----------------------------------------------------------------------
国連サイバー犯罪防止条約に72カ国が署名（11/11配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・シンガポール当局、エージェト型AIのセキュリティと量子耐性に関する補足文書を公開
・国連サイバー犯罪防止条約に72カ国が署名
・ロシア警察、Meduza Infostealerの開発者容疑者を逮捕を公表
・中国、国家サイバーインシデント報告管理弁法を施行

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2025年10月22日 シンガポール当局、エージェト型AIのセキュリティと量子耐性に関する補足文書を公開
シンガポールサイバーセキュリティ庁（CSA）は、既存のAIセキュリティガイドラインの補足文書を公開し、意見募集を開始した。
エージェント型AIは、目標達成のための計画・実行・改善を自律的に行う高度なAIであり、従来のAIを超える能力を持つ。一方で、人間による監督が減少することで発生する新たなリスクも懸念される。今回の補足文書は、AI開発ライフサイクルにおけるリスク特定方法や、エージェント型AI特有の脅威や対策を整理。さらに、業界の実例を通じて、実践的な活用方法を紹介している。
また、CSAは量子脅威への早期対応を支援するため、「量子耐性ハンドブック」と自己評価ツール「量子準備指数」を公開した。これにより、重要インフラや政府機関は、耐量子移行にむけ、自組織の準備状況を評価し、優先すべき対策を明確化できるとしている。
https://www.csa.gov.sg/resources/publications/addendum-on-securing-ai-systems/
https://www.csa.gov.sg/resources/publications/quantum-safe-handbook-and-quantum-readiness-index/

2025年10月25日 国連サイバー犯罪防止条約に72カ国が署名
国際連合は、サイバー犯罪の防止と対処のための世界初のサイバー犯罪防止条約（ブダペスト条約）の署名式をベトナムのハノイで開催し、72カ国が署名したことを公表した。捜査官や検察官は迅速に行動することで貴重な証拠とデータを保護し、サイバー犯罪から人々をより良く保護することを目指すと説明した。
本条約は2019年に国連が提案し、5年間にわたり内容や留保事項の交渉が行われた末、2024年12月の国連総会で満場一致で採択されたもの。40か国が国内の手続きを得て批准した時点から90日後に発効される。署名式の時点で、米国や日本等はまだ署名をしていない。
https://www.unodc.org/unodc/en/press/releases/2025/October/un-convention-against-cybercrime-opens-for-signature-in-hanoi--viet-nam.html
https://www.unodc.org/unodc/cybercrime/convention/home.html
https://treaties.un.org/Pages/ViewDetails.aspx?src=TREATY&mtdsg_no=XVIII-16&chapter=18&clang=_en

2025年10月30日 ロシア警察、Meduza Infostealerの開発者容疑者を逮捕を公表
ロシア警察は、認証情報収集マルウェア「Meduza」の開発と販売の疑いで「3人の若いIT専門家」を逮捕したことをTelegramで公表した。
捜査の結果、攻撃者は約2年前に「Meduza」を開発し、ハッカーフォーラムを通じて配布を開始したことが判明したという。このソフトウェアは、ログイン認証情報、暗号通貨ウォレット情報、その他のコンピュータ情報を窃取するように設計されたもの。
2025年5月、当該グループのメンバーが開発ソフトウェアを用いて、ロシアのアストラハン州のある機関のデータに不正アクセスし、法的に保護されている公務員の情報が彼らの管理下にあるサーバー機器にコピーされたことが確認された。ロシア刑法第273条第2項に基づき刑事事件が提起され、ロシア警察は国家衛兵の支援を受けて容疑者を拘束し、コンピュータ機器、通信機器、銀行カード、その他証拠価値のある品々が押収された。捜査活動の結果、拘束者たちが別の種類のマルウェアも開発・配布していたことが判明している。
https://t.me/IrinaVolk_MVD/5661
https://www.databreachtoday.com/russian-police-bust-suspected-meduza-infostealer-developers-a-29901

2025年11月1日 中国、国家サイバーインシデント報告管理弁法を施行
中国インターネット情報弁公室（CAC）は、国家サイバーインシデント報告管理弁法の施行を発表した。2025年9月11日に公布された同制度は、インシデントの分類・報告・管理に関する包括的な枠組みを確立したもの。中国国内でネットワークを構築・運営・サービス提供するすべての事業者（重要情報インフラ運営者や国家機関を含む）が対象となる。
報告義務のあるインシデントは、原因を問わずネットワークや情報システム、データ、業務に損害を与え、国家・社会・経済に悪影響を及ぼす事象で、影響範囲や個人情報件数、経済損失などに基づき「特別重大」「重大」「比較的大きい」「一般」の4段階に分類される。
重大以上のインシデントが発生した場合、一般事業者は4時間以内、国家機関は2時間以内、重要情報インフラは1時間以内に、事業者情報・発生状況・影響・原因分析・攻撃経路・対応策などを含む報告を行う義務がある。また、原因・対応・損害・再発防止策をまとめた報告書を30日以内に提出しなければならない。
https://www.cac.gov.cn/2025-09/15/c_1759583017717009.htm

----------------------------------------------------------------------
【3】10月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年10月14日 米国MSSPのLevelBlue(旧AT&T Cybersecurity)、Cybereasonを買収
2025年10月14日 アクセス管理ソリューションのImprivata、アイデンティティ脅威検知・対応サービスのVerosintを買収
2025年10月20日 電子機器大手Insight豪支社、シドニーに本社を置くsekuroを買収
2025年10月21日 リスク通知サービスのDataminr、セキュリティ脅威情報のThreatConnectに対し2億9千万ドル（約436億円）
での買収計画