Loading...
Loading...
----------------------------------------------------------------------
JCICコラム「ハーバード大ベルファー・センターによる国別サイバー能力ランキングの正しい読み方」(10/11配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国CISA、「2023年-2025年の戦略的計画」を発表
・米国CISA、資産の脆弱性検出を求める拘束力のある運用指令
・米国FBIとCISA、選挙インフラへのサイバー攻撃に関する共同声明
・米国司法省、不正な暗号資産マイニングを行った元技術者に実刑判決
・米国司法省、ランサムウェア攻撃に関与したカナダ人に有罪判決
・豪州、Optusの漏えいデータを利用した詐欺罪で19歳を逮捕
----------------------------------------------------------------------
【2】JCICレポート「ハーバード大ベルファー・センターによる国別サイバー能力ランキングの正しい読み方」
----------------------------------------------------------------------
ハーバード大学ベルファー・センターがこの程発表した国別サイバー能力ランキングで、日本は2020年度の第9位から第16位に後退した。日本がこれをどう受け止めるべきかを読み解く。
全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1c
----------------------------------------------------------------------
【3】海外政策動向一覧(2022年9月14日~2022年10月7日)
----------------------------------------------------------------------
2022年9月14日 米国CISA、「2023年-2025年の戦略的計画」を発表
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、同庁の2023年から2025年の包括的な戦略を定めた計画を発表した。CISAが包括的戦略計画を発表するのは設立以来初めて。重点目標分野は次の4分野とされている。
1. サイバー防衛力確保に向けた推進:国家の重要機能に対する重大サイバーリスクを軽減
2. リスク低減とレジリエンス強化:重要インフラに対するリスクの低減と回復力の強化
3. 運用連携と情報共有の強化:政府・産業界・学術界・国際パートナーと国家レベルで連携
4. 機能、能力、人的資源の一元化:1つのチームとして効率的かつ費用対効果の高い運営
各目標には4~6つの難易度の高い目標が明示され、それぞれに望ましい結果が提示されている。
https://www.cisa.gov/strategy
https://www.cisa.gov/sites/default/files/publications/StrategicPlan_20220912-V2_508c.pdf
2022年10月3日 米国CISA、資産の脆弱性検出を求める拘束力のある運用指令
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦民間行政機関 (FCEB)に対して自動化された資産検出と脆弱性の列挙を求める拘束力のある運用指令を発出した。この運用指令は4月3日から効力を発する。14日ごとに検出されたすべての資産について脆弱性の列挙を開始し、脆弱性の発見から72時間以内にCISAが運営する継続的診断・軽減(CDM)ダッシュボードに自動登録するように求めている。
https://www.cisa.gov/news/2022/10/03/cisa-directs-federal-agencies-improve-cybersecurity-asset-visibility-and
https://www.cisa.gov/binding-operational-directive-23-01
2022年10月4日 米国FBIとCISA、選挙インフラへのサイバー攻撃に関する共同声明
米国連邦捜査局(FBI)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は、選挙インフラへのサイバー攻撃に関する共同声明を公開した。この声明では、選挙インフラには広範な安全対策が施され、なお且つ分散していることから、サイバー攻撃が大規模な混乱や投票妨害につながる可能性は低いと評価している。この報告書が公開された時点で、サイバー攻撃によって有権者の投票が妨げられたり、投票の整合性が損なわれた、登録情報の正確性に影響があったことを示唆する報告は受けていないとのこと。
https://www.cisa.gov/uscert/sites/default/files/publications/PSA_cyber-activity_508.pdf
2022年10月4日 米国司法省、不正な暗号資産マイニングを行った元技術者に実刑判決
米司法省は、暗号資産の不正マイニングを行う目的で、Capital Oneをはじめとする30以上の企業・組織に対する不正アクセスの罪で元技術者に実刑判決を下した。この元技術者は、自作ツールでAWSアカウントをスキャンし、設定ミスのあるアカウントを列挙、企業のデータを不正にダウンロードした。また、不正アクセス後に暗号資産のマイニングソフトウェアを仕込み、得られた収入を自らのオンラインウォレットに送金していた。
https://www.justice.gov/usao-wdwa/pr/former-hacker-sentenced-stealing-computer-power-mine-cryptocurrency-and-stealing
2022年10月5日 米国司法省、ランサムウェア攻撃に関与したカナダ人に有罪判決
米国司法省は、ランサムウェアアズアサービスのNetworkerにアフィリエイトとして関与したとされるカナダ人の男に懲役20年と罰金2,150万ドル(約31億円)の有罪判決を下した。NetWalkerは、企業や自治体、病院、教育機関など、世界中の組織に被害を与えている。男は2021年にケベック州で逮捕され、引き渡し条約に従って米国に引き渡されていた。
懲役刑の後にも3年間の観察処分が課され、インターネットに接続できるデバイスの使用は許可されない。
https://www.justice.gov/opa/pr/canadian-national-sentenced-connection-ransomware-attacks-resulting-payment-tens-millions
2022年10月6日 豪州、Optusの漏えいデータを利用した詐欺罪で19歳を逮捕
豪州の大手通信会社Optusのデータ侵害に関連し、流出したデータを利用した詐欺の容疑でシドニー在住の19歳を逮捕した。
この容疑者は、Optusからの漏えいデータがインターネットに公開された93人に対し、自らの銀行口座に2,000ドル(約29万円)を送金するようSMSで恐喝したとされている。
有罪判決を受けた場合、最大10年の懲役刑を課される可能性がある。
https://thehackernews.com/2022/10/19-year-old-hacker-arrested-for-using.html?m=1
https://amp.theguardian.com/business/2022/oct/06/teen-charged-with-attempting-to-blackmail-optus-customers-using-stolen-data
----------------------------------------------------------------------
【4】9月から10月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年9月2日 英当局、米国NortonLifeLockによる英国Avastの60億ポンド(約9,900億円)での買収を承認
2022年9月6日 米国Cerberus Sentinel、南米全域にマネージドセキュリティサービスを提供するNLT Secureを買収
2022年9月7日 ドバイGulf Business Machines、サイバーインシデント対応サービスのCoordinates Middle Eastを買収
2022年9月12日 Google、サイバーセキュリティ企業Mandiantの約54億ドル(約7,700億円)での買収を完了
2022年9月14日 量子関連技術SaaSのSandboxAQ、暗号分析ソフトウェアベンダーのCryptosenseを買収
2022年9月29日 Zscaler、セキュリティ管理を自動化するShiftRightを買収
2022年9月29日 仏Atos、Onepointによる42億ユーロ(約5,900億円)の買収提案を拒否
2022年10月3日 ASGN Incorporated、米政府にサービスを提供するIron Vine Securityを買収
2022年10月3日 英Kochoグループ、Moblicitiの買収によりモバイル管理とセキュリティサービスを提供へ