「無責任な」行動を根絶することを目的に、商用スパイウェアおよび同様の提供者に関する指針を策定する国際的な取り組みが進行中だ。
パル・モール・プロセスは2024年に英国とフランスによって開始され、Google、Microsoft、Apple、Metaを含むテック大手と27の政府が、急成長する商用スパイウェアおよびゼロデイ・エクスプロイトの取引を抑制するために参加した。
重要な第2段階の一環として、このイニシアチブは、民間企業による責任ある行動とはどのようなものかについて、「攻撃的サイバー」業界から意見を募ろうとしている。国家サイバーセキュリティセンター(NCSC)によれば、そこで得られた指針は、昨年これら27か国が署名した「国家向け行動規範(Code of Practice for States)」を補完するものとなる。
「商用サイバー侵入能力(CCIC)は、重大犯罪への対処、国家安全保障上の脅威への対抗、市民の保護のために、多くの国のツールキットに不可欠な要素です」とNCSCは述べた。「しかし、必要な安全策がなければ、その利用は危険で不安定化を招き得ます。パル・モール・プロセスは、CCICの有益な利用を最大化しつつ、その有害な利用の根絶を目指します。」
パル・モール・プロセスについて詳しく読む:政府とテック大手が商用スパイウェアに対抗して結束。
NCSCは昨日のブログ投稿で、CCICには脆弱性調査およびエクスプロイト開発(VRED)、マルウェア作成、コマンド&コントロール(C2)、ハッキング・アズ・ア・サービス、アクセス・アズ・ア・サービスが含まれると考えていると説明した。
「CCICの市場には、製品やサービスを提供する多種多様なサイバー侵入企業が含まれており、それらは継続的に進化し、多様化しています」とNCSCは付け加えた。
「そこには、研究者、開発者、ブローカー、再販業者、投資家、企業体、オペレーター、そして国家を含む顧客からなる相互に連結したエコシステムが含まれます。このエコシステムにいる誰もが、CCICの責任ある利用を促進/提唱するうえで果たすべき役割があります。」
英国政府とフランス政府は、CCIC市場で働く人々から特に話を聞きたいと考えており、その動機を理解し、業界が責任ある形で前進するためにどうすべきかについての考えを得たいとしている。
この指針の狙いは、責任ある行動がどのようなものかに合意することだけでなく、CCICの無責任な利用にコミュニティが対処できるようにすることにもある。
商用スパイウェアは勢いを増し続ける
この動きは、CCIC市場が成長を続ける中で出てきたものだ。GoogleやAppleなどによって、新たなゼロデイ脆弱性が毎月のように発見され、修正されている。
11月上旬、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、2024年半ば以降、Samsung端末を使用するWhatsAppユーザーへの攻撃で脅威アクターに悪用されていたゼロデイ欠陥について、連邦政府機関にパッチ適用を命じた。
その1か月前には、GoogleがChromeのゼロデイを修正した。これは「Operation ForumTroll」と呼ばれる標的型スパイ活動キャンペーンに関連しており、イタリアのスパイウェアベンダーであるMemento Labsが開発したツールが関与していた。
また、一部の不心得者はCCIC需要に乗じて利益を得ようとしている。10月には、米国の防衛請負業者の社長が、同社が開発したゼロデイ・エクスプロイトを、顧客にクレムリンを含むロシアのブローカーに販売した罪を認めたことが明らかになった。
この意見募集は12月22日に締め切られる予定だ。
翻訳元: https://www.infosecurity-magazine.com/news/pall-mall-process-responsible/
