金融機関のシステム障害に関する分析レポート


 先日、とあるセミナーで金融業界における話を聞くことができた。

金融業界は金融庁がにらみを利かせていてガチガチのお堅い世界だと思っていたが、以外に官民連携で新しい技術を受け入れつつ、ガバナンスをどう確立していくかを考えている姿勢が伺えて面白かった。

以前は定期的に金融庁が金融機関に対して検査を行っていたが、金融機関のベースラインが上がってきたこともあり、「検査」から「モニタリング」に移行させているあたり、金融庁の(意外な)柔軟姿勢を垣間見ることができた。

恐らくこの柔軟な姿勢が仮想通貨の初期段階における寛容さに繋がったのであろう。

本来であればここで仮想通貨取扱事業者が自社のセキュリティ対策やITガバナンスを主体的にきっちりやっていれば問題なかったのだが、インシデント多発により、金融庁も厳しい姿勢で臨まざるを得なくなったのかと想像する。

金融庁が過去に報告されてきたインシデント事例をまとめてレポートとして公表している点も面白かった。

金融機関って最もITやセキュリティに投資をしている業界だが、それでも結構なインシデントが発生している点は興味深かった。

バックアップ(金融機関のシステム障害に関する分析レポート)


ブラウザー「Smooz」がサービス終了(転載)~取得情報の取り扱いをいい加減にすると事業停止に陥る事例か~


ブラウザー「Smooz」がサービス終了、同じ運営元の「在庫速報.com」もアクセス不能に?【やじうまWatch】:

 スマホ用ブラウザー「Smooz」がサービスの終了を発表した。時を同じくして、同じ運営元の「在庫速報.com」がアクセス不能となったことで、さまざまな憶測が飛び交っている。

 ユーザーの閲覧情報をサーバーに送信している疑いが発覚し、アプリの公開を停止していたSmoozは23日、「Smoozの提供を継続することは困難」とし、サービスの終了を発表。詳しい説明がほとんどないまま終了に至ったことで、ネット上では物議を醸している状況だが、一方で注目を集めているのは、同じ運営元が提供している価格比較サービス「在庫速報.com」が、23日早朝から見られなくなっていること。同じアスツール株式会社が運営しているというだけでサービスそのものには特に関連性はないはずだが、公式Twitterでのアナウンスもないまま、サーバーが「503」を返し続けており、ユーザーの間ではそのタイミングの一致を巡って、さまざまな憶測が飛び交っている状況だ。

バックアップ(プレスリリース)

「クラウドが止まって電気が消せない」「VPNへの攻撃」……IIJが今年のセキュリティ課題を振り返る(転載)~DDoSは一度やられると繰り返し来ます。。。~


「クラウドが止まって電気が消せない」「VPNへの攻撃」……IIJが今年のセキュリティ課題を振り返る【IIJ Technical WEEK 2020】:

 株式会社インターネットイニシアティブ(IIJ)は、ITエンジニアを対象とした年次の技術イベント「IIJ Technical WEEK 2020」を開催した。会期は12月14日から17日の計4日間で、今回はオンライン開催となった。

 4日間それぞれにテーマが設定され、DAY1は「セキュリティ」、DAY2は「インターネット・バックボーン」、DAY3が「アプリケーション」、DAY4が「データセンター」となっている。

 本稿では、DAY1(14日)のセキュリティに関するセッションの模様をレポートする。なお、セッション内容は後日、動画でも公開されている。記事の最後に紹介しているので、詳しく見たい方はそちらも見てほしい。

クラウドが止まると「デバイスが止まって電気を消せない」時代に……

 IIJのセキュリティ本部長の齋藤衛氏による「セキュリティ動向2020」は、1年のセキュリティ動向を振り返る、毎年恒例のセッションだ。

 齋藤氏はまず、この1年の概況をリストアップしたスライドで振り返った。Emotetの間接活動など、同セッションのこの後の各論で解説する重要事案はここで置いておいて、それ以外から語られた。

 まずVPNへの攻撃。コロナ禍のリモートワークで問題が注目されたが、実は昨年ぐらいに発見された脆弱性の対策が終わっていなくて、そこが攻撃されたという。

 次は、NTTコミュニケーションズで外部からの不正アクセスにより情報が漏洩した事件。これについては、通信事業者どうしということで注目していることや、NTTコミュニケーションズの人がカンファレンス等で情報を公開していることが紹介された。

 その次は、クラウドサービスの障害による業務や生活環境への影響。「クラウドサービスがよくも悪くも生活の基盤になって、障害が大きく扱われるようになった。先日も、ある大手パブリッククラウド(筆者注:AWSと思われる)の障害の結果、IoTデバイスが動作しなくなって電気を消せない、といった声も起こるようになった」(齋藤氏)。ちなみに奇しくも同日夜には、Googleの障害が発生し、同様にIoTデバイスの問題が報告されていた。

マルウェア:「Emotet」が猛威、パスワード付きZIPファイルで伝播するマルウェアも

 さて、各論の最初はメールで伝播するマルウェアだ。

 齋藤氏は20世紀からのメール添付されたマルウェアに触れつつ、今年はEmotetが話題になっていたことを取り上げた。Emotetは、2014年に発見された当初はオンラインバンキングの認証情報を盗むものだったが、現在ではいろいろな機能が追加され、ボットや他のマルウェアのダウンローダとして活動しているという。

 「Emotet」については、IIJのSOCチームがまとめている観測レポートも紹介された。この約1年で、2019年9月、12月~2020年2月、7月、9月の4回の盛り上がりがあったという。特に7月がひどく、全マルウェア検出数の80%以上をEmotetが占める日もあったと齋藤氏は語った。

 同レポートでは、文言やどのようなメールに添付されるかも公開している。その一部では、正当なメールに返信する形で感染活動を行う、やりとり型攻撃に似た方式のメールもあるということで、齋藤氏は注意を呼びかけた。

 そのほか、パスワード付きZIPファイルについても言及された。パスワードで暗号化されているため、「多くのゲートウェイ型検知システムで検査されない」という問題があるという。11月からは、パスワード付きZIPファイルで感染活動するマルウェア「IcedID」も登場している。

標的型ランサムウェア:狙われる「身代金を支払いそうな標的」

 各論の次のテーマは、標的型ランサムウェアだ。ディスクに記録した情報を勝手に暗号化して人質にし、金銭を要求するランサムウェアは、一般にも有名になった。

 さらに2~3年前からは、身代金を支払いそうな特定の標的に対してランサムウェアによる攻撃を仕掛ける、標的型ランサムウェアが登場しているという。

 また、標的ランサムウェアでは、データを人質にするだけでなく、情報を窃取して、リークサイトに暴露すると恐喝するものも登場していることを齋藤氏は紹介した。

DDoS攻撃:最近は1日平均10回以上発生、「一度サイトが倒れると、繰り返し狙われる」

 各論の次のテーマはDDoSだ。DDoSは古くから続いている攻撃で、IIJでは2003年頃から脅威として取り上げているとのこと。現在は1日平均10回以上発生し、100Gbpsを超える規模のものもあると齋藤氏は報告した。IoTボットも依然として脅威だという。


 DDoSの中で、DDoS攻撃して金銭を要求する恐喝DDoS攻撃も、2007年ごろから発見されている。去年の同セッションでも方向されたテーマだ。

 「今年も夏ごろに世界中の金融期間に攻撃が発生した」として、齋藤氏は韓国やニュージーランド、国内の事例を紹介した。


 また、一度DDoS攻撃でサイトが停止すると、くり返し狙われやすくなることも、齋藤氏は解説した。これには、特定の攻撃者が一連の攻撃をかける場合と、複数の攻撃者が弱いサイトの情報が共有している場合があるという。「最初に来たときに倒されないようにきちんと防御しておくのが対策」と齋藤氏は注意した。


コロナ禍の影響でトラフィックが変化

 各論の次のテーマは、コロナ禍の影響だ。ネットワークについては、直接セキュリティではないが、テレワーク関連で通信の契約が伸びていることを紹介した。また、トラフィックが昼間は会社から・夜は自宅からという波が平準化して、一日中同じようにトラフィックがあるという。

 仕事の仕方も変化し、テレワークが増えた。ちょうど情報資産がオンプレミス環境だけでなくクラウド環境にも置かれるようになってきている。この2つが同時に進行して、会社からオンプレミス環境にアクセスするだけでなく、会社からクラウド環境にアクセス、自宅がオンプレミス環境にアクセス、自宅からクラウド環境にアクセス、という4パターンが広まった。

 これに運用体制が対応できているかどうかの問題を齋藤氏は取り上げた。オンプレミスでは、誰がいつどの情報にアクセスしたかログが残り、情報漏洩などの内部犯行への抑止力となっている。「たとえば自宅からクラウド環境にアクセスしたときにログが取れているか?」として、齋藤氏は注意を喚起した。


記者会見が新たな収入源に? 小池都知事のYouTube会見にスパチャが相次ぎ話題に(転載)~マスコミの加工された偏向報道見るよりもはるかに健全だな。今後は東京都が直接LIVE配信せよ!!~



記者会見が新たな収入源に? 小池都知事のYouTube会見にスパチャが相次ぎ話題に【やじうまWatch】:


 東京都の小池百合子都知事のYouTube記者会見で、スパチャによる投げ銭が行われたことが話題になっている。

 スパチャ(スーパーチャット)はYouTube Liveの投げ銭機能で、一般的にはYouTubeで収益を上げる方法の1つとして用いられる。今回話題になったのは、17日に毎日新聞が行った中継で、同社がスパチャの設定をオンにしていたところ、投げ銭を行う人が続出。最終的には延べ37人から合計で1万4454円が集まったが、同社は意図しない収益だとして、都の「守ろう東京・新型コロナ対策医療支援寄附金」に寄付するとしている。今回は設定ミスとのことで次回からは運用が見直されるようだが、記者会見の中継は各社ごとの差別化がしづらいだけに、今後敢えてスパチャをオンにするメディアが出てきてもおかしくなさそう。ちなみにスパチャでは投げ銭の対価として配信者に名前やコメントを読み上げてもらうのが一般的だが、今回の会見ではそのような要素は一切なかったようだ。なお該当の中継は、スパチャが行われている様子とともに、毎日新聞のYouTubeチャンネルでリプレイで視聴できる。

2020年以降におけるセキュリティとリスクマネジメントの9つのトップトレンド(転載)


2020年以降におけるセキュリティとリスクマネジメントの9つのトップトレンド:Gartner Insights Pickup(183) - @IT

 セキュリティ技術者不足、クラウドコンピューティングへの迅速な移行、規制コンプライアンス要件、脅威のとどまるところを知らない進化――これらは、以前からセキュリティ上の大きな課題となっている。

 だが、2020年においては、新型コロナウイルス感染症の大流行(パンデミック)への対応も、ほとんどのセキュリティチームにとって重大な課題となっている。

 「パンデミックとそれがビジネス界にもたらした変化は、ほとんどの企業でビジネスプロセスのデジタル化やエンドポイントモビリティー、クラウドコンピューティングの導入拡大を加速し、レガシーな考え方や技術を明らかにした」。Gartnerのアナリストでバイスプレジデントのピーター・ファーストブルック(Peter Firstbrook)氏は、同社が2020年9月に開催したバーチャルカンファレンス「Gartner Security and Risk Management Summit 2020」でそう語った。

 パンデミックに伴い、セキュリティチームは、LAN接続を必要としないクラウドベースのセキュリティツールやオペレーションツールの価値に再注目した。そして、リモートアクセスポリシーおよびツールの見直しや、クラウドデータセンターとSaaSアプリケーションへの移行および対面のやりとりを最小限に抑えるための新しいデジタル化の取り組みを進めている。

 Gartnerは、先進的な組織の対応を調査し、広範かつ長期的な影響を及ぼすと予測される、2020年の9つのトップトレンドを特定した。これらのトップトレンドは、セキュリティエコシステムの戦略的なシフトを浮き彫りにしている。これらのシフトはまだ広く認識されていないが、多数の業界に大きな影響を与え、ディスラプション(創造的破壊)を起こす可能性が高い。

トレンド1:検知の精度とセキュリティの生産性を改善するためにXDRが登場している

 さまざまなセキュリティ製品から自動的にデータを収集し、相関させ、脅威検知の改善とインシデント対応につなげる「拡張型検知/対応」(XDR)ソリューションが登場している。このソリューションでは、例えば、電子メールやエンドポイント、ネットワークに関するアラートを組み合わせて分析し、1つのインシデントにまとめることができる。XDRソリューションの主な目的は、検知精度を高め、セキュリティオペレーションの効率と生産性を改善させることにある。

 「データの一元化と正規化も、多くのコンポーネントからの弱いシグナルを組み合わせて、他の方法では無視されてしまうかもしれないイベントを検知することで、検知の改善に役立つ」(ファーストブルック氏)

トレンド2:反復作業を解消するセキュリティプロセスオートメーションが登場している

 スキルの高いセキュリティ実務者が不足する一方、セキュリティツールで自動化機能が提供されるようになったことで、セキュリティプロセスの自動化が進んできた。この技術は、コンピュータ中心型セキュリティオペレーションに関する作業を、定義済みのルールやテンプレートに基づいて自動化する。

 自動化されたセキュリティ作業ははるかに高速に、スケーラブルに実行でき、エラーの発生が少なくなる。だが、自動化を実現し、維持していくと、リターンは減っていく。セキュリティとリスクマネジメントのリーダーは、多くの時間がかかる反復作業の代替に役立つ自動化プロジェクトに投資し、担当者がより重要なセキュリティ作業に集中できる時間を増やさなければならない。

トレンド3:人工知能(AI)の利用拡大に伴い、デジタルビジネスの保護に関する新たなセキュリティ上の職務が発生

 AI、特に機械学習(ML)は、セキュリティやデジタルビジネスの幅広いユースケースで、人間の意思決定の自動化や拡張に利用されるようになっている。だが、これらの技術に関連する3つの重要課題に対処するには、セキュリティノウハウが必要になる。これらの課題は、AIベースのデジタルビジネスシステムを保護すること、パッケージ化されたセキュリティ製品でAIを利用してセキュリティ防御を強化すること、攻撃者によるAIの不正利用を予測することだ。

トレンド4:全社レベルの最高セキュリティ責任者(CSO)がセキュリティのさまざまなサイロを統合

 2019年には、従来のエンタプライズITシステム以外のインシデント、脅威、脆弱(ぜいじゃく)性の発覚が増加した。これを受けてリーディングカンパニーは、サイバー世界と物理世界の全体にわたってセキュリティを再考した。新たな脅威――例えば、ビジネスプロセスに対するランサムウェア攻撃やビル管理システムに対するシージウェア攻撃(ランサムウェアとビルオートメーションシステムを組み合わせ、機器制御ソフトウェアの悪用によって物理的なビル施設の安全性を脅かす攻撃)、GPSスプーフィング、OT/IoT(オペレーションテクノロジー/モノのインターネット)システムで相次いで発見される脆弱性などは、サイバー環境と物理環境の両方にまたがっている。主に情報セキュリティを担当する組織は、セキュリティ障害が物理的な安全性に及ぼす影響に対処する体制が整っていない。

 そのため、サイバーおよび物理システムを展開しているリーディングカンパニーは、全社レベルのCSOを置くようになっている。防御目的で、そして場合によっては、ビジネスを支える目的でセキュリティのさまざまなサイロを統合するためだ。CSOは、ITセキュリティ、OTセキュリティ、物理セキュリティ、サプライチェーンセキュリティ、製品管理セキュリティおよび健康、安全、環境プログラムを、一元的な組織とガバナンスのモデルに集約できる。

トレンド5:プライバシーが独自の分野として定義されている

 プライバシーは、もはやコンプライアンス、法務、監査の一部として取り組む領域ではない。定義された独立した領域として影響力を増しており、その影響範囲は組織のほぼあらゆる側面にわたっている。

 プライバシーは急速に広がっている領域であり、組織全体にわたって統合を進める必要がある。特に、プライバシー分野は企業戦略を左右する要因の1つとなっており、そのためにセキュリティ、IT/OT/IoT、調達、人事、法務、ガバナンスなどとの緊密な整合性を確保しなければならない。

トレンド6:消費者に対する自社ブランドの維持の取り組みとして、“デジタルトラスト&セーフティ”チームを編成している

 ソーシャルメディアから小売店まで、消費者がブランドとやりとりするタッチポイント(接点)は多様化している。消費者がそれらの接点でどの程度安全と感じるかは、ビジネスの差別化要因になる。多くの場合、こうした接点のセキュリティは別々の組織が管理している。各ビジネス部門が担当分野についてのみ管理を手掛けているからだ。だが、企業は、部門横断型の信頼・安全チームが全てのやりとりを統括し、消費者が企業とやりとりする各分野全体にわたって、標準的なセキュリティレベルを確保する体制への移行を進めている。

トレンド7:ネットワークセキュリティの焦点がLANベースのアプライアンスモデルからSASEに

 リモートオフィス技術の進化に伴い、クラウドベースのセキュリティサービスの人気が上昇している。セキュアアクセスサービスエッジ(SASE)技術により、企業はモバイルワーカーやクラウドアプリケーションをよりよく保護できる。トラフィックをバックホールし、データセンター内の物理セキュリティシステムを通過させるのではなく、クラウドベースのセキュリティスタックを経由してトラフィックを送信できるからだ。

トレンド8:クラウドネイティブアプリケーションの動的要件を保護するためのフルライフサイクルアプローチが登場している

 多くの組織が、サーバワークロードに使用したのと同じセキュリティ製品を、エンドユーザー向けエンドポイントにも使用する。この手法は、“リフト&シフト”のクラウド移行でも継続されることが多かった。だが、クラウドネイティブアプリケーションでは異なるルールや手法が必要になる。そこでクラウドワークロード保護プラットフォーム(CWPP)が開発された。しかし、アプリケーションがますます動的になるにつれて、セキュリティの選択肢もシフトすることが求められている。CWPPと新しいクラウドセキュリティの状態管理(CSPM)を組み合わせることで、当面はクラウドネイティブアプリケーションにおけるセキュリティニーズの全ての進化に対応できる。

トレンド9:ゼロトラストネットワークアクセステクノロジーがVPNを代替へ

 新型コロナウイルス感染症のパンデミックは、従来のVPNにおける多くの問題を浮き彫りにした。新しいゼロトラストネットワークアクセス(ZTNA)により、企業は特定のアプリケーションへのリモートアクセスを制御できる。ZTNAはより安全な選択肢だ。アプリケーションをインターネットから“秘匿”するからだ。これは、ZTNAがZTNAサービスプロバイダーとのみ通信を行い、ZTNAプロバイダーのクラウドサービスを介してのみアクセスすることで可能になる。

 ZTNAは、攻撃者がVPN接続を悪用して他のアプリケーションを攻撃するリスクを軽減する。ただし、企業がZTNAを本格的に導入するには、どのユーザーがどのアプリケーションにアクセスする必要があるかを正確にマッピングしなければならない。そのため、本格導入には時間がかかりそうだ。

出典:Gartner Top 9 Security and Risk Trends for 2020(Smarter with Gartner)

最高のOSINTリソースを発見し、それを把握することに興味があるならば、@LorandBodoと@technisetteによる専門的なアドバイスが最適でしょう。 / If you are interested in discovering and keeping tabs on the best #OSINT resources, you'll love this expert advice by @LorandBodo and @technisette(転載)


technisette retweeted: If you are interested in discovering and keeping tabs on the best #OSINT resources, you'll love this expert advice by @LorandBodo and @technisette. Thanks for sharing your insights, folks! blog.start.me/how-to/osint-r…:
technisette retweeted:
If you are interested in discovering and keeping tabs on the best #OSINT resources, you'll love this expert advice by @LorandBodo and @technisette. Thanks for sharing your insights, folks! blog.start.me/how-to/osint-r…

ーー

OSINTリソースの管理方法。start.meで最高【専門家の意見】

OSINTのリソースは多種多様であり、常に流動的な状態にある。一日おきに新しいツールが登場する一方で、古いものは静かに引退していきます。だからこそ、多くの市民ジャーナリストや研究者、調査員が毎日start.meを使っているのです。それはあなたのOSINTの仕事をより簡単にしてくれます。

OSINTコミュニティで有名なTechnisette氏とLoránd Bodó氏に説明を求めた。

start.meを知ったきっかけは?

ロラーンド:Twitterで知りました。最初にstart.meのページを持っていた人が誰だったかは覚えていませんが、technisette.comのTechnisetteさんだったと思います。彼女のページを見たとき、私は「すごい!」と思いました。これはすごい!」と思いました。その時、start.meページはまさに私が探していたもので、OSINTのブックマークを簡単に管理できるソリューションでした。

ブックマークやリンクの管理も簡単です。これはOSINTにとって非常に重要です。

ツールやテクニックなどのリソースをすぐに見つけられるように、自分のページを作って自分の思い通りにデザインすることにしました。

テクニセットです。私の同僚がテクニセットを紹介してくれました。彼はそれがどのように動作するかを教えてくれましたし、とても使いやすかったので、私はすぐにコレクションを構築しました。

どのようにstart.meはあなたを助けるのですか?OSINTリソースを管理していますか?


ロランド:2つのページがある 一つはOSINTツール用で もう一つは過激化とテロ関連の問題に特化しています

これらのリンク集の問題点の一つは、私にとって有用な方法で構造化されていないことでした。そこで私は、インテリジェンス分野ごとに見出しを作成し、その下に関連するすべてのリソースをサブカテゴリと一緒に配置することにしました。例えば、私のOSINTダッシュボードでは、一番上に主要なインテリジェンス分野が表示されていますが、私が作成したFOSINT(金融オープンソース・インテリジェンス)などもあります。ここには、デューデリジェンス関連のリンクやその他の金融関連のものをリストアップしています。

調査官としては、例えばFacebookのために何かを探している時は、ソフトウェアの欄に行きます。そして、古き良きCtrl-Fを使って、それをチェックします。だから、本当に便利です。

私は、これらの異なるソースを簡単にまとめて整理することができるようなものに出会ったことがありません。それがstart.meを使っている理由です。

また、正直なところ、自分でバージョンを作って自分のサイト(lorandbodo.com)で公開することも考えていたので、サードパーティのプロバイダを使わなくてもいいんですよね。でも、単純にコーディングをする時間がないんですよね。

テクニセット。お気に入りのソースが1つのページにまとめられているのは、とても便利です。コンピュータを乗り換えたときに、ブックマークをドラッグする必要がないので、start.me-ページを開くだけで済みます。

お気に入りのウィジェットや機能は?


テクニセット。特に何かを持っているわけではありません。主に、すべてのものを分類できる別のボックスを持つオプションがあること。

Loránd。私はリンク切れチェッカーが欲しかったので、PROアカウントを持っています。これを使えば、どのリンクが壊れていて削除すべきかを自動的に確認することができます。ソースは頻繁に来ては消えていくので、自動的にすべてのリンクをスキャンしてくれる機能が欲しかったのです。どのリンクも機能しないブックマークページは嫌です。それがPROアカウントを取得することを決めた主な理由の一つです。

また、私はRSSフィードを作成したいと思っていましたが、これは私が特定のトピックやニュースを監視するために驚くほど便利で超便利だと思います。あなたはstart.meで簡単にそれを行うことができます

他にstart.meで開発してほしいものはありますか?

テクニセットです。私がページの更新をやめた理由は、各ブックマークに添付されているコメントで検索できなかったからです。それがうまくいくと助かります。

Quick start.meの反応。ブックマークの説明文でも検索できるようになりました。このサポート記事を読んでみてください。

Loránd. 大きく気になることの一つにプライバシーがあります。これについては2つの角度から考えています。ダッシュボードを作成するユーザーの視点から:start.meを使用する際に、どのような情報を提供したり、漏洩したりするのか?そして、エンドユーザーの視点からは、私がそのようなダッシュボードにアクセスするときに、start.meはどのような情報を収集するのか?このようなサービスには明確さが必要であり、非常に重要です。

start.meの迅速な対応。私たちは、物事を明確にするために、プライバシーポリシーに平易な英語での紹介を追加しました。

Loránd. テロと過激化 start.meページに目次を作成しました。 もしこのようなカテゴリをもっと簡単に作成できる機能があれば、それを望む人もいると思います。つまり、ページを作成するだけでなく、ワンクリックでサブカテゴリを作成して、ユーザーが相互にリンクした素晴らしいダッシュボードをコンパイルできるようにすることができます。あなたはアイデアを得る。異なるページに自動的にリンクする方法。

さらに多くのアイデア?

Technisetteとのメールによるインタビューは、2020年10月9日に行われました。Loránd Bodóとのスカイプインタビューは、2020年10月19日に行われました。その会話の中で、彼はstart.meを改善するためにさらに多くのアイデアに言及した。

  • start.meとそれがOSINT研究にどのように活用できるかを紹介する一連のウェビナー。
  • リストを監視できるように改良されたTwitterウィジェット。現在は、単一のユーザーのみをフォローすることができます。
  • 学者向けに、その分野の最新記事をモニターできるウィジェットを追加しました。
  • ある国で利用されているトップサイトに関するより多くの統計。(Quick start.me note: この情報はDiscoverセクションですでに利用可能ですが、より便利になるように拡張することができます)

2020年に最もよく使われたパスワードは? / The worst passwords of 2020 show we are just as lazy about security as ever(転載)


2020年に最もよく使われたパスワードは?

今年もまた、この12カ月間で、パスワードのセキュリティが改善されたかどうかを確認すべき時期がやってきた。

 2015年を振り返ると、もっともよく使われている最悪のパスワードの中に「123456」や「password」といったものが含まれていた。しかし5年経った今でも、こうした例はなくなる気配がない。

 NordPassとそのパートナーは、2020年の情報漏えいインシデントで流出した2億7569万9516件のパスワードを分析した。同社は、出現頻度が高いパスワードは極めて容易に推測できるものが多く、こうしたパスワードを使用しているアカウントは数秒で破られてしまう可能性があると述べている。「ほかに同じものがないパスワード」だと考えられるものは、全体の44%にすぎなかった。

 パスワードマネージャーを提供している企業であるNordPassは米国時間11月18日、パスワードセキュリティの現状がうかがえるレポートを発表した。頻度が高かったパスワードの上位に来たのは、「123456」「123456789」「picture1」「password」「12345678」だった。

 これらのパスワードは、総当たり攻撃で破るのに約3時間かかる「picture1」を除けば、どれも辞書攻撃を行うスクリプトなどを使って数秒で破れるものばかりで、人間でも推測できるレベルのものだった。

 200件強のリストの中には「whatever(どうでもいい)」というパスワードもあった。いまだに強力でクラックしにくいパスワードを使うつもりがない人が多いことを考えれば、これはパスワードセキュリティの現状をうまく表したフレーズだといえるかもしれない。リストには他にも、「football」「iloveyou」「letmein(Let me in、自分を中に入れてくれの意)」「pokemon」などのパスワードが含まれていた。

 NordPassのデータセットによれば、2020年のもっとも頻度が高かったパスワードのトップ10は以下の通りだ。

最悪なパスワードトップ10

 パスワードを選ぶ際は、キーボード上で隣り合っている文字や数字を並べるなどの単純なパターンや繰り返しは避けるべきだろう。大文字や記号、数字などを意外な場所に入れることも効果的だ。また、どんな場合でも誕生日や名前などの個人情報をパスワードに使うべきではない。

 ベンダー側でも単純な組み合わせはユーザーのプライバシーやセキュリティの守る上で役に立たないことを意識すべきだが、ユーザー側でも、自分のアカウントを責任を持って守る必要がある。

今まさに思い出しておきたいやつ(転載)~オンラインでサイバー脅威情報を収集し、不正な情報源からデータを購入する際の法的考慮事項 / Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources~


今まさに思い出しておきたいやつ https://t.co/YypMBTli7d Quoted tweet from @0x009AD6_810: 「このドキュメントの対象となる状況では、連邦捜査官は犯罪者と情報収集に従事している無実の当事者を容易に区別できない場合があります。 その結果、合法的なサイバーセキュリティに携わる個人が犯罪捜査の対象になる可能性があります。」😱 https://t.co/0YBt0X79Iz: 今まさに思い出しておきたいやつ
https://t.co/YypMBTli7d
「このドキュメントの対象となる状況では、連邦捜査官は犯罪者と情報収集に従事している無実の当事者を容易に区別できない場合があります。 その結果、合法的なサイバーセキュリティに携わる個人が犯罪捜査の対象になる可能性があります。」😱 https://t.co/0YBt0X79Iz

ー以下機械翻訳ー

I.序章

サイバーセキュリティ・ユニット(CsU)は、特定のサイバーセキュリティ対策の合法性について民間組織から寄せられた質問に対応して、この文書を作成した。
国家安全保障部などの司法省の他の部門や他の連邦機関からの寄稿も含まれている。CsUの使命に沿って、本書は、組織が効果的なサイバーセキュリティ対策を採用し、合法的な方法で実施するのを支援することを目的としている。

この文書は、コンピュータ犯罪が議論され計画されたり、盗まれたデータが売買されたりするオンライン・フォーラムに関与する、情報セキュリティ実務者のサイバー脅威情報収集の取り組みに焦点を当てている。また、民間の行為者が、マルウェアやセキュリティ上の脆弱性、あるいは自分の盗んだデータ、あるいはデータ所有者の許可を得て他人の盗んだデータを闇市場で購入しようとする状況についても考察しています。

児童ポルノや違法薬物を扱うフォーラムなど、他のタイプの犯罪フォーラムに関わる情報や証拠収集を対象としています。

本書で言及されているシナリオは、CsUの民間部門への働きかけや関与が示唆する、情報収集、盗難データの取得、マルウェアのサンプルやセキュリティ脆弱性の取得など、サイバーセキュリティのコミュニティで一般的に使用されている慣行から導き出されたものである。情報セキュリティ専門家がこれらの活動に従事する際には、ここで議論されている法的な懸念が生じる可能性が高い。本書は、潜在的な法的問題を特定するための支援を提供することを目的としていますが、すべての法的問題に包括的に対処するものではありませんし、また対処することもできません。

特に、事実の些細な変更が法的分析を大幅に変更する可能性があるため、実務家があらゆる状況で直面する可能性のある問題について、弁護士に相談することを強くお勧めします。
本書の法的議論は、米国連邦刑法に限定されています。民事責任、州法、または米国以外の国の法律には焦点を関係を築くことが有益な場合もあります。

II.シナリオの前提条件

以下に説明するシナリオは、サイバーセキュリティ活動の一環として闇市場のフォーラムから情報を収集する民間の情報セキュリティ実務者の活動を前提としています。これらのシナリオは、実務家の活動方法と実務家の意図について、法的に重要な仮定に基づいています。

A.セキュリティの実践者

本書は、コンピュータ犯罪の実行に関連するツールやサービスが売買され、盗み出されたデータが購入可能な闇市場から情報(サイバー脅威情報、盗み出されたデータ、セキュリティ脆弱性、マルウェアなど)を入手する民間の情報セキュリティ実務者に焦点を当てています。これらの活動は、米国の管轄区域内で、米国連邦刑法の対象となるような方法で行われていることを前提としています。

また、実務家は、正当なサイバーセキュリティの目的(例えば、他の人がサイバーセキュリティの脅威を識別し、防御するのを助ける)のためにのみ、犯罪的または悪意のある意図や動機を持たずに情報を入手していると仮定しています。

このようなタイプのオンライン活動に従事している実務家は、セキュリティと個人の安全の理由から、フォーラムで活動している間に、偽名やでっち上げのIDを頻繁に使用しています。後述するように、偽のアイデンティティは完全に捏造されたものでなければならず、実際の人々の許可なしに実際の人々のアイデンティティを仮定してはなりません。また、オンラインで作成された身分証明書には、以下のような偽名を使用してはいけません。

役人のような特別な地位にある者を名乗ること。

B.フォーラム

サイバーセキュリティの専門家がサイバー脅威インテリジェンスを収集するフォーラムは様々である。ほとんどのフォーラムはダーク・ウェブ上のTORネットワークを介してアクセス可能なサイト上で、隠れたサービスとして発見されています。

これらのダークマーケット・フォーラムの中には、違法なサービスを入手したり、盗まれた金融データや個人データを購入したりするために使用されることで、情報セキュリティ業界で知られている招待制のサイトもあります。他にも、ダークウェブ上で公開されているものもあり、TORが提供する匿名性を利用して運営者を保護しています。これらのフォーラムのいくつかでは、コーディングやマルウェアに関連した一般的な話題が議論されていますが、セキュリティ専門家が最も関心を持つサイトでは、違法なサービスや、盗まれたクレジットカード番号、漏洩したパスワード、その他の機密情報の販売を公然と宣伝しています。

C.フォーラムへのアクセス


フォーラムへのアクセス方法は法的に重要です。フォーラム運営者によって提供された正当な資格情報を使用してフォーラムにアクセスすることは、アクセス手段に関する法的問題を回避する最善の方法です。不正な手段でフォーラムにアクセスすることは、連邦刑法に違反する可能性があります。例えば、盗用された資格情報を使用してフォーラムにアクセスすることは、特にCFAAの違反を構成する可能性があります。また、悪用またはその他のテクニックを使用して、意図した(したがって許可された)手段ではなく、フォーラムが運営されているサーバーやシステムにアクセスして情報を収集することは、CFAAおよび電子的な監視
を規定する他の連邦刑法に違反する可能性があります。

フォーラムのポリシーに反してフォーラムにアクセスすることも、同様にCFAAの下での合法的なアクセスについて法的な問題を提起する可能性があります。

犯罪行為者によって運営されているフォーラムでは、フォーラムへのアクセスを求める人物が善意の犯罪的意図を持っていることを証明する必要がある場合があります。例えば、フォーラム運営者は、フォーラムへのアクセスを求めている者が善意の犯罪的意図を持っていることを証明するためにまたはマルウェアや盗まれた個人情報の配信を要求されることがあります。以下に説明するように、このような要求に従うことで、法的な危険にさらされる可能性があります。

フォーラムにアクセスした後に情報が収集される方法も、法的な問題を提起する可能性があります。後述するように、サイトのセキュリティ機能を迂回したり、許可されていない方法で情報にアクセスしたりしない、スクリーンキャプチャやその他のオンライン情報を記憶するために一般的に使用されている方法を使用して情報を収集することは、潜在的な法律違反を回避することができるかもしれません。

III. サイバー脅威情報収集

サイバー脅威インテリジェンスを使用してサイバーインシデントに備えたり、対応したりすることで、悪意のあるサイバーインシデントの影響を軽減したり、場合によっては完全に防ぐことができます。タイムリーで正確な脅威インテリジェンスは、既知のサイバーセキュリティの脅威や脆弱性から組織とその顧客を保護することができます。CsUが産業界への積極的な防御についてのアウトリーチの中で学んだように、多くのサイバーセキュリティ組織は、サイバー脅威インテリジェンスの収集をサイバーセキュリティ活動の中で最も実りあ
るものの一つと考えている。

サイバー脅威インテリジェンスを発信する民間組織は、複数の情報源から情報を収集しています。その中には、違法行為が計画されていたり、違法行為に使用されるマルウェアや盗まれたデータが販売されていたりするオンラインフォーラムやその他のコミュニケーション・チャネルも含まれます。これらの情報源から収集された情報は、サイバー脅威インテリジェンスとネットワーク防御情報の豊富な情報源となります。

過去、現在、または将来のサイバー攻撃や侵入、マルウェアのサンプル、現在使用中または開発中の犯罪者の戦術、ツール、手順、攻撃や侵入に関与している個人のエイリアスや身元などについての情報を収集することができます。しかし、民間の当事者が合法的な目的で情報を収集するためにこれらのオンライン・フォーラムに参加したり、参加したりする場合、脅威の情報を収集することと犯罪活動に従事することの間の境界線を見分けるのは難しいでしょう。以下のさまざまなシナリオについての考察は、組織が連邦刑法に違反する可能性を低減する方法で情報収集活動を実施する計画を立てるのに役立つことを目的としています。

A.シナリオ1: フォーラムで「潜伏」してサイバー脅威の情報を収集する

実務家がフォーラムに公然と投稿された通信を読み、収集しても、フォーラムの通信に応答せず、フォーラム上またはフォーラムを介して他の人と通信しない場合、連邦刑事責任のリスクは実質的にありません。一人で立って、架空の人物を装ったり、偽名を使ってフォーラムにアクセスして通信することは、その行為が詐欺やその他の犯罪を犯す手段ではなく、許可された方法でアクセスが得られる限り、連邦刑法に違反することはありません。

つまり、許可なく実際の人物の身元を推測することは、法的に問題があることを証明する可能性があります。なりすまされている実際の人物と、その仮定した身元で行われた行動によっては、実務家は刑事上および民事上の法的措置に直面する可能性があります。

B.シナリオ2: 犯罪者フォーラムでの質問の提起

施術者が違法行為に関する情報を求めてフォーラムに問い合わせを投稿して、より積極的に情報を収集することにした場合、施術者の行動は犯罪捜査の対象となるリスクを高めることになります。一般的な質問をすることで生じる法的リスクはわずかですが、実務家の投稿が犯罪の実行を勧誘しているように見える場合、そのリスクは大幅に高まります。コンピュータ犯罪の実行を勧誘したり、誘発したりすると、プラクティショナーは刑事責任を問われる可能性があります。

実務者がフォーラムで得た情報を使用して連邦犯罪違反を犯すつもりがない場合、フォーラムで質問をしたりアドバイスを求めたりすることは犯罪を構成する可能性は低いです。しかし、法執行機関は犯罪行為が行われているフォーラムを調査しており、犯罪行為について質問したりアドバイスを求めたりすることは、犯罪が発生している可能性があることを示唆しています。そのため、犯罪行為についての議論を含んでいるように見えるフォーラム上での実務家の問い合わせや他の人とのやりとりが、実務家をフォーラムやそのメンバーの犯罪捜査に関与させる可能性があります。

これは、実務家が調査の対象となる可能性があります。しかし、実務家や組織は、そのリスクを軽減するための措置を講じることができます。

例えば、サイバー脅威の情報収集を行うための運用計画を文書化し、オンラインでの活動や情報の収集・使用方法を記録しておくことができます。犯罪捜査が行われた場合、このような記録は、その行為が合法的なサイバーセキュリティ活動であったことを立証するのに役立ちますし、法執行機関が実務者の行為が違法行為に従事した不正な従業員の行為ではなく、会社の合法的なサイバーセキュリティ活動を促進するために実行されたものであると判断するのに役立つかもしれません。

また、組織は、フォーラムでの従業員や請負業者の活動を導くために、顧問弁護士と一緒に吟味されたポリシーとプロトコルを確立する必要があります(その他の場所でも)。吟味された「関与の規則」または「コンプライアンス・プログラム」を持つことは、従業員が誤って、または無意識のうちに組織とその従業員を法的な危険にさらしたり、セキュリティを危うくしたりすることを防ぐのに役立ちます。また、現地のFBIのフィールドオフィスやサイバータスクフォース、および現地の米国シークレットサービスのフィールドオフィスや電子犯罪タスクフォースと継続的な関係を構築することで、これらの情報収集活動に従事する前に法執行機関に通知することも有益です。また、早期に法執行機関との関係を築くことで、実務家の活動が法執行機関による進行中の捜査や予想される捜査を意図せずに妨害しないようにすることもできます。

C.シナリオ3:フォーラムでの情報交換

潜入捜査官がフォーラムの積極的なメンバーとなり、情報を交換したり、他のフォーラムのメンバーと直接やりとりをしたりすると、注意を怠るとすぐに違法行為に巻き込まれてしまう可能性があります。潜入捜査官は、練習生のペルソナを信頼することを学んだフォーラムの情報源から情報を引き出す方が簡単かもしれませんが、信頼を得て仲間の犯罪者としての善意を確立するためには、犯罪に役立つ情報やサービス、または犯罪に使用できるツールを提供する必要があります。そのような活動に従事することは、連邦刑法に違反する結果となる可能性があります。

犯罪が発生したかどうかは、通常、個人の行動と意図に左右されます。実践者は、フォーラム上で他人の犯罪目的を助長するようなことをしないようにしなければなりません。実践者に犯罪を犯す意図がなくても、犯罪行為に従事している他の人を援助することは、幇助の連邦犯罪を構成することができます。個人は、肯定的な行為(それ自体は合法的な行為であっても)を行った場合、犯罪を助長し、犯罪の実行を容易にする意図を持って行われた場合、連邦法違反を幇助する責任があると判断される可能性があります。

犯罪に積極的に参加している場合俳優がその犯罪的事業のすべての側面に同意していない場合でも、関係する状況を十分に知った上で犯罪的事業を行うことは、幇助責任を立証するのに十分である。

例えば、マルウェアに関する技術的な支援をフォーラムのメンバーに提供した場合、そのアドバイスがネットワーク侵害に役立つと知りながら、フォーラムのメンバーがその計画を実行すれば、たとえその実践者がその特定の犯罪の実行を支援する意図がなかったとしても、連邦犯罪幇助法に違反する可能性があります。

要するに、セキュリティの実務家は、犯罪の実行に他者を助けるような行動を取らないように注意したり、犯罪の発生に同意したりしなければならない。この種の情報収集活動に従事する者は、犯罪行為を容易にするために存在するオンライン・サイトや、犯罪を計画している可能性のある個人との間で、通信や行動が行われていることに注意しなければなりません。実務者は、そのような犯罪を助長する可能性のある真実、正確、または有用な情報を提供しないようにしなければなりません。

実践者が連邦犯罪捜査の対象となった場合、捜査官は、外部証拠や状況証拠を使用して意図を特定しようとするでしょう。したがって、上記のように、プラクティショナーとその雇用主は、フォーラム上でのプラクティショナーの行動とプラクティショナーの活動の正当なビジネス目的を記録した記録を保持し、正当な動機と違法な活動の拡大を避けるために取った措置を立証する必要があります。

IV.盗まれたデータと脆弱性をサイバーセキュリティの目的で購入すること


サイバーセキュリティ企業の中には、顧客へのサービスとして、特定のタイプの情報がないかダークマーケットを監視しているところもあります。彼らは、顧客の記録やその他のタイプの機密性の高い顧客データが販売されていないかどうかを検索することがあります。また、顧客のネットワークや製品を標的としたマルウェアやセキュリティの脆弱性を検索することもあり、顧客のデータや資産が悪用される可能性があります。これらのタイプの情報がオンラインで販売されているのが発見された場合、サイバーセキュリティ組織がそれらの情報を購入したり、ダークマーケットからの削除のために売り手との取引を仲介したりすることがあります。

ダークウェブ上で盗品やセキュリティの脆弱性を販売する匿名の当事者と交渉することは、望ましくない結果を生むリスクが大きくなります。売り手は、約束したデータを作成せずに購入者の支払いを奪う可能性があります。これらのリスクは、違法な商品を販売している商人が、ダークマーケットの商人と取引をした後に組織が騙されてお金を失ったことを予想して、当局に事件を報告したがらないことによって、さらに悪化しています。

闇市の商人に資金を騙し取られた組織は、売り手が匿名であることが多く、米国の裁判所の手の届かない国に所在していること、および/または、追跡不可能で取消不能な支払い方法を変更する必要があります。これらの理由から、組織はこのような方法で盗まれたデータやセキュリティ上の脆弱性を取得しようとすることに注意する必要があります。

しかし、組織によっては、バランスを考えれば、それに見合った利益が得られることが予想されるため、これらのリスクを負うことを厭わない場合もあります。例えば、以前には検出されなかったデータ侵害の性質と範囲を評価し、さらなる損失を避けるためにネットワークにパッチを当てることができるようにするために、盗まれたデータのコピーだけを取得しようとすることもあるでしょう。また、サイバーセキュリティ企業は、盗まれた情報を利用して、他の企業が自社のネットワークをよりよく保護するために利用できるインテリジェンス・レポートを作成することができるかもしれません。

有効性と実用性に関する疑問はさておき、自分自身の盗まれたデータ(サイバーセキュリティ企業の場合は、その盗まれたデータの購入を許可している当事者のデータ)を購入することは、検討に値する法的な懸念を生じさせる。当初、連邦検察官は、単に自分の盗まれたデータを購入しようとしたり、セキュリティの脆弱性を購入しようとしたりする当事者を告発することは通常ありませんでした。しかし、これらの活動に従事している当事者は、以下に述べる法的リスクに直面しており、それを考慮する必要があります。

シナリオ1: 盗まれたデータの購入

このセクションのシナリオでは、盗まれたデータを購入する際のさまざまな側面に焦点を当てており、それぞれが法的分析に影響を与える可能性があります。

  • 購入者がデータの正当な所有者であるかどうか。盗まれたデータは、データ所有者、またはデータ所有者の公認代理人によって購入されたものですか?

  • 販売されるデータの種類。盗まれたデータは、連邦法で譲渡または所有が禁止されている情報の種類であるか(例:盗まれたクレジットカード情報や企業秘密など)。

  • 売主の身元:売主は、連邦法でデータ所有者が取引を行うことを禁止されている人物ですか?
以下の各シナリオでは、上述の情報収集シナリオで議論したのと同じ前提条件を使用しています。すなわち、セキュリティ実務者に関する前提条件、アクセスされるフォーラムの性質、およびそのようなフォーラムにアクセスする手段です。

ただし、ここでは、サイバーセキュリティ会社の顧客のものと思われる販売用のデータを発見した実務者に焦点を当てています。これらの仮定のケースでは、実践者は、Dark Webサイトで指示された通りに販売者に連絡し、顧客の承認を得て、データの購入を申し出ます。また、これらの仮説では、支払いが行われ、売り手が合意通りにデータを作成したと仮定しています。

1.データの所有権

上述したように、自分で盗んだデータを購入した場合、通常は連邦政府からの訴追のリスクはほとんどありません。しかし、盗まれたデータを確認している間に、購入者が発見したのは闇市場の売り手が作成したデータの一部には、他社のデータが含まれています。購入者の盗まれたデータは他のデータ侵害の犠牲者から盗まれた可能性の高いデータと混ざっていることが判明しました。

購入者が、購入された盗難データが他人のものであることを知らず、また知る理由もなかった場合、それを購入したことで刑事訴追を受ける可能性はほとんどない。後述する例外を前提として、盗まれたデータの所有または取り扱いに対する刑事責任は、一般的に違法な方法でデータを使用する意図が必要であり、本書では実務家がそれを欠いていると仮定しています。例えば、アクセスデバイス詐欺法では詐取する意図が必要であり、企業秘密の盗難法では情報を所有者以外の者の経済的利益に変換する意図が必要である。

しかし、許可や権限なしに他人の盗んだ情報を購入すると、購入者の意図に疑問が生じ、購入者の動機を判断するために調査の精査が必要になることがあります。このリスクを管理するために、購入したデータに所有する権利のない情報が含まれていることを認識した場合、購入者は速やかにそれを隔離し、それ以上アクセス、レビュー、または使用しないようにします。その後、購入者は、直ちに法執行機関に連絡してデータを提供するか、または実際のデータ所有者がそのデータを所有していると判断できる範囲で、その旨を通知する必要があります。これらの手順は、刑事訴追に値するような犯罪的意図がないことを証明するのに役立ちます。盗まれたデータを所有している人物に連絡を取る際には、恐喝的な要求と誤解されるような方法で連絡を取らないようにしてください。

2.データの性質

販売される盗難データの種類によって、購入を禁止する刑法があるかどうかも決まります。上述したように、ダークマーケットで販売される傾向のある盗難データの種類(パスワード、アカウント番号、その他の個人を特定できる情報など)に関連する連邦刑法の多くは、別の犯罪を助長する意図がある場合にのみ適用されます(例えば、情報を詐取するために使用する意図など)。

このため、犯罪的動機を持たない盗難データの購入者が、これらの法律の下で起訴される可能性は低いと考えられます。

知らず知らずのうちに他人の盗まれた情報を購入しても、刑事責任のリスクが生じることは通常ありませんが、故意に他人の許可なく他人の盗まれたデータを購入すると、法的なリスクが生じる可能性があります。特に企業秘密が関与している場合は、購入者の動機に疑問が生じ、法執行機関や正当なデータ所有者からの精査を受ける可能性が高くなります。

誤って営業秘密を購入した場合は営業秘密の盗難法(同法)に違反しませんが、営業秘密が盗まれたことや許可なく入手したことを知りながら営業秘密を受領、購入、または所持することは、同法の他の要素が満たされている場合には、同法に違反する可能性があります。侵害された企業秘密は、その企業秘密の所有者に損害を与えることを意図して、またはそれを知っていながら、正当な企業秘密の所有者以外の者の利益のために変換された企業秘密の譲渡またはその他の取り扱いを禁止しています。したがって、その情報の任意の使用は、当局または営業秘密の所有者による審査に値するだろう。法には、訴訟の民事原因が含まれているので、企業秘密の所有者は、刑事訴追が拒否された場合でも、民事訴訟を追求することができます。

上記で推奨されているように、販売者が購入者に帰属しない資料を作成しないようにする以外に、他人に帰属する盗品データを意図せずに購入したことで調査され起訴されるリスクを軽減する最善の方法は、そのような無関係なデータを速やかに法執行機関および/または正当なデータ所有者に連絡して引き渡すことです。そうすることで、購入者が意図せずにそのようなデータを所有したことが犯罪行為と誤解されるリスクを最小限に抑え、民事責任を軽減することができます。

3.売主の性質

特定の個人または組織と金融取引を行うことは、法律に違反する可能性があります。例えば、合衆国法律集第 18 編第 2339B条は、外国のテロリスト組織に指定されているグループに物的支援を提供すること、または物的支援を企てたり共謀したりすることを禁止しています。第2339B条の違反は、対象者が組織とテロリズムとの関係を知ることを要求する。しかし、対象者が組織のテロ活動を助長する具体的な意図を持っていることは要求されない。したがって、実務家が、販売者がそのような外国のテロ組織のメンバーであることを知っていながら盗まれたデータを購入した場合、実務家は第2339 条B 項に違反することになります。

国際緊急経済大国法(IEEPA)の下では、同様の禁止事項は、購入者が特定の個人または個人から盗まれたデータを購入することを禁止することになります。

米国政府が指定した個人・団体を対象としています。ここ数年、米国政府は、サイバー関連の不正行為を含む国家安全保障上の理由から、イラン、北朝鮮、ロシアの個人や団体を制裁する行政命令を発出してきた。これらの執行命令および規制は、特に指定されたターゲットとの貿易または経済取引を禁止しています。とりわけ、IEEPAは、これらの執行命令と規制、およびその経済・貿易取引の禁止事項に対する故意の違反を刑事化します。

司法省の国家安全保障部は、IEEPA の違反を刑事的に起訴します。IEEPAの故意の基準は、シナリオの事実に基づいてIEEPAの下で実務者を刑事的に起訴するための大きな障壁となります。闇市場で盗用データを販売する人の身元は、オンライン上の偽名のペルソナによって隠されている可能性が高いため、盗用データの販売者の身元が買い手に知られていたり、買い手が知っていたりすることはありません。買い手が売り手の身元を知らないため、買い手が経済制裁や貿易制裁の対象になっていることを知らない場合、故意の証明を必要とする刑事訴追ができない可能性があります。

しかし、民事責任はIEEPAの下で課せられることもあります。米国財務省の外国資産管理局(OFAC)は、米国の経済制裁および貿易制裁制度の民事執行を担当しています。OFACは、米国の外交政策および国家安全保障の目標に基づいて、経済制裁および貿易制裁を管理および執行しています。IEEPAの民事執行は、「厳格責任」に基づいて課せられることがあります。これは、当事者が貿易制裁または経済制裁の対象となる個人または団体との取引に関与していたことを知らなくても、民事責任を負う可能性があることを意味します。OFAC のIEEPA管理規則に基づく無許可取引は、民事上の罰金を課せられる可能性があります。民事罰の法定最高額は、毎年、インフレに合わせて調整されます。

企業は、経済制裁や貿易制裁の対象となる個人や事業体と取引していないことを確認するために、あらゆる努力をすべきである。OFAC

は、経済制裁や貿易制裁の禁止対象となる個人、地域、国との取引に伴うリスクを軽減するために、リスクベースのコンプライアンス・プログラムを実施することを奨励しています。一般市民を支援するために、OFACは、リスクベースの制裁遵守プログラムの5つの必須要素の枠組みを組織に提供することを目的とした文書「A Framework for OFAC Compliance Commitments」をウェブサイト上で公開しました。

ビジネスを行う外国の当事者が経済制裁および貿易制裁の対象となっているかどうかを確認するための手段を含む合理的なコンプライアンス・プログラム(または「交際規則」)を整備することは、IEEPの下で刑事責任を回避するための慎重な方法であり、民事責任の可能性を軽減することにもなります。また、OFACは、米国の経済貿易制裁の対象となる特別指定国民およびブロックされた者を特定するためのツールも提供しています。

シナリオ2:購入の脆弱性

ダークマーケットでサイバー脅威の情報を収集している最中に、販売されているセキュリティ脆弱性を発見した場合、その業者に開示するために購入を決定したり、脆弱性が業者の顧客を対象としている場合は特に、脆弱性が悪用されるのを防ぐためのパッチを開発したりすることがあります。また、ダークマーケットで販売されているマルウェアの新種を探して分析したり、ウイルススキャン製品で使用するためのシグネチャを開発したりする実務者もいます。

セキュリティ脆弱性やマルウェアは、コンピュータ犯罪に利用されることが多く、犯罪行為を支援するために販売された場合は連邦犯罪となりますが、セキュリティ脆弱性やマルウェアの単なる購入は、単独で、犯罪の意図がなくても、一般的には違法ではありません。しかし、言及を保証する2つの例外があります。第一に、電子通信を密かに傍受するために設計されたソフトウェアの所有または販売は、盗聴法に違反する可能性がある。

電子通信を傍受するように設計された特定のマルウェアは、この定義に該当する可能性があり、したがって、所持することは違法である。第2512条に該当する可能性のあるマルウェアを購入する場合、法的リスクを最小限に抑える最善の方法は、取引が発生する前に法執行機関と連携することです。

第二の例外は、売り手が指定外国テロ組織またはIEEPAの下で経済制裁または貿易制裁の対象となっている個人または事業体であるために購入が禁止されている場合です。これらの懸念は、盗まれたデータを購入する際に発生するものと同じです。IEEPAのような権限の下での法的責任と、それに対処するための最善の方法については、上記の議論を参照してください。

V.結論

このペーパーは、刑事フォーラムを含むサイバーセキュリティ活動を行う際に、連邦刑法に違反しないようにするための手順や考慮すべき問題点を特定することで、民間部門のサイバーセキュリティ実務者を支援することを目的としています。このような活動が適切に実施されれば、組織のサイバーセキュリティへの準備を向上させ、サイバーセキュリティの脅威に効果的かつ合法的に対応するための準備を整えることができます。