コネクテッドな世界におけるデジタルセキュリティに関するニュースをまとめてご紹介します。連載記事一覧を見るには、こちらをクリックしてください。

デジサートニュース

デジサートは、2022 年の業務上のハイライトを発表しました。特筆すべきは、過去 1 年間における収益と顧客獲得の力強い成長です。包括的なデジタルトラストを求める顧客のニーズに応えることで、デジサートは接続の増加に伴って直面するリスクから組織を保護するソリューションによって、クラス最高のイノベーションを実現するビジョンを達成しつつあります。

DigiCert^® ONE が、信頼性保護ソリューションで Gold Globee^® を獲得しました。Globee Cybersecurity Awards は、デジタル時代のセキュリティを確保する革新的なアプローチと効果的なソリューションを提供するサイバーセキュリティ企業や専門家を表彰する賞です。

デジサートは、AuthIndicators Working Group の BIMI（Brand Indicators for Message Identification、メッセージ識別用ブランドインジケーター）規格に準拠してニュージーランドで登録された商標を持つ企業に対して、認証マーク証明書（VMC）を発行すると発表しました。 

欧州規格

欧州議会は、デジタルアイデンティティフレームワークの提案を可決しました。ユーザーのプライバシーを保護するために、ゼロ知識証明技術を利用して市民が公共サービスや自分のウォレットにアクセスできるようにする仕組みです。ただし、International Association for Trusted Blockchain Applications は、規制文の中で電子台帳を扱ったセクションが削除されたことについて懸念を表明しています。

米国基準

バイデン-ハリス政権が、新しい国家サイバーセキュリティ戦略を発表しました。ソフトウェア製品およびサービスに対する有意な責任の確立と、重要インフラにおけるサイバーセキュリティに関する最低要件の義務化を目指す戦略です。この戦略は、サイバーセキュリティの責任を個人ユーザーや中小企業から引き離すことも重視しています。

食品医薬局（FDA）は、インターネットに接続された製品がハッキングされたり、ランサムウェア攻撃の標的にされたりするという懸念への対応策として、医療機器に関するサイバーセキュリティガイドラインを新たに発表しました。新しい医療機器を申請する際には、サイバーセキュリティの問題を監視・特定し、それに対処する計画を提出し、機器を確実に保護して、セキュリティアップデートとパッチを定期的に公開する必要があります。

TikTok の CEO である Shou Chew 氏は米国議会に出席し、人気ビデオアプリを禁止するよう求める声に対して弁護しました。中国の親会社である ByteDance が米国のユーザーデータを中国政府と共有していることに対する懸念を受けての対応です。議員らは、ByteDance と中国政府との関係について Chew 氏に質問し、TikTok がユーザーデータを保護する能力について疑念を示しました。TikTok を禁止するために使用される可能性のある RESTRICT 法は、その「ありえないほど広い」文言が、VPN を含む他の通信サービスや海外接続アプリの禁止にもつながりかねないと主張するデジタル権利の専門家から批判を浴びています。

量子コンピュータ

エール大学の研究者らによる最近の進展で、量子ビットに符号化された情報を量子ノイズによるエラーから保護する量子エラー訂正を用いて、量子ビットの寿命を分岐点を超えて 2.3 倍延ばすことに成功しました。この画期的な成果は、量子ビットの寿命を 1 倍以上に延ばした初めての例であり、現代のスーパーコンピュータを超える優位性を備える量子コンピュータを、いずれ研究者が構築できる可能性を示すものです。

AI

Microsoft が Microsoft Security Copilot を発表しました。防御側が、AI のスピードと規模に合わせて対応できるようにする初のセキュリティ製品です。自然言語で重要なガイダンスとコンテキストを提供するツールであり、優先順位を付けて脅威を表面化し、犯罪者の次の動きを予測して、より安全な結果を達成するために人材不足に対処することができます。

脆弱性

Fortinet は、攻撃者が未承認のコードやコマンドを実行できてしまう重大度の高い脆弱性に対処するセキュリティアップデートをリリースしました。このような未知の攻撃者はゼロデイエクスプロイトを使用して、パッチ適用済みの新しい FortiOS のバグを利用して政府や大規模な組織を攻撃し、OS やファイルの破損やデータ損失をもたらしました。

ChatGPT のユーザーから、チャット履歴に他のユーザーの会話のタイトルが表示されるという不具合が報告され、プライバシーに関する懸念が発生しました。OpenAI はこの不具合を認めて修正しましたが、ユーザーは今もなお、個人情報の漏洩を懸念しています。

データ侵害

ハイデラバードのサイバーバード警察は、7 人の容疑者を逮捕しました。1 億 6800 万人の市民の個人情報や機密データ、国防関係者の詳細情報など、政府や重要組織の機密データを盗み、販売したという罪が問われています。容疑者は、政府職員、ガス石油企業、富裕層などのデータを含む 140 以上のカテゴリーの情報を販売していたことが判明しています。このデータ侵害は国家安全保障に深刻な影響を及ぼすものであり、データがどのように流出したのか、内部関係者が誰なのかを特定するために調査が続いています。

Dole Food Company は、2023 年 2 月のランサムウェア攻撃で、従業員の情報がハッカーによってアクセスされたことを認めました。従業員数 3 万 8000 人、75 か国以上で事業を展開している同社は、北米全域の生産工場の操業を停止せざるをえませんでした。この情報は、米国証券取引委員会に提出された同社の年次報告書で開示されたものです。

Ferrari がデータ侵害を受け、氏名、住所、E メールアドレス、電話番号などの個人顧客データが流出しました。同社は身代金を要求されましたが、支払わないという判断を下し、代わりに影響を受ける顧客に通知。外部の専門家に調査と IT 環境の強化を依頼しました。支払いに関連する機密情報は盗まれていませんが、スピアフィッシング攻撃には引き続き注意が必要です。

マルウェア

中国製のアプリ「Pinduodo」にマルウェアが発見され、Google はこれを停止しました。その数週間前には、このアプリが Android スマートフォンの複数のセキュリティ脆弱性を悪用していることを示唆する分析を中国のセキュリティ研究者が発表していました。

情報セキュリティソフトウェアベンダーの Kaspersky は、ウクライナのロシア占領地域の組織を標的としたサイバースパイキャンペーンが、「PowerMagic」と名付けられた新種のマルウェアと、「CommonMagic」という未知のフレームワークを使用していると報告しています。このマルウェアは、USB デバイスからデータを盗み出して、3 秒ごとにスクリーンショットを撮影し、パブリッククラウドストレージベースのコマンド＆コントロールサーバーを介して攻撃者にデータを送り返す機能を備えています。

TLS/SSL

先日、CA/B フォーラムが対面式で開催されました。このミーティングで、証明書の有効期限を 90 日にしようとする Chrome のビジョンや、今年 9 月に始まる最初の S/MIME ベースライン要件（BR）の実装、そしてマルウェアベースの失効やコードサイニングの署名サービス要件に関する提案など、お客様に知っておいていただきたい最新情報を取り上げました。

Chrome は、「Moving Forward, Together（ともに、未来へ）」と題して今後の Web PKI ポリシーに関するビジョンの概要を説明しました。特に注目に値するのは、ルート認証局（CA）の期間制限と中間認証局（ICA）の最大有効期間の提案に加え、Chrome のビジョンには 90 日の証明書有効期限が含まれていることです。