コネクテッドな世界におけるデジタルセキュリティに関するニュースをまとめてご紹介します。この連載の記事一覧を見るにはこちらをクリックしてください。

IoT

• Matter 1.0 が正式に始動しました。10 月 4 日に CSA（Alliance）によってリリースが発表されました。Matter は、Apple、Google、Samsung など、スマートホームの製造に関わるトップ企業がすべて結集し、異なるメーカーのデバイスを相互運用する信頼性と安全性の高い方法を作り出す、数年間にわたるプロジェクトでした。デジサートは Matter に深く関わってきたため、メーカーがデバイス認証で準拠を達成するための支援を提供できます。
• デジサートは最初の Matter 承認済みルート CA（製品認証局（Product Attestation Authority: PAA）とも呼ばれます）として、製品に Matter シールを添付することを望むスマートホームメーカーの市場投入期間を短縮できます。詳しくはこちらをご覧ください。

VMC

• iOS 16、iPadOS 16、macOS Ventura 13 以降の Apple Mail で BIMI がサポートされました。アップデートされた OS をインストールすると、iCloud メールを宛先とするメールに VMC が表示されるようになります。BIMI と VMC の詳細については、https://www.digicert.com/jp/faq/email-trust/what-is-bimi-and-why-is-it-important を参照してください。

ブラウザ

• 9 月のブログで、Chrome が新しいルートプログラムを発表しました。これまで Chrome は、Chrome が実行されているプラットフォームのルートストアに依存していました。今回の新たな移行により、Chrome 独自のルートプログラムにより、最低条件を満たすすべてのプラットフォームで、一貫したより安全なルートが、信頼できるすべての CA に提供されることになります。Chrome Root Program とその要件の詳細については、CA/B フォーラムの 6 月のまとめ（https://www.digicert.com/jp/blog/ca-browser-forum-recap-june-2022）で詳しく解説しています。

政府規格

• eIDAS 2 改正案の最終的な文言が合意されました。今後、投票が行われます。承認された場合、欧州委員会は国境を越えた普遍的なデジタル ID を持つことになり、2023 年 9 月までにすべての EU 加盟国でデジタル ID ウォレットを利用可能にする必要があります。つまり、早ければ来年には、EU のデジタルウォレットが使用開始されることになります。
• FBI と CISA は、2022 年の中間選挙を妨害するために、悪意のある者が偽情報の拡散やフィッシングなどを試みる可能性があると警告しています。選挙期間中に投票者のデータを保護し、フィッシングを防ぐ方法については、https://www.digicert.com/jp/blog/10-tips-to-avoid-phishing-scams を参照してください。
• ホワイトハウスは、AI 権利章典の草案を発表しました。これには、「自動化されたシステムの設計、使用、導入に関する指針を提供し、人工知能時代の米国国民を守る」ための 5 つの原則が含まれています。この原則には、安全で効果的なシステム、アルゴリズムによる差別からの保護、データプライバシー、通知と説明、人間による代替手段とフォールバックが含まれます。
• ホワイトハウスはまた、ソフトウェアサプライチェーンのセキュリティに関する覚書を発表しました。これは、ソフトウェア会社に米国商務省標準化技術研究所（NIST）のセキュリティ基準に準拠することを求め、ソフトウェア構成表（SBOM）を支持するものです。さらに、NSA、CISA、および ODNI は、開発者向けのサプライチェーン保護のフレームワークを発表し、サプライヤーと顧客向けのフレームワークを将来的に公開することを約束しました。
• スイス連邦評議会は、2023 年 9 月 1 日に新データ保護法を施行すると発表しました。データ保護法（DSG）は、国境を越えたデータ転送を追加の要件なしに継続するため、スイスが EU の規制と互換性のある高水準のデータプライバシーを維持できるようにすることを目的としたものです。

マルウェア

• マインクラフトのマルウェアによる偽のアップデートにより、数千台の PC が感染しています。さらに、マインクラフトのゲームを有利に進めるためのチートプログラムにマルウェアが発見され、数千人のユーザーが影響を受けています。また、FIFA、Roblox、ファークライ、Call of Duty など、他のゲームでもマルウェアの脅威が発生しています。
• Microsoft Teams の GIF がマルウェアを拡散することが判明しました。攻撃者は、GIF に悪意のあるコードを仕込んでデータを盗み出し、Microsoft Teams で共有しています。この欠陥はまだ修正されていないため、現時点では、Teams で共有された GIF を開く際は、くれぐれもよく考えてから行ってください。
• 最近、オープンソースのアプリが北朝鮮政府の支援を受けたハッカーによるマルウェアの拡散源として使用されています。これらのアプリをインストールした複数の企業が侵害を受けています。Microsoft によれば、脅威グループの ZINC がマルウェアを PuTTY などの正規のオープンソースアプリに追加し、2022 年 6 月以降複数の被害者が出ています。

データ侵害

• Samsung で、米国の顧客情報がインターネット上に流出するデータ侵害が発生しました。情報漏えいは 8 月に発生し、同社は 9 月上旬にブログでインシデントの発生を認め、社会保障番号やクレジットカード番号の漏えいはなかったものの、連絡先や人口統計学的情報が漏えいしたことを顧客に伝えました。
• ソーシャルエンジニアリング攻撃によって発生した Uber におけるデータ侵害は、攻撃者が全社宛てにメッセージを投稿した Slack を含む、同社のすべての内部システムに影響を与えました。しかしながら、攻撃者が顧客対応用システムにアクセスした形跡は見つかりませんでした。Uber では 2016 年にもデータ侵害が発生しており、前 CSO が隠蔽を図ったとして業務妨害で刑事告発され、最近有罪判決を受けたばかりです。

停止

• 9 月 15 日、Zoom で大規模な短時間の障害が発生しました。世界的な障害により、ユーザーは約 1 時間の間、会議の開始や参加ができなくなりました。Zoom は原因を明かしておらず、サービスステータス上に「会議の開始と参加に問題があることを確認しました。引き続き調査を行い、最新の情報を提供していきます」とのみ公開されました。

量子

• 将来の量子コンピュータを搭載するため、宇宙空間よりも低い温度まで冷却可能な冷凍機が IBM によって開発されました。ブログによれば、この「スーパー冷凍機」は将来的に量子実験の冷却に使用でき、最大 1.7 立方メートルの容積を確保できます。インテルは最近、量子アルゴリズムのプログラミングを学ぶ開発者を支援するよう設計されたインテル Quantum SDK を発表しました。SDK はインテルデベロッパークラウドでベータ版を提供中です。

ランサムウェア

• 9 月上旬、ロサンゼルス統一学区がランサムウェア攻撃を受け、地元当局、FBI、国土安全保障省が対応しました。最大で 40 万人の学生が影響を受け、個人情報、学科記録、評価などのデータが流出した可能性があります。米国で 2 番目に大きい学区であるロサンゼルス統一学区は、生徒全員にパスワードのリセットを求めました。また、今回の漏えいを受け、教育部門は攻撃グループ Vice Society のランサムウェア攻撃を受けるリスクが高いと CISA は警告しています。

脆弱性

• Apple は 9 月中旬、悪用されていた iPhone、iPad、Mac システムの脆弱性を修正するセキュリティ修正プログラムを配布しました。パッチは、iPhone 6 以降の全モデル、iPad Pro の全モデル、iPad Air 2 以降、iPod touch 7 以降向けにリリースされました。
• オーストラリアの記念 50 セント硬貨に刻まれた暗号が 14 歳の少年によって 1 時間で解読されました。記念硬貨は、オーストラリア信号局（ASD）の 75 周年を記念したもので、4 層の暗号化が施されていました。ASD では、暗号を解読した少年が将来同局で働いてくれることを期待しています。