ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

データ輸出セキュリティ評価法のパブコメ開始

中国サイバースペース管理局が「データ輸出セキュリティ評価規則(数据出境安全评估办法)」のパブリックコメントを2021/10/28開始した。「サイバーセキュリティ法(网络安全法)」「データセキュリティ法(数据安全法)」「個人情報保護法」にもとづく新し…

中国「ネットワーク製品セキュリティ脆弱性管理規定」試訳

中国ではセキュリティリサーチャーが脆弱性を政府に報告する義務がある、という誤解が一部にあるようなので、該当の法律「ネットワーク製品セキュリティ脆弱性管理規定」(2021/9/1施行)の全文を試訳する。 ひとことで言うと、政府に対する報告義務があるの…

テンセントの専門家は中国個人情報保護法をどう評価しているか

テンセントの研究員は中国個人情報保護法をどう評価しているか。GoogleアラートでLinkedInの文章がひっかかったので要約してみる。 「中国個人情報保護法」~五つの時代を画する意義 mp.weixin.qq.com 筆者はテンセント研究院主席データ法律政策の専門家王融…

中国データセキュリティ法に基づく地方法が深セン・上海で制定されているらしい

知らない間に中国「データセキュリティ法」を受けた地方法規が出来ているらしい。今のところ深センと上海の2か所。とりあえずこの二市はデータセキュリティ法の具体的な執行についてやる気になっている、ということかどうかは分からない。 例によって筆者は…

気が向いたので中国CNCERTコーディネーションセンターの週報を読んでみた

中国のJPCERT/CCにあたるCNCERTコーディネーションセンターが毎週だしている週報を気が向いたので読んでみた。2021年第39週、2021/09/20~09/26分。 www.cert.org.cn こちらCNCERT/CCトップページの上方中央「安全报告(セキュリティ報告)」に「网络安全信…

「データセキュリティ法」の下位規則「工業情報化分野データセキュリティ管理規則」パブコメ公開

2021/09/30に中国工業情報化部(日本でいう省)が「データセキュリティ法(数据安全法)」にもとづく規則として「工業情報化分野のデータセキュリティ管理規則」のパブコメを公開した。意見募集期限は2021/10/30。 公开征求对《工业和信息化领域数据安全管理…

中国広報協会と外資企業協会が合同で中国個人情報保護法プロモーション会議開催(続き)

先日のブログでご紹介した2021/09/18開催の「中華人民共和国個人情報保護法」プロモーション会議で、外資系企業に対する個人情報保護要求の強化について個別に言及があったらしいので補足。 先日のブログ todkm.hatenablog.com 《个人信息保护法》实施在即——…

中国初のデジタルデータ専門法廷が広州市に開設、専門家を参審員に招聘

中国データセキュリティ法関連ニュース。2021/09/26中国のニュースサイト大洋網によると、広州市に全国初のデジタルデータ専門法廷が開設されたとのこと。 全国首个!涉数据纠纷专业合议庭在穗挂牌成立_广州日报大洋网 そもそも広州市に「広州インターネット…

Emotetのようにメールのやり取りに割り込んでくるマルウェアに要注意

FortiGuard Labsが2021/09/21、Emotetのように返信メールを悪用するタイプのマルウェアSquirrelwaffle(スクウォーレル・ワッフル)の注意喚起をしているようだ。 www.fortiguard.com メールのリンクをクリックすると、不正なVBAマクロを含むオフィスファイ…

個人情報保護法の施行に関わらず2019/11からスマホアプリの処分は始まっている件

2021/09/23、中国産業情報化部が「サイバーセキュリティ法」「電信条例」「電信インターネットユーザー個人情報保護規定」などに基づき、旅行サービス関連アプリを中心に抜き取り検査をしたところ、52個のアプリが改善を終えておらず、2021/09/29までに改善…

中国個人情報保護法公布後、初の民事訴訟

中国個人情報保護法はこの記事を書いている時点で未施行(施行は2021/11/1)だが、公布後初の個人情報漏えいに関する民事訴訟があったというニュース。 なお筆者は法律の専門家でも何でもないので、このブログの内容はゆめゆめ実務に利用されませぬよう。 ht…

「自動車データセキュリティ管理に関する若干の規定(試行)」2021/10/1施行

中国サイバースペース管理局(互联网信息办公室)が2021/08/20に公布していた「自動車データセキュリティ管理に関する若干の規定(汽车数据安全管理若干规定)(試行)」という法律が2021/10/01から施行されるとのこと。 www.cac.gov.cn 中国の法律は「試行…

中国金融業界、匿名化データの活用で個人情報保護とフィンテック発展の両立を目指す

政府と中国金融業界の代表者が集まった会議でプライバシーやデータセキュリティについて議論がなされたとのことで、ご紹介。 finance.huanqiu.com www.scimall.org.cn 2021/09/17「第五回中国フィンテック・イノベーション・プログラム」が清華大学中国金融…

中国広報協会と外資企業協会が合同で中国個人情報保護法プロモーション会議開催

2021/9/18午後、中国広報協会と中国外資企業協会が共同で「中華人民共和国個人情報保護法」プロモーション会議を開催したらしい。 www.cpra.org.cn 中国サイバースペース管理局サイバー法治局(国家互联网信息办公室网络法治局)局長・華清氏、全国人代常務…

中国の個人情報保護は民法典にすでに書かれていたという話

中国個人情報保護法は2021/11/1施行だが、2021/1/1施行されている民法典の第四編 人格権の「第六章 プライバシー権と個人情報保護」にすでに書かれていたという話。 中華人民共和国 民法典 http://www.npc.gov.cn/npc/c30834/202006/75ba6483b8344591abd0791…

中国個人情報保護法についてサイバースペース管理局(互联网信息办公室)自らによる解説

2021/08/20に第十三回全人代常務委員会第三十次会議で、中国の個人情報保護法が可決され、2021/11/01から施行されることになった。 http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml 中国サイバースペース管理局(国家互联…

中国「サイバーセキュリティ審査規則」改訂パブコメ草案公開、重要な変更あり

2021/07/10、中国国家インターネット情報弁公室が「サイバーセキュリティ審査規則(网络安全审查办法)」の改訂草案を公開した。現行の同規則に対して重要な変更がされているようなので、WinMergeで比較してみた。 www.cac.gov.cn 以下、筆者が個人的にまと…

2021/06/10公布の中華人民共和国データ安全法のつまみ食い

2021/06/10に中華人民共和国データ安全法(数据安全法)が公布されたが、純然たる個人的な見解では、国外のデータ処理活動にかかわる条文だけ見ておけばいい気がする。 施行は2021/09/01から。 权威发布_中国人大网 中华人民共和国数据安全法_中国人大网 第…

GDPRの新版Standard Contractual Clausesが公開された件

GDPRの新版SCC(Standard Contractual Clauses)が2021/6/4にようやく公開された。 こちらはEEA域外移転用の新SCC ec.europa.eu こちらはデータコントローラ~プロセッサー間の新SCC (域外移転があるかどうかにかかわらず) ec.europa.eu 今後各企業は旧SCCか…

TikTokのプライバシーポリシーが2021/6/2に変更されていたらしい

Zack Whittaker氏のツイートで、TikTokのプライバシーポリシーが2021/06/02に変更されていたと知った。 techcrunch.com このTechCrunchの記事は米国での変更を問題にしているが、日本向けも変更されている。 個人的にTikTokのヘビーユーザではないので、アプ…

米コロニアル・パイプラインのランサムウェア被害、侵入に悪用された漏えい済みアカウントは多要素認証なし

ランサムウェア被害を受けた米コロニアル・パイプライン、攻撃者の侵入方法は漏えい済みパスワードで、多要素認証もなく、「パスワードは特に脆弱だった」とのこと。やはり2018年外部監査のセキュリティ管理についての指摘が改善されていなかったのでは。 ed…

中国個人情報保護法の法目的は「個人情報」の保護であって「個人」の保護ではない?

中国個人情報保護法の目的は「個人情報」の権利利益の保護? 前回の記事で個人的な趣味として、中国の個人情報保護法草案全文を試訳したが、この法律の奇妙な点は、第一条、第二条にあるように、法律の目的が「個人情報」の権利利益の保護であって、「個人」…

中国個人情報保護法草案第二回審議稿の個人的趣味による日本語訳

この記事を書いている2021/05/25時点でまだ草案第二回審議中の、中華人民共和国個人情報保護法(个人信息保护法)の草案全文を試訳しておく。 あくまで単なる個人的趣味としての試訳なので、ゆめゆめ業務目的でご利用なさらぬよう。 原文は、第一回審議稿、…

中国の個人情報保護法は2021/05/25現在まだ草案第二回審議中

ほぼカタリン・ツィンパヌさん一人でもっているような情報セキュリティ関係者必読サイト「The Record」 に些細な間違いを見つけたので、内容のご紹介ついでに書いておく。 therecord.media ツィンパヌさんの記事はZDNetに寄稿されていたころから拝読していて…

仏IT企業SogetiがランサムウェアBabukに関する73ページにおよぶ報告書を公開

フランスのコンサルファーム、キャップジェミニ傘下のITサービス子会社Sogetiが、2021年に入って急速に存在感を増しているランサムウェア「Babuk」について73ページに及ぶ報告書を2021/04/27に公開した。 Le groupe Babuk s’est fait remarquer ce début d'a…

B・クレブス氏がランサムウェア被害にあったコロニアル・パイプラインにお怒りのご様子

サイバーセキュリティ関連のジャーナリストとして有名なブライアン・クレブス氏が、ランサムウェア被害にあった米コロニアル・パイプラインにお怒りのご様子。 50% more than what? Say, $5M? https://t.co/V6OEPue96x— briankrebs (@briankrebs) 2021年5月1…

女性のサイバーセキュリティ記者が過小評価されているのではないかという件

2021/05/09に米国最大のパイプラインがランサムウェア被害にあって停止したと発表されたが、同社がオフィスネットワークだけでなくパイプライン制御システムのネットワークまで停止させた理由を、事件発生後いち早く詳細に報じたのは女性記者Kim Zetterさん…

仏保険会社アクサが自国内のみランサムウェアの身代金損害補償を停止

フランスの保険会社アクサがフランス国内のサイバー保険について、ランサムウェアの身代金支払いへの補償をやめるとのこと。 apnews.com ランサムウェアの身代金支払いへの補償が停止されるのは、フランス国内のサイバー保険の新規契約からで、他国の契約や…

学生がインストールした海賊版ソフトからランサムウェア被害

ヨーロッパのとある生体分子研究所がランサムウェア「Ryuk」の被害にあい、1週間分の研究データを失うと同時に、丸1週間ネットワークが不通になったとのこと。 www.bleepingcomputer.com きっかけは研究にアシスタントとして参加していた大学生が、自宅のPC…

組織的なアマゾン偽レビューの証拠が当のアマゾンのクラウドサービスから漏えい

とあるセキュリティ専門家がアマゾンのクラウドサービスで公開状態になっているデータベースを見つけたところが、アマゾンの偽レビューを組織的に行っている業者のデータだったとのこと。 www.pcmag.com 約1,300万件、7GBにおよぶデータには、販売業者が偽レ…