----------------------------------------------------------------------
JCICレポート「サイバーセキュリティ対策黎明期の重要インフラ防護（政策史第6回）」（3/4配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・日本のサイバーセキュリティ政策史　第6回「サイバーセキュリティ対策黎明期の重要インフラ防護」
・国際捜査協力によりランサムウェア犯罪グループLockBitの関係者を逮捕、サイトを一時停止 日本警察による復号ツールも公開
・米国ホワイトハウス、米国港湾のサイバーセキュリティ強化イニシアティブを発表
・米国連邦取引委員会、消費者の閲覧データを第三者に販売したAvastに1650万ドルの支払いを要求
・英国NCSCとファイブアイズ同盟国、ロシアの高度標的型攻撃グループによるクラウド環境への攻撃に警鐘
・米国ホワイトハウス、米国人の機密データを「懸念国家」による悪用から保護するための大統領令を発令
・イスラエル個人情報保護局、非営利団体を対象とした調査においてセキュリティ脆弱性を報告

--------------------------------------------------------------------------
【2】JCICレポート「サイバーセキュリティ対策黎明期の重要インフラ防護（政策史第6回）」
---------------------------------------------------------------------------
サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。
第6回は、内閣官房情報セキュリティセンター(NISC)発足時に重要インフラ防護担当参事官を務めた立石譲二氏をお迎えし、話をうかがいます。
大規模サイバー障害事案とは無縁、セキュリティ意識の醸成される前の時代の日本の経済社会において政策立案に奔走する中で痛感した日本の課題とは。
全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html

----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2024年2月20日 国際捜査協力によりランサムウェア犯罪グループLockBitの関係者を逮捕、サイトを一時停止 日本警察による復号ツールも公開
米国司法省は、米英を中心とした10カ国の捜査当局が共同作戦を実施し、ランサムウェア犯罪グループLockBitのメンバーとみられるロシア人2名を逮捕、運営サイトを押収したと発表した。LockBitはこれまで2千以上の組織が合計1億2千万ドル（約180億円）の被害に遭ったとされる世界最大級の規模のグループで、RaaS（ランサムウェアアズアサービス）として様々な実行グループにデータ暗号化マルウェアや暴露サイトのサービスを提供していた。
押収したサイトのデータには、被害者から盗んだデータや暗号資産、複合キーなどが含まれていたという。摘発後、運営サイトは各国当局による共同凍結メッセージに差し替えられ、日本の警察庁が開発した復号ツールも被害者救済のための案内として掲載された。
その後、2月27日にLockBit主催者がバックアップからサイトを復旧し、事態の説明とFBIへの報復を行う旨のメッセージを発した。システムを改善したうえでRaaSサービスを再開する意向を示しているが、識者はLockBitはダメージをうけており、彼らのサービスを利用する実行犯グループからも不信感を持たれた可能性があると指摘している。
https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-returns-restores-servers-after-police-disruption/

2024年2月21日 米国ホワイトハウス、米国港湾のサイバーセキュリティ強化イニシアティブを発表
米国ホワイトハウスは、海上のサイバーセキュリティとサプライチェーンを強化し、米国の港湾のセキュリティを強化するための大統領令を発表した。バイデン大統領の「Investing in America」の下、米国の港湾インフラに200億ドル（約3兆円）を超える投資が行われたことを受け、安全で確実なクレーンを米国の港湾に提供するため、国内の陸上製造能力を米国に呼び戻す意向が発表される予定。
本イニシアティブには、以下のアクションプランが含まれている。
・バイデン大統領が、米国の港湾のネットワークとシステムの安全性を確保するためのサイバーセキュリティ基準など、海上のサイバー脅威に直接対処する国土安全保障省の権限を強化する大統領令に署名する
・米国沿岸警備隊が、米国の商業戦略港に設置されている中華人民共和国製の船舶対陸上クレーンに対するサイバーリスク管理措置に関する海上保安指令を発表する
・米国沿岸警備隊が、海上輸送システムにおけるサイバーセキュリティに関する規則制定提案通知を発表する
・信頼できるパートナーとともに米国の港湾クレーン生産能力を再構築することで、米国民のために尽力する
https://www.whitehouse.gov/briefing-room/statements-releases/2024/02/21/fact-sheet-biden-harris-administration-announces-initiative-to-bolster-cybersecurity-of-u-s-ports/

2024年2月22日 米国連邦取引委員会、消費者の閲覧データを第三者に販売したAvastに1650万ドルの支払いを要求
米連邦取引委員会（FTC）は、英国に本社を置くAvast社が利用者のウェブ閲覧履歴を不当に収集したうえで販売したとして、罰金1650万ドル（24.7億円）の支払いと広告目的でのデータの販売を禁ずる措置を求めた。
訴状によれば、同社はプライバシーポリシーにおいてデータの共有は個人情報を集約した匿名形式でのみ転送すると記載していたが、2014年以降に消費者への十分な通知も同意もなくチェコの子会社を通じて100以上の第三者への販売していた疑いがある。販売されたデータは、個人が特定可能な形で宗教的信条、健康への関心、政治的傾向、居住地、財政状態、児童向けコンテンツへのアクセス履歴等の機微な情報が含まれていたという。
FTCはAvastに対し約25億円（1650万米ドル）の罰金と、広告目的でのデータの販売／ライセンス供与の禁止を要求した。
https://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-ban-avast-selling-browsing-data-advertising-purposes-require-it-pay-165-million-over

2024年2月26日 英国NCSCとファイブアイズ同盟国、ロシアの高度標的型攻撃グループによるクラウド環境への攻撃に警鐘
英国の国家サイバーセキュリティセンター（NCSC）とファイブ・アイズのパートナー（米国、オーストラリア、カナダ、ニュージーランドの当局）は、ロシアの対外情報庁（SVR）を背景とする高度標的型攻撃グループ「APT29」が、クラウドホスト環境に移行した組織を標的とするために、情報窃取の戦術を更新したとしてその詳細を報告するとともに警戒を促した。
今回のアナウンスでは、攻撃者がクラウド環境への初期アクセスを獲得するためにクラウドサービス自体への攻撃もスコープに入れた手口を用いる点に進化が見られるとしている。多要素認証疲れと呼ばれる不正アクセス手法や家庭用ルーターを悪用したアクセス元偽装の手口などの詳細が解説され、これらの攻撃を検知するための助言がまとめられている。
https://www.ncsc.gov.uk/news/uk-allies-expose-evolving-tactics-of-russian-cyber-actors
https://www.ncsc.gov.uk/news/svr-cyber-actors-adapt-tactics-for-initial-cloud-access

2024年2月28日 米国ホワイトハウス、米国人の機密データを「懸念国家」による悪用から保護するための大統領令を発令
米国ホワイトハウスは、米国人の機密データを「懸念国家」による悪用から保護するための大統領令を発令した。背景には、企業が販売・転売する米国人のデータが、ブローカーを通じて外国の諜報機関や軍・外国政府監視下にある企業の手に渡る可能性がある現状について、プライバシー・防諜・国家安全保障上の重大リスクとしての懸念が高まっていたことがある。主な対象となるのは米国人の機微な情報で、遺伝子や生体、健康、位置、財務に関するデータ、および個人を特定可能な情報が含まれる。
発令をうけ、司法省、国土安全保障省、保健福祉省、国防省、米国電気通信事業の外国企業参加評価委員会などが機微データへのアクセスにつながる可能性のある活動に対する予防措置を今後検討することになる。また、司法省はブローカーが「懸念国家」に米国人のデータを送信することを禁止する規制を作成し、機微データが大量移転するのを防止する権限が司法長官に与えられる。
大統領令に懸念国家の具体的な名前は示されていないが、NYタイムズ紙は懸念国家にはロシア、中国、北朝鮮、イランなどを想定しているだろうと報じている。
https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/28/executive-order-on-preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related-data-by-countries-of-concern/
https://www.whitehouse.gov/briefing-room/statements-releases/2024/02/28/fact-sheet-president-biden-issues-sweeping-executive-order-to-protect-americans-sensitive-personal-data/
https://www.nytimes.com/2024/02/28/technology/biden-data-sales-china-russia.html

2024年2月29日 イスラエル個人情報保護局、非営利団体を対象とした調査においてセキュリティ脆弱性を報告
イスラエル個人情報保護局（PPA）は、昨年からの新たなガザ紛争に起因して設立された多くの非営利団体などを対象に、個人情報保護法とその規程の遵守状況を調査した結果をまとめた報告書を発表した。そのなかで、非常事態における機密情報保護の重要性の認識とセキュリティ手順の欠如を指摘している。
今回の調査が対象とした組織の多くでは、治安部隊、避難家族、テロの犠牲者などの支援を目的にサービス利用者の機密性の高い個人情報が収集・保有・利用されているが、個人を特定可能な情報が適切に保護されないまま放置されている問題などが明らかになっている。公表された調査データの代表的な結果は以下の通り。
・情報セキュリティ手順が存在しない／既存の手順が法律の要件を満たしていない（40％）
・法律や規定が低～中程度のみ遵守されている（33％）
・強固なパスワードポリシーが欠如している（22％）
・法律で義務付けらる公的機関間で情報の授受するための監督委員会が任命されていない（48％）
https://www.gov.il/he/departments/publications/reports/audit-report

----------------------------------------------------------------------
【4】3月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年2月20日 スウェーデンのセキュリティ企業Allurity、ベルリンと香港を拠点とするセキュリティ企業SRLabsを買収
2024年2月21日 特権アクセス管理（PAM）ソリューション企業Delinea、アイデンティティガバナンス管理（IGA）ソリューション企業Fastpathを買収