのに役立つように設計されています。
The revision to this foundational NIST publication represents a 1-year effort to incorporate next generation cyber supply chain risk management (C-SCRM) controls, strategies, policies, plans, and risk assessments into broader enterprise risk management activities by applying a multi-level approach. The changes focus on making implementation guidance more modular and consumable for acquirers, suppliers, developers, system integrators, external system service providers, and other information and communications technology (ICT)/operational technology (OT)-related service providers. Additionally, the references have been updated and expanded.	このNISTの基本的な出版物の改訂は、次世代のサイバーサプライチェーンリスク管理（C-SCRM）の統制、戦略、方針、計画、リスク評価を、マルチレベルのアプローチを適用することで、より広範な企業のリスク管理活動に組み込むための1年間の取り組みを表しています。今回の変更点は、買収者、供給者、開発者、システムインテグレーター、外部システムサービスプロバイダー、その他の情報通信技術（ICT）／運用技術（OT）関連のサービスプロバイダー向けに、実施ガイダンスをよりモジュール化し、消費可能にすることに重点を置いています。さらに、参考文献も更新・拡充されています。
.....	.....
Abstract	概要
Organizations are concerned about the risks associated with products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain. These risks are associated with an enterprise’s decreased visibility into, and understanding of, how the technology that they acquire is developed, integrated, and deployed, as well as the processes, procedures, and practices used to assure the security, resilience, reliability, safety, integrity, and quality of the products and services.	企業は、サイバー・サプライチェーンにおいて、悪意のある機能が含まれていたり、偽造品であったり、製造や開発の不備により脆弱であったりする製品やサービスに関連するリスクを懸念しています。このようなリスクは、企業が取得した技術がどのように開発、統合、展開されているか、また、製品やサービスのセキュリティ、回復力、信頼性、安全性、完全性、品質を保証するために使用されるプロセス、手順、実践に対する企業の可視性や理解が低下していることに関連しています。
This publication provides guidance to organizations on identifying, assessing, and mitigating cyber supply chain risks at all levels of their organizations. The publication integrates cyber supply chain risk management (C-SCRM) into risk management activities by applying a multi-level, C-SCRM-specific approach, including guidance on development of C-SCRM strategy implementation plans, C-SCRM policies, C-SCRM plans, and C-SCRM risk assessments for products and services.	本書は、組織のあらゆるレベルにおけるサイバーサプライチェーンのリスクを特定、評価、軽減するためのガイダンスを提供しています。本書は、C-SCRM戦略実施計画、C-SCRMポリシー、C-SCRM計画、製品・サービスのC-SCRMリスクアセスメントの策定に関するガイダンスを含む、複数レベルのC-SCRM固有のアプローチを適用することで、サイバーサプライチェーンリスクマネジメント（C-SCRM）をリスクマネジメント活動に統合しています。

 

目次　↓

Continue reading "NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践"

G7：デジタルと技術 閣僚宣言

こんにちは、丸山満彦です。

G7のデジタル関係大臣によって、6月に開催されるサミットに向けて閣僚宣言が出されていますね。。。議長国が英国だったので、英国政府のウェブページに掲載されていますね。。。

● 2021.04.28 (press) G7 tech leaders agree bold new proposals to boost online safety worldwide

An ambitious vision to put technology at the heart of global efforts to build back better from the pandemic has been signed by the world’s leading democracies.

世界の主要な民主主義国家が、パンデミックからの復興に向けたグローバルな取り組みの中心にテクノロジーを据えるという野心的なビジョンに署名しました。

ということで、日本も入っていますが、日本が取り残されなければ良いですけどね。。。

これから、子供がインターネットに関わっていくことを前提に、子供の保護や、若者の参加なども強調されていますね。。。（附属書3のインターネット安全原則）

 

さらに、海外取引を意識して貿易に関わる証券・手形（金融手形は除く）などの電子化も目指すようですね。（現在はコンテナ船による取引だけで250億の文書が1年間で取り交わされているようです...）

・2021.04.28 (notice) G7 Digital and Technology - Ministerial Declaration

・[PDF] Ministerial Declaration G7 Digital and Technology Ministers’ meeting - 28 April 2021

・G7デジタル・テクノロジー担当大臣会合 閣僚宣言

・[PDF] Annex 1 - Framework for G7 collaboration on Digital Technical Standards

附属書1：デジタル技術標準に関するG7コラボレーションの枠組み

・[PDF] Annex 2 - Roadmap for cooperation on Data Free Flow with Trust

附属書2：信頼性のあるデータ自由流通に関するG7コラボレーションのためのロードマップ

・[PDF] Annex 3 - Internet Safety Principles

附属書3：G7インターネット安全原則

・[PDF] Annex 4 - Framework for G7 collaboration on Electronic Transferable Records

附属書4：電子記録に関するG7コラボレーションの枠組み

---

4月30日の朝の段階では日本の外務省のページにはなかったように思います。。。そういえば、日本は誰が出たんでしょうね。。。平井大臣？

 

とりあえず、まとめて仮訳してみました・・・[DOCX]

 

---

■ 2021.05.01 追記

総務省から発表がありましたね(^^)

仮訳（本文のみ）もあります！

 

・2021.04.30 G7デジタル・技術大臣会合（テレビ会議）の開催結果

・仮訳（本文のみ）

 

中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

こんにちは、丸山満彦です。

中国の個人情報関係の規則や基準ってどうも全体像がよくわかりません。。。どこかでじっくり学ばないとですね。。。

 

● 中共中央网络安全和信息化委员会办公室（中国共産党中央委員会ネットワークセキュリティ・情報化対策室）

・2021.04.26 移动互联网应用程序个人信息保护管理暂行规定 - 公开征求意见（モバイル・インターネット・アプリケーションの個人情報保護管理に関する暫定規定 - 意見募集）

 

● 北大法宝

・2021.04.25 将出台App个人信息保护管理暂行规定（アプリ個人情報保護管理規定が導入されます）

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

（いわゆるTC260）がセキュリティについて以下の意見募集をおこなっています。。。関係する標準もありますね。。。

国家标准《信息安全技术 人脸识别数据安全要求》	国家標準「情報セキュリティ技術 顔認識データセキュリティ要件」
国家标准《信息安全技术 移动互联网应用程序（APP）个人信息安全测评规范》	国家標準「情報セキュリティ技術 モバイルインターネットアプリケーション（APP）個人情報セキュリティ測定仕様」
国家标准《信息安全技术 移动互联网应用程序（APP）SDK安全指南》	国家標準「情報セキュリティ技術 モバイルインターネットアプリケーション（APP）SDKセキュリティガイド」
国家标准《信息安全技术 政务网络安全监测平台技术规范》	国家標準「政府機関ネットワークのセキュリティ監視プラットフォームの情報セキュリティ技術技術仕様」
国家标准《信息安全技术 信息系统密码应用测评要求》	国家標準「情報セキュリティ技術 情報システムパスワードアプリケーション測定要件」
国家标准《信息安全技术 个人信息去标识化效果分级评估规范》	国家標準「情報セキュリティ技術 個人情報匿名化効果採点評価仕様書」
国家标准《信息安全技术 边缘计算安全技术要求》	国家標準「情報セキュリティ技術 エッジコンピューティング セキュリティ技術の要件」
国家标准《信息安全技术 IPSec VPN安全接入基本要求与实施指南》	国家標準「情報セキュリティ技術 IPSec VPN セキュリティアクセス基本要件および実装ガイド」

 

 

---

● まるちゃんの情報セキュリティきまぐれ日記

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

・2021.01.09 中国 互联网信息服务管理办法（インターネット情報サービスの運営に関する措置）の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.04 中国が情報セキュリティに関連の国家標準のパブコメを18件出していました・・・

 

---

↓↓↓↓　パブコメの対象　↓↓↓↓

Continue reading "中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定"

U.S. FBI サイバー犯罪者が偽の求人情報を利用して応募者の個人情報を狙っていると警告

こんにちは、丸山満彦です。

FBIが「サイバー犯罪者が偽の求人情報を利用して応募者の個人情報を狙っている」と警告していますね。。。

確かに、COVID-19でウェブでの面接が増えているでしょうし、求人ということで色々な個人情報を出せと言われてもおかしくはないでしょうしね。。。ただ、その求人をしている人が本当にその会社の人なのか、そんな会社が本当にあるのか、などの確認もする必要があるということなんでしょうね。。。

● FBI

・2021.04.21 FBI Warns Cyber Criminals Are Using Fake Job Listings to Target Applicants’ Personally Identifiable Information

完璧ではないにしても、次のような点に気をつければ良いのでしょうね。。。

1. 求人情報が企業のウェブページで行われているか？
2. 連絡が会社のメールアドレスから行われているか？

これで、実在する会社になりすましている場合はある程度防げそうですね。それ以外にも

1. 連絡してきた採用担当者が自分のことをある程度理解しているか？

これで、匿名の会社から貴方に興味があるのですがというリクルータを装った対応にはある程度気をつけることができるかもですね。。。

疑わしいと思ったら、実在の会社ならその会社にこちらから確認をするとか、

リクルータを経由して匿名の会社と言われる場合だと、そのリクルーターの信用が確認できるまでは、それ以上進めるのはやめておくほうが良いかもですね。。。

 

 

 

英国 スマートデバイスを保護するための新しいサイバーセキュリティ法の方向性

こんにちは、丸山満彦です。

英国政府（デジタル・文化・メディア・スポーツ省）は、スマートデバイスを保護するための新しいサイバーセキュリティ法の方向性について発表していますね。。。

スマートデバイスの工場出荷時のパスワードを全て同じにしてたらあかんで、販売する時にセキュリティアップデートの期間を説明する必要がありまっせとか、脆弱性を見つけた場合の報告先を作っときや、といった規制が考えれているようですね。。。

● U.K. Government - Department for Digital, Culture, Media & Sport 

発表文

・2021.04.21 (press) New cyber security laws to protect smart devices amid pandemic sales surge

Groundbreaking plans to protect people from cyber attacks

規制概要のまとめページ

・2021.04.21 (Policy Paper) Regulating consumer smart product cyber security - government response

The government's response to a call for views on proposals for regulating consumer smart product cyber security.

法律の方向性

・2021.04.21 Government response to the call for views on consumer connected product cyber security legislation

1. Ministerial foreword	1. 大臣による序文
2. Executive summary	2. エグゼクティブサマリー
3. Policy objectives	3. 政策目標
3.1 Protecting citizens, networks and infrastructure from harm	3.1 市民、ネットワーク、インフラを被害から守ること
3.2 Enabling emerging tech to grow and flourish by improving security, and Increasing consumer confidence	3.2 セキュリティを向上させ、消費者の信頼を高めることで、新興技術の成長と繁栄を可能にする。
3.3 Adopting a proportionate approach to placing obligations on relevant economic actors, without compromising effectiveness	3.3 有効性を損なうことなく、関連する経済主体に義務を課すための比例的なアプローチを採用する。
3.4 Continuing to protect citizens, networks and infrastructures from harm in the face of an uncertain future	3.4 不確実な未来に直面する中で、市民、ネットワーク、インフラを被害から守り続けること
4. Overview of the government’s intent	4. 政府の意図の概要
4.1 Key policy positions	4.1 主要な政策的立場
4.2 Key policy positions - scope of the intended legislation	4.2 主要な政策的立場-意図された法律の範囲
4.3 Key policy positions - role of economic actors	4.3 主要な政策的立場-経済関係者の役割
4.4 Key policy positions - how the legislation will be enforced	4.4 主要な政策的立場-立法の執行方法
4.5 Key policy positions - scope of the intended legislation	4.5 主要な政策的立場-意図する立法の範囲
4.6 Key policy positions - role of economic actors	4.6 主要な政策的立場-経済的関係者の役割
4.7 Key policy positions - How this legislation will be enforced	4.7 主要な政策的立場-本立法をどのように施行するか
5. Call for views - analysis overview	5. 意見募集-分析概要
6. Call for views - questions	6. 意見募集-質問

対象予定のスマート製品の例は

• スマートフォン
• ネット接続されるカメラ、テレビ、スピーカー
• ネット接続される子供用玩具とベビーモニター
• ネット接続される安全関連製品（煙探知器やドアロックなど）
• 複数の機器が接続するIoT基地局とハブ
• ネット接続されるウェアラブルフィットネストラッカー
• ウェアラブルではないネット接続型アウトドアレジャー製品（携帯型GPS機器など）
• ネット接続されるホームオートメーション、家庭警報システム
• ネット接続される電化製品（洗濯機、冷蔵庫など）
• スマートホームアシスタント

のようです。。。

明示的に除外されるもの

• 既存の規制または将来予定されている規制によって、セキュリティがすでにカバーされている製品
  
  • スマートメーター
• ビジネスへの影響を評価するための追加的な関与と分析が行われるまで、政府が含めることが不適切と判断した製品
  
  • ノートパソコン、デスクトップパソコン、携帯電話に接続していないタブレット
• 含めることで企業に非現実的な義務を課すことになる製品
  
  • 中古製品

予定されている規制内容

• 一定のセキュリティ要件または指定された基準に適合しない限り、消費者向け接続製品を英国市場で販売しないことを義務付ける

 

セキュリティ要件	採用	指定された外部基準
セキュリティ要件 1 ユニバーサル・デフォルト・パスワードの禁止	管理インターフェースのパスワードやサブコンポーネントのファームウェア内のパスワードなど、ユーザーが通常アクセスできないものも含め、デバイス内のすべてのパスワードを対象とすることを意図しています。サードパーティが提供するデバイスにプリインストールされているソフトウェアアプリケーション（アプリ）も対象となります。我々の意図は、デバイスごとにユニークであっても、容易に推測可能であり、したがってリスクをもたらすパスワードを禁止することです（例えば、「password1」、「password2」などの増分カウンタが使用されている場合など）。	EN 303 645 provisions 5.1-1 and 5.1-2
セキュリティ要件 2 脆弱性の報告を管理する手段の導入	この要求事項の意図は、第三者がメーカーに脆弱性を報告するための透明なルートを提供し、セキュリティ問題の解決を可能にすることにあります。消費者向けのコネクテッド製品のメーカーでは、このような慣行はまだ一般的ではありませんが、セキュリティ上の欠点を特定して対処し、この分野でのセキュリティ革新を支援するためには、このような仕組みが不可欠です。 注：この成果に対する指定基準は、デバイスおよび関連するデジタルサービスに適用されなければならない。	EN 303 645 provisions 5.2-1 OR ISO/IEC 29147(2018): clause 6.2
セキュリティ要件 3 最低限、どのくらいの期間、製品がセキュリティアップデートを受けるかについての透明性の提供	セキュリティアップデートの提供は、お客様を保護するための最も重要な仕組みの一つです。セキュリティアップデートの目的は、お客様のプライバシー、データ、およびセキュリティを危険にさらすセキュリティ上の欠陥に対処することであり、通常、製品が市場に投入されて初めて認識され、利用できるようになります。また、お客様が十分な情報を得た上で購入を決定できるようにすることも目的としています。消費者は、製品を購入する際に、その製品がセキュリティアップデートでサポートされる最低期間を知ることができます。また、定義されたサポート期間は、常にメーカーによって一方的に延長される可能性があることにも留意する必要があります。	EN 303 645 provision 5.3-13

 

 

 

---

 

関連する過去の調査

 

・[PDF] Consumer attitudes to IoT security - research report

 

 

・[PDF]  The UK code of practice for consumer IoT security - PETRAS/UCL research report

 

警察庁から「犯罪インフラ化するSMS認証代行への対策について」が公表されていますね

こんにちは、丸山満彦です。

警察庁サイバー犯罪対策プロジェクトから、「犯罪インフラ化するSMS認証代行への対策について」が公表されています。

SMS認証代行は以前から問題となっていて、県警レベルでは注意喚起等が行われていましたね。。。

社会的には、携帯電話番号を本人確認の手段とするべきかという問題がまずはあるのだろうと思います。個人的には、銀行口座、携帯電話番号は本人との紐付けを確実にすることを明確にし、かつ本人確認のための基準も明確にするのが良いのだろうかなぁと思っています。

 

 

● 警察庁 - 警察庁サイバー犯罪対策プロジェクト

・2021.04.22 [PDF] 犯罪インフラ化するＳＭＳ認証代行への対策について

 

---

広報資料
令和３年４月22日
情報技術犯罪対策課

犯罪インフラ化するＳＭＳ認証代行への対策について

１ 課題
(1) ＳＭＳ認証とその機能
○ 「ＳＭＳ認証」とは、ショートメッセージサービス（ＳＭＳ）で利用者の番号に認証コードを通知し、当該コードを用いて認証する方式。
○ 通常は、利用者が自ら用いる本人確認済の携帯電話の番号に当該認証コードが通知されることから、金融機関等においては、ＩＤ・パスワードに
よる認証に加え、ＳＭＳ認証を利用者に実施させる「二経路認証」を採用。なりすまし等による不正認証を防止。

(2) ＳＭＳ認証代行とその問題点
○ 「ＳＭＳ認証代行」は、通信事業者とＳＭＳ機能付データ通信に係る契約をし、利用者に当該契約に係る番号を提供。また、当該番号に通知され
た認証コードを利用者に代わって受領し利用者に提供。
○ 利用者は、ＳＭＳ認証代行から番号・認証コードの提供を受けることにより、なりすまし等による不正アカウントの設定が可能。
○ 通信事業者の中には、本人確認をすることなくＳＭＳ認証代行と契約するものがおり、警察捜査における事後追跡性の確保に支障。

２ サイバーセキュリティ政策会議及びＩＴ業界団体の提言
(1) 令和２年度サイバーセキュリティ政策会議の提言
報告書において、通信事業者による上記契約時の本人確認の徹底や犯罪インフラを提供する悪質事業者の摘発強化を提言。

(2) ＩＴ業界団体の提言
（一社）日本ＩＴ団体連盟は、ＳＭＳを用いた二経路認証の抜け道になっているとして上記契約時の本人確認の徹底を提言。

３ 警察における対策
(1) 通信事業者の業界団体に対する要請
令和３年１月、総務省と連携して、（一社）テレコムサービス協会ＭＶＮＯ委員会に対し、契約時の確実な本人確認を要請。同要請を受け、同月、加盟事業者の自主的な取組として、ＳＭＳ機能付データ通信契約に係る本人確認を実施することを申し合わせ。

(2) 取締りの強化
都道府県警察に対し、ＳＭＳ認証代行を含む犯罪インフラに関し、法令に違反する悪質事業者に対する取締りの強化を指示。

---

 

 

■ 関連報道

● 日本経済産業新聞

・2021.04.22 SMS認証代行、取り締まり強化　犯罪目的防止で警察庁

 

過去分

● 埼玉新聞

・2020.06.09 女逮捕「小遣い稼ぎ」…ＳＭＳ認証代行で５７万円稼いだか　横行すると大きな脅威、県警が警鐘

　電子決済アプリのアカウント登録のためにショートメッセージサービス（ＳＭＳ）認証を代行したとして、県警サイバー犯罪対策課と岩槻署は８日、私電磁的記録不正作出・同供用の疑いで、神奈川県秦野市堀西、無職の女（４０）を逮捕した。

　逮捕容疑は、昨年７月１９日、札幌市豊平区の無職の男（２９）＝電子計算機使用詐欺罪で公判中＝に、スマートフォンの決済アプリ「ＰａｙＰａｙ」のアカウント作成に必要な電話番号とＳＭＳ認証コードを提供し、不正にアカウントを作成させた疑い。容疑を認め、「小遣い稼ぎだった」と供述しているという。

　同課によると、女は会員制交流サイト（ＳＮＳ）に「有償でＳＭＳ認証代行を請け負う」とメッセージを公開。依頼してきた男に、あらかじめ契約していた格安スマホの電話番号と認証コードを教え、代金１１００円を受け取っていた。

　県警は女が同年６～１２月、少なくとも５７０回以上の認証代行を繰り返し、１回１０００～１５００円の代金で計約５７万円を得ていたとみて調べる。

　同課はＳＭＳ認証代行が横行することで、「依頼者による匿名性を利用した犯罪が懸念される」と指摘。「匿名化されたアカウントが犯罪に利用されれば、安全安心なサイバー空間、現実空間の大きな脅威となる」と警鐘を鳴らしている。

 

U.S. White House 副国家安全保障補佐官（サイバー・新技術担当）によるSolarWindsとMicrosoft Exchangeのインシデントに関する声明

こんにちは、丸山満彦です。

ホワイトハウスのブリーフィングのページにSolarWindsとMS Exchangeの件が記載されているのですが、技術的な課題を組織的に解決し、次に繋げていっているという視点でうまく説明しているなと思いました。

経営者レベルでサイバーを語れる人材が米国企業では多いという話がありますが、政府レベルでも同じなのかもしれません。さまざまな能力を組み合わせたチームで戦うイメージの米国。振り返って日本の社会全体を見ると、多様性と言いながら、年長者と同じ価値観の人が年長者に重んじられて組織ができていて、単一価値観、時代遅れの組織になっているのかもしれませんね。。。

ちなみに副国家安全保障補佐官（サイバー・新技術担当）のAnne Neuberger氏 [wikipedia] は、40代の女性ですね。お子様がお二人いるようです。

● The White House

・2021.04.19 Statement by Deputy National Security Advisor for Cyber and Emerging Technology Anne Neuberger on SolarWinds and Microsoft Exchange Incidents

 

Statement by Deputy National Security Advisor for Cyber and Emerging Technology Anne Neuberger on SolarWinds and Microsoft Exchange Incidents	SolarWindsとMicrosoft Exchangeのインシデントに関する副国家安全保障補佐官（サイバー・新技術担当）アン・ニューバーガー氏の声明
The Biden Administration convened two Unified Coordination Groups (UCGs) to drive a whole of government response to the SolarWinds and Microsoft Exchange incidents. Due to the vastly increased patching and reduction in victims, we are standing down the current UCG surge efforts and will be handling further responses through standard incident management procedures.	バイデン政権は、SolarWindsとMicrosoft Exchangeのインシデントに対する政府全体の対応を推進するため、それぞれについて統合調整グループ（UCG）を招集しました。膨大な数のパッチが適用され、被害が減少したため、現在は、UCGの活動を終了し、標準的なインシデント管理手順で今後の対応を行うことになりました。
The innovations from the Exchange UCG and the lessons learned from these responses will be used to improve future unified, whole of Government responses to significant cyber incidents, including:	Exchange UCGの技術革新とこれらの対応から得られた教訓は、今後の重要なサイバーインシデントに対する政府全体での統一された対応を改善するために利用されます。得られた教訓は次のものを含みます。
・Integrating private sector partners at the executive and tactical levels. The active private sector involvement resulted in an expedited Microsoft one-click tool to simplify and accelerate victims’ patching and clean-up efforts, and direct sharing of relevant information. This type of partnership sets precedent for future engagements on significant cyber incidents.	・民間企業のパートナーを幹部レベルと戦術レベルで統合する。民間企業が積極的に関与した結果、Microsogt社のワンクリックツールにより、被害者のパッチ適用やクリーンアップ作業が簡素化・迅速化され、関連情報が直接共有されることになりました。このようなパートナーシップは、重大なサイバーインシデントに対する今後の取り組みの先例となるものです。
・CISA created and utilized a methodology to track trends in patching and exposed Exchange servers that enabled the UCG to quantify the scope of the incident.	・CISAは、UCGが事件の範囲を定量的に把握するために、パッチ適用の傾向や流出したExchangeサーバを追跡する方法を作成し、活用しました。
・Through industry relationships and leveraging legal authorities, the FBI and DOJ quickly identified the scale of the incidents – in the SolarWinds UCG, for example, scoping from a worst case of 16,800 to fewer than 100 targeted exploited nongovernment entities. This enabled focused victim engagement and improved understanding of what the perpetrators targeted from the larger set of exposed entities.	・業界との連携や法的権限をうまく活用することにより、FBI と DOJ はインシデントの規模を迅速に特定しました。例えば SolarWinds の UCG では、最悪のケースである 16,800 人から、悪用された非政府機関を対象とした 100 人未満にまで範囲を拡大しました。これにより、被害者を重点的に支援することが可能になり、また、被害に遭った企業の中で犯人が何を狙っていたのかを理解することができました。
・NSA and CISA released cybersecurity advisories that detailed adversary techniques and provided mitigation for system owners. NSA also provided guidance to other U.S. military and intelligence organizations, as well as contractors in the defense industrial base.	・NSAとCISAは、サイバーセキュリティに関する勧告を発表し、敵対者のテクニックを詳細に説明するとともに、システム所有者に対する緩和策を提供しました。また、NSAは、他の米軍や情報機関、防衛産業基盤の請負業者にもガイダンスを提供しました。
The Biden Administration is undertaking a whole-of-government effort – working closely with Congress, the private sector, and allies and partners around the world – to build back better in new and innovative ways, to modernize our cyber defenses and enhance the nation’s ability to quickly and effectively respond to significant cybersecurity incidents. While this will not be the last major incident, the SolarWinds and Microsoft Exchange UCGs highlight the priority and focus the Administration places on cybersecurity, and at improving incident response for both the U.S. government and the private sector.	バイデン政権は、議会、民間企業、世界中の同盟国やパートナーと緊密に協力しながら、政府全体で取り組んでいます。これは、新しく革新的な方法で、サイバー防御を近代化し、重大なサイバーセキュリティインシデントに迅速かつ効果的に対応する能力を強化するためのものです。これが最後の大規模インシデントではありませんが、SolarWinds社とMicrosoft Exchange社のUCGは、米国政府がサイバーセキュリティを重視し、米国政府と民間企業の両方のインシデント対応を改善することに重点を置いていることを強調しています。

 

個人的な思い込みですが、SolarWinds事件で米国政府は相当慌てたように感じました。しかし、ややもすると縦割りで動きがちが政府機関が、政府全体の危機に直面し、省庁間で連携して動き、課題を解決しつつあるという状況になり、その学びから得た教訓も踏まえ、自信に繋がっていっているようにも感じました。。。

米国のこういう一面は非常に羨ましいと感じます。。。

 

■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官（国家安全保障担当）との電話会談

・2021.04.16 FedRAMP インシデント・コミュニケーション手順4.0の公表

・2021.03.27 上院軍事委員会公聴会特殊作戦コマンドとサイバーコマンド

・2021.03.19 米国 下院エネルギー・商業委員会は、SolarWindsサイバー攻撃に関する情報を要求する超党派議員に関する声明を発表し、関係省庁に質問状を送付していますね。。。

・2021.01.07 米国 FBI,、CISA,、国家情報長官室（ODNI）、国家安全保障局（NSA）がSolar Winds関連事案に関して共同声明を公表していますね。

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

・2020.12.21 U.S. NSA　認証メカニズムを悪用してクラウド上のリソースに攻撃者がアクセスすることについての注意喚起

・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise

米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官（国家安全保障担当）との電話会談

こんにちは、丸山満彦です。

このブログでも紹介していますが、米国によるロシアの制裁の後、ロシア連邦安全保障会議書記と米国大統領補佐官（国家安全保障担当）との電話会談をしていて、その概要が公開されていますね。。。

ロシアと米国の関係はソビエト時代からの歴史があるので、今やなんか不思議な安定感がありますね。。。

ロシア側の公開

● Совет Безопасности Российской Федерации（ロシア連邦安全保障理事会）

・2021.04.19 19 апреля по инициативе американской стороны состоялся телефонный разговор Секретаря Совета Безопасности Российской Федерации с Помощником Президента США по национальной безопасности

19 апреля по инициативе американской стороны состоялся телефонный разговор Секретаря Совета Безопасности Российской Федерации с Помощником Президента США по национальной безопасности	4月19日、米国の主導により、ロシア連邦安全保障理事会書記は、米国大統領補佐官（国家安全保障担当）と電話会談を行いました。
Николай Патрушев и Джейкоб Салливан  обсудили ход подготовки к встрече на высшем уровне, а также возможные направления в развитии  российско-американского сотрудничества.	ニコライ・パトルシェフとジェイコブ・サリバンは、首脳会談の準備や、ロシアと米国の協力可能な分野について話し合いました。
Состоялся обмен мнениями по ряду проблем международной повестки дня.  Подчеркнута важность скорейшего запуска двустороннего механизма по стратегической стабильности, необходимость взаимодействия России и США  по ядерной проблеме Корейского полуострова, по ситуации вокруг иранской ядерной программы. Затронуты проблемы, связанные с  участием двух государств в Договоре по открытому небу.	国際的なアジェンダであるいくつかの問題について意見交換が行われました。  両者は、戦略的安定のための二国間メカニズムを迅速に立ち上げることの重要性、朝鮮半島の核問題やイランの核開発問題でロシアと米国が協力する必要性を強調しました。また、両国のオープンスカイ条約への参加に関する問題にも触れました。
Российской стороной указано на  недопустимость вмешательства США во внутренние дела Российской Федерации и ее союзников, на необоснованность и бездоказательность обвинений, предъявленных в адрес России, на основании которых Белым домом введен пакет антироссийских санкций.	ロシア側は、米国がロシア連邦およびその同盟国の内政に干渉することは許されないこと、ホワイトハウスが反ロシア制裁パッケージを導入した根拠のない非難を指摘しました。
Несмотря на неконструктивные шаги американской стороны, ведущие к дальнейшей деградации двусторонних отношений, подтверждена  готовность к продолжению диалога в интересах нормализации отношений между Москвой и Вашингтоном и обеспечения международной безопасности.	米国による非建設的な措置が二国間関係のさらなる悪化を招いているにもかかわらず、モスクワとワシントンの関係を正常化し、国際的な安全保障を確保するために、対話を継続する用意があることが確認されました。

 

 

---

米国側

● White House

・2021.04.19 Statement by NSC Spokesperson Emily Horne on National Security Advisor Jake Sullivan’s Call with Nikolay Patrushev, Secretary of the Russian Security Council

Statement by NSC Spokesperson Emily Horne on National Security Advisor Jake Sullivan’s Call with Nikolay Patrushev, Secretary of the Russian Security Council

サリバン国家安全保障補佐官とパトルシェフロシア安全保障会議書記との電話会談に関するNSC報道官エミリー・ホーンの声明

National Security Advisor Jake Sullivan spoke by phone today with Nikolay Patrushev, Secretary of the Russian Security Council. The two discussed a number of issues in the bilateral relationship, as well as regional and global matters of concern. Mr. Sullivan and Secretary Patrushev also discussed the prospect of a presidential summit between the United States and Russia and agreed to continue to stay in touch.

ジェイク・サリバン国家安全保障補佐官は本日、ロシア安全保障会議のニコライ・パトルシェフ書記と電話で会談しました。二人は、二国間関係における様々な問題や、地域的・世界的な関心事について話し合いました。また、サリバン氏とパトルシェフ書記は、米露間の大統領サミットの見通しについても話し合い、今後も連絡を取り合うことで合意しました。

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー軍と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2021.01.07 米国 FBI,、CISA,、国家情報長官室（ODNI）、国家安全保障局（NSA）がSolar Winds関連事案に関して共同声明を公表していますね。

・2020.12.07 民主主義を守るための偽情報との戦い

・2020.10.27 欧州連合 連合と加盟国を脅かすサイバー攻撃に対する制限的措置に関する決定（CFSP）2019/797の修正（ロシアの件。。。）

・2020.10.27 米国 連邦司法省がサイバースペースでの破壊的行為を世界的に行ったことでロシアのGRUの6人を起訴した (2020.10.19)

・2020.10.27 英国NCSC 東京オリンピック関係者にサイバー攻撃をしていたとしてロシアを非難 (2020.10.19)

・2020.10.14 ノルウェー政府は8月のノルウェー議会の電子メールシステムへのサイバー攻撃はロシアによるものだとする声明を出していますね。。。

・2020.09.14 サイバーパワー世界ランキング

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書（第５巻）を公開していますね。。。

・2020.08.20 ロシアからインターネットを見たら、インターネットの国際的な枠組みを作りたくなりますよね。。。

・2020.08.16 FBIとNSAは合同でLinuxシステムを対象としたロシアのDrovorubマルウェアについて情報を公開していますね。。。

・2020.07.25 英国議会 諜報及び安全保証委員会報告書 ロシア

・2020.07.17 英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた

・2020.06.03 米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表

・2020.04.08 削除できないマルウェア xHelper の仕組みがわかった？

・2020.03.26 FBI - FBI Takes Down a Russian-Based Hacker Platform; Arrests Suspected Russian Site Administrator