Loading...
Loading...
----------------------------------------------------------------------
サイバー空間の信頼性と安全性のためのパリ・コールに米国が参加(11/16配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・英国ICOと豪州OAIC、米国の顔認識ソフトClearview AIに対する共同調査を完了
・米国国務省、ランサムウェア犯罪集団「DarkSide」のリーダーに関する情報提供に最大1,000万ドルの報奨金
・ユーロポール、ランサムウェア「REvil」関係者の逮捕を発表
・サイバー空間の信頼性と安全性のためのパリ・コールに米国が参加
・米国家安全保障副顧問、EU関係者とサイバーセキュリティおよび新興技術関連政策について会合
・ベトナム公安省のサイバーセキュリティに関する行政処分政令案、意見募集の締切りが間近
・投資家グループがMcAfeeを買収 アドベントなど6社が共同出社した子会社によって全株取得
----------------------------------------------------------------------
【2】海外政策動向一覧(2021年11月3日~2021年11月11日)
----------------------------------------------------------------------
2021年11月3日 英国ICOと豪州OAIC、米国の顔認識ソフトClearview AIに対する共同調査を完了
英国データ保護機関(ICO)と豪州の個人情報保護委員会(OAIC)は、2020年7月に開始した米国Clearview AI Inc.の個人情報の取り扱いについての共同調査を完了したと発表した。
同社のAI顔認識ソフトウェア「Clearview AI」は、SNSを無許可でスクレイピングして30億人以上の顔写真を収集した行為に対して各国で議論が進められていた。
Clearview AIはモバイルおよびウェブアプリを通じて利用可能で、登録したユーザーが個人の顔画像をアップロードすると巨大な顔画像データベースとの照合を通じて個人を特定できる機能があった。
ICOとOAICの両局は協力して証拠の収集にあたり、同社がSNSからスクレイピングしたデータやバイオメトリクスを利用した顔識別機能について調査した。現在は両国の警察機関がそれぞれの国の法律に照らしてこれらの技術が適正に使用されているか精査をしているという。
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2021/11/clearview-statement/
https://www.oaic.gov.au/__data/assets/pdf_file/0016/11284/Commissioner-initiated-investigation-into-Clearview-AI,-Inc.-Privacy-2021-AICmr-54-14-October-2021.pdf
2021年11月4日 米国国務省、ランサムウェア犯罪集団「DarkSide」のリーダーに関する情報提供に最大1,000万ドルの報奨金
米国国務省は、ランサムウェア犯罪集団「DarkSide」のリーダーに関する情報提供を呼びかけ、個人や所在の特定につながる情報に対して、最大1,000万ドル(約11億円)の報奨金を供出すると発表した。DarkSideのメンバーについての情報にも最大で最大500万ドル(約5.5億円)を支払う予定。
DarkSideは、2021年5月のコロニアルパイプライン社へのランサムウェア攻撃の実行犯と目されている。これらの報奨金は、国務省の国家横断組織犯罪報奨プログラム(TOCRP)の枠組みによって拠出される。
国務省は、このプログラムによって、米国は世界中のランサムウェア被害者をサイバー犯罪者による身代金脅迫から守るというコミットメントを示すとしている。
https://www.state.gov/reward-offers-for-information-to-bring-darkside-ransomware-variant-co-conspirators-to-justice/
2021年11月8日 ユーロポール、ランサムウェア「REvil」関係者の逮捕を発表
欧州刑事警察機構(ユーロポール)は、ルーマニア当局がランサムウェア「REvil(別名 Sodinokibi)」に関連するサイバー犯罪者2名を逮捕したと発表した。この2名は、5,000件以上のランサムウェア感染事案に関与し、合計で50万ユーロ(約6,500万円)の身代金の支払いが行われたという。
米司法省(DoJ)と米連邦捜査局(FBI)からもこの逮捕に関する情報が公開されており、今回の逮捕劇は世界17カ国(米国、英国、韓国など)の当局やユーロポール、インターポールなどの共同作戦「GoldDust」の成果のひとつであることが公表された。
この他にも、No More Ransomのウェブサイトを介して提供されたREvil復号ツールは、1,400社以上の企業のデータを復号することに成功し、潜在的な損失を約4億7,500万ユーロ(約620億円)抑えた見積もっている。
https://www.europol.europa.eu/newsroom/news/five-affiliates-to-sodinokibi/revil-unplugged
https://www.justice.gov/opa/pr/ukrainian-arrested-and-charged-ransomware-attack-kaseya
https://www.fbi.gov/news/pressrel/press-releases/fbi-director-christopher-wrays-remarks-at-press-conference-announcing-sodinokibi-revil-ransomware-arrest
2021年11月10日 サイバー空間の信頼性と安全性のためのパリ・コールに米国が参加
米国のハリス米副大統領は「サイバー空間の信頼性と安全性のためのパリ・コール」に米国が参加すると発表した。
パリ・コールは2018年に仏マクロン大統領が呼びかけたサイバー空間をオープンかつセキュアで安定した状態に保つことを目指す自主的な行動を合意する枠組み。
これまでにも世界80カ国以上の政府、地方自治体、テック企業などを含む1,200以上の組織が参加していた。日本からも日本政府や経団連、IT企業など17組織が署名し、JCICも名を連ねている。
トランプ前大統領は中露の不参加を理由に参加を拒んでいたが、パリを訪問中だったハリス副大統領とマクロン大統領の会談によって実現した。
https://www.state.gov/the-united-states-supports-the-paris-call-for-trust-and-security-in-cyberspace/
2021年11月10日 米国家安全保障副顧問、EU関係者とサイバーセキュリティおよび新興技術関連政策について会合
米ホワイトハウスは、サイバー・新興技術担当の国家安全保障副顧問であるアン・ノイバーガー氏がブリュッセルに訪問し、EU関係者と会合し、サイバーセキュリティおよび新興技術に関連する政策について議論したと発表した。
今回の訪問は、サイバー脅威に対処するための国際的な協力関係の構築に向けたバイデン政権の継続的な取り組みに基づいており、NATOの北大西洋理事会とサイバー空間における国家および同盟国の回復力を強化する方法が協議された。
これはNATOが7年ぶりに新たなサイバー防衛政策を採択したことを受けての協議であり、米国の強力な支援を受けるNATO加盟国にサイバー空間での抑止力と防衛態勢を共有するための戦略的な方向性を示すものである。
https://www.whitehouse.gov/briefing-room/statements-releases/2021/11/10/statement-by-nsc-spokesperson-emily-horne-on-deputy-national-security-advisor-anne-neubergers-travel-to-brussels/
2021年11月11日 ベトナム公安省のサイバーセキュリティに関する行政処分政令案、意見募集の締切りが間近
ベトナム公安省(MPS)は、9月20日にサイバーセキュリティに関する行政処分の政令案を発表していた。現在同案への意見募集が行われており、11月18日に締め切られる。
同国ではこれまで、情報やデータのセキュリティは注目されていながらも規制や罰則は適用されてこなかった。
MPSは、デジタルコンテンツ販売、eコマース、ストレージサービスなどを手掛ける企業によって、個人情報の窃取、合意のない収集・利用、許可のない販売・公開がされている現状を踏まえ、法的実効性と制裁が必要だと強調する。
4章51条から構成される政令案は域外にも適応され、海外の組織や個人にも影響を与える。第2章には「個人データ管理者」「個人データ管理・処理事業者」「第三者」に適用される個人データ保護体制に関する制裁措置が規定されており、MPSが本年2月に発表した「個人データ保護に関する政令草案(PDPD草案)」の内容を補完している。
規則違反に科される罰金の上限はベトナム国内での売上高の5%とされ、中国個人情報保護法の規定に類似している。個人情報を越境移転後に開示・紛失した際の罰金は、10万人のベトナム国民データに影響を与えた場合は規定の2倍、100万人の場合は3倍となる。
https://www.globalcompliancenews.com/2021/11/11/vietnam-draft-decree-on-cybersecurity-administrative-sanctions-released031121/
http://en.bocongan.gov.vn/
https://vietnamnet.vn/en/sci-tech-environment/the-ministry-of-public-security-completes-draft-decree-on-cybersecurity-fines-778314.html
----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
2021年11月1日 CrowdStrike、ゼロトラストによるデータ保護のためSecureCircleを買収
2021年11月1日 ブロックチェーンセキュリティ技術のSollensys、金融サービスITプロバイダCeleritを買収
2021年11月2日 IBM、AIを利用した脅威検出製品を提供するReaQtaの買収計画を発表
2021年11月3日 SecureAuth社がAcceptto社を買収 AIを活用したパスワードレス認証の実現を強化
2021年11月8日 OpenTextがZix Corporationを買収 中小企業向けメールセキュリティプラットフォームを目指す
2021年11月8日 投資家グループがMcAfeeを買収 アドベントなど6社が共同出社した子会社によって全株取得