Loading...

Loading...

JCIC海外ニュースクリップ

----------------------------------------------------------------------
米国CISA、重要インフラ事業者が優先的に投資すべきサイバーセキュリティの実践目標を公表(11/1配信)
----------------------------------------------------------------------


----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国司法省、情報窃取マルウェアサービスの運営に関与したウクライナ国民を起訴
・豪州議会、2022年個人情報保護法改正案を提出
・米国ホワイトハウス、サイバーセキュリティ向上100日プランを化学分野に拡大
・米国CISA、重要インフラ事業者が優先的に投資すべきサイバーセキュリティの実践目標を公表
・米国連邦通信委員会、公共緊急警報システムの保護規則を承認

----------------------------------------------------------------------
【2】海外政策動向一覧(2022年10月21日~2022年10月27日)
----------------------------------------------------------------------
2022年10月25日 米国司法省、情報窃取マルウェアサービスの運営に関与したウクライナ国民を起訴
米国司法省は、Raccoon Infostealerと呼ばれる情報窃取マルウェアサービスの運営に関与していたウクライナ国民を起訴した。このサービスは月額200ドルで利用可能で、マルウェアに感染した端末から資格情報や個人データを窃取し、サイバー犯罪フォーラムで販売されていた。購入者は金融犯罪などに情報を悪用していた。
2022年3月、イタリアとオランダの法執行機関とFBIの連携捜査により、Raccoon Infostealerが稼働していたインフラは解体されオフラインになっていた。
FBIは、自身の情報がRaccoon Infostealerによって漏洩していないか確認するウェブサイト(raccoon.ic3.gov)を公開している。利用者は自身の電子メールアドレスを入力することで判定を実施できる。
https://www.justice.gov/usao-wdtx/pr/newly-unsealed-indictment-charges-ukrainian-national-international-cybercrime-operation

2022年10月26日 豪州議会、2022年個人情報保護法改正案を提出
オーストラリア議会に2022年個人情報保護法改正案が提出され、初回読会が実施された。この法案は、1988年連邦プライバシー法を改正するもの。
「プライバシーに対する深刻または反復的な妨害」を厳罰化し、個人への罰則を250万豪ドル(約2.4億円)、法人への罰則を5千万豪ドル(約47億円)に引き上げる案や、域外適用規定を修正して外国の組織がオーストラリアで事業を行う限りプライバシー法を遵守する義務が生じるとする案が示された。この案では、オーストラリア国内で直接オーストラリア人の情報を収集・保有していない場合にも適用される。
また、情報コミッショナーオフィスにプライバシー侵害を解決するための一連の権限が付与される予定。企業が要求された情報を提出しなかった場合にも、評価を行うための情報収集権限を使用できる。
https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6940
https://parlinfo.aph.gov.au/parlInfo/search/display/display.w3p;query=Id%3A%22chamber%2Fhansardr%2F26227%2F0016%22

2022年10月26日 米国ホワイトハウス、サイバーセキュリティ向上100日プランを化学分野に拡大
米国ホワイトハウスは、サイバーセキュリティ官民パートナーシップによるサイバーセキュリティ向上のための100日プランを新たに化学分野で実施する。
化学分野のサイバーセキュリティ強化を目的に、重大化学物質放出の危険性がある高リスク化学施設に重点を置いている。また、官民による情報の共有と分析、化学メーカーが制御システムに脅威検出機能を設置することを奨励している。
サイバーセキュリティ向上のための100日プランは、2021年4月に電力分野を最初の対象としてはじまった取り組み。その後、ガス石油パイプライン、水道の分野でも実施された。電力分野では、100日プランの結果として150以上の電力会社がサイバー防御のための新技術を導入したという報告がある。
https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/26/fact-sheet-biden-harris-administration-expands-public-private-cybersecurity-partnership-to-chemical-sector/
https://www.energy.gov/articles/progress-report-100-days-biden-administrations-industrial-control-systems-ics

2022年10月27日 米国CISA、重要インフラ事業者が優先的に投資すべきサイバーセキュリティの実践目標を公表
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、重要インフラ事業者が優先的に投資すべきサイバーセキュリティの実践目標を公表した。
バイデン大統領による国家安全保障の覚書では、すべてのセクターの重要インフラに一貫したサイバーセキュリティの基本目標を策定するよう求められていた。今回の取り組みはこの要求を受けたもので、一連の目標はクロスセクター・サイバーセキュリティ・パフォーマンス・ゴール(CPGs)と名付けられた。
CPGsは最も一般的かつ影響の大きいサイバーリスクに対処することを目的としており、容易に実装可能で非技術者の管理層にも伝達しやすいように設計されている。アカウントのセキュリティ、ガバナンスと訓練、サプライチェーンとサードパーティなど8つのドメインを示し、想定されるリスクと推奨対策などが整理されている。
ただし、組織が実施すべき最低限のセキュリティ対策を想定しているため、必要な対策を網羅したものではないと位置づけられている点に注意が必要。
https://www.dhs.gov/news/2022/10/27/dhs-announces-new-cybersecurity-performance-goals-critical-infrastructure
https://www.cisa.gov/sites/default/files/publications/2022_00092_CISA_CPG_Report_508c.pdf

2022年10月27日 米国連邦通信委員会、公共緊急警報システムの保護規則を承認
米国連邦通信委員会(FCC)は、公共警報システムをサイバー脅威から保護することを目的とする新しい規則を承認した。
公共警報システムは、ラジオ、テレビ、衛星放送局を介して、悪天候や自然災害への警報から行方不明児の捜索情報まで、あらゆる情報を共有するために使用される。
警報は、連邦・州・地方の当局によって発信され、参加者のネットワーク全体で共有される。
今回可決された規則の下では、公共警報システムの運営者はセキュリティ侵害を72時間以内に報告する必要がある。報告を受けたFCCは、公共緊急警報システムへの参加者や他の政府機関などと協力して、攻撃者に誤ったアラートを送信される前に機器の侵害を解決するための対応をおこなう。
過去には、2020年にワシントン州の地域ケーブル事業者が侵害され放射線緊急事態に関するフェイクニュースが拡散された事件や、2013年にモンタナ州とミシガン州のローカル放送局に接続された複数のシステムから偽のゾンビ黙示録が拡散された事件などがあった。今回承認された保護規則には、同様の大規模な混乱が再び発生することを防ぐ狙いがある。
https://www.fcc.gov/document/fcc-acts-strengthen-security-nations-alerting-systems

----------------------------------------------------------------------
【3】10月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年10月3日 ASGN Incorporated、米政府にサービスを提供するIron Vine Securityを買収
2022年10月3日 英Kochoグループ、Moblicitiの買収によりモバイル管理とセキュリティサービスを提供へ
2022年10月11日 米国司法省、Booz Allen Hamilton HoldingによるEverWatchの買収を拒否
2022年10月11日 Thoma Bravo、ID管理のForgeRockを23億ドル(約3,390億円)で買収
2022年10月12日 Vista Equity Partners、セキュリティ教育サービスのKnowBe4を46億ドル(約6,781億円)で買収
2022年10月13日 英Red Sift、Attack Surface Managementを提供するHardenizeを買収
2022年10月27日 重要インフラ向けソリューションのOPSWAT、マルウェア分析プラットフォームのFileScan.IOを資産買収
2022年10月27日 米国SandboxAQ、ポスト量子暗号を扱うCryptosenseを買収