Loading...

Loading...

JCIC海外ニュースクリップ

----------------------------------------------------------------------
モンテネグロ 国家安全保障局(ANB)、政府インフラを狙ったサイバー攻撃でサービス停止(9/6配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・英国 国家サイバーセキュリティセンター(NCSC)、建築業界向けの情報セキュリティガイダンスを公開
・米国 カリフォルニア州消費者プライバシー保護法(CCPA)に基づく初の和解措置案を公表
・モンテネグロ 国家安全保障局(ANB)、政府インフラを狙ったサイバー攻撃でサービス停止
・NATO、漏洩した軍事機密データの影響調査を開始
・台湾 新デジタル発展省(MODA)が発足。台湾のサイバー脅威への対処と能力強化を目指す
・INTERPOL、法執行機関間の安全なデータ通信を可能にするソリューション「I-24/7」について説明

----------------------------------------------------------------------
【2】海外政策動向一覧(2022年8月23日~2022年9月2日)
----------------------------------------------------------------------
2022年8月23日 英国 国家サイバーセキュリティセンター(NCSC)、建築業界向けの情報セキュリティガイダンスを公開
産官共同のインフラ建設プロジェクトを支援するベストプラクティスで、NCSCのほかにビジネスエネルギー産業戦略省(BEIS)と国家インフラ保護センター(CPNI)が共同執筆した。
合弁事業会社(JV)にとって情報セキュリティが重要な理由が説明され、リスク管理の推奨アプローチが次のように示されている。
・情報セキュリティのガバナンスと説明責任を確立し、取締役会レベルの関与を確保
・特定の情報セキュリティリスクの評価と、JV共通の情報セキュリティ戦略の策定責任者を特定
・JVが共有するリスクアペタイトを決定
・物理・人・サイバーのリスクを総合的に管理・軽減するための情報セキュリティ戦略を策定・合意
https://www.ncsc.gov.uk/news/joint-ventures-construction-guidance
https://www.ncsc.gov.uk/files/Joint-ventures-in-the-Construction-Sector-guidance.pdf

2022年8月24日 米国 カリフォルニア州消費者プライバシー保護法(CCPA)に基づく初の和解措置案を公表
これはCCPAの「Do Not Sell」条項違反に関する和解措置案で、仏国化粧品大手のSephoraに対して約1.7億円(120万米ドル)の罰金と一連のコンプライアンス遵守を求めた。
同社は個人情報販売のオプトアウト要求権を尊重せず、個人情報を販売していることを消費者に開示しなかったうえ、さらに法律が認める30日以内に違反を是正しなかった。
カリフォルニア州では2023年1月に、CCPAの修正・拡大版であるプライバシー権法(CPRA)の施行が予定されており、2022年1月1日から収集された個人情報に遡及して適用される予定。
https://oag.ca.gov/news/press-releases/attorney-general-bonta-announces-settlement-sephora-part-ongoing-enforcement
https://oag.ca.gov/system/files/attachments/press-docs/Proposed%20Final%20Judgment.pdf
:提案された判決および差止命令

2022年8月25日 モンテネグロ 国家安全保障局(ANB)、政府インフラを狙ったサイバー攻撃でサービス停止
軽減策の実施によりサービスの一部が暫定停止したが、攻撃はピークに達していないという。市民や企業のデータは無事だった。ANBはサイバー攻撃について、政治的に動機づけられ長期的に準備された攻撃であり、ロシアに協調的な組織による可能性を指摘した。
在モンテネグロ米国大使館はバルカン半島の米国国民に継続するサイバー攻撃に関して、公共事業、交通、通信の障害の可能性を警告した。
なお、モンテネグロはNATO加盟国であり、攻撃について同盟国に注意喚起している。
https://twitter.com/RTCGme/status/1563170847732674561
:記者会見動画
https://twitter.com/mdukaj1/status/1563497262315368448
:同国のドゥカジ行政相の公式アカウント
https://me.usembassy.gov/security-alert-montenegro-august-26-2022/

2022年8月26日 NATO、漏洩した軍事機密データの影響調査を開始
NATOは、防衛企業MBDAミサイルシステムズ*からデータを盗んだというサイバー攻撃者の主張について、同社のサプライヤーの1社が侵入元である可能性があるとして調査中。NATOのネットワークが侵害された形跡はなかったが、流出したデータにはウクライナ戦争でNATO同盟国が使用する兵器の設計図が含まれていることが判明した。
これまでに少なくとも1人以上の未知の買い手に対して、侵害されたデータの80GBを15ビットコイン(約4100万円)が販売されたことがロシア語・英語のフォーラムで活動する犯罪者によって主張されている。

*MBDAは、ランサムウェア攻撃を受けた後に同社のデータが販売に出されていることを認めている。但し、これは機密情報ではなく、また、侵害された外付けハードディスクから取得されたデータであると発表した。
https://www.bbc.com/news/technology-62672184
https://www.mbda-systems.com/2022/08/01/hacking-allegations-against-mbda-italy/

2022年8月27日 台湾 新デジタル発展省(MODA)が発足。台湾のサイバー脅威への対処と能力強化を目指す
MODAは拡大するサイバー攻撃に対処するため、オードリー・タンを長官として新たに発足した。今後は情報・通信・セキュリティに関する政策の策定と実施を任務とする。また、年内に同省の下に設立される国家サイバーセキュリティ研究所による柔軟な採用メカニズムを通じて、民間から優秀な人材を採用していく予定。
なお、MODAの遂行する任務の一つにはWeb 3.0技術があり、同省のウェブサイトはWeb 3.0技術により実装されている。また、DDoS攻撃に弱い中央集約アプローチの脆弱性を排除するためにIPFS技術*が採用されている。

*IPFSはイーサリアムベースの分散型P2Pファイル共有システム。ユーザはブロックチェーンノードにファイルやウェブサイトをホスティングして保存する。
https://moda.gov.tw/en/press/press-releases/1986
https://moda.gov.tw/majorpolicies/368

2022年8月31日 INTERPOL、法執行機関間の安全なデータ通信を可能にするソリューション「I-24/7」について説明
同局はI-24/7と安全な情報国間および国際的な法執行機関の協力推進について、犯罪目的での情報通信技術の使用に対処するための包括的な国際条約を作成するサイバー犯罪条約委員会(AHC)のなかで説明を行った。
I-24/7は権限をもつユーザが重要な警察データを互いに共有し、24時間体制でINTERPOLのデータベースやサービスにアクセスできるようにする既に存在する仕組み。加盟国の法定財政負担金によって継続的に維持・強化されている。2022年に入って、各国の法執行機関間で既に37億回の問い合わせが行われたという。
https://www.unodc.org/documents/Cybercrime/AdHocCommittee/Third_session/Documents/Statements/INTERPOL.pdf

----------------------------------------------------------------------
【3】8月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年8月3日 CIS Secure Computing、Intrepid Solutions and Servicesの買収で防衛・情報機関向け事業を拡大
2022年8月4日 ZeroFox、ID Experts Holdingsの合併を完了
2022年8月4日 Thoma Bravo、Ping Identityを28億ドル(約3,800億円)で買収
2022年8月5日 QinetiQ、米国国防総省と取引のあるAvantus Federalを5億9千万ドル(約800億円)で買収
2022年8月15日 ロンドン証券取引所、DarktraceとThoma Bravoの買収交渉について公示
2022年8月16日 英国の通信ITサービスWavenet、OGLグループの買収でサイバー関連サービス強化
2022年8月25日 イスラエルのセキュリティ企業MobilicomがIPO、1180万ドル(約11億円)を調達
2022年8月31日 Infinigate Group、クラウドソリューションプロバイダのVuzion を買収