続けられるか分からないけど、セキュリティ情報その他の月次纏め的な何かを書いていきます。

重要セキュリティニュース

from: https://www.security-next.com/category/cat191

NISCのメール漏洩

• ニュース https://www.security-next.com/148464
• NISCのリリース https://www.nisc.go.jp/news/20230804.html
• 関連 https://blogs.jpcert.or.jp/ja/2023/08/incident-disclosure-and-coordination.html
• 対応についていろいろな議論が発生した。ゼロデイというが当時すでに解消されていた、対応期間は適切なのか、海自方法についての議論、なぜ気象庁とのみ調整したような状況なのか、等があった。
• これらを踏まえたあるべき論等の議論は、あまり見受けられない。国家安全保障に関連するものに関してJPCERT/CCや開示ポリシーを適用すべきなのか（民間ではない組織、例えば自衛隊でインシデントがあった際に全て民間と同じ開示ポリシーで公開するか、今回の事例は開示辞退すべきではない、等）、そもそもの指揮系統等は煩雑/分散していないか（米国ではCISAを起点としているように見えるが、日本だと経済産業省/JPCERT/CC/IPA/NISC等々すくテークホルダーが多すぎるのでは？）等の議論が必要と思われる。
• 一般には、NISCは国のセキュリティの最高機関、のように見えているので、それにふさわしい対応が必要（何がふさわしい対応なのかは要議論）と思われる。

サポート詐欺

• IPA https://www.ipa.go.jp/security/anshin/attention/2023/mgdayori20230711.html
• IPAは「偽セキュリティ警告（別名：サポート詐欺）」と呼んでいる。他方、国民生活センターや警視庁は「サポート詐欺」と呼んでいるので、用語は統一した方が良いと思われる
• ref.1. https://www.npa.go.jp/bureau/cyber/countermeasures/support-fraud.htm
• ref.2. https://www.kokusen.go.jp/news/data/n-20220224_2.html
• 会社端末でサポート詐欺に引っかかった場合、会社端末ローカルに保存された個人情報がある可能性が高い事を考えると、個人情報保護法により公表する必要がある可能性が非常に高いと思われる。
• また、一般的に情報システム部などが介在する為、サポート詐欺なのか正規の会社の情報システム部のサポートなのか見分けがつかないユーザもいてもおかしくないと思われる。リテラシーや教育を考えるに、やはり中小企業には厳しい面があると思われる。

ネットバンキング被害

• https://www.npa.go.jp/bureau/cyber/pdf/20230808_press.pdf
• https://www.lac.co.jp/lacwatch/report/20230810_003451.html
• ネットバンキング被害が、過去最多になってきている。「８月４日時点において、令和５年上半期における被害件数は、過去最多の 2,322 件、被害額も約 30.0 億円となっています。」
• フィッシングサイトへ誘導する電子メールによるものが多く、電子メールやSMS記載のリンクから偽サイトに誘導するものが多い。

SaaSの利用規約改定でAIに学習させる

• https://gigazine.net/news/20230807-zoom-tos-ai/
• Zoomの利用規約改定で、ユーザのコンテンツがAI等の学習に利用される事が明文化された。サービス業者にとっては大規模言語モデルの学習等で有効なデータではあり、他のSaaS業者も同様の行動を取り得る。
• 学習されることについて、例えば顧客情報を対象SaaSに記載した場合、SaaS業者に第三者提供をしたとみなされる恐れがあると思われる。その為、顧客に(zoom等へ)第三者提供をする同意が必要になる可能性もある、という議論が出てくる可能性がある。
• これについては今後の世の中の動向を見守る必要があると思われる。

その他

SBOM

• 経済産業省が07/28に「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を策定した。
• ref. https://www.meti.go.jp/press/2023/07/20230728004/20230728004.html
• 導入に向けたマテリアルとしては良いが、国家戦略としてSBOMをどう扱うかという議論は無いようだ。
• 私個人としては、技術的な観点ではなく どのような戦略をもって普及させるつもりなのか等が気になるため、様々な機会を利用して情報収集に努める。

CVSS v4

• 2023/10でCVSS v4がリリースされる予定であり、pwcも記事を出し始めた。
• ref. https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/cvss-ver4.html
• ただ、現状ではまだv4での情報提供がされておらず、単なる解説の域を出ない（それ以上は難しい）。
• 私個人としては、実運用/利用上での議論をしたい為、引き続き本件は注力対象とする。
• また、v4でトリアージが楽になる、というわけではない。指標が増えることで「分かっている人の判断情報が増える」だけであり、”スコアが8.0以上なら対応する”のような判断基準の組織に対しては現状と変わりが無いと推定される。スコアが各種指標を参照することで今までより高精度で得られる（正確に？危険度？を判断？する、という解釈か）ように感じるかもしれないが、誰かが危険といったから危険だと思う、という他者依存判断部分は、ユーザが変わらないと変わらないので注意が必要。

以上