オランダの責任ある開示ガイドライン

オランダのサイバーセキュリティのページをみていたら、「責任ある開示」のガイドラインに遭遇しました。

構成は、

1 脆弱性とは何か(Wat is een kwetsbaarheid)

2 責任ある開示(Responsible Disclosure)

3 責任(Verantwoordelijkheden)

4  責任ある開示のための基礎固め(Bouwstenen voor Responsible Disclosure)

この部分は、

4.1 組織

4.2 報告者

4.3 NCSC

となっています

機械翻訳を使って意味をみてみると、組織がみずから、脆弱性情報を受領する体制を整えて、報告者は、それに対して報告する、そして、組織と報告者でもって合意をなして、利用者に効果的に脆弱性情報を伝えるためにNCSCが一定の役割を果たす(報告書と組織のコミュニケーションの仲立ちもするようですが)という仕組みに見えます。

日本の早期警戒パートナーシップが、IPAやJPCERT/CCの積極的な役割を前に打ち出していたのに比較すると、NCSCが控えめな役割と見えるかも知れません。

具体的に、どのように動いているのか、聞いてみたいような気もしますね。

なお、このガイドラインは、2012年のようですLetter of the letter of the Responsible Disclosure

カテゴリー: 情報セキュリティ, 脆弱性対応 | オランダの責任ある開示ガイドライン はコメントを受け付けていません。

JNSAセキュリティ十大ニュース

JNSAセキュリティ十大ニュースがでています。

個人的には、チャットボットを作ったこともあって、AIが完全に次の30年の大きなテーマになるだろうと直感した年でしたね。AIによる攻撃とAIによる防御でしょうね。

(ただ、AIといったって、どんな技術かという話なので、だまされてはいけませぬ。偽陽性とかもあるからね。)

IoT(10月4日 総務省が「IoTセキュリティ総合対策」を発表

個人的には、なぜ、MICの対策のみ?という感じですけどね。産業ITまわりとかで、イルベス元大統領がきたイベントとかも含めて、IoT全体とセキュリティに注目がなされたという位置づけでしょうか。

ランサムウエア(5月14日 IPAがランサムウェア「WannaCry」に関する注意喚起を発表 )

あたりが上位にきています。当然の結果ということでしょうか。ランサムウエアは、大きな問題ですね。

あと、時期の関係で入りませんでしたけど、BECの問題は、インパクトがありました(ブログだと、BEC v. SCAM

番外だと、政府関係者の経歴な話もありそうです。まあ、セキュリティ業界は、ホラと現実のバランスの上になりたっているなんていう自虐的な感じもしてしまいますが。

法的なテーマとしては、

12月20日 米国、サイバー攻撃に北朝鮮関与を断定(私のブログだと、「「ワナクライ」北朝鮮の国家行為と認定」)

10月31日 セキュリティ会社員がウイルス保管容疑で逮捕(同じく「お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について という会社のコメントについて」

ですね。

来年は、何が話題になるのでしょうか。

国家行為は、当然にエスカレートするでしょうね。(リアルな武力紛争時のサイバーの法的問題とかも起こりそうです。起きないことを望みますが)

宇宙まわりのセキュリティも出てくるかもしれません。(GPSを狂わせるとかが、起きたりとかね)

 

カテゴリー: 情報セキュリティ | JNSAセキュリティ十大ニュース はコメントを受け付けていません。

宇宙-サイバーセキュリティの最後のフロンティア ?(下)

チャタムハウスの「宇宙-サイバーセキュリティの最後のフロンティア ?」の報告書の最後の部分になります。

5章は「国際的協調の促進と他の政策手段(Promoting International Cooperation and Other Policy Measures)」です。

宇宙サイバーセキュリティレスポンスの原則

これは、体制と定義される伝統的なアプローチによるとされています。

政策の要求事項

種々懸念に関する要求を合わせる ものとなる。結局、関係者の共通の野望に対応するものとなり、ガバナンス、マネージメント、包含の原則によって発展され、促進されることになります。

体制行動のタイプ

宇宙サイバーセキュリティの運営・実装における重要な追加の原則および行動のタイプは、敏捷性およびイニシアチブ、行動者の中立性、リスクマネジメントです。

結局、ベスト・プラクティスをあげるとなると、以下のようになる。

意識を向上させる、

警戒(vigilance)を促す。

依存関係の特定。

脆弱性を認識する。

復元力と対応力を構築する。

将来的なハードウェアとソフトウェア。

調達戦略を策定する。

規制要件の特定。

軍事および民間の知識交換を含む経験の共有。

ベストプラクティスを確立する。

6章は、サイバーセキュリティ体制の実装(Implementation of a Space Cybersecurity
Regime)です。

そこでは、関連する国際組織やメカニズムというのは、ないために、宇宙のサイバーセキュリティの枠組みは、早急に、宇宙サプライチェーンとその提供物と調和される必要があります。

ワッセナーアレンジメントと二つの国連のプロセス(GGE-Space、GGE-Cyber)で発展しています。さらに、COPUOSにおいて宇宙とサイバーのガイドラインが議論されています。

これらの検討をもとに、7章において結論と推奨事項になります。

推奨事項としては、上記の10のベストプラクティスが詳細な事項とともに検討されています。

 

 

 

 

 

 

 

 

 

 

カテゴリー: 宇宙法 | 宇宙-サイバーセキュリティの最後のフロンティア ?(下) はコメントを受け付けていません。

宇宙-サイバーセキュリティの最後のフロンティア ?(中)

引き続いて、チャタムハウスの「宇宙-サイバーセキュリティの最後のフロンティア ?」の報告書をみていきましょう。

4章は人工衛星に対するサイバー脅威の技術的側面です。ジャミング、超物理的サイバー攻撃、なりすましが紹介されています。

ジャミングは、通信手段である信号を妨害することによって接続を困難にする試みをいいます。短波放送等で、聴取を邪魔するようなノイズ放送がながれているのもこのジャミングです。
報告書においては、衛星と受信者のいわば、「ダウンリンク」でなされるジャミング(地上ジャミング-Terrestrial jamming)と地上施設と衛星の間のアップリンクでなされるジャミング(軌道的ジャミング-Orbital jamming)に分けられます。
地上ジャミングは、テレビとラジオの受信が困難になりますし、また、携帯電話の通信/インターネット接続を困難にするということも可能になります。これは、安価で、邪魔―は、身元を簡単に隠せます。その一方で、現実的に妨害にある電波を送信することが困難であるということもいえます。
軌道的ジャミングは、地上局から、衛星に向けての通信を妨害するものです。これは、場合によっては、衛星が適切に機能を果たせなくなるということも起こり得ます。
また、ジャミングの信号は、付随的な影響を及ぼすこともありえます。

超物理的サイバー攻撃(Beyond physical cyberattacks)というのは、通信・ナビシステムの脆弱性を悪用する巧妙な攻撃手法です。結果としては、広範囲にわたるサービス妨害、標的のインテグリティ障害、そして、それらによってアプリケーションにおいて危険を惹起することになるです。
PNT(precise positional, navigation and timing -衛星即位システムサービス) は、即位測量・航行支援・時刻同期に関する単角システムで、10m-1ミリの測位精度を得られ、超高精度の 時刻情報を得られるシステムですが、これは、GNSSにより依拠しています。
そして、GNSSシステムは、無線や固定の通信ネットワークの同期のようなアプリケーションに利用されています。この同期精度が高いことは、電気通信事業者の単位時間あたりの接続呼の収入の差、金融の電子取引に決定的な差をもたらすとされています。
GNSS衛星からの信号は、受信機に対して非常弱い信号で伝え綿目に、ジャミングに対して弱いとされています。北朝鮮が、ソウル領域に対して、ジャミング攻撃をなすことによって携帯電話ネットワークを含めて、通信が脆弱になっているとされています。(もっとも、公共サービスや軍事レベルのGNSSは、種々の技術で堅固になっています)。

なりすましは、やりとりされる通信の情報を操作し、インテグリティを侵害するものである。ジャミングを超えて、信号を虚偽の信号に変えてしまう。なりすましが成功すると、国家の電力グリッドを標的として、損害を与えること/高頻度取引を標的として、間接的な経済損害を与えることに、成功してしまう。

同報告書は、国際的インシデントおよび脆弱性の意識(19頁)で、米国のGPSシステム、ロシアのGLONASSシステム、ヨーロッパのSBASシステム、EGNOSシステム、新しいGalileo、中国のBDS、BeiDou-2、インドのNAVIC(前は、IRNSS)、IRNSS-1G、日本の Quazi-Zenith Satellite System (QZSS)があること、そして、相互の干渉によって、15のGPS衛星の信号が、13マイクロ秒不正確であったこと、電気通信会社は、chronosのクライアントは、12時間数千のシステムエラーに悩まされたこと、また、BBCのラジオ放送にも影響を及ぼしたこと、にふれています(20頁)。

また、国際紛争が、原価・深刻化するにあたっては、通信システムの脆弱性が、外向的・軍事的なキャッペーンに利用されうることが説明されています。軍事戦略と戦略ミサイルシステムは、衛星と宇宙インフラに依存し、ナビゲーション/標的/指令・コントロール/作成モニターなどを行っています。衛星に対するサイバー攻撃は、戦略武器システムのインテグリティを低減し、抑止体制を不安定化させてしまいます。また、地上からの管制システムに、バックドアが仕込まれて、それが乗っ取られてしまえば、衛星が、操縦されてしまうことも可能になります。この場合に、他の衛星に衝突させられることも起こり得ます。ソーラーパネルを動作させることができ、そうすると、太陽照射が、取り返しのつかない損害を与えうることもありえます(23頁)。他の衛星への衝突は、宇宙兵器といえるとされます。
2014年には、ロシアは、ウクライナが、ロシアのテレビ衛星の軌道を妨害していると主張しました 。
このような前提のもと、2011年米国のサイバー国際戦略は、軍事システムに対するすべてのレンジのサイバー脅威を把握し、対処することが必要であるとしているのです(21頁)。

民間衛星システムの脆弱性については、対処が必要であることは、いうまでもありません。2014年10月の米国の気象衛星システムに対するサイバー攻撃は、戦略的な宇宙資産の脆弱性を明らかにしています(21頁)。なお、そのときの新聞記事は、こちら です。
同報告書においては、特に、脆弱性についての多様な分析・評価が必要なこと、脆弱性の緩和が、デザイン・実装されることが必要になること、GNSSの脆弱性を収集し、対応策を実際に積み重ねることなどが必要であるとされています(22頁)。

カテゴリー: 宇宙法 | 宇宙-サイバーセキュリティの最後のフロンティア ?(中) はコメントを受け付けていません。

宇宙-サイバーセキュリティの最後のフロンティア? (上)

Space-Final FrontierといえばStar Trekのオープニングがながれてこないといけないわけですが、(オリジナルシリーズのファンの方は、こちらをどうぞ

英国王立研究所が、「宇宙-サイバーセキュリティの最後のフロンティア ?(Space, the Final Frontier for Cybersecurity? )」という報告書をだしています。この研究は、笹川平和研究財団とチャタムハウスのパートナーシップによるもので、「人工衛星のセキュリティ-サイバー攻撃への脆弱性」をテーマにしています。具体的には、サイバー攻撃が、人工衛星やその他の宇宙資産を破壊し、機能を妨げるか、政策と技術のブレンドによって、国際協調を促進し、問題を解決するための方策はなるかを議論することを目的としたものです(5頁)。

基本的な認識としては、世界のインフラ(通信、航空、海上運送、金融およびビジネスサービス、気象環境モニタリング、防衛システム)が、宇宙インフラ(衛生、地上局、データリンク)に依存している。具体的には、 global navigation satellite system (GNSS) にいろいろな仕組みが依存していることが紹介されています(3頁)。

この認識をもとに、とくに3章は、脅威、リスク、傾向を論じています。

脅威のマッピングにおいては、

宇宙技術の発展自体、宇宙に民間企業や個人が参加しうるものとなってきていること。また、この脅威自体、従前は、国/軍事組織しか問題を起こし得なかったものが、現在は、国際犯罪組織、テロリストグループなどが脅威を引き起こしうるものとなってきていることが取り上げられています(9頁)。

そして、衛星に対してのサイバー攻撃としては、ジャミング、なりすまし、通信ネットワークに対するハッキングがある。これらの結果として、衛星を乗っ取り、「兵器化する」ことも可能であること、また、制御システムやミッション・パッケージ、また、衛星コントロールセンターなどの地上インフラを標的とする、ことがあげられています(同)。

その結果、衛星およびその他の宇宙資産は、サイバー攻撃に対して脆弱である。宇宙におけるサイバー脆弱性は、地上における重要なリスクを提起しており、宇宙環境のセキュリティの問題は、経済発展の阻害事情となり、社会にとってのリスクとなる。
報告書は、サイバーセキュリティの観点から興味深い案件も紹介しています(10頁)。具体的には、ランドサット7号地球観測衛星が妨害をうけた事件(20072008年)、Terra AM-1地球観測衛星が、一日に2分間妨害をうけた事件(2008年)、重大なハッキングの後に、衛星データ情報システムがオフラインになった事件(2014年)などがあります。

具体的な脅威の技術側面等については、続きます。

カテゴリー: 宇宙法 | 宇宙-サイバーセキュリティの最後のフロンティア? (上) はコメントを受け付けていません。

BEC v. SCAM

日本航空の事件をめぐって、SCAMと呼ぶべきではないの、といわれたので、ちょっと考察。

自分としては、仮想通貨まわりのネズミ講(Pyramid Schemes)やポンジスキーム(Ponzi Sceme)をSCAMといっていたので、日本航空の事件をSCAMというのは、どうも、語感がぴんとこなかったわけです。

でもって、オーストラリアでは、競争・消費者委員会が、SCAMWATCHというページを運営しています。ここでは、SCAMのタイプを出しています。

具体的には予期せぬ金銭、予期せぬ幸運、偽チャリティ、デート・ロマンス商法、購入・売却、就職・投資、個人情報取得詐欺、脅威およびゆすり になります。

アメリカだとCommon Scams and Fraudsに、電話詐欺、銀行詐欺、国税詐欺、チャリティ詐欺、チケット詐欺、宝くじ詐欺、ネズミ講、税金ID窃盗、投資詐欺、国政調査詐欺、ポンジスキーム、政府資金詐欺などが載っています。

SCAMは、ペテンにかけるという語感が強くて、Fraudは、不正行為という語感が強いということでしょうか。

なので、BECは、このSCAMの一類型ということですね。

FBIは、このような警告のページをもっています。あと、「海外サプライヤーや企業と定期的に海外送金による支払いを行っている企業を標的とした洗練/巧妙な詐欺(SCAM )」と定義しています。プレスリリース。

トレンドマイクロさんは、「業務メールの盗み見を発端とした送金詐欺」の総称としています。報告書のページ

対策としては従業員の意識・リテラシの向上という方もいるようですが、それは、多分、困難なのではないかとおもいます。むしろ、定期的に海外送金を行っているのであれば、その送金先の変更のプロセスをどのように構築するか、ということだとおもいます。

オンラインで完結というのであれば、別個の認証の仕組みを事前に作っておくということもあるかとおもいます。また、アナログとの組み合わせも合理的かもしれません。

カテゴリー: 情報セキュリティ | BEC v. SCAM はコメントを受け付けていません。

読売新聞 「IoT攻撃 情報共有」の記事

読売新聞で、「IoT攻撃 情報共有」の記事がでています。

記事としては、「電気通信事業法を改正し、攻撃を受けた機器の情報を通信会社などの間で共有しやすくする」というのがポイントです。

そのために、「サイバー攻撃などの情報を共有できる組織を法律上明確にして、その組織に所属する企業の間では、簡単な同意手続きのみで情報をやりとりできるようにする」という趣旨だそうです

記事としては、なかなか、どのような部分を問題にしているのかが分かりにくいところがあります。「攻撃を受けた機器の情報」ということなのですが、乗っ取られてしまった「IoT機器」の情報なのか、それともターゲットになっているIoT機器なのか、というのもよく分かりません。また、攻撃を受けた機器の情報って、誰が持っている情報を考えているのかなというのもありそうです。

最後のところに「発信源の機器に関する情報」ということが書いてあるので、ボットになってしまっている機器の情報(たとえば、監視カメラであるとか)の話かなとおもいます。

電気通信事業法4条(秘密の保護)は、その「侵してはならない」というのが、秘密に関する事項の取得の禁止および窃用の禁止の二つの内容をもつものと解されています。具体的には、「秘密」にかかる事実を「通信当事者以外の第三者が積極的意思をもって知得してはならず(積極的取得の禁止)」「第三者にとどまっている秘密をそのものが漏洩(他人が知りうる状態にしておくこと)することおよび窃用(本人の意思に反して自己または他人の利益のために用いること)してはならない(漏えいおよび窃用の禁止)」ということです。

たとえば、感染死してしまった監視カメラについていえば、その監視カメラから、特定のサイトに対するDos攻撃を考えれば、そのDos攻撃をしているのが誰か(監視カメラ?)ということは、まさに上記の秘密ということになります。それを、共有ということで「他人が知りうる状態にしておく」ことになるので、法の改正が必要だと考えているということになるかとおもいます。

もっとも、個人的には、公共目的のための情報共有が、上記の漏洩なのか、ということを考えています。。個人的には、解釈論としては、「(自己または他人の利益のために)他人が知りうる状態にしておくこと」が漏洩と解されるので、むしろ、今後の被害の発生を止めるための他人が知りうる状態にしうる行為は、そもそも「漏洩」という概念に該当しないといいたいところです。

実際のところは、自己または他人の利益のために他人が知りうる状態にするのか、それ以外なのかという点については、関係者の実務規範(コード・オブ・プラクティス)にゆだねたほうがいいとおもうのですが、全体の枠組みでというと、それほど本質的という問題ではないというのは、そのとおりですね。

 

 

カテゴリー: 情報セキュリティ, 通信の安全/プライバシ | 読売新聞 「IoT攻撃 情報共有」の記事 はコメントを受け付けていません。

日航偽メール3億8000万被害-メールは、ハガキですよ

「日航偽メール3億8000万被害」というニュースがでています。これは、BEC(Business E-mail Compromised)という手法で、語られているものとおもわれます。

ニュースを見ていくと、「ことし9月、実在する海外の取引先を装った電子メールで、航空機のリース代として3億6000万円を請求され、財務担当の部署の社員が指定された香港の銀行口座に送金した」「送信者が取引先の担当者の名前になっていた上、添付された請求書も実物そっくりでサインもあった」とのことです。

BECについては、一般的なセキュリティのお話をするときに近時の傾向として話させていただいています。そこで使っているスライドは、こんな感じです。

上のスライドだと、お分かりのように、銀行名が、真っ黒銀行に書き換えられています。多分、請求書は、pdfあたりで送っているのでしょうから、そのpdf の銀行名を書き換えるのは、簡単であるということは、担当者は、知っておいてもらいたいことです。

Tcyssの講演でお話ししたときには

「電子メールというのは、封筒の絵がかいてあるから、みんな誤解するんですよ。原理的には、ハガキです。だれもハガキに請求書を書かないでしょ」

といったら、みなさん納得してくれました。電子メールのアイコンに封筒を使うのを禁止すべきだ、というのが、私の主張です。デザインの重要性(Legal Design Labo v. リーガル・デザイン・ラボ)という話をしましたが、この注意喚起だけで、何億もの損害が防げるのでしたら、安い対策費だとおもうのですが、いかがでしょうか。

(ちなみに、講演の案内でも、「暗号化しないpdfで、請求書を送っていたりしませんか、パスワードを次のメールで送っていませんか、」と注意していますよ)

それはさておき、お世話になっていますIPAさんでは、ちゃんと、「ビジネスメール詐欺「BEC」に関する事例と注意喚起~ サイバー情報共有イニシアティブ(J-CSIP)の活動より ~」という非常に良い報告書を公表しています。

しかも、対象者として、

「企業の経理・財務部門といった金銭管理を取り扱う部門の方
 取引先と請求書などを通して金銭的なやりとりを行う方」

としています。ただ、結局、個人のリテラシーに頼るのは、無理かとおもいます。そうだとすると、口座の変更があった場合には、きちんと確認の仕組みを作るのが必要でしょうし、それを作っていなかったのは、どうなのか、という問題が起きてきそうです。というか、そもそも、限られた取引先については、クローズトな仕組みで請求を完結させるとかもありそうです。

 

 

カテゴリー: リスク, 情報セキュリティ | 日航偽メール3億8000万被害-メールは、ハガキですよ はコメントを受け付けていません。

「ワナクライ」北朝鮮の国家行為と認定

米国は、ワナクライの重大サイバー攻撃を北朝鮮が行為者であると認定しました(the United States is publicly attributing the massive WannaCry cyberattack to North Korea. )

ホワイトハウスの公式リリースです。

この認定に続けて、ボッサート報道官は、「私たちはこの主張を軽く行っているわけではありません。私たちは証拠を有していますし、それをパートナーと行っています。

他の政府や民間企業も同意します。英国、オーストラリア、カナダ、ニュージーランド、日本が私たちの分析を見ており、彼らは私たちと一緒に北朝鮮がWannaCryを行ったと告発しています。」といいます。

また、マイクロソフトを始め民間企業も同じであるとしています。

そして、「行為者特定(attribution)は、責任を追求するためのステップですが、最後のステップではありません。」とか、「トランプ大統領は自由な世界の同盟国および責任ある技術企業を集め、インターネットのセキュリティとレジリエンスを高めました。産業界と良き政府との協力は、安全保障の向上をもたらし、もはや待つ余裕はない。」とも述べています。

さらに、マイクロソフトやフェースブックなどが北朝鮮のサイバー攻撃用のエクスプロイットを無効化し、作戦を停止させていること、アカウントを停止したこと、諜報機関やサイバーセキュリティのプロ達の仕事を誇りにおもうことなどを述べて、ジーネット・マンフラさんにコメント役が交代になりました。ジーネットさんは、もっぱら、防御のための協力などの発言なので、省略。

Q&Aになります。「遅すぎたのではないか」「Marcus Hutchinsは、どうなっているのか」「北朝鮮は、相当、孤立した国(fairly reclusive country)なので、どう責任を問うのか」「民間にもっと望むことは」「北朝鮮は、、どのくらい稼いだのか?」「この行為に対する米国の結果は?」「北朝鮮の人を逮捕したのか」「暗号通貨の追跡はしているのか」などの質問がなされて、それぞれ興味深い回答がなされています。法的には、責任論と、米国の結果、暗号通貨のところがおもしろいようにおもいます。

責任論についていえば、民間人の攻撃参加の問題が存在しうわけですが、この件は、すべて北朝鮮内で、しかも、政府の指示のもとになされたという認定をしています。かなり、証拠があるみたいですね。

カテゴリー: サイバー規範, 対抗措置, 情報セキュリティ | 「ワナクライ」北朝鮮の国家行為と認定 はコメントを受け付けていません。

「ワナクライ」サイバー攻撃に北朝鮮が関与と米政府=報道

「ワナクライ」サイバー攻撃に北朝鮮が関与と米政府=報道というニュースがでています。

ボサート米大統領補佐官(国土安全保障・テロ対策担当)の発言だそうです。記事においては、「ボサート補佐官は、政府の見方は「証拠に基づいている」と述べた」とのことですし、「米国政府は調査結果に応じた対応策を取るとした。」ということです。

「ホワイトハウスは19日に北朝鮮政府を非難する公式声明を出す見込み。」ということだそうです。
国際法的な見地からは、2014年12月のソニーピクチャーズ事件と同様の論点になるかと考えられます。この事件については、このブログで何回かふれています。

(特に、オバマ大統領 対抗措置を明言 をあげておきます)

この事件は、「武力の行使」のいき値を超えていないので、サイバーバンダリズムという位置づけになるであろうこと、多分、北朝鮮の軍、諜報機関の行動であると断定しうる(法的には、証拠の優越でたります)証拠があるであろうこと、対抗措置としては、通常であれば、資産凍結、人的交流の禁止などが選択されるであろうこと(ただし、既にもうほとんど、考えうる手段はとっているような気がします)、などがいえるかとおもいます。

どちらにしても、公式声明が待たれます。

カテゴリー: 対抗措置, 情報セキュリティ | 「ワナクライ」サイバー攻撃に北朝鮮が関与と米政府=報道 はコメントを受け付けていません。