GDPR – IoT OT Security News

Uber の GDPR 違反に対して €290M の罰金：オランダの当局に対して控訴の構え

The Dutch Data Protection Authority (DPA) has fined Uber a record €290M

2024/08/27 SecurityAffairs — オランダの Data Protection Authority (DPA) は、欧州のタクシー運転手の個人データを米国に転送する際に、EU のデータ保護規則 GPDR を遵守しなかったとして、Uberに €290 million ($324 million) の罰金を科した。同機関が発表したプレス・リリースには、「オランダの DPA は Uber に対して、€290 million を科す。我々が発見したのは、Uber が欧州のタクシー運転手の個人データを米国に転送し、これらの転送に関してデータを適切に保護しなかったことである。それは、一般データ保護規則 (GDPR) の重大な違反に該当する。すれに Uber は、違反の状況を収束させている」と記されている。

Google の発表：Chrome サードパーティ・クッキー排除の撤回と言訳とは？

Google rolls back decision to kill third-party cookies in Chrome

2024/07/22 BleepingComputer — Google が発表したのは、Chrome のサードパーティ・クッキーを廃止する計画を撤回し、その代わりとして、これらのクッキーの使用方法をユーザーが制限できる、新たなブラウザ・エクスペリエンスを導入するという方針である。サードパーティー・クッキーとは、訪問中の Web サイト以外からユーザーの Web ブラウザに保存されるデータを指し、通常は、トラッキング・スクリプトや広告によりドロップされるものだ。これらのクッキーによって、同じサードパーティ・ドメインからのコードを利用する、他のサイトからのユーザー追跡も可能になるため、広告主はユーザーの閲覧習慣や興味を知ることができる。

Google の Privacy Sandbox：欧州の非営利団体 noyb から痛烈に批判される

Google’s Privacy Sandbox Accused of User Tracking by Austrian Non-Profit

2024/06/14 TheHackerNews — Google Chrome の Privacy Sandbox において、サードパーティのトラッキング・クッキーを非推奨にする計画だが、新たな問題にぶつかっている。この機能は、依然としてユーザー追跡のために使用できると、オーストリアのプライバシー非営利団体 noyb (none of your business) が指摘しているのだ。

WordPress の Cookie Information | Free GDPR プラグインに脆弱性：活発な悪用を観測

Under Attack: CVE-2023-6700 in ‘Cookie Information’ Plugin Threatens 100k WordPress Sites

2024/02/02 SecurityOnline — 進化し続けるインターネットの世界において、データ・プライバシーと GDPR (General Data Protection Regulation) などの規制へのコンプライアンスの重要性は、日々高まりつつある。そんな中、人気の CMS の１つである WordPress は、これらの規制を遵守するのを支援するプラグインを、Web サイト所有者に対して数多く提供している。しかし、WordPress の Cookie Information | Free GDPR Consent Solution プラグインに、重大なセキュリティ脆弱性 CVE-2023-6700 が発見され、脅威アクターにより積極的に悪用されていることが判明した。

グローバル小売業におけるクッキー・ミスコンフィグのケース・スタディ – Reflectiz

Case Study: The Cookie Privacy Monster in Big Global Retail

2024/01/16 TheHackerNews — 先進的な暴露管理ソリューションが、ある大手小売業界のクライアントを、Cookie 管理ポリシーのミスコンフィグレーションによる罰則から救った事例を紹介する。これは悪意のものではなかったが、現代の Web 環境は非常に複雑であるため、同様のミスは起こりうると言える。

Moq OSS プロジェクトでの出来事：営利を目的とした依存性の利用という問題

2023/08/09 BleepingComputer — オープンソース・プロジェクト Moq だが、最新リリースにおいて物議を醸す依存性が秘密裏に含まれていることで、厳しい批判を浴びている。NuGet ソフトウェア・レジストリで配布されている Moq は、１日に10万回以上もダウンロードされる存在であり、トータルでは 4億7600万回以上もダウンロードされている。そして、今週にリリースされた Moq の 4.20.0 には、SponsorLink という別のプロジェクトがひっそりと取り込まれていた。

英国の選挙管理委員会でデータ侵害が発生：不正アクセスは 2014年から始まっていた

UK Electoral Commission discloses a data breach

2023/08/08 SecurityAffairs — 英国の選挙管理委員会は、英国内の有権者の個人情報が流出するデータ侵害が 2014〜2022年の間に発生していたことを公表した。また、同委員会は ICO (Information Commissioner’s Office) への通知を行っている。8月8日に同委員会は、「今日、私たちは複雑なサイバー攻撃の対象となり、我々のシステムが脅威アクターによる不正アクセスを受けた」と Twitter で発表した。セキュリティ侵害が始まったのは 2021年8月と見られており、発見されたのは 2022年10月のことだという。

Facebook／Instagram／WhatsApp に大きな打撃：データ収集に関して EU の最高裁判所が厳しい判決

EU Court Deals Blow to Meta in German Data Case

2023/07/05 SecurityWeek — 7月4日 (火) に、EU の最高裁判所が Meta に対して不利な判決を下したことを受け、その子会社である Facebook／Instagram／WhatsApp は、ヨーロッパにおけるユーザー・データ収集方法の見直しを迫られるかもしれない。欧州司法裁判所 ECJ (European Court of Justice) は、ドイツの反カルテル監視団を支持する判決を下した。この反カルテル監視団は、反トラスト法を検討する際に、データ・プライバシー問題を取り込めると主張していた。この裁判の重要な争点のひとつは、Meta のプラットフォーム間に、データをリンクさせる能力があることだった。

Google Analytics の利用は GDPR 違反：スウェーデン企業に $1M の罰金

Google Analytics data transfer to U.S. brings $1 million fine to Swedish firms

2023/07/04 BleepingComputer — スウェーデンの個人情報保護局 (IMY：Integritetsskyddsmyndigheten) は、Google Analytics を使用した国内の２社に対して、12.3 million SEK (€1 million／$1.1 million) の罰金を科し、他の２社の同様の行為について警告を行った。同機関は、7月3日に発表された通知の中で、Web 統計を作成するために Google Analytics を使用していた、それらの企業が欧州連合の一般データ保護規則 (GDPR) に違反していたとしている。

API セキュリティの強化：そのための管理体制とベストプラクティスとは？

How to Improve Your API Security Posture

2023/06/08 TheHackerNews — API (Application Programming Interfaces) は、アプリやマイクロサービスに対して、データを通信／共有する権限を与えるものだ。しかし、このような接続性には大きなリスクがつきものとなる。API の脆弱性を悪用するハッカーたちは、機密データへの不正アクセスや、システム全体の制御を奪うことも可能になる。したがって、潜在的な脅威から組織を保護するために、堅牢な AP Iセキュリティ体制を構築することが必要不可欠となる。

GDPR は消費者の信頼を低下させた：IT リーダーの 66% が回答 – Macro 4 調査

Two-Thirds of IT Leaders Say GDPR Has Reduced Consumer Trust

2023/05/22 InfoSecurity — GDPR (General Data Protection Regulation) のあり方により、それぞれの企業に対する消費者の信頼が低下したという、IT リーダーの３分の２ (66％) の捉え方を、Macro 4 の最新調査が示している。2018年5月25日に、GDPR が欧州で施行されてから５年が経過し、個人データ保護の必要性に対する意識が高まった結果が、この調査に現れている。

Facebook の GDPR 違反と $1.3 B の罰金：米国へのデータ転送により最高額に！

EU Regulators Hit Meta with Record $1.3 Billion Fine for Data Transfer Violations

2023/05/22 TheHackerNews — Facebook の親会社である Meta は、European Union のデータ保護規制当局から、同地域のユーザーの個人データを米国に転送したとして、過去最高となる $1.3 billion の罰金を科された。EDPB (European Data Protection Board) の拘束力のある決定により、Meta はデータ転送の方式を GDPR に準拠させ、違法に保存／処理されたデータを、６ヶ月以内に削除するよう命じられた。

WhatsApp が GDPR 違反：Meta に €5.5m の罰金を科した EU 委員会内に摩擦

WhatsApp Hit with €5.5m fine for GDPR Violations

2023/01/20 InfoSecurity — アイルランドのデータ保護委員会 (DPC : Data Protection Commission) が WhatsApp に対して、GDPR 違反があったとして €5.5m ($5.9m) の罰金を科した。また、この罰金に加えて、WhatsApp Ireland は 6ヶ月以内に、データ処理業務をコンプライアンスに適合させるよう指示された。この WhatsApp の責任範囲に関する訴訟については、欧州のデータ保護当局の間に、大きな意見の相違があることを示すものだ。

Twitter が２億人分のユーザーデータ販売を調査：同社の脆弱性とは無関係と主張

Twitter claims leaked data of 200M users not stolen from its systems

2023/01/11 BleepingComputer — Twitter の発表によると、数億人の Twitter ユーザーのメールアドレスが流出し、オンラインで販売されたとの報道があるが、同社システムの脆弱性を悪用してデータが取得された証拠は見つからなかったとのことだ。同社はブログで、「Twitter ユーザーのデータがオンラインで販売されているという最近の報道を受け、徹底的な調査を行ったが、最近販売されているデータが、Twitter システムの脆弱性を悪用して入手されたという証拠はない」と述べている。

Facebook／Instagram に €390M の罰金：GDPR 違反という主張に Meta は反発

Meta to fight €390 million fine for breaching EU data privacy laws

2023/01/04 bleepingcomputer — アイルランドのデータ保護委員会 (DPC : Data Protection Commission) は、Facebook／Instagram のユーザーに対するターゲット広告のために、Meta が個人データ処理に同意するよう強制していたと認定し、合計で €390 million の罰金を科した。本日の決定は、EU の General Data Protection Regulation (GDPR) データプライバシー／セキュリティ法が施行された 2018年5月25日に、オーストリア／ベルギーのユーザー非営利団体 noyb が提出した苦情に端を発したものであり、Meta のデータ処理業務に関する２件の調査が終了した後に下されたものだ。

Twitter ユーザー情報の大量流出：EU のデータ保護委員会が調査を開始

Massive Twitter data leak investigated by EU privacy watchdog

2022/12/23 BleepingComputer — アイルランド・データ保護委員会 (DPC : Data Protection Commission) は、Twitter における先月の大規模データ流出に関する報道を受け、調査を開始した。このインシデントは、Twitter ユーザー 540万人以上に影響を与えるだけではなく、サイトから収集された公開情報が流出させただけではなく、個人の電話番号／電子メール・アドレスなども流出させている。一連の流出したデータは、Twitter が 2022年1月に修正した API の、脆弱性を悪用して不正に取得されている。

Microsoft に $64m の罰金：Bing の広告 Cookie が GDPR 違反

France Fines Microsoft $64m for Imposing Ad Cookies to its Bing Users

2022/12/22 InfoSecurity — フランスのデジタル・プライバシー規制機関である Commission nationale de l’informatique et des libertés (CNIL) は、12月22日に Microsoft の広告 Cookie をめぐり、2022年最高額となる €60m ($64m) の罰金を課したことを発表した。CNIL の見解は、Microsoft の検索エンジンである Bing が、EU の General Data Protection Regulation (GDPR) の要件である、ユーザーによる Cookie を許可／拒否のシステムを、同じレベルで構築していなかったというものだ。

Facebook 対 GDPR：$275M の罰金とデータ・スクレイピングへの圧力

Meta fined €265M for not protecting Facebook users’ data from scrapers

2022/11/28 BleepingComputer — 世界中の数億人のユーザー情報が流出した、2021年の Facebook データ大量流出事件を追求する、アイルランドの DPC (data protection commission) は Meta に対して、€265 million ($275.5 million) の罰金を科した。5億3300万人の Facebook ユーザーのデータが、2021年4月14日にハッカーフォーラムで公開されたことを受けて開始された、Meta による GDPR 違反に関する DPC の調査は、これにより終了した。

TikTok がプライバシー・ポリシーを改定：欧州ユーザーへの中国からのアクセスを開始

New TikTok Privacy Policy Confirms Chinese Staff Can Access European Users’ Data

2022/11/03 TheHackerNews — 人気の短編動画共有サービス TikTok は、欧州ユーザー向けのプライバシー・ポリシーを改訂し、そのユーザー・データに対するアクセスを、中国を含む世界各地の従業員に許す方針を明確にした。この、ByteDance が所有するプラットフォームは、ヨーロッパのユーザー・データを、現時点においては米国とシンガポールに保管している。そして、今回の改訂については、ヨーロッパのユーザーに対する従業員のアクセスを制限し、地域外へのデータの流れを最小限に抑え、情報を現地に保管するという、継続的なデータ・ガバナンスの一環であるとしている。

Brave による Cookie 同意バナーの排除：Web における広告業界との戦いを開始

Brave browser to start blocking annoying cookie consent banners

2022/09/29 BleepingComputer — Brave ブラウザでは近々に、ユーザーが訪問する全ての Web サイトで、プライバシーを害する可能性のある、煩わしい Cookie 同意バナーをブロックできるようになる。ヨーロッパに在住する人々が、BleepingComputer のサイトを訪問する場合に、当社の広告主からのデータ収集クッキーを受け入れるかどうかを尋ねる、迷惑なクッキー同意プロンプトに気づいたかもしれない。

TikTok に £27m の罰金：英国規制当局が 13歳未満ユーザーのプライバシー保護で提訴

TikTok Facing £27m UK Regulatory Fine

2022/09/27 InfoSecurity — 英国のプライバシー規制当局は、同国のデータ保護法違反に基づき、TikTok に対して £27m の罰金を科す意向を明らかにした。それを受けて、ICO (Information Commissioner’s Office) は、中国の SNS 大手である TikTok に対して、2018年〜2020年の間に法令違反が行われたと説明する通知を発行した。

Instagram に €405M の罰金：アイルランド規制当局が不適切なアカウント保護を摘発

Irish Watchdog Fines Instagram 405M Euros in Teen Data Case

2022/09/06 SecurityWeek — 欧州連合の厳格なデータプライバシー規則に違反して、Instagram が 10代の若者の個人情報を誤って扱っていたことが判明した後に、このソーシャルメディア・プラットフォームは、アイルランドの規制当局により多額の罰金を科されることになった。この月曜日のメールで、アイルランドのデータ保護委員会は、Instagram に €405 million ($402 million) の罰金を科す最終決定を、先週に下したことを明らかにした。

Chrome の使用制限：オランダの教育機関でセキュリティへの懸念が指摘される

Chrome use subject to restrictions in Dutch schools over data security concerns

2022/07/23 BleepingComputer — オランダの教育省は、データ・プライバシーへの懸念から、2023年8月まで Chrome OS／Chrome Web ブラウザの使用停止を決定した。Google サービスが、生徒たちのデータを収集し、大規模な広告ネットワークに提供するなど、教育支援以外の目的で使用することを、同教育省は危惧している。

政府系 Web サイトと Cookie の関係：大半でサードパーティ・トラッカーが使われている

Nearly all governmental websites serve cookies or third-party trackers

2022/07/11 HelpNetSecurity — いくつかの国々では、政府系 Web サイトの 90％ほどが、ユーザーの同意なしにサードパーティのトラッカー・クッキーを追加している。Matthias Götze (TU Berlin)／Srdjan Matic (IMDEA Software)／Costas Iordanou (Cyprus University of Technology)／Georgios Smaragdakis (TU Delft)／Nikolaos Laoutaris (IMDEA Networks) といった研究者たちは、「ユーザーのプライバシーに関する厳しい法律のある国でも、この種のことが起こっている」と述べている。

米企業のプライバシー管理：お粗末な CCPA／CPRA／GDPR コンプライアンス対応

Companies poorly prepared to meet CCPA, CPRA and GDPR compliance requirements

2022/04/29 HelpNetSecurity — California Consumer Privacy Act (CCPA) および、California Privacy Rights Act (CPRA)、EU の General Data Protection Regulation (GDPR) への各企業の対応状況について、CYTRIO が 2022年 Q1 に行った独自調査の結果が発表された。2022年3月31日の時点において 90% の企業が、CCPA／CPRA の Data Subject Access Request (DSAR) 要件に対して、完全に準拠していないことが調査結果で明らかになった。さらに、95% の企業が、GDPR の DSAR の要件に対して、エラーの起こりやすい、時間のかかる手動プロセスを使用していることが分かった。

米上院議員が提出したデータ保護法案：中国に対する規制を強化

US senators introduce bill to further restrict Chinese acquisitions of American personal data

2021/11/03 SCMP — 火曜日に、２人の米上院議員が、国家安全保障への脅威を理由に、中国による米国人の個人情報の取得を、さらに制限するという超党派の法案を提出した。フロリダ州選出の Marco Rubio (共和党) とジョージア州選出の Raphael Warnock (民主党) が提出した、Protecting Sensitive Personal Data Act of 2021 は、米国企業を所有する外国人バイヤーに対して、購入品の審査提出を強制することができる。それにより、省庁間規制機関である Committee on Foreign Investment in the US (CFIUS)の監視権限が拡大していく。

Cookie 同意の Pop-Up：すべてを受け入れることのリスクとは？

Don’t Click On Pop-Ups

2021/10/13 CyberSecurityIntelligence — この１年半ほどの間に、大きな変化があった。スマホやパソコンで新しい Web サイトを訪れた際に、おそらく、誰もが目にしたことがあると思う。そのページが Cookie を使ってあなたを追跡していることが知らされ、それに同意するよう求められるようになった。現在、ユーザーが訪問するほとんどの Web サイトでは、そのユーザーに関する情報を保持するために、同意を求めるポップアップが表示される。

TikTok に注目する EU 規制当局：中国へのデータ転送と子供のプライバシー保護が焦点

TikTok faces probes in EU over transferring data to China and processing children’s information

2021/09/16 SCMP — TikTok は、EU のデータ・プライバシー規制当局から、子どもの個人情報の取り扱いと、中国への個人情報の移転に関して、調査を受けている。アイルランドのデータ保護委員会 (Ireland’s Data Protection Commission) は、世界のトップ・インターネット企業の多くがアイルランドに地域本部を置いていることから、EU の主要規制機関となっており、違反があった場合には、世界の売上高の 4％を上限とする制裁金を課すことが認められている。

従業員教育から災害復旧まで：包括的なデータ保護でサイバー犯罪を無力化する

Building a Unified BCDR Strategy to Protect Data

2021/09/10 SecurityBoulevard — すべてのビジネスにとって、データは生命線である。しかし、そのデータを保護することが、企業にとって大きな課題となっている。その理由は、さまざまな法律や規制のコンプライアンス基準があり、また、サイバー犯罪者による攻撃や、従業員が犯す失敗などにより、常にデータが脅威にさらされるからだ。

Amazon に科された GDPR 罰金 970億円の意味と反論

Amazon gets $888 million GDPR fine for behavioral advertising

2021/07/30 BleepingComputer — Amazon だが、ターゲット行動広告の実施方法に関する GDPR 違反の疑いで、€746 million ($887 million : 970億円)という記録的な罰金を科せられた。この罰金は、個人情報の収集と使用の合法性を監視するために設立された、独立公的機関であるルクセンブルグの CNPD (Commission nationale pour la protection des données) から要求されたものだ。本日に提出された SEC Form 10-Q において、この巨額の罰金は、2021年7月16日に CNPD から科されたものであり、個人データの不適切な処理に対するものとされると、Amazon は述べている。

AMaaS ＞IDaaS：クラウドとオンプレの ID を統合

Pushing the Limits of IDaaS with AMaaS

2021/07/29 SecurityBoulevard — データへの安全なアクセスは、誰にとっても大きな懸念となる。そこで、クラウド ID 管理ソリューションとして、IDaaS (identity-as-a-service) が随所で採用され、アプリケーションにアクセスするユーザーが、本人であることの確認が、つまり、ID の認証が行われている。しかし、IDaaS は、問題の半分しか解決できない。個人情報保護法では、個人を特定できる情報 (PII) などの機密データに、適切な人だけが適切なタイミングでアクセスするよう求められている。

中国のビッグテックが直面する新たなデータ保護法とは？

China’s Big Tech face wake-up call as country’s web of data protection laws grows more elaborate

2021/07/11 SCMP — 中国のインターネットを Great Firewall で検閲している中国の Cyberspace Administration of China (CAC) だが、これまで企業の株式公開計画にほとんど関与していなかった。2011年に CAC が設立されたときには、中国企業が香港や NY などで上場する道筋は、弁護士や投資銀行家にとって当たり前のルートになっていた。中国の他の行政機関と同様に、CAC は企業に助言を与えることはできても、IPO のゲートキーパーとしての法的拘束力はない。