Loading...
----------------------------------------------------------------------
オランダ政府、新たなサイバーセキュリティ戦略を発表(10/26配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・オランダ政府、新たなサイバーセキュリティ戦略を発表
・米国当局、データ侵害隠蔽の疑いでアパレルブランド運用会社に罰金
・ウクライナとポーランドの運輸・物流業界を狙う新種のランサムウェアが発見
・オランダ警察、ランサムウェア攻撃グループを欺き復号キーを入手
・豪州個人情報保護委員会、年次報告を公開
・ブラジル警察、多国籍サイバー犯罪組織Lapsus$の主犯格を逮捕
----------------------------------------------------------------------
【2】海外政策動向一覧(2022年10月3日~2022年10月14日)
----------------------------------------------------------------------
2022年10月10日 オランダ政府、新たなサイバーセキュリティ戦略を発表
オランダ政府は、2022年から2028年の期間を対象とする新たなサイバーセキュリティ戦略を発表した。オランダをよりセキュアなデジタル社会とするための4つのアクションプランを含んでいる。目標達成に向けたデジタルセキュリティ体制整備のため、現在の国家サイバーセキュリティセンター、デジタルトラストセンター、インシデント対応チームは、国家サイバーセキュリティ当局に統合される予定。4つのアクションプランの内容は次の通り。「政府、企業、市民社会組織のデジタル・レジリエンスを高めること」「安全で革新的なデジタル製品・サービスを提供すること」「国家や犯罪者からのデジタル脅威に対抗すること」「十分なサイバーセキュリティの専門家、セキュリティに関する教育、市民のデジタルレジリエンス」
https://www.rijksoverheid.nl/documenten/publicaties/2022/10/10/nederlandse-cybersecuritystrategie-2022---2028
2022年10月12日 米国当局、データ侵害隠蔽の疑いでアパレルブランド運用会社に罰金
米国ニューヨーク州司法長官は、ファストファッションブランドSHEINとROMWEを運営するZoetop社に対し、データ侵害の事実を隠ぺいした疑いで190万ドル(約2億8千万円)の罰金を科した。
2018年6月に当時3,900万人が利用していたSHEINのシステムが侵害され、セキュリティ企業の調査によりユーザーの認証情報や個人情報が窃取されたことが判明した。この際Zoetopはユーザーの大部分にアカウント侵害の通知をしなかったが、全てのユーザーに通知をする途中であると表明していた。また、クレジットカード情報が漏えいした事実はないと虚偽の説明をしていた。
また、この2年後にはダークウェブ上で700万人分のROMWEのアカウント情報が発見されており、SHEINと同様の攻撃で情報流出した可能性を考慮した対応も怠ったとみられている。
https://ag.ny.gov/press-release/2022/attorney-general-james-secures-19-million-e-commerce-shein-and-romwe-owner-zoetop
https://ag.ny.gov/sites/default/files/2022.10.12_zoetop_nyag_aod_final_-_fully_executed.pdf
2022年10月14日 ウクライナとポーランドの運輸・物流業界を狙う新種のランサムウェアが発見
ウクライナとポーランドの運輸・物流会社にPrestigeと呼ばれる新種のランサムウェア攻撃が行われた形跡が発見された。解析を行ったマイクロソフトは、攻撃者は1時間に満たない間に広範囲のシステムが標的にされたとしている。現時点では既知のグループへの関連付けはされていないが、以前ウクライナ政府機関を混乱させたロシアを拠点とするAPTグループの攻撃手法との類似性が認められるという。また、影響を受けた地域や国についてもウクライナ侵攻の開始前後に発見されたデータ破壊型マルウェアHermeticWiperなどの被害者と重複していると述べている。
https://www.reuters.com/technology/microsoft-says-ukraine-poland-targetted-with-novel-ransomware-attack-2022-10-14/
https://www.microsoft.com/security/blog/2022/10/14/new-prestige-ransomware-impacts-organizations-in-ukraine-and-poland/
2022年10月18日 オランダ警察、ランサムウェア攻撃グループを欺き復号キーを入手
オランダ警察は、ランサムウェア攻撃グループDeadboltを欺き、暗号化されたファイルを復旧する復号キーを150以上入手した。オランダ警察のサイバー犯罪チームは、Deadboltに身代金としてビットコインを支払ったが、復号キーが渡されるとすぐに支払いを撤回し、身代金を支払うことなく暗号化を解除することに成功した。現在Deadboltによって世界で約20万台のストレージデバイスが暗号化されており、そのうち少なくとも千台はオランダにあるという。
https://nltimes.nl/2022/10/16/dutch-police-recover-150-ransomware-decryption-keys
2022年10月19日 豪州個人情報保護委員会、年次報告を公開
オーストラリア個人情報保護委員会(OAIC)は、2021年から2022年期中の年次報告を公開した。
実施された統計によると、プライバシーに関する苦情が前年度から3%増加(2,544件)、省庁や大臣の情報公開(FOI)決定に対するレビュー申請が63%増加(1,995件)、FOIへの苦情が42%増加(215件)したという。
OAICは、政府保有情報を積極的に公開することでタイムリーなアクセスを可能にする「オープン・バイ・デザイン原則」に基づき、情報公開申請の負担を減らし、政府機関の情報公開処理コストを最小化することを目指す。また、適切な規制を行うために国内外のコラボレーションを通じた専門知識活用を拡げていく方針。
https://www.oaic.gov.au/about-us/our-corporate-information/annual-reports/oaic-annual-reports/annual-report-2021-22
2022年10月19日 ブラジル警察、多国籍サイバー犯罪組織Lapsus$の主犯格を逮捕
ブラジル連邦警察は、多国籍サイバー犯罪組織Lapsus$の主犯格とされるブラジル人の男を逮捕した。
Lapsus$は、2021年12月10日に保健省のウェブサイトを攻撃して50テラバイトのデータを盗み、システムからデータを削除したと主張していた。さらに国の予防接種証明書を管理するウェブサイトも侵害され、完全復旧には一ヶ月を要したという。これ以外にも、不正アクセス、サービス妨害、復旧の妨害、マネーロンダリングなど多くの余罪も判明している。
Lapsus$については、ブラジル以外にも南アメリカやポルトガル、米国、ヨーロッパなど多くの国々が被害をうけている。
https://www.gov.br/pf/pt-br/assuntos/noticias/2022/10/pf-prende-brasileiro-suspeito-de-integrar-organizacao-criminosa-internacional
https://agenciabrasil.ebc.com.br/saude/noticia/2022-01/saude-sistemas-de-dados-serao-normalizados-ate-sexta
----------------------------------------------------------------------
【3】10月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年10月3日 ASGN Incorporated、米政府にサービスを提供するIron Vine Securityを買収
2022年10月3日 英Kochoグループ、Moblicitiの買収によりモバイル管理とセキュリティサービスを提供へ
2022年10月11日 米国司法省、Booz Allen Hamilton HoldingによるEverWatchの買収を拒否
2022年10月11日 Thoma Bravo、ID管理のForgeRockを23億ドル(約3,390億円)で買収
2022年10月12日 Vista Equity Partners、セキュリティ教育サービスのKnowBe4を46億ドル(約6,781億円)で買収
2022年10月13日 英Red Sift、Attack Surface Managementを提供するHardenizeを買収