Loading...
----------------------------------------------------------------------
米国商務省、コネクテッドカーへの中国・ロシア製部品搭載を禁止する規則案(10/1配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国連邦通信委員会、AT&T社のクラウドベンダー侵害調査について1,300万ドルで和解
・米国とファイブアイズ各当局、中国関連機器によるボットネットについて共同勧告
・ユーロポール、犯罪者に愛用されいた暗号化メッセージングアプリ「Ghost」を解体
・米国商務省、コネクテッドカーへの中国・ロシア製部品搭載を禁止する規則案
----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2024年9月17日 米国連邦通信委員会、AT&T社のクラウドベンダー侵害調査について1,300万ドルで和解
米国連邦通信委員会(FCC)は、2023年1月に発生したAT&T社のクラウドベンダーにおけるセキュリティ侵害に関する調査を受け、AT&T社が1,300万ドル(約18億円)を支払うことで和解に合意したと発表した。このデータ侵害では、AT&Tの顧客情報が不正にアクセスされ、一部のデータが外部に漏洩したとされる。
AT&T社は、この和解金の支払いに加え、データセキュリティ保護策とサプライチェーンの完全性を強化することに同意する協定をFCCと締結した。同社は、請求書やマーケティング目的で使用するパーソナライズされた動画コンテンツの生成・ホスティングに外部ベンダーを利用していたが、顧客情報の保護が不十分であったことが指摘された。また、ベンダーは契約が終了した時点でAT&T社の顧客情報を破棄または返却することになっていたが、それらが実施されていなかったことも判明した。
https://www.fcc.gov/document/fcc-settles-att-vendor-cloud-breach
https://docs.fcc.gov/public/attachments/DOC-405545A1.pdf
2024年9月18日 米国とファイブアイズ各当局、中国関連機器によるボットネットについて共同勧告
米国の国家安全保障局(NSA)、連邦捜査局(FBI)、サイバー軍サイバーナショナルミッションフォースは、英国、豪州、カナダ、ニュージーランドの当局と共同で、中国に関連するサイバー脅威グループ「Flax Typhoon」について警告する共同勧告を発表した。Flax Typhoonは2021年半ばから活動を開始しており、ルーターやIoTデバイスを標的にしているとされる。
2024年6月時点で、北米、ヨーロッパ、アフリカ、東南アジアにおいて26万台以上のインターネット接続機器が侵害され、これらの機器がボットネットに組み込まれていると報告された。特に中国に関連する企業が製造・所有・運営するインターネット接続機器が古いものを中心に侵害されてボットネットを構成しているという。これらの侵害されたデバイスには、ルーター、ファイアウォール、ウェブカメラ、CCTVカメラなどのIoTデバイスが含まれており、主にマルウェア配信や分散型サービス拒否(DDoS)攻撃に利用されている。
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3909590/
https://media.defense.gov/2024/Sep/18/2003547016/-1/-1/0/CSA-PRC-LINKED-ACTORS-BOTNET.PDF
https://www.ncsc.gov.uk/news/ncsc-and-partners-issue-advice-to-counter-china-linked-campaign-targeting-thousands-of-devices
2024年9月18日 ユーロポール、犯罪者に愛用されていた暗号化メッセージングアプリ「Ghost」を解体
欧州警察機関(ユーロポール)ほか9カ国による国際警察活動により、麻薬取引や殺人命令などの犯罪行為に使用されていた暗号化メッセージングアプリ「Ghost」を解体された。
このアプリは、ユーザーが個人情報を一切提供することなく購入できたため、犯罪者は身元を隠しながら、暗号化通信を用いて国境を越えた違法行為を行っていた。Ghostのネットワークは複数の国に展開され、世界中で数千人のユーザーが利用、毎日約1,000件程度のメッセージが交換されていたとされる。
ユーロポールは、犯罪ネットワークが使用するプラットフォームを標的とした最近の法執行活動の結果、かつて人気があった暗号化サービスの多くが閉鎖し、市場が分裂しているという分析を示した。犯罪者はこの状況に対応し、あまり普及していない通信ツールやカスタムアプリに目を向けるようになっており、手法の多様化につながっているとして警戒を促している。
https://www.europol.europa.eu/media-press/newsroom/news/global-coalition-takes-down-new-criminal-communication-platform
2024年9月23日 米国商務省、コネクテッドカーへの中国・ロシア製部品搭載を禁止する規則案
米国商務省は、国家安全保障上の懸念から、コネクテッドカーへの中国製およびロシア製部品の搭載を禁止する規則案を発表した。敵対勢力が車両接続システムへの不正アクセスを通じて機密データを収集したり、米国の道路を走行する車両を遠隔操作するリスクを防止することを目的としている。農業用車両や採掘用車両などの公道で使用されない車両を除き、車輪のついたすべての路上走行車両に適用される。
特にコネクテッドカーの外部接続機能および自律走行機能を可能にする車両接続システム(VCS)や自動運転システム(ADS)に統合されるハードウェアおよびソフトウェアに焦点を当てており、国内外の主要自動車メーカーに対して、中国製およびロシア製のソフトウェアやハードウェアの使用を禁止する。VCSは、テレマティクス制御ユニット・Bluetooth/モバイル/衛星/Wi-Fi通信モジュールなど、車両が外部と通信することを可能にする一連のシステムを意味し、ADSには、高度に自律化された車両が運転手なしで運転できるようにするコンポーネントが含まれる。該当するコンポーネントが搭載された車両は輸入および販売が全面的に禁止される予定。
https://www.bis.gov/press-release/commerce-announces-proposed-rule-secure-connected-vehicle-supply-chains-foreign
https://www.federalregister.gov/
----------------------------------------------------------------------
【3】9月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年9月5日 Airbus、ドイツの公共向けサイバーセキュリティ企業INFODASの買収完了、規制当局が承認
2024年9月5日 Palo Alto Networks、IBMのQRadar SaaS事業買収を完了
2024年9月12日 Mastercard、脅威インテリジェンスのRecorded Futureを26.5億ドル(約3735億円)で買収
2024年9月18日 スイス郵便、Open Systems AG社買収でサイバーセキュリティを強化
2024年9月24日 Swisscom、Vodafone Italiaを80億ユーロ(約1.3兆円)で買収しイタリアの子会社Fastwebへ統合