2022 年は、デジタルセキュリティにとって多忙な年でした。このコネクテッドの世界では脅威が増加しており、ユーザーがデジタルインタラクションについて安心できるように、デジタルトラストがかつてないほど重要なものとなっています。

この記事では、今年 2022 年にデジタルトラスト分野で起こったことを振り返ります。2023 年のセキュリティ予測も、どうぞお見逃しなく。

デジサートニュース

• デジサートは、Dr. Amit Sinha を CEO および取締役会のメンバーとして迎えました。Sinha は、Engim、AirDefense、Motorola、Zscaler を経て当社に入社しており、テクノロジー、戦略、運用の分野で 20 年以上の経験を持っています。Sinha のリーダーシップのもと、実世界に根ざしたデジタルトラストを定義するようフォーカスと戦略が設定され、デジサートのデジタルトラスト分野における優位性が引き続き強化されていきます。
• デジサートは、 IoT サイバーセキュリティプロバイダである Mocana を買収しました。エンドツーエンドの IoT セキュリティが実現し、IoT デバイスメーカーや事業者にとっても市場投入までの時間が短縮されています。デジサートと Mocana という組み合わせは、IoT デバイスのライフサイクル全体にわたってセキュリティを管理できる包括的なプラットフォームを顧客に提供します。
• 今年はじめ、デジサートは DNS Made Easy を買収しました。企業向けのDNS（Domain Name System）マネージドサービスを提供する企業です。その結果、デジサートのデジタルトラストのポートフォリオが拡大し、デジサートは証明書ライフサイクル管理に対するシームレスなアプローチを提供できるようになります。
• デジサートは現在、カリフォルニア大学サンディエゴ校およびスタンフォード大学の研究者と協力して DNS ハイジャックに関する理解を深め、悪意をもって取得された証明書を特定して対策を講じることで将来の攻撃を防止するための取り組みを行っています。
• デジサートの Secure Software Manager が、GPG キーリングに対応しました。Linux 上のコードや git commit に対して署名が必要な方や、Redhat ツールで OCI 準拠のコンテナ署名を必要とする方にとって、これは大きなマイルストーンです。
• デジサートは、EONTI とともに、カナダ西部で次世代 911 システムのセキュリティを保護する NG9-1-1 ネットワーク事業者に選定されました。

IoT

• 10 月 4 日、CSA（Connectivity Standards Alliance）が Matter 1.0 をリリースし、デジサートのルート認証局（CA）は、Matter のデバイス認証に向けて CSA が承認する最初の CA となりました。スマートホームメーカーは市場投入を迅速化でき、顧客にとってはセキュリティが自動的に実装されることになります。Matter は数年間にわたるプロジェクトであり、Matter は、Apple、Google、Samsung など、スマートホームの製造に関わるトップ企業がすべて結集し、異なるメーカーのデバイスを相互運用する信頼性と安全性の高い方法を作り出しています。デジサートはこの Matter に深く関わってきたため、メーカーがデバイス認証で準拠を達成するための支援を提供することができます。
• Google Cloud が、2023 年 8 月までに IoT Core サービスを停止するという計画を発表し、顧客や業界の専門家を驚愕させました。移行まで 1 年間と猶予がありそうに思えますが、なぜ今この時期に変更するのか、そしてこの動きは正しいのでしょうか。詳しくは、こちらのブログ記事をご覧ください。また、Google IoT Core をお使いで、移行先をお探しなら、DigiCert for Connected Devices もご検討ください。
• 先日、米国では PATCH 法が提出されました。医療機器メーカーが機器にパッチを適用するのを容易にし、医療機器の設計、開発、メンテナンスに関して、セキュリティ上のベストプラクティスに従うことをメーカーに義務付けるという法律です。

Eメール

• デジサートの Stephen Davidson が議長を務める、CA/ブラウザフォーラムの S/MIME 証明書ワーキンググループが、S/MIME ベースライン要件を承認しました。メールセキュリティに使用される、公的に信頼される電子証明書を発行する CA に向けた業界初の基準です。この新しいベースライン要件は、2023 年 9 月に全面的に発効する予定です。
• VMC の採用は今年も増加しました。Apple などの新しいメールサービスプロバイダ（ESP）が VMC を導入し、VMC のための商標（TM）オプションも追加で承認されているためです。顧客が送信するすべてのメールでロゴを確認できる世界に近づく動きでした。Gmail では、フランス、オランダ、スイス、デンマーク、スウェーデン、ニュージーランドなどの国で TM が追加されました。BIMI と VMC の詳細については、https://www.digicert.com/jp/faq/email-trust/what-is-bimi-and-why-is-it-important を参照してください。

ブラウザ

• 6 月 15 日、Microsoft が Internet Explorer を最終的に終了しました。Internet Explorer は約 27 年間使用されてきましたが、新しい Microsoft Edge に移行するための措置でした。まだ Internet Explorer を使っているユーザーに対して、Microsoft は一時的に Microsoft Edge にリダイレクトする予定です。
• 9 月のブログで、Chrome が新しいルートプログラムを発表しました。これまで Chrome は、Chrome が実行されているプラットフォームのルートストアに依存していました。今回の新たな移行により、Chrome 独自のルートプログラムにより、最低条件を満たすすべてのプラットフォームで、一貫したより安全なルートが、信頼できるすべての CA に提供されることになります。Chrome Root Program とその要件の詳細については、CA/B フォーラムの 6 月のまとめ（ https://www.digicert.com/jp/blog/ca-browser-forum-recap-june-2022）で詳しく解説しています。

欧州規格

• E.U. は、全域を対象とする初の IoT サイバーセキュリティ法に向けた動きを発表しました。メーカー各社にサイバーセキュリティの規則を課し、遵守しなかった場合にはメーカーや開発者に巨額の罰金と罰則を適用します。E.U. の消費者にとっては、購買力の強化とデバイスへの信頼を得るための大きな前進です。この欧州サイバーレジリエンス法は現在、欧州議会で審議中ですが、可決されれば、コンプライアンスの徹底までにメーカー各社が与えられる猶予は最大 2 年間となります。
• 欧州議会と E.U. 加盟各国は、5 月上旬、E.U. 全体で高い共通レベルのサイバーセキュリティを実現する措置をめぐる指令に合意しました。従来の規則は、サイバーセキュリティに関する最初の E.U. 全域の法律でしたが、デジタルトラストを強化する更新が必要でした。
• 欧州の eID および電子取引に関する法律の改定（eIDAS2 として知られる）に向けた法制化プロセスは、交渉が進んでおり、2023 年に投票に入ると予想されています。その重要な目標のひとつは、欧州全体で eID 制度を育成することで、eID 各国が提供する相互運用可能なデジタルウォレットの導入を目指しています。2030 年までに EU 市民の 80% が eID を定期的に利用することが目標です。
• スイス連邦評議会は、2023 年 9 月 1 日に新データ保護法を施行すると発表しました。データ保護法（DSG）は、国境を越えたデータ転送を追加の要件なしに継続するため、スイスが E.U. の規制と互換性のある高水準のデータプライバシーを維持できるようにすることを目的としたものです。

米国基準

• ホワイトハウスは、IoT デバイスに関するセキュリティラベルの新しい標準を制定するために、10 月にテクノロジー業界の大手と会議を開催しました。2023 年春の施行を予定している制度です。セキュリティ業界における「栄養表示」ともいえる制度であり、消費者がスマートデバイスの脆弱性や他の製品との相互運用性などの情報を確認しやすくするものです。詳細はこちらを参照してください。
• 米国商務省標準化技術研究所（NIST）は、IoT およびソフトウェアのセキュリティラベルがどのようなものになるか、その概要を説明しました。栄養表示と同じように、セキュリティラベルは、購入の際に、特にデバイスやソフトウェアのプライバシーとセキュリティに関して、消費者が詳しい情報を確認できます。
• 8 月上旬、ジョー・バイデン大統領が「CHIPS and Science Act」（CHIPS法）に署名し、同法が成立しました。この法律は、半導体メーカーに数十億ドルのインセンティブを提供して米国の競争力を高め、サプライチェーン問題の解消に向けた公的研究に資金を提供するものです。米国で事業を展開する際、半導体メーカーはシリコンに信頼を注入し、製品ライフサイクルのあらゆる段階で信頼を管理できるデジタルトラストのリーダーと提携しなければなりません。
• FBI は、ブロックチェーンの解析と仮想資産の押収を専門とするデジタル通貨ユニットの設立を発表しました。この発表は、FBI がニューヨーク在住の夫婦を 45 億ドル以上のビットコインのロンダリングで起訴し、史上最高額の仮想資産差し押さえを行ったことを受けたものです。

量子コンピュータ

• NIST は、最初の耐量子暗号化アルゴリズムを選定しました。つまり、今こそ組織の暗号化の俊敏性を準備し、新しい暗号アルゴリズムのテストを開始するときだということです。しかし、最終的に選定されたアルゴリズムのひとつである SIKE（Supersingular Isogeny Key Encapsulation）は、従来の PC でも 1 時間以内にクラッキングされてしまいました。この脆弱性を修正できない場合、NIST はこのアルゴリズムを今後の検討対象から外さざるをえなくなります。古典的アルゴリズムにしても耐量子アルゴリズムにしても、脆弱性が発見された場合にアルゴリズムを簡単に変更できるように、暗号化の俊敏性が重要であるという事実を再認識させる経緯でした。
• CISA（サイバーセキュリティインフラセキュリティ庁）が論文を発表し、量子コンピュータが実用化されるまで待つのではなく今すぐ量子コンピュータのリスクに備えるよう各界リーダーに促しました。「量子コンピュータが敵に使われるまで行動を控えてはいてはならない」と CISA は警告しています。

脆弱性

• Proofpoint 社のサイバーセキュリティ研究者によると、フィッシングキットの使用など、ハッカーは多要素認証（MFA）を回避する方法を見つけることが多くなっています。フィッシングキットは攻撃者が認証情報を入手して使用できるようにするもので、通常、安価に入手できます。新しいキットでは、ユーザー名やパスワードだけでなく、MFA トークンなども盗むことができます。
• GitHub は、オープンソースのレジストリを保護するために、npm ソフトウェアパッケージのコード署名を開始すると発表しました。Log4Shell などの脆弱性によって、npm 上のオープンソースパッケージが、公開されているのと同じソースコードからビルドされている保証がないという懸念が高まったことを受けた動きです。コード署名によるビルドは、ソフトウェアの出自を認証し、デジタルトラストの層をもうひとつ追加します。
• Meta Platforms は、同社の約百万人の Facebook ユーザーに対して、アカウントのクレデンシャルが侵害されていることを通知すると発表しました。これは、ログイン情報を公開するようスキャミングする 400 個以上の有害な Android および iOS アプリが発見されたことを受けての対応です。Apple および Google はこれらのアプリをすでに削除していますが、Meta は、問題のあるアプリにクレデンシャルを明かさないように「潜在的な被害者」にアドバイスを与えていく予定です。

データ侵害

• 最近の調査によれば、過去 2 年間に 10 数か国の企業のうち約半数がデータ侵害を経験していることが分かりました。この調査によると、データ侵害件数は増加しており、脅威の増加とともに修復に費やすコストとリソースも増加しています。
• フィッシングと見られる攻撃で、わずか 3 時間で 200 万ドル相当の NFT が盗まれました。この攻撃は、OpenSea のユーザーを標的とし、ほとんどの NFT スマートコントラクトの基盤となっているオープンソース規格の脆弱性を利用したものです。攻撃者は不完全なコントラクトで有効な電子署名を使用し、コントラクトを自分のウォレットに転送できました。

マルウェア

• 専門家が「並行するサイバー戦争」と呼ぶように、ロシアはウクライナのサイトに対してマルウェア攻撃を仕掛けています。ロシアが初めてウクライナに地上攻撃を行った日、ウクライナの銀行および政府機関のコンピュータに影響を与えるマルウェアをエストニアのサイバーセキュリティグループが検出しました。
• また米国の CISA（サイバーセキュリティー・インフラセキュリティー庁）および FBI は公的組織および民間組織がマルウェアを含むロシアの潜在的なサイバー攻撃から保護するための「シールド」を導入するよう勧告しています。
• 1 月、ハクティビストの集団が、ロシア軍の進軍を阻止するためにベラルーシの鉄道網にランサムウェア攻撃を仕掛けたと宣言しました。ベラルーシのアレクサンドル・ルカシェンコ大統領がロシア軍への支援を取りやめ、医療支援を必要とする政治犯を釈放することに同意すれば復号鍵を引き渡すと Twitter で発表しました。この種の攻撃がこのような方法で使用されたのは初めてのことです。
• 攻撃者が、Microsoft や Google のソフトウェアアップデートを偽装してマルウェアを拡散しようとするケースが増えていると研究者は警告しています。HavanaCrypt は、Windows 10、Microsoft Exchange、Google Chrome のアップデートを偽装しようとする最新のランサムウェアです。
• 8 月には、マルウェアを格納した約 3 万 5000 個のクローンプロジェクトファイルが GitHub に大量に発生しました。開発者の間でオープンソースのプロジェクトをクローンすることは普通ですが、今回の場合、攻撃者は正規のプロジェクトをクローンし、マルウェアを追加して GitHub に再投稿していました。その後 GitHub は、悪意のあるリポジトリのほとんどを削除しています。

TLS/SSL

• 7 月 21 日には、Entrust 社が 6 月 18 日にサイバー攻撃を受けたことが公式に確認されました。同社の内部ネットワークに第三者が侵入し、企業データが盗み出されています。ただし、顧客やベンダーのデータが盗まれたかどうかは現在もわかっていません。同社は 7 月 6 日、データ漏洩を顧客に知らせるセキュリティ通知を送付し、「この問題が当社の製品およびサービスの運用やセキュリティに影響を与えたという兆候は今のところ見つかっていない」と述べています。

デジタルトラストの最新ニュースに関する全シリーズは、こちらをご覧ください。

IDC のホワイトペーパー「Digital Trust: デジタルフリーダムの基盤」を入手して、デジタルトラストとは何か、どう機能するか、そしてなぜそれをあらゆる組織が戦略的な構想にしなければならないのかをお確かめください。