コネクテッドな世界におけるデジタルセキュリティに関するニュースをまとめてご紹介します。連載記事一覧を見るには、こちらをクリックしてください。

デジサートニュース

• デジサートは、pkilint という新しい証明書解析ツールを発表しました。pkilint は、これまでの業界経験に基づき、電子証明書のコンプライアンスチェックを自動化します。pkilint の初期バージョンは、CA/B フォーラムが最近発表した S/MIME ベースライン要件に対するコンプライアンステストを実装しています。
• デジサートは、新しい統合パートナープログラムを発表しました。このプログラムは、現実世界にデジタルトラストをもたらす包括的なポートフォリオを新規パートナーと既存パートナーに提供することを目的としています。新しいプログラムでは、幅広いデジタルトラスト製品、および強化されたツールとリソースをパートナーに提供します。
• デジサートは創立 20 周年を迎えました。デジサートは 2003 年 4 月 10 日に設立されました。その後、すばらしい道のりを歩みました。今後長年にわたり、世界屈指のデジタルトラストのプロバイダーであり続けることを目指します。
• 先月、デジサートは、Next Generation 911（NG911）用の Root of Trust（信頼の基点）を提供開始しました。これは、米国のすべての緊急サービスプロバイダー向けのセキュアな相互運用の基盤として機能します。NG911 は、アナログの 911 インフラに代わる、インターネットプロトコル（IP）ベースのデジタルシステムです。スマートテクノロジーを活用し、緊急対応者が緊急事態により正確かつ迅速に対応できるようにします。NG911 が今年公開されるのに合わせて、デジサートは、このクリティカルなインフラストラクチャで信頼を確立できることを光栄に思います。

量子コンピューター

• Thales は、耐量子コンピューター攻撃を防御するハイブリッド暗号アプローチを採用し、Cryptosmart セキュアモバイルアプリと 5G SIM カードを商用スマートフォンで使用するエンドツーエンド暗号化通話のパイロットテストの実施に成功しました。このパイロットは、公開鍵暗号方式ベースのデジタルインフラストラクチャの脆弱性に対抗するために Thales が開発したソリューションのスケーラビリティと品質のテストを目的としていました。パイロットの成功は、米国商務省標準化技術研究所（NIST）が推奨する現実世界の耐量子モバイルソリューション構築への一歩を表します。

脆弱性

• Capita への最近の侵害について犯行声明を出した集団、Black Basta は、銀行口座情報、住所、パスポート写真を含む機密データを販売していると報じられています。Capita は、データ漏洩の可能性をまだ確認できておらず、引き続き規制当局およびフォレンジック専門家と緊密に連携してインシデントを調査しています。Capita は、英国の国民保険サービスと国防省を含む公共団体および民間団体のサービス提供において重要な役割を果たしています。
• Apple は、ハッカーが iPhone、iPad、Mac への攻撃に悪用してきたゼロデイ脆弱性に対処する緊急セキュリティアップデートをリリースしました。1 つ目の欠陥は、悪意を持って作成されたアプリを使用して任意のコードをカーネル特権で実行し、データの破損やコードの実行を可能にするものです。2 つ目の欠陥は、ユーザーのデバイスでコードを実行できる悪意あるウェブページをロードするようユーザーに求めるものです。Apple は、ハッカーがデバイスをどのように標的にしているかについて詳細な情報を提供していませんが、ユーザーはサイバー攻撃からデバイスを保護するために最新のアップデートをインストールすることが推奨されています。
• WhatsApp は Key Transparency を導入しました。これは、ユーザーが長いコードを使用せずに、セキュアな接続を自動的に検証できるようにする仕組みです。これにより、ユーザーの暗号鍵が本物であることを自動的に検証できるため、会話のセキュリティが確保されます。このシステムは、簡単で便利な検証ツールをユーザーに提供しますが、WhatsApp サーバを一切利用せずに、エンドツーエンドで暗号化されたセッションを検証したい場合は、この新しい自動化プロセスに加えて、従来のセキュリティコード検証プロセスを利用することが推奨されています。

IoT

• ガレージドアの開閉やホームセキュリティアラームの制御に使用される Nexx 製 ガレージドアコントローラに重大なセキュリティおよびプライバシーの脆弱性があることが、ある研究者によって発見されました。このデバイスには、Nexx サーバとの通信用に、見つけやすい同一のユニバーサルパスワードが採用されています。また、このデバイスは、各ユーザーに対応する E メールアドレス、デバイス ID、名前と名字のイニシャルを暗号化せずに、ドアの開閉、スマートプラグの電源オン/オフ、およびこれらの操作を後で実行するためのスケジュール設定に必要なメッセージと一緒にブロードキャストします。研究者は、問題が修正されるまでの間、このコントローラを使用しているすべてのユーザーが直ちに接続を切断するよう助言しています。

標準

• 欧州議会は 暗号通貨に対する世界初の包括的規制の枠組みを可決しました。暗号資産市場規制法（MiCA）は、暗号資産を購入する消費者のリスクを軽減することを目指し、暗号通貨プラットフォーム、トークン発行者、トレーダーに、トランザクションの透明性、開示、認可、監督に関する要件を課します。
• 昨年、Office of the National Cyber Director（ONCD）は、ホワイトハウスの国家安全保障覚書 10 に従い、連邦政府機関に対し、耐量子コンピューター暗号への移行準備における暗号化システムのインベントリに関する指示を出しました。この指示では、クリティカルな暗号化システムのインベントリの優先順位付けの方法についてガイドラインを定め、リスト提出期限を 2023 年 5 月 4 日に設定しました。しかし、5 月 4 日の期限がなくても、組織が事前予防的に暗号化資産を特定および管理することは重要です。
• デジタルヨーロッパプログラムの下、Digital Credentials For Europe（DC4EU）プロジェクトの予算が欧州委員会で可決されました。このプロジェクトの目的は、デジタル ID フレームワークの新バージョンのユースケースの導入と開発を推進し、越境の視点から相互運用性をテスト用システムでテストすることです。スペイン政府の主導により、プロジェクトコンソーシアムが 22 か国、80 の組織で構成されています。プロジェクト予算は推定 1,920 万ユーロです。ポートフォリオのパイロットは、eIDAS 規制の将来の改正の観点で特に重要です。このプロジェクトで取り組む予定の 2 つのユースケースは、教育とソーシャルセキュリティの分野です。

データ侵害

• OpenAI によって開発された AI チャットボット、ChatGPT は、Redis オープンソースライブラリの脆弱性が原因でデータ侵害を受けました。この脆弱性により、ユーザーが他のアクティブユーザーのチャット履歴を閲覧可能になっていました。OpenAI は、ChatGPT でのデータ漏洩に迅速に対処し、被害はほとんどなかったことを確認しました。ただし、これは将来的にチャットボットとユーザーに影響を及ぼすリスクの前兆となる可能性があります。チャットボットを取り巻くプライバシーの懸念から、AI の使用に対する制限が厳格化されました。また専門家は、脅威アクターが ChatGPT を使用して精緻で本物そっくりのフィッシングメールを作成すると予想しています。また Samsung は、データ侵害を受けた後、従業員に ChatGPT の使用を禁止しました。
• T-Mobile もデータ侵害を報告しました。影響を受けたのは 800 人を超えた程度でした。侵害は 2 月 24 日から 3 月 30 日の期間に発生したもので、顧客の名前、運転免許証または ID カード番号、アカウント PIN コード、社会保障番号、生年月日、支払い残高、電話の契約プランが盗まれました。これは T-Mobile の一連のデータ侵害の最新の事例です。例えば、3,700 万人の顧客が影響を受けた 1 月の侵害や、5,400 万人の顧客が影響を受けた 2021 年の侵害があります。

マルウェア

• Facebook のオーナーである Meta は、ChatGPT に対する世間の関心を利用し、悪意あるアプリやブラウザエクステンションをダウンロードするようユーザーを誘導しているマルウェア配布者を発見したことを発表しました。Meta は3 月以来、約 10 種類のマルウェアファミリーと 1,000 件以上の悪意あるリンクを特定し、その現象を暗号通貨詐欺に例えました。