JCIC海外ニュースクリップ

----------------------------------------------------------------------
スペイン、EU AI法に準拠した国内AIガバナンス法を起草(3/18配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・韓国国家情報院、北朝鮮によるソフトウェアサプライチェーン攻撃の急増に注意喚起
・カナダ通信保安局、カナダの民主的プロセスに対するサイバー脅威に関する報告書を発表
・スペイン、EU AI法に準拠した国内AIガバナンス法を起草
・米国CISAら、Medusaランサムウェアに関するサイバーセキュリティ勧告を発表

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2025年3月4日 韓国国家情報院、北朝鮮によるソフトウェアサプライチェーン攻撃の急増に注意喚起
韓国国家情報院(NIS)は、北朝鮮のハッカー組織がソフトウェアサプライチェーン攻撃を通じて国家機関や先端企業の機密資料および核心技術を窃取しているとして、国家機関や企業、ITプロバイダおよび一般国民に対し注意を喚起した。NISによると、北朝鮮の攻撃は (1)IT企業を経由した侵入 (2)ソフトウェア脆弱性の悪用 (3)セキュリティ管理策の不備を突く という三つの特徴を持つという。
具体的な事例として、24年10月には自治体のPC管理企業の従業員メールが標的となり、攻撃者が権限を昇格させた上で自治体のリモートサーバーから行政資料を窃取した。また、25年2月には、防衛産業企業の電子決裁およびコミュニケーションツールの脆弱性が悪用され、マルウェアが設置されるとともに、従業員の電子メールやネットワーク構成図などの内部資料が窃取された。さらに同月、デジタルIDサービスを提供する企業の管理者ページが不十分なセキュリティ設定のままインターネットに公開された状態であったため、攻撃者が管理者権限を取得し、不正アクセスを行ったことも判明している。
https://nis.go.kr/CM/1_4/view.do?seq=337

2025年3月6日 カナダ通信保安局、カナダの民主的プロセスに対するサイバー脅威に関する報告書を発表
カナダ通信保安局(CSE)は、カナダの民主化プロセスが直面しているサイバー脅威に関する報告書を発表した。内容は、カナダを含む世界中の選挙を標的とする外国の敵対勢力による人工知能(AI)の利用が増加していることを強調したもの。
背景には、過去2年間でAI技術が普及し、外国の活動グループによる偽情報の作成と拡散、政治家への嫌がらせ、サイバースパイ活動や悪意のあるサイバー活動の強化に使用されるようになったことがあるとしている。CSEは、特に中国、ロシア、イランがカナダで開催される2025年の選挙に干渉する可能性が高いと評価する。
CSEは連邦政府のパートナーと緊密に連携し、民主的プロセスのセキュリティを確保し、サイバー脅威から選挙を守り、「Get Cyber​​ Safe」キャンペーンにおいて、すべてのカナダ国民がオンラインで安全を保つため、引き続きアドバイスとガイダンスを提供する方針。
https://www.canada.ca/en/communications-security/news/2025/03/communications-security-establishment-canada-releases-2025-update-to-report-on-cyber-threats-to-canadas-democratic-process.html

2025年3月11日 スペイン、EU AI法に準拠した国内AIガバナンス法を起草
スペインのデジタル変革公共サービス省は、EU AI法の規定を適用した国内AIガバナンス法を起草した。本法案は、倫理的かつ包括的で、人々にとって有益なAIの開発・使用を保証することを目的とし、EU AI法により禁止されているAIの行為や高リスクAIの開発規制を国内法に適合させる内容となっている。
今回、AIシステムが人間の死亡や重大な事故を引き起こした場合、監督当局がスペイン市場から当該システムを暫定的に撤退させる権限を有することが明記された。また、禁止システムの監視を担当する当局は、スペインデータ保護庁(生体認証システムと国境管理)、司法総評議会(司法分野のAIシステム)、中央選挙管理委員会(民主的プロセスに影響を与えるAIシステム)、スペイン人工知能監督庁(その他の場合)とされた。
罰則規定として、2025年8月2日以降に禁止行為が発覚した場合、違反企業には750万~3,500万ユーロ、または前年の全世界売上高の2%~7%のいずれか高い金額の罰金が科される。中小企業の場合はそのいずれか低い金額となる。本法案は緊急処理が予定されており、閣僚理事会で最終承認を受けた後、スペイン議会で正式に承認される予定。
https://digital.gob.es/en/comunicacion/sala-de-prensa/comunicacion_ministro/2025/03/2025-03-11.html

2025年3月12日 米国CISAら、Medusaランサムウェアに関するサイバーセキュリティ勧告を発表
米国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、連邦捜査局(FBI)およびMS-ISACと提携し、共同サイバーセキュリティアドバイザリ「#StopRansomware: Ghost(Cring)ランサムウェア」を発表した。内容は、2025年2月までのFBIの調査で特定されたMedusaランサムウェアに関連する戦術・手法・手順(TTP)、侵害の痕跡(IoC)、および検出方法が記載されている。
Medusaランサムウェアは、2021年6月に初めて特定されたRansomware as a Service(RaaS)の亜種。2025年2月時点で、Medusaの開発者と関連組織は、医療・教育・法律・保険・テクノロジー・製造などの業界を含む重要インフラの300を超える組織に影響を与えている。FBI、CISA、MS-ISACは、身代金の支払いを推奨しておらず、指定の報告先もしくは24時間年中無休のオペレーションセンターにランサムウェアインシデントを速やかに報告するよう強く勧めている。
https://www.cisa.gov/news-events/alerts/2025/03/12/cisa-and-partners-release-cybersecurity-advisory-medusa-ransomware
https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-071a

----------------------------------------------------------------------
【3】3月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年3月6日 米Armis、OT/ICSセキュリティソリューションのOTORIOを買収
2025年3月11日 米国ZehnTek、BossNine Technologies買収でサービスポートフォリオを強化