Loading...

Loading...

JCIC海外ニュースクリップ

----------------------------------------------------------------------
世界経済フォーラム、グローバルリスク報告書の2022年版を公表(1/18配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・中国人民銀行、デジタル人民元アプリの試行版をリリース
・欧州データ保護監督庁、ユーロポールに対して犯罪行為との関連性が不確かな個人に関するデータの消去を命令
・世界経済フォーラム、グローバルリスク報告書の2022年版を公表
・米国CISA、FBI、NSA 米国重要インフラに対するロシアのサイバー脅威に対するサイバーセキュリティ勧告を発表
・米国サイバー軍、イランの脅威グループが使用する諜報ツールの情報を公開
・米国ホワイトハウス、Log4j問題を受けGAFAなどを招いたOSSセキュリティ会議を開催
・ウクライナ、政府機関ウェブサイトへのサイバー攻撃でロシアを非難
・Proofpoint、AIとクラウドを活用するデータ保護イノベーション企業Dathenaを買収

----------------------------------------------------------------------
【2】海外政策動向一覧(2022年1月4日~2022年1月15日)
----------------------------------------------------------------------
2022年1月4日 中国人民銀行、デジタル人民元アプリの試行版をリリース
中国人民銀行デジタル通貨研究所は、中国の法定デジタル通貨「デジタル人民元」の個人向けサービスの試行版となるモバイルアプリをリリースした。アプリの機能はデジタルウォレットの開設と管理、デジタル人民元の両替や流通サービスの利用など。
現在のところ試行版の入手は一部のユーザーや地域に限定されている。北京五輪の関連施設のほか、北京や上海、河北省張家口などの一部都市でも利用可能。
利用者は、まず中国の国有銀行もしくは民間銀行の大手7行、および電子決済サービス「アリペイ」、「WeChatペイ」から事業者を選び、個人情報の入力画面に進む。
ウォレットの限度額や取引限度額は、登録する実名個人情報の度合いに応じて制限を減らす仕組みがある。身分証番号や銀行口座などの個人情報を提供をすると限度額が上がり、最終的には上限はなくなる予定という。携帯電話番号のみが登録された場合のウォレット残高上限は1万元(約18万円)で、取引上限額は一回ごとに2,000元(約3万6千円)となる。
https://apps.apple.com/cn/app/%E6%95%B0%E5%AD%97%E4%BA%BA%E6%B0%91%E5%B8%81-%E8%AF%95%E7%82%B9%E7%89%88/id1571652872
https://new.qq.com/omn/20220104/20220104A056XV00.html
https://finance.sina.com.cn/tech/2022-01-04/doc-ikyamrmz3150578.shtml

2022年1月10月 欧州データ保護監督庁、ユーロポールに対して犯罪行為との関連性が不確かな個人に関するデータの消去を命令
欧州データ保護監督庁(EDPS)は、欧州警察(ユーロポール)に対し、犯罪行為との関連性が不確かな個人に関するデータを消去するよう命じた。
この決定は、データ対象者分類(DSC)* を行わないまま大量のデータを保存し続けようとするユーロポールの方針に関して下されたもの。EDPSは、こうした方針が個人の基本的人権を侵害する危険性があると欧州警察に勧告した。また、大規模・複雑なデータセットであってもDSCを決定するまでの期間は最長6か月までと定めるとともに、期間内に対象の分類を完了し、期間満了後はデータを消去するように要求した。
この決定に対してユーロポールは反論の声明を発表した。警察の捜査と同様に、捜査活動はしばしば6ヶ月を超える期間を必要とし、これは近年の事例からも明らかだと述べている。
EDPSは2019年4月から2020年9月にかけて、ユーロポールのビッグデータ解析に適用されるデータ保護の枠組みを独自に調査し、欧州警察の定める規則に準拠していないと判断していた。
(*)データ対象者分類(DSC)とは、データセットの中から犯罪行為に関連する容疑者、将来の犯罪者となりうる人物、連絡先や仲間、被害者、目撃者、情報提供者を特定する行為を指す。
https://edps.europa.eu/press-publications/press-news/press-releases/2022/edps-orders-europol-erase-data-concerning_en
https://www.europol.europa.eu/media-press/newsroom/news/europol%E2%80%99s-statement-decision-of-european-data-protection-supervisor

2022年1月11日 世界経済フォーラム、グローバルリスク報告書の2022年版を公表
世界経済フォーラム(WEF)は、ダボス会議の実施に先駆けて2022年版のグローバルリスク報告書を公表した。この報告書は、グローバルリーダーに対するリスク意識調査に基づいて例年作成されている。今回の報告書では、短期、中期、長期のリスクのいずれにおいても異常気象や気候変動対応の失敗といった環境関連のリスクが約半数を占める結果となった。サイバーセキュリティは、短期リスクの7位、中期リスクの8位に位置づけられたが、長期リスクには挙げられず、比較的明るい見通しが示された分野といえる。一方で、新型コロナウイルスの影響で生じる経済格差が国家間のサイバーリスクを増大させる可能性を指摘し、政府・企業・コミュニティの協調の必要性が訴えている。
https://jp.weforum.org/reports/global-risks-report-2022

2022年1月11日 米国CISA、FBI、NSA 米国重要インフラに対するロシアのサイバー脅威に対するサイバーセキュリティ勧告を発表
米国サイバーセキュリティ・インフラ庁(CISA)、連邦捜査局(FBI)、国家安全保障局(NSA)は、ロシアによる国家主導型サイバー攻撃の概要を記述したサイバーセキュリティアドバイザリーを共同発表した。
米国重要インフラのロシア脅威への対応として「1. 準備をする」「2. 組織のサイバー態勢の強化」「3.組織の警戒を強める」という3点を示している。
ロシアの国家主導型サイバー攻撃グループが用いる具体的な戦術・技術・手順の詳細については、CISAによる解説ページを見直すことを奨めている。
https://www.cisa.gov/uscert/ncas/current-activity/2022/01/11/cisa-fbi-and-nsa-release-cybersecurity-advisory-russian-cyber
https://www.cisa.gov/uscert/ncas/alerts/aa22-011a
https://www.cisa.gov/uscert/russia

2022年1月12日 米国サイバー軍、イランの脅威グループが使用する諜報ツールの情報を公開
米国サイバー軍は、イランの脅威グループが諜報活動に使用するオープンソースツールを特定し、その情報を公開した。ツールの情報をもとに、イランからのサイバー攻撃に対してより有効な防御策を講じることを促す狙いがある。
「MuddyWater」として知られるこのグループは、主に中東諸国、ヨーロッパ諸国、北米諸国を標的とした活動が観測されている。
米国議会調査局の報告によると、「MuddyWater」はイラン情報安全保障省(MOIS)に所属していおり、国内外の反政府活動者を監視をしているとみられている。
https://www.cybercom.mil/Media/News/Article/2897570/iranian-intel-cyber-suite-of-malware-uses-open-source-tools/

2022年1月14日 米国ホワイトハウス、Log4j問題を受けGAFAなどを招いたOSSセキュリティ会議を開催
米国ホワイトハウスの国家安全保障顧問は、世界に広く影響を与えるソフトウェアの脆弱性の問題への対応を議論するため、巨大IT企業のCEOなどを招いて会議を行ったことを明かした。
オープンソースソフトウェア(OSS)のLog4jに昨年末発見された深刻な脆弱性の問題をうけ、重要なソフトウェアへの投資が十分に行われていないという見解をホワイトハウスは示した。
会議に参加した企業も、OSSが一部のボランティアに依存した不安定な活動になってしまっていることの問題意識を共有したという。
またGoogleは、既に1億ドル程度を投じているOpenSSFを通じたオープンソースセキュリティ標準化活動や、OSS保守サービスのマーケットプレイス化などのアイデアを提案したとのこと。
https://edition.cnn.com/2021/12/23/politics/white-house-log4j-tech-firms-meeting/index.html
https://www.zdnet.com/article/after-log4j-white-house-worries-about-the-next-big-open-source-flaw/

2022年1月15日 ウクライナ、政府機関ウェブサイトへのサイバー攻撃でロシアを非難
ウクライナでは、2022年1月14日に政府機関などの数十のウェブサイトにサイバー攻撃を受け、改ざんやサービス停止等の被害が発生した。改ざんされたサイトには、ウクライナ国民に向けて「最悪の事態を恐れよ」というメッセージが表示されていた。
この件でウクライナはロシアを非難しており、調査は継続的であるとしつつも、ロシアの関与を示唆する痕跡を入手したとしている。一方で、個人情報漏えい等の被害は確認されなかったという。
EUのボレル主席外交官は、既に緊迫したウクライナ情勢をさらに不安定にするものであるとして、今回のサイバー攻撃を非難した。
https://www.bbc.com/news/world-europe-59992531
https://edition.cnn.com/2022/01/14/europe/ukraine-cyber-attack-government-intl/index.html

----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細(一部先月末情報を含む)
----------------------------------------------------------------------
2021年12月20日 日本でサイバーセキュリティ教育事業を展開するGSX、マザーズへ新規上場【IPO情報】
2021年12月23日 インド発グローバルIT企業のWipro、米国のセキュリティコンサルティング企業Edgileを買収
2021年12月30日 米国MDR市場のリーダーFishtech Group、SIEMのリーダー企業Herjavec Groupと合併
2022年1月4日 Google、イスラエルのSOARサービス企業Siemplifyを買収、Google Cloudへ統合予定
2022年1月10日 MDRサービスのSilverSky、米国のSOCサービス企業Cygilantを買収
2022年1月10日 Proofpoint、AIとクラウドを活用するデータ保護イノベーション企業Dathenaを買収
2022年1月10日 サイバーフィジカルシステム構築のClaroty、ヘルスケアIoTセキュリティ大手Medigateを買収
2022年1月13日 DigiCert、IoTサイバーセキュリティプロバイダーのMocanaを買収