ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

Emotetのようにメールのやり取りに割り込んでくるマルウェアに要注意とのこと

FortiGuard Labsが2021/09/21、Emotetのように返信メールを悪用するタイプのマルウェアSquirrelwaffle(スクウォーレル・ワッフル)の注意喚起をしているようだ。

www.fortiguard.com

メールのリンクをクリックすると、不正なVBAマクロを含むオフィスファイルを圧縮したZIPファイルが外部サーバーからダウンロードされる。

ZIPファイルを解凍してオフィスファイルを開くと、VBScriptファイルが展開され、そのVBScriptが外部サーバーからSquirrelwaffle Loaderというマルウェアをダウンロードする。

現時点でSquirrelwaffle Loaderが悪用する攻撃ツールとして報告されているのはCobaltStrikeとのこと。CobaltStrikeは外部のコマンド&コントロールサーバーと通信して、さらに追加のマルウェアをダウンロードする。

このSquirrelwaffleは、以前のEmotetのように「Replay Chain Technique(リプライ・チェーン・テクニック)」を利用しているとのこと。

これはメールの返信をくり返すことで出来るスレッドに途中から割り込むテクニックで「スレッドハイジャック」とも呼ばれるらしい。

個人的にもビジネスメール詐欺でよく見るパターンだが、タテに延々とつながっている返信の返信のそのまた返信というスレッドの途中から、いつの間にか自社や取引先のメールアドレスが奇妙なドメインのアドレスに入れ替わっていたりする。

攻撃者はスレッドに含まれる送受信者のうち誰かのメールアカウントに不正アクセスし、メールのやりとりの情報を盗み、ある時点で割り込んで来てもっともらしい返信をして受信者をだます。

この「スレッドハイジャック」は何度も見たことがあるが、先方に問い合わせるとほとんどの場合メールアカウントに二要素認証を設定していなかったり、自分が攻撃者のアドレスにメールを送信していることに気づいていなかったりする。

とはいえ自分がだまされる可能性も十分あるので、まず自社のメールアカウントは最低限、二要素認証を必須とし、その上で相手のメールアドレスがヘンなドメインにすり替わっていないか、「スレッドハイジャック」に要注意。

個人情報保護法の施行に関わらず2019/11からスマホアプリの処分は始まっている件

2021/09/23、中国工業情報化部が「サイバーセキュリティ法」「電信条例」「電信インターネットユーザー個人情報保護規定」などに基づき、旅行サービス関連アプリを中心に抜き取り検査をしたところ、52個のアプリが改善を終えておらず、2021/09/29までに改善しなければ処分するとの通知を出した。

「ユーザーの権益を侵害しているアプリに関する通報(2021年第10回、計第19回)」

wap.miit.gov.cn

添付ファイルの中身を見ると、問題となっているのは例えば以下のような点。

  • 規則に反した個人情報の収集
  • 強制的、頻繁、過度なシステム上の権限の要求
  • 範囲を超えた個人情報の収集
  • ユーザーを騙して何らかの強制を行ったこと

処罰の対象になっている旅行会社、航空会社などのアプリには、中国国内のAndroidアプリストアだけでなく、AppleのAppStoreで公開されているものもある。

ただ、通知のタイトルに2021年第10回、計第19回とあるように、この種のスマホアプリに対する処分は2019/11から定期的に行われており、2021/11/1施行の「中国個人情報保護法」とは直接関係ない。

こちらがアプリ処分開始の通知。

https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2020/art_ebe83afcca4c430590c1a66cbbac1b21.html

この2019/11の段階ですでに処分の対象となっていた以下のようなことを行うアプリ。

  • 個人情報収集の目的、方法、範囲をユーザーの同意取得前に収集する
  • サービスに必要な範囲を超えて個人情報を収集する
  • 本人の同意を得ずに第三者に個人情報を共有する
  • ユーザーへの告知なく、ユーザーの検索、閲覧記録などを元に広告のプッシュ配信をする
  • アプリのインストール時にサービスと無関係な権限を要求し、ユーザーが応じない場合はインストールを中止する
  • ユーザーが明確に拒否した後も、サービスと無関係な権限を何度も要求する
  • ユーザーが特定のサービスや機能をまだ利用し始めていないのに、事前に各種権限を要求する
  • アカウント削除の方法を提供しない、または、アカウント削除に対して不合理な障壁を設ける

ということで、個人情報保護法の施行にかかわらず、サイバーセキュリティ―法など既存の法律でスマホアプリの個人情報の不適切な収集などはすでに処分されてきた、というお話でした。

中国個人情報保護法公布後、初の民事訴訟

中国個人情報保護法はこの記事を書いている時点で未施行(施行は2021/11/1)だが、公布後初の個人情報漏えいに関する民事訴訟があったというニュース。

なお筆者は法律の専門家でも何でもないので、このブログの内容はゆめゆめ実務に利用されませぬよう。

http://www.workercn.cn/34055/202109/23/210923044824851.shtml

2020/7、重慶市沙坪坝区にある冷凍倉庫で、エクアドルから輸入した南米白エビの包装が新型コロナウイルスPCR検査で陽性になったと報じられた。

その2日後、今回の被告である重慶扬啟公司がWeChat公式アカウントで「重慶の輸入白エビ購入顧客名簿」と題して10,979人の消費者の住所、電話番号、氏名、身分証番号などの個人情報を公開したことで、その情報が大量に転載、転送されてしまった。

なぜこんなことをしたのか背景はよく分からないが、これに対して重慶市消費者委員会が不特定多数の消費者の合法的権利利益を守るために代理で民事公益訴訟を起こしたらしい。

注意すべきなのは当事者である消費者の代理で重慶市の消費者委員会が訴訟を起こした点だろう。重慶市消費者委員会いわく「消費民事訴訟は民事公益訴訟の一種で、民事公益訴訟はもっとも突出した特徴をもち、従来の民事訴訟法規則を突破するものだ」とのこと。

もともと中国の民事訴訟には代理人訴訟があるようなので、個人情報に関する民事訴訟でも当事者でなく消費者委員会のような代理人から訴えられる可能性があることは知っておくべきかも。

また記事によれば、重慶市の場合は、2021/7に重慶市消費者委員会と重慶市人民検察院が共同で「消費民事公益訴訟業務を着実な実施を協力して強化するための意見」を公開し、消費民事訴訟について全面的に連携する方針を明らかにしていた、ということもあるらしい。個人情報保護法とは無関係に、消費者代表訴訟については中国でも地域ごとにばらつきがありそう。

今回の訴訟は2021/9/2に重慶市第一中級人民法院で開廷、審議され、被告の会社側が自ら責任を認めたため、被告、原告双方が調停和解合意書にサインし、被告が「公開謝罪書」を提出することで、第一審で解決したようだ。

また調停和解合意書には、合意書の発効後1年間、被告の会社は消費に関する公益についてのPR活動を4回以上企画、制作、公開するよう書かれているとのこと。

1万人以上の個人情報を公開しても、すすんで責任を認めることで謝罪とボランティア活動でおさまっているのは、まだ個人情報保護法の施行前だからなのか、地方による裁量が大きいからなのかはよく分からない。

「自動車データセキュリティ管理に関する若干の規定(試行)」2021/10/1施行

中国サイバースペース管理局(互联网信息办公室)が2021/08/20に公布していた「自動車データセキュリティ管理に関する若干の規定(汽车数据安全管理若干规定)(試行)」という法律が2021/10/01から施行されるとのこと。

www.cac.gov.cn

中国の法律は「試行」と付いていても実質的な効力を持つので要注意(『現代中国法入門』p.118参照)。

上位の法律にあたる「データセキュリティ法」が2021/9/1に施行されたと思ったら、さっそく自動車データのセキュリティに関する個別法が出てくるというスピード感。

以下、試訳する。

なお筆者は法律の専門家でも何でもないので、このブログの内容はゆめゆめ実務に利用されませぬよう。

第一条

自動車データ処理活動を規定し、個人、組織の権益を保護し、国家の安全と社会公共の利益を維持し、自動車データの合理的な開発と利用を促進するために、「中国サイバーセキュリティ法」、「中国データセキュリティ法」等の法律、行政法規に基づき、本規定を制定する。

第二条

国内において自動車データ処理活動の実施およびそのセキュリティ監督を実施する場合、関連する法律、行政法規と本規定の要求を順守しなければならない。

第三条

本規定のいう自動車データとは、自動車の設計、生産、販売、使用、メンテナンス等の過程で個人情報データと重要データにかかわるものを含む。

自動車データ処理とは、自動車データの収集、保存、使用、加工、伝送、提供、公開等を含む。

自動車データ処理者とは、自動車データ処理活動を実施する組織を指し、自動車メーカー、部品とソフトウェアのサプライヤー、ディーラー、メンテナンス事業者および出張サービス企業等を含む。

個人情報とは、電子あるいはその他の方式で記録されるとともに、すでに識別された、あるいは識別できる自動車の所有者、運転者、同乗者、車外の人員等に関連する各種情報を指し、匿名化処理後の情報は含まない。

センシティブ情報とは、いったん漏えいあるいは不法に使用されれば、自動車の所有者、運転者、同乗者、車外の人員等が差別を受け、あるいは人身、財産の安全が重大な危害を受けるような個人情報を指し、車両の走行履歴、録音、録画、画像と生体識別特徴等の情報を含む。

重要データとは、いったん改ざん、破壊、漏えいあるいは不法な取得をされると、国家の安全、公共の利益あるいは個人、組織の合法的権益を損なうようなデータを指し、以下のものを含む:

(一)軍事管理区、国防科単位および県クラス以上の党政機関等重要なセンシティブ区域の地理情報、人員移動量、車両移動量等のデータ

(二)車両移動量、物量等、経済の進行状況を反映するデータ

(三)自動車充電網の運用データ

(四)顔データ、ナンバープレート等を含む車外の動画、画像データ

(五)10万人を超える個人情報主体に関する個人情報

(六)国家網信部と国務院の発展改革委員会、工業情報化部、公安部、交通運輸部等関連する部門が確定する、その他国家の安全、公共の利益あるいは個人、組織の合法的権益を損ないうるデータ

第四条

自動車データ処理者による自動車データ処理は合法的、正当、具体的、明確でなければならず、自動車の設計、生産、販売、使用、メンテナンス等に直接関係するものでなければならない。

第五条

インターネット等の情報ネットワークを利用して自動車データ処理活動を実施する場合、サイバーセキュリティ等級保護制度を実施し、自動車データの保護を強化し、法に基づいてデータセキュリティ義務を履行しなければならない。

(訳注:サイバーセキュリティ等級保護制度については「网络安全等级保护」でググって下さい。旧制度である「信息安全等级保护制度」がサイバーセキュリティ法施行にともなって「信息」から「网络」に改訂された制度で、新しい等級保護制度という意味で「安全等级保护制度 2.0」と呼ばれることもある)

第六条

国家は自動車データを法に基づいて有効利用することを奨励し、自動車データ処理者が自動車データ処理活動中に以下の努力を続けることを提唱する

(一)車内処理の原則。やむを得ず車外に提供する必要がある場合を除く

(二)不収集初期設定の原則。運転者が自ら設定する場合を除き、毎回運転する際の初期設定は収集しない状態とすること

(三)精度・範囲適用の原則。提供する機能やサービスのデータ精度に対する要求に基づき、カメラ、レーダー等のカバーする範囲、解像度を確定すること

(四)非センシティブ化の原則。可能な限り匿名化、非識別化等の処理を行うこと

(訳注:データ処理を車内に制限するのは、車外に存在する情報やデータ、たとえば通行人を識別できる顔情報や国家機密にあたるような重要データなどを、自動車が運転中に収集することを制限するためと思われる。さらっと読むと個人情報保護だけの観点のように読めるが、第三条の定義にある「重要データ」も含まれていると思われる)

第七条

自動車データ処理者による個人情報処理はマニュアル、車載LED、言語、自動車の使用に関連するアプリケーションプログラム等明確な方法で、個人に対して以下の事項を告知しなければならない

(一)処理する個人情報の種類。車両の走行履歴、運転の習慣、音声、映像、画像と生体識別特徴等を含む

(二)各種個人情報の収集の具体的な状況および収集を停止する方法と経路

(三)各種個人情報を処理する目的、用途、方法

(四)個人情報を保存する場所、保存期限、あるいは保存する場所、保存期限を確定する規則

(五)車内におけるその個人情報の閲覧、複製および削除、すでに車外に提供した個人情報の削除請求の方法と経路

(六)ユーザーの権益に関する事務の連絡先担当者の氏名と連絡方法

(七)法律、行政法規の規定するその他の告知すべき事項

第八条

自動車データ処理者による個人情報処理は個人の同意を得るか、あるいは法律、行政法規の規定するその他の状況に符合しなければならない。

安全運転を保証する必要性から、個人の同意を得ることができない状態で、車外の個人の情報を収集かつ車外に対して提供する場合は、匿名化処理を行わなければならない。この匿名化処理は、自然人を識別できる画像の削除、あるいは画像内の顔情報に対する部分的な輪郭化処理等を含む。

(訳注:ここはおそらく、走行中の自動車が歩行者検知などのために周囲の情報を収集し、そこに歩行者の顔など個人を識別できる情報が含まれてしまう場合、いちいち歩行者に同意を得るわけにもいかないので、匿名化しなければいけないという意味。ただし、その個人情報をいっさい車内から持ち出さない、つまり車載システムから車外へデータをいっさい書き出したり送信したりしなければ、匿名化処理する必要はないということと思われる。)

第九条

自動車データ処理者によるセンシティブ情報の処理は、以下の要求あるいは法律、行政法規と強制性のある国家標準等その他の要求に符合しなければならない

(一)個人に対して直接サービスする目的を有すること。安全運転の強化、AI運転、ナビゲーション等。

(二)マニュアル、車載LED、言語および自動車の使用に関連するアプリケーションプログラム等明確な方法で、その必要性と個人に対する影響を告知すること

(三)個人自らの同意を得なければならない場合、個人が自ら同意の期限を設定できるようにすること

(四)安全運転を保証する前提で、適切な方法で収集状態を提示し、収集を停止する便宜を個人に提供すること

(五)個人が削除を要求した場合、自動車データ処理者は十営業日以内に削除すること

自動車データ処理者は安全運転目的と十分な必要性がある場合に限って、指紋、声紋、顔、心拍数など生体識別特徴情報を収集できる。

第十条

自動車データ処理者が重要データの処理活動を行う場合、規定に基づいてリスク評価を行い、省、自治区直轄市の網信部門と関連部門にリスク評価報告を提出しなければならない。

リスク評価報告は、処理する重要データの種類、数量、範囲、保存場所と期限、使用方法、データ処理活動の実施状況と第三者に提供するかどうか、想定されるデータセキュリティリスクとそれに対する措置等を含まなければならない。

第十一条

重要データは法に基づいて国内に保存しなければならない。業務上の必要から国外に提供する必要がある場合は、国家網信部門が国務院の関連部門と共同で実施するセキュリティ評価を経なければならない。重要データに入らない個人に関する情報の国外提供のセキュリティ管理は、法律、行政法規の関連規定を適用する。

我が国が締結あるいは参加している国際条約、協定に異なる規定がある場合は、その国際条約、協定を適用する。ただし我が国が留保を声明している条項は除く。

第十二条

自動車データ処理者が国外に重要データを提供する場合、国外提供セキュリティ評価の際に明確にした目的、範囲、方法とデータの種類、規模等を超えてはならない。

国家網信部門が国務院の関連部門と共同でサンプリング等の方法で前項の定める事項を検査する場合、自動車データ処理者はそれに協力し、閲覧可能にする等の簡便な方法で提示しなければならない。

十三条

自動車データ処理者が重要データ処理活動を行う場合、毎年十二月十五日より以前に省、自治区直轄市の網信部門と関連する部門に、以下のような年間自動車データセキュリティ管理状況を報告しなければならない

(一)自動車データセキュリティ管理責任者、ユーザ権益事務連絡先担当者の氏名と連絡方法

(二)処理する自動車データの種類、規模、目的と必要性

(三)自動車データのセキュリティ保護と管理措置。保存場所、期限等を含む。

(四)国外の第三者に対する自動車データの提供状況

(五)自動車データセキュリティインシデントと対処状況

(六)自動車データに関するユーザーからのクレームとその処理状況

(七)国家網信部門が国務院の工業と情報化、公安、交通運輸等の関連部門と共同で明確にする、その他自動車データセキュリティの管理状況

第十四条

国外に重要データを提供する自動車データ処理者は、本規定の第十三条の要求に基づき、以下の状況を追加で報告しなければならない

(一)受領者の基本状況

(二)国外提供した自動車データの種類、規模、目的と必要性

(三)自動車データの国外における保存場所、保存期限、保存範囲と保存方法

(四)国外に提供した自動車データに関するユーザーからのクレームとその処理状況

(五)国家網信部門が国務院の工業と情報化、公安、交通運輸等の関連部門と共同で明確にする、自動車データの国外提供について報告する必要があるその他の状況

第十五条

国家網信部門と国務院の発展改革委員会、工業情報化部、公安部、交通運輸部等の関連部門が職責に基づき、処理データの状況によって自動車データ処理者に対して行うデータセキュリティ評価に、自動車データ処理者は協力しなければならない。

セキュリティ評価に参加する機構と人員は評価中に知り得た自動車データ処理者の営業機密、未公開情報を開示してはならず、評価中に知り得た情報を評価以外の目的に使ってはならない。

第十六条

国家はAI(コネクテッド)自動車のネットワークプラットフォーム建設を強化し、AI(コネクテッド)自動車のネットワーク接続運行とセキュリティ保障サービス等を実施し、自動車データ処理者と協力してAI(コネクテッド)自動車のネットワークと自動車データのセキュリティ保護を強化する。

(訳注:コネクテッドカーの開発、普及を国策として実施していく意思がはっきり感じられる条文)

第十七条

自動車データ処理者が自動車データ処理活動を行う場合、クレームと通報の経路を確立し、簡便にクレームと通報ができる窓口を設置し、ユーザーからのクレームと通報を速やかに処理しなければならない。

第十八条

自動車データ処理者が本規定に違反した場合、省クラス以上の網信、工業と情報化、公安、交通運輸等の関連部門が、「サイバーセキュリティ法」、「データセキュリティ法」等の法律、行政法規の規定に基づいて処罰を行う。犯罪を構成するものは、法に基づき刑事責任を追及する。

(訳注:具体的な処罰の内容、たとえば罰金額や営業停止処分などが書かれていないのが困る。というよりこの規定自体が全体にざっくりしすぎ)

第十九条

本規定は2021年10月1日より施行する。

中国金融業界、匿名化データの活用で個人情報保護とフィンテック発展の両立を目指す

政府と中国金融業界の代表者が集まった会議でプライバシーやデータセキュリティについて議論がなされたとのことで、ご紹介。 f:id:todkm:20210922151859p:plain

finance.huanqiu.com

www.scimall.org.cn

2021/09/17「第五回中国フィンテックイノベーション・プログラム」が清華大学中国金融研究センター、中国銀行協会IT専門委員会、中国インターネット協会フィンテックワーキンググループ主催で開催された。

オフライン、オンライン並行開催で、オンラインライブにはウェイボーの運営会社、新浪の生放送サイトから112万人が参加。

当然サイバーセキュリティもテーマとして取り上げられ、サイバー攻撃の脅威に対する防御力強化もリスク管理の重要課題の一つという認識。

フィンテックにおける積極的なデータ活用の一方、「データ保護法」「個人情報保護法」に関連する政策のもとで、保有するデータをどのように合法的、効率的に各種データと結びつけてデータの資産価値を高め、デジタル化を推進するかが、金融機関の直面するテーマとされた。

金融機関向けにAIによる匿名化ビッグデータ処理などのサービスを提供する星雲Clustar社のCEO陳沫氏は、「個人情報保護法」第4条、第73条にある匿名化後の個人情報処理を認める条文や、「データ保護法」でITを利用したデータ価値の保護を奨励している点に触れ、技術と法律は相補的で、イノベーションは法律を遵守する前提で、データの価値を発掘できると話した。

・・・といったシンポジウム的なものがあったようで、中国「データ保護法」「個人情報保護法」は中国国内的には技術革新を後押しする役割も強いようだ。