Regulation – IoT OT Security News

米国法 CISA 2015 は存続できるのか？議会の膠着が引き起こすインテリジェンス共有の危機とは？

Expired US Cyber Law Puts Data Sharing and Threat Response at Risk

2025/10/02 InfoSecurity — 米国政府が公表したのは、サイバー脅威インテリジェンスの共有において、法的責任から企業を保護する重要な米国法が、政府予算をめぐる議会の膠着状態の中で合意に至らず失効したという事実である。CISA 2015 (2015 Cybersecurity Information Sharing Act) は、Automated Indicator Sharing Program (AIS) と呼ばれる任意のプログラムを通じて、サイバー脅威データを交換する際に、企業を訴訟から保護するものであった。この法律は、米国議会が期限前に延長を決議しない限り、9月30日に失効すると予想されていた。

バグバウンティを法的に規制する判決：本来の意図とは異なる判例がもたらす懸念とは？

A Court Ruling on Bug Bounties Just Made the Internet Less Safe

2025/07/25 InfoSecurity — いまの時代の、サイバー脅威の頻度／規模／巧妙さが増大する現状において、官民の連携は強固な防衛手段である。しかし、United States v. Sullivan インシデントに関するU.S. Court of Appeals for the Ninth Circuit の最近の判決により、バグ報奨金プログラムを介した、責任のある脆弱性情報の開示のフレームワークが崩壊していく可能性が生じている。このフレームワークは、最も有効に機能している、官民連携の一つなのである。

Google とテキサス州が 14億ドルの罰金で合意：不正な位置追跡と生体認証データの収集

Google Pays $1.375 Billion to Texas Over Unauthorized Tracking and Biometric Data Collection

2025/05/10 TheHackerNews — Google がテキサス州と合意したのは、ユーザーの同意を得ることなく、個人位置情報を追跡し、顔認識データを保持したとして提起された、２件の訴訟を和解するために $1.375 billion を支払うことだ。この支払い額は、他州からの同様の訴訟において、Google が支払った罰金を大きく上回っている。2022年11月に Google は、40州の連合に対して $391 million を支払い、また、2023年12月にはインディアナ州およびワシントン州に $29.5 million を、そして、同年 9月にはカリフォルニア州との和解で $93 million を支払っている。

トランプ政権の安全保障会議：攻撃的ハッキングの可能性について述べる – RSAC 2025

Top NSC official wants to normalize offensive hacking as tool of US might

2025/05/01 nextgov — SAN FRANCISCO ― 国家安全保障会議 (NSC：National Security Council) サイバー・セキュリティ担当トップとして、初めての重要な議論に臨んだ Alexei Bulazel は、米国の国家権力の手段としての攻撃的なサイバー活動の利用を常態化させたいと述べた。ドナルド・トランプ大統領の１期目において NSC サイバー政策局長を務めた Alexei Bulazel は、全米の重要インフラシステムを標的とする、中国をはじめとする敵対勢力からのサイバー攻撃に対して “同等の対応” を講じることが可能だと、サンフランシスコで開催された RSAC Conference でサイバー・セキュリティ専門家たちに述べた。

CVE プログラムの今後：CISA が再確認する継続的なサポートの約束とは？

CISA Clarifies CVE Program’s Stability Amid Funding Concerns

2025/04/24 SecurityOnline — CVE (Common Vulnerabilities and Exposures) プログラムの不安定さを懸念する、最近のメディア報道を受けるかたちで CISA は、最も重要なサイバー・セキュリティ・インフラの一つである CVE を維持するコミットメントを、強い声明で再確認している。

CVE プログラムの未来を担う CVE Foundation が発足：グローバルな脆弱性管理体制へ

CVE Foundation Launched to Secure Vulnerability Tracking

2025/04/16 SecurityOnline — サイバー・セキュリティ分野における重大な転換となる、CVE (Common Vulnerabilities and Exposures) Foundation の設立が正式に発表された。この動きは、脆弱性を追跡するためのグローバルなシステムである、CVE (Common Vulnerabilities and Exposures) プログラムの独立性と安定性を、長期的に確保するという目標の現れである。この発表は、MITRE による CVE プログラム運営に対する資金提供を、米国政府終了するという内部文書が流出した翌日に行われた。つまり、1999年から 25年間も続いた、政府による支援が打ち切られることが明らかになったわけである。

CVE プログラムに対する政府資金が終了：MITRE が懸念するセキュリティ分野への影響

MITRE warns that funding for critical CVE program expires today

2025/04/16 BleepingComputer — 米国政府による CVE (Common Vulnerabilities and Exposures) および CWE (Common Weakness Enumeration) プログラムへの資金提供が、2025年4月16日で終了することを、MITRE の VP である Yosry Barsoum が発表した。それにより、世界中のサイバー・セキュリティ業界に、広範な混乱が生じる可能性があると、彼は警告している。

古い脆弱性は後回しに？ NIST が CVE データ管理の方針転換を発表

NIST Defers Pre-2018 CVEs to Tackle Growing Vulnerability Backlog

2025/04/08 InfoSecurity — NIST (National Institute of Standards and Technology) の正式発表によると、2018年1月1日以前に公開された、すべての CVE に対して、NVD 上で “Deferred” (保留) としてマークされることが決定したようだ。このステータスが付与された CVE は、CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) に登録されない限り、詳細情報の更新の優先順位が下げられる。

CISA の予算が $10M もカット：ISAC の活動が行き詰まり従業員が解雇される

CISA Cuts $10M in ISAC Funding & 100s of Employees

2025/03/14 DarkReading — 米国の Cybersecurity and Infrastructure Security Agency (CISA)は、数百人のレイオフと数百万ドルの予算削減により、これまでの短い歴史の中で最大の変革期を迎えている。同庁は、この２月に数百人の職員を解雇した。このレイオフの正確な規模は不明だが、推定では 300～400人程度であり、１月時点での 3,300人という職員数を考えると、かなりの大人数である。

OWASP の Smart Contract 脆弱性 Top-10：2025年の傾向を探る

OWASP Unveils Top 10 Smart Contract Vulnerabilities for 2025

2025/01/20 SecurityOnline — Open Web Application Security Project (OWASP) は、2025年において Smart Contract に影響を与え得る、脆弱性の Top-10 リストを更新した。この包括的なドキュメントは、Smart Contract で最重視されるべき脆弱性を特定し、分散型エコシステムのリスクを軽減するためのロードマップを、開発者とセキュリティ専門家に提供するものである。

2025年のセキュリティを考える：OSS とソフトウェア・サプライチェーンに注目すべきだ

Cyber Insights 2025: Open Source and Software Supply Chain Security

2025/01/15 SecurityWeek — RapidFort の CEO である Mehran Farimani は、「これまでの 10年間を経て、Open Source Software (OSS) は主要な脅威ベクターとなった。その理由は、500万を超える OSS パッケージが提供されているという、きわめて単純な数字にある」と説明する。Endor Labs の Chief Security Advisor である Chris Hughes は、「これまでの 10年間で、OSS の採用は飛躍的に増加しており、減速の兆候は見られない。現時点において OSS は、最新のコードベースの約 90% に存在し、それらのコードベースの 70～80% を占めている」と指摘する。

FBI による法的措置：中国由来のマルウェア PlugX を 4,200台のコンピュータから削除

FBI deleted Chinese malware from 4,200 US computers

2025/01/14 NextGov — 2025年1月14日 (火) に FBI が発表したのは、中国政府が支援するマルウェアに感染した、米国内のコンピューター約4,200台から悪意のソフトウェアを排除するために、数か月にわたるオペレーションを実施していたことである。この悪意のソフトウェアは、被害者のマシンに感染した後に、それらを不正に制御し、情報を盗むようにデザインされている。

トランプ 2.0 と CISA の確執を紐解く：何が継続され何が変化するのだろう？

Trump 2.0 Portends Big Shift in Cybersecurity Policies

2024/12/24 DarkReading — 政治的な論評に飲み込まれる前の CISA は、トランプ第一次政権の下で 2018年に発足した、彼の功績である。しかし、その後の CISA は、政治からの汚い非難と、言論の自由という悪ふざけにより、保守派から除け者にされてしまった。現在の CISA は、存亡をかけたトランプ政権との政治的衝突に直面しており、米国連邦政府によるサイバー・セキュリティへの関与自体が、新たな政権の中に引きずり込まれるという懸念が生まれている。その結果として、サイバー・リスクが増加するという可能性があるが、その一方では、ビジネス／イノベーション／投資の機会が生まれるだろう。つまり、数多くのことが、同時に起こり得るのである。

Salt Typhoon による侵害：テレコムを含む数百の組織に広がる被害とは？

Hundreds of organizations were notified of potential Salt Typhoon compromise

2024/12/23 NextGov — 米国のサイバーセキュリティ当局は、中国が支援する大規模なサイバー侵入の発見と緩和に取り組み、同国内の通信インフラに押し寄せる困難な時期に備えている。ハッキング集である Salt Typhoon は、大手テレコムである Verizon／AT&T／Lumen／T-Mobile などを罠にかけ、数十人の重要政治家を標的にしているが、その中には、ドナルド・トランプ次期大統領とつながる人物も含まれているという。

TP-Link Router がバンされる？米政府が懸念する広大なシェアと北京からの影響

US Ban on TP-Link Routers More About Politics Than Exploitation Risk

2024/12/21 DarkReading — 米国での TP-Link 製品の販売禁止を、政府機関や議員たちが検討していると報じられている。そこから推測されるのは、いまの TP-Link はサイバー攻撃者に最も頻繁に悪用される脆弱性を持つ、ネットワーク・ベンダーのリストで上位にランクされているという状況である。しかし、それは事実ではない。この中国企業の製品は、消費者や中小企業に人気を博しており、CISA の KEV という既知の悪用脆弱性リストには、現時点で２件のセキュリティ問題が掲載されているに過ぎない。それに対して、Cisco は74件、Ivanti は 23件、D-Link は 20件という状況にある。

テレコムと政府と国民は Salt Typhoon に対抗できるのか？ End-to-End 暗号化通信の必要性

Governments, Telcos Ward Off China’s Hacking Typhoons

2024/12/11 DarkReading — 中国由来の Salt Typhoon グループからの侵害に対して、米国政府と８社の通信会社が、ネットワークの保護に苦戦している。それと並行して、他国における多くの通信会社も、APT の主標的にされている。それに先行するかたちで、2023年には、Salt Typhoonとの重複が疑われる中国由来のグループ Earth Estries が、APAC／中東／北アフリカ（MENA）地域、そして米国の通信会社を侵害している。

米上院における法案：FCC が通信会社に義務付けるサイバー規則を推測する

Senate bill would require FCC to issue binding cyber rules for telecom firms

2024/12/10 NextGov — 12月10日 (火) に提出された法案が Federal Communications Commission (FCC) に対して指示するのは、最低限のサイバー要件や年次システム・テストを取り込んだ、必須のサイバー・セキュリティ・コンプライアンス・ルールのリストに従うよう、通信事業者に義務付けよというものだ。この法案は、Salt Typhoon と呼ばれる中国のサイバー・スパイ集団による、広範かつ多数の通信事業者と盗聴システムへのハッキングに対応するものである。この問題に関しては、いまもフォレンジック分析が続いているが、依然としてハッカーたちは、一部のネットワークに潜んでいると思われる。

米 FCC の提案：Salt Typhoon 攻撃に対応する盗聴セキュリティの基準

FCC proposes updates to wiretap security standards following Chinese telecom hacks

2024/12/05 NextGov — 12月5日 (木) に FCC (Federal Communications Commission) のトップは、そのチーム・メンバーたちに草案を共有した。FCC の報道発表によると、この草案が採用された場合には、法執行機関からの盗聴要求に対応するシステムへの不正アクセスは、通信会社により直ちに保護されるよう義務付けられることになる。また、FCC の Jessica Rosenworcel 委員長も、別の規則制定案を同僚たちに提案している。この案が承認されると、同委員会から通信会社に対して、セキュリティ態勢に関する年次証明書の提出が義務付けられる。

Tor が必要とする 200 の WebTunnel ブリッジ：協力者に T シャツをプレゼント！

Tor needs 200 new WebTunnel bridges to fight censorship

2024/11/28 BleepingComputer — 各国政府の検閲に対抗する Tor プロジェクトは、この年末までに 200 個の新しい WebTunnel ブリッジを展開したいと訴え、ボランティアの支援が必要だと、プライバシー・コミュニティに対して緊急の呼びかけを行っている。現時点において、Tor プロジェクトは 143 個の WebTunnel ブリッジを運用している。それにより、検閲が厳しい地域のユーザーに回避の道筋を提供し、インターネット・アクセス制限や Web サイト・ブロックを無効化している。

Google は Chrome 事業を売却すべきだ：米司法省が唱える反トラスト訴訟とは？

DOJ Proposes Breaking Up Google: Calls for Sale of Chrome Browser

2024/11/21 HackRead — Google に対する反トラスト訴訟において DOJ は、Chromeブラウザの売却および、検索処理の制限、そして、独占を制限するための事業再編などの、厳しい提案を行っている。米国司法省 (DOJ) は、Google に対する反トラスト訴訟の一環として、同社の事業構造とインターネットにおける役割を完全に変えると思われる、きわめて大きな変革を提案している。

CrowdStrike の障害から学ぶ、金融業務レジリエンスの教訓 – 英 FCA

CrowdStrike outage: lessons for operational resilience

2024/10/31 FCA — 2024年7月に CrowdStrike が引き起こした、大規模な Windows BSOD 障害への取り組みにおいて、それぞれの企業が対策を実施し、将来のインシデントへ向けて準備している。それについて、FCA の主たる観察／見解／教訓を述べたい。