サイバー攻撃関連
今週のセキュリティニュース - 2022年12月2日
今週のセキュリティニュースへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。 ぜひご覧ください。
国内
講演依頼や取材依頼を装ったサイバー攻撃について、警察庁とNISCが注意喚起
警察庁サイバー警察局と内閣サイバーセキュリティセンター(NISC)は、連名で「学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について(注意喚起)」を公開しました。
日本国内において、学術関係者やシンクタンク研究員、報道関係者に対し、講演依頼や取材等を装ったやり取りの中でマルウェアに感染させてコンピュータ内のファイルの窃取を試みるサイバー攻撃が多数確認されているとのことです。
実際の手口や送信元メールアドレスの例などの共通する特徴のほか、怪しいと感じた際に実施すべき事項やリスク低減のために普段から実施すべき事項などが紹介されています。
参照:警察庁サイバー警察局、内閣サイバーセキュリティセンター「学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について(注意喚起)」
日本のボードメンバーとCISO、サイバーセキュリティに認識のズレ - 日本プルーフポイント
日本プルーフポイントは、Cybersecurity at MIT Sloanとの共同リサーチ「Cybersecurity: The 2022 Board Perspective」の日本語版「取締役会におけるサイバーセキュリティの展望2022」を発表しました。
日本における主な調査結果として、「今後1年間に自らの組織が重大なサイバー攻撃を受けるとの意見に同意する」と回答した日本のボードメンバーは72%、CISOは38%となっており、取締役会とCISOの間に憂慮すべき認識のずれがあるとしています。
さらに、サイバーインシデントにおける最大の懸念事項について、ボードメンバーは「業務評価への影響」や「内部データの流出」が多い一方で、CISOは「オペレーションの中断」や「風評被害」となっており、意見の相違があるとのことです。
参照:日本プルーフポイント プレスリリース【プルーフポイントとCybersecurity at MIT Sloan、「取締役会におけるサイバーセキュリティの展望2022」(日本語版)を発表」
国外
オーストラリア、データ侵害で最高5,000万豪ドルの罰金へ
オーストラリア議会は、同国の個人情報保護法を改正する法案を承認し、大規模なデータ漏洩を起こした企業やデータ管理者に対する罰則の上限を5,000万オーストラリアドルへと大幅に引き上げることを決定しました。
新法案は、OptusやMedibankなどのオーストラリア企業に対する最近の一連のサイバー攻撃により国内の何百万人もの人々の高度な機密データが流出したことを受けて制定されました。現政権は、「わずか1カ月余りの間で交付したこれらの新しく、より大きな罰則は、大企業に対して収集したデータの保護をより良く行う必要があるという明確なメッセージを送るものです」と述べています。
参照:Australian Government「Parliament approves Government’s privacy penalty bill」
米国防衛関連請負業者のほとんどは、基本的なサイバーセキュリティの要件を満たしていない
CyberSheath社が米国国防総省の請負業者300社を対象に行った委託調査によると、米国の防衛関連請負業者10社のうち9社近くが、基本的なサイバーセキュリティの最低要件を満たしていないことが明らかになりました。
非分類情報を扱う請負業者のサプライヤーおよび製品リスクを評価する国防総省の主要システムであるサプライヤーパフォーマンスリスクシステム(SPRS)では、完全なコンプライアンスには110点が必要とされています。しかし、国防総省の連邦調達規則(DFARS)によると、70点以上を獲得した回答者はわずか13%であることが判明したとのことです。
参照:CyberSheath「Defenseless The State of the Defense Industrial Base (DIB)」