Loading...
----------------------------------------------------------------------
米国連邦取引委員会、顔認識による新たな保護者同意メカニズムの使用を却下(4/9配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・ドイツ警察、ダークネットマーケットのNemesis Marketを押収
・中国国家インターネット情報局、「国境を越えるデータの流れの促進と規範に関する規定」を発表
・英米両政府、中国政府関連のサイバー攻撃に関与したグループへ制裁措置
・欧州ENISA、2030年に向けたサイバーセキュリティの脅威予測を公開
・シンガポール当局、サイバーセキュリティ健全性報告書2023の調査結果を初めて発表
・米国連邦取引委員会、顔認識による新たな保護者同意メカニズムの使用を却下
----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2024年3月21日 ドイツ警察、ダークネットマーケットのNemesis Marketを押収
ドイツのインターネット犯罪対策中央局(ZIT)と連邦刑事警察局(BKA)は、ドイツとリトアニアにある違法なダークネットマーケット「Nemesis Market」の停止と暗号資産94,000ユーロ(約154万円)の押収を発表した。この国際捜査は、ドイツ、アメリカ、リトアニアの法執行当局の協力によって実施された。
2021年に設立され、その後急速に成長した「Nemesis Market」には、世界中で15万人を超えるユーザーと1,100人を超える販売者のアカウントが登録されており、そのうち約20パーセントがドイツの販売者アカウントだったという。
警察は押収したインフラから得られたデータを使用し、プラットフォームの売り手やユーザーを更に特定し、追及する予定だとしている。
https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2024/Presse2024/240321_PM_Nemesis_Market.html
2024年3月22日 中国国家インターネット情報局、「国境を越えるデータの流れの促進と規範に関する規定」を発表
中国国家インターネット情報局(CAC)は、「国境を越えるデータの流れの促進と規範に関する規定」を発表した。データの越境移転に関する制度に関連する「重要データ」の申告基準を最適化したもの。
管轄部門や当局が対象のデータを重要データとして通知・公表していない場合、データ越境移転安全評価の申告が不要であることを明確にした。
さらに、次の事項に該当する場合も安全評価の申告、個人情報輸出標準契約、個人情報保護認証が免除されることが明文化された。
・貿易、国際輸送、学術協力、国境を越えた製造・販売で収集・生成された中国国外で提供されるデータで個人情報や重要なデータを含まない場合
・国外で収集・生成した個人情報が処理のために国内に持ち込まれ、再び国外提供される場合で、処理中に国内の個人情報や重要なデータを含まない場合
・契約の締結・履行の当事者が個人情報を国外に提供する必要がある場合
・国境を越えた人事管理で従業員情報の国外提供が真に必要な場合
・重要情報インフラ事業者であらず、当年1月1日以降に国外提供した(機微でない)個人情報の累計が10万人未満の場合
また、安全評価の有効期間と延長申請、データ安全保護義務や監督責任などの詳細についても規定された。
https://www.cac.gov.cn/2024-03/22/c_1712776612187994.htm
https://www.cac.gov.cn/2024-03/22/c_1712776612187994.htm
https://www.cac.gov.cn/2024-03/22/c_1712776611649184.htm
2024年3月25日 英米両政府、中国政府関連のサイバー攻撃に関与したグループへ制裁措置
英米両政府はそれぞれ、中国政府関連のサイバー攻撃に関与したグループによる侵害について言及し、制裁措置を講ずることを明らかにした。
英国政府は、国家サイバーセキュリティセンター(NCSC)の評価に基づき、英国選挙管理委員会のシステムが2021年から2022年にかけて中国に関連する行為者によって侵害された可能性が高いとする声明を発表した。また、2021年の英国国会議員を標的としたAPT31のフィッシングキャンペーンで偵察行為があったことはほぼ間違いないとし、中国政府を非難、責任を追及した。標的となった人物の大半は、中国が悪質な活動を行っていると非難する著名な人物だった。
これを受け、外務・英連邦・開発省は駐英中国大使を召喚するとともに、中国政府の関与が指摘されてる標的型攻撃グループAPT31のフロント企業と2名の個人への制裁措置を決定した。また、NCSCは政治組織向けのサイバーセキュリティ指針の最新版を発表してサイバーセキュリティの強化を喚起するとともに、米国との緊密な連携を継続する方針を示した。
米国司法省は、中国国籍を持つ7名の個人に対して、APT31に関与しサイバー犯罪を行った容疑で起訴した。中国の経済スパイおよび対外諜報目的を推進するため、約14年間にわたり米国および他国の批評家、政治家および政府関係者、企業を標的にした不正アクセスの共謀および詐欺の共謀の罪の嫌疑がかけられた。
起訴状では、中国政府の支援を受けたこの大規模なサイバー攻撃は、中国政権に対する批判者を弾圧する目的でジャーナリストを、政府機関を危険にさらす目的で政治家および政府関係者を、企業秘密を盗む目的で企業関係者を標的にしたと述べられている。司法省は、米国の国家安全保障を脅かし、世界中で基本的自由を抑圧しようとする悪意あるサイバー行為者を崩壊させるために、あらゆる手段を活用し続けるとコメントした。
https://www.gov.uk/government/news/uk-holds-china-state-affiliated-organisations-and-individuals-responsible-for-malicious-cyber-activity
https://www.ncsc.gov.uk/news/china-state-affiliated-actors-target-uk-democratic-institutions-parliamentarians
https://www.justice.gov/opa/pr/seven-hackers-associated-chinese-government-charged-computer-intrusions-targeting-perceived
2024年3月27日 欧州ENISA、2030年に向けたサイバーセキュリティの脅威予測を公開
欧州連合サイバーセキュリティ機関(ENISA)は、「2030年に向けたサイバーセキュリティの脅威予測」のエグゼクティブサマリーを公開し、ランキングトップ10に関連する調査結果の概要を公開した。偽情報や可用性への脅威の全体順位は過去の結果と比較してわずかに低下した一方、「ソフトウェアの依存関係によるサプライチェーン侵害」が依然として脅威となっている。これは、サプライチェーンにおけるサードパーティのサプライヤーやパートナーの統合が拡大していることの影響と考えられており、新たな脆弱性や攻撃の機会が生じていると考えている。今回発表されたランキングトップ10の一覧は以下の通り。
1. ソフトウェア依存関係のサプライチェーン侵害
2. スキル不足
3. サイバーフィジカルエコシステムにおけるヒューマンエラーと悪用されたレガシーシステム
4. 圧倒されたクロスセクター技術エコシステム内でのパッチ未適用および古いシステムの悪用
5. デジタル監視権威主義の台頭 / プライバシーの喪失
6. 国境を越えたICTサービスプロバイダーの単一障害点
7. 高度な偽情報/影響工作(IO)キャンペーン
8. 高度なハイブリッド脅威の台頭
9. AIの悪用
10. 重要なデジタルインフラに対する自然災害/環境災害の物理的影響
https://www.enisa.europa.eu/news/skills-shortage-and-unpatched-systems-soar-to-high-ranking-2030-cyber-threats
2024年3月28日 シンガポール当局、サイバーセキュリティ健全性報告書2023の調査結果を初めて発表
シンガポールサイバーセキュリティ庁(CSA)は、シンガポール初となるサイバーセキュリティ健康報告書2023の調査結果を発表した。
この調査は2023年5月から8月にかけて実施され、2,036の中小規模の組織を対象に、サイバーインシデントの発生頻度、ビジネスへの影響の種類、サイバーセキュリティ対策の導入レベルなど、サイバーセキュリティのさまざまな側面についてアンケートを実施した。
サイバーセキュリティ対策を採用しない理由について組織は、知識と経験の不足を最大の課題として挙げている(企業:59%、非営利団体:56%)。
また、2番目の原因として、自身がサイバー攻撃の標的になる可能性が低いと認識していることが挙げられており、課題視されている(企業:46%、非営利団体:49%)。
その他の課題としては、人材やリソースの不足(企業:39%、非営利団体:37%)、投資収益率の低さ(企業:36%、非営利団体:31%)、予算不足(企業:31%、非営利:27%)などが挙げられている。
https://www.csa.gov.sg/News-Events/Press-Releases/2024/csa-releases-key-findings-from-singapore-cybersecurity-health-report-2023
2024年3月29日 米国連邦取引委員会、顔認識による新たな保護者同意メカニズムの使用を却下
米国連邦取引委員会(FTC)は、顔認識による新たな保護者同意メカニズム「プライバシー保護型顔年齢推定技術」の使用を却下した。この技術は、ユーザーの顔の形状を分析することで年齢を予測し、必要な場合に保護者の同意を求めることを可能にするもの。
米国の児童オンラインプライバシー保護規則(COPPA)は、13歳未満の児童を対象とするウェブサービスおよび13歳未満の児童から個人情報を収集するウェブサイトに対して保護者からの事前の同意を求めており、同意を得るための新しい方法として2023年に3社から承認申請が提出されていた。
本件について、FTCには350件以上のパブリックコメントが寄せられたという。最終的に、FTCは4対0の全会一致で公正な判断のもと申請を却下したと説明している。
https://www.ftc.gov/news-events/news/press-releases/2024/03/ftc-denies-application-new-parental-consent-mechanism-under-coppa
https://www.ftc.gov/news-events/news/press-releases/2023/07/ftc-seeks-comment-new-parental-consent-mechanism-under-coppa
----------------------------------------------------------------------
【3】3月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年3月 5日 イギリスのSaaSプロバイダHornetsecurity、フランスの電子メールセキュリティベンダVadeを買収
2024年3月 5日 イスラエルCycode、AIを活用した静的コードセキュリティテストのスタートアップBearerを買収
2024年3月 5日 CrowdStrike、データセキュリティポスチャ管理のFlow Securityを買収
2024年3月 7日 米国のテクノロジー企業のSHI International、セキュリティ企業のMootを買収
2024年3月18日 豪AUCloud、セキュリティとクラウド強化のためPCG Cyber、Venn IT、Aradoを合計3,000万ドル(約45億円)で買収
2024年3月19日 Airbus、AtoSのビッグデータ・サイバーセキュリティ事業の買収から撤退
2024年3月25日 Airbus、ドイツの公共向けサイバーセキュリティ企業INFODASの買収意向、規制当局の承認待ち
2024年3月27日 インドのTac SecurityがIPO インド証券取引所に上場する初のサイバーセキュリティ企業