Loading...

Loading...

JCIC海外ニュースクリップ

----------------------------------------------------------------------
カナダ、サイバーセキュリティ保護のための新法を提案(6/21配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国司法省、サイバー攻撃プラットフォーム運営者に対して懲役2年間の判決
・カナダ、サイバーセキュリティ保護のための新法を提案
・インターポール、ソーシャルエンジニアリング詐欺に対する国際的な捜査の成果を公表
・米国でATMスキミング事件に関与したルーマニア人に禁固刑
・米国CISA、信頼できるインターネット接続(TIC)3.0のクラウドユースケースに意見募集
・カナダ、プライバシーとAIに関連する「デジタルチャーター法案」を提案

----------------------------------------------------------------------
【2】海外政策動向一覧(2022年6月11日~2022年6月17日)
----------------------------------------------------------------------
2022年6月13日 米国司法省、サイバー攻撃プラットフォーム運営者に対して懲役2年間の判決
米国司法省は、サブスクリプション型のDDoS攻撃代行サービスを提供していたウェブサイト運営者に対し、懲役2年間の有罪判決を下した。
顧客はサブスクリプション契約を結ぶことで、一定の期間指定した標的に対してDDoS攻撃を依頼することが可能となっていた。
DDoSサービスの記録から、2,000人以上がサービスに登録し、世界中の自治体、大学、金融機関へ20万回以上の攻撃が行われたとみられている。
このほか、個人により学校への攻撃が依頼されていた痕跡も見つかっている。
運営者はDDoS代行以外にも、利用者が素性を明かさずサーバをレンタルすることが可能な防弾ホスティングサービスを提供していた。
捜査は、Akamai Technologies、Cloudflare、DigitalOcean、Google、Palo Alto Networks - Unit 42などの協力のもと実施された。
https://www.justice.gov/usao-cdca/pr/illinois-man-sentenced-2-years-federal-prison-operating-subscription-based-computer

2022年6月14日 カナダ、サイバーセキュリティ保護のための新法を提案
カナダ政府は、国家のサイバーセキュリティを強化する目的で「サイバーセキュリティを尊重する法律(Bill C-26)」の法案を提出した。
金融、通信、エネルギー、運輸の各分野においてサイバーセキュリティ対策を進めるための提案が複数盛り込まれた。
まず、通信分野の対策を他の重要インフラ分野と同等水準に高めるため電気通信法の改正を目指す。企業に必要なセキュリティ対策の実施を義務付ける権限が政府に与えられ、この中にはリスクの高いサプライヤーの製品、サービスの利用を禁止する権限が含まれる。
また、重要インフラ全般を対象に「重要サイバーシステム保護法(CCSPA)」の導入を予定している。サイバーインシデントの予防と対応を焦点に、政府と州政府・自治体の連携強化を目指す。
https://www.canada.ca/en/public-safety-canada/news/2022/06/government-introduces-new-legislation-to-protect-canadas-cyber-security0.html

2022年6月15日 インターポール、ソーシャルエンジニアリング詐欺に対する国際的な捜査の成果を公表
インターポールは、ソーシャルエンジニアリング詐欺に対して、76カ国が参加した2カ月間の国際捜査の結果を報告した。
ネット詐欺やビジネスメール詐欺(BEC)と関連するマネーロンダリングを取り締まる捜査で、報告された主な成果は以下の通り。
「世界1,770カ所で被害」「約3千人の容疑者を特定」「約2千人の実行役、詐欺師、マネーロンダリング犯が逮捕」「約4千の銀行口座を凍結」「約5千万米ドル(約67億円)相当の違法資金を回収」
なお、一連の捜査は2014年以降毎年実施されているファーストライトと呼ばれる取り組みの一環。中国公安省の財政支援で実施されており、当初は東南アジアで実施されていたが、現在は世界中の法執行機関が連携している。
https://www.interpol.int/News-and-Events/News/2022/Hundreds-arrested-and-millions-seized-in-global-INTERPOL-operation-against-social-engineering-scams

2022年6月16日 米国でATMスキミング事件に関与したルーマニア人に禁固刑
米国連邦裁判所は、複数の州で銀行ATMに大規模なスキミングを行ったルーマニア人の男に対し、21カ月の禁固刑を言い渡した。
男は、2017年2月から6月にかけて約35件のATMスキミング事件に関与した。犯行の手口は、ATMにスキミング機器を設置し、使用されたカードから顧客番号と暗証番号(PIN)を読み取るもの。
犯罪グループのメンバーは、読み取られた情報を利用して偽のカードを複製し、不正に預金を引き出した。
判決では、スキミング被害をうけた銀行に139,533ドル(約1,900万円)、不正クレジットカードを発行された銀行に9,536ドル(約130万円)の賠償金を支払うよう命じた。
https://www.justice.gov/usao-ct/pr/romanian-national-involved-atm-skimming-scheme-sentenced

2022年6月16日 米国CISA、信頼できるインターネット接続(TIC)3.0のクラウドユースケースに意見募集
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「信頼できるインターネット接続(TIC)3.0」に対応するクラウドユースケースを公開し、パブリックコメントの募集を開始した。7月22日まで意見を受け付ける。
TIC 3.0は、米国連邦政府のデータとネットワークを保護することを目的とした指針。
行政管理予算局の覚書(M-19-26)に従い、安全で柔軟なネットワークアーキテクチャの設計と実装を行う行政機関をサポートするため、ユースケースの作成が求められていた。
今回公表されたクラウドユースケースでは、クラウド運用に共通するセキュリティガイダンスが提供される。IaaS、PaaS、SaaSにそれぞれ固有の考慮事項も取り上げている。
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/16/cisa-requests-public-comment-cisas-tic-30-cloud-use-case
https://www.cisa.gov/sites/default/files/publications/CISA%20TIC%203.0%20Cloud%20Use%20Case%20Draft_0.pdf

2022年6月16日 カナダ、プライバシーとAIに関連する「デジタルチャーター法案」を提案
カナダ政府は、プライバシーの保護とAIリスク軽減を目的とした複数の法案を含む「デジタルチャーター法(Bill C-27)」の法案を提出した。
この法案は、「消費者プライバシー保護法(CPPA)」「個人情報・データ保護裁判法」「人工知能・データ法」の制定に関する3部構成からなる。
法案が可決された場合、PIPEDAに代わる消費者プライバシー保護法が導入されることになる。PIPEDAは民間企業に対し顧客の個人情報の取扱いを規制する連邦法。2000年に制定され2015年に大きな改正が行われていた。
CPPAに違反した組織には巨額の罰金(全世界の売上高の5%または2,500万カナダドル(約26億円)のいずれか大きい方)を科すことが提案されている。これに関してカナダの個人情報保護当局に罰金を勧告する権限が与えられる予定。
人工知能・データ法は、影響力の大きいAIシステムを構築する企業に対し、危害や偏りが生じるリスクを特定・評価・軽減することを義務付ける。また、イノベーション科学産業大臣下にAIデータコミッショナーが設置され、規則遵守の監視、第三者による監査を命じることを想定している。また、コミッショナーに調査結果を他の規制当局と共有する機能を持たせることを提案している。
法案は現在審議の過程にあり、最終的に女王裁可を受けて制定される予定。
https://www.parl.ca/DocumentViewer/en/44-1/bill/C-27/first-reading
https://www.parl.ca/legisinfo/en/bill/44-1/c-27

----------------------------------------------------------------------
【3】6月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年6月1日 米ReliaQuest、脅威インテリジェンスサービスのDigital Shadowsを1.6億ドル(約207億円)で買収
2022年6月2日 サイバーセキュリティ管理サービスのCerberus Sentinel、IAMソリューションのCreatrixを買収
2022年6月2日 Airbus、ドイツのDSI DS社を買収 宇宙システム向けの暗号技術を強化
2022年6月6日 IBM、サイバーセキュリティスタートアップRandoriの買収計画を発表
2022日6月7日 米Forescout、Cysiv社買収によりIoTデバイスの脅威対応を拡充へ
2022年6月8日 Entrust、オランダの電子署名・ID認証ベンダーEvidosを買収
2022年6月14日 マイクロソフト、脅威インテリジェンス調査企業Miburoを買収
2022年6月14日 デジタルサポートサービスの米Ad Hoc社、連邦政府機関向け実績の多いCascades Technologiesを買収